Poiché gli avversari si affidano sempre più a strumenti legittimi per nascondere le proprie attività dannose, i difensori aziendali devono ripensare l’architettura di rete per rilevare e difendersi da questi attacchi.
Conosciute come “vivere fuori dalla terra” (LotL), queste tattiche si riferiscono al modo in cui gli avversari utilizzano strumenti nativi e legittimi all'interno dell'ambiente della vittima per portare a termine i propri attacchi. Quando gli aggressori introducono nuovi strumenti nell'ambiente utilizzando il proprio malware o strumenti, creano rumore nella rete. Ciò aumenta la possibilità che tali strumenti possano attivare allarmi di sicurezza e avvisare i difensori che qualcuno non autorizzato è sulla rete e svolge attività sospette. Gli aggressori che utilizzano gli strumenti esistenti rendono più difficile per i difensori distinguere le azioni dannose da quelle legittime.
Per costringere gli aggressori a creare più rumore sulla rete, i leader della sicurezza IT devono ripensare la rete in modo che spostarsi all'interno della rete non sia così facile.
Proteggere le identità, limitare i movimenti
Un approccio consiste nell'applicare controlli di accesso efficaci e monitorare l'analisi del comportamento privilegiato in modo che il team di sicurezza possa analizzare il traffico di rete e le richieste di accesso provenienti dai propri strumenti. Zero Trust con forti controlli sugli accessi privilegiati – come il principio del privilegio minimo – rende più difficile per gli aggressori muoversi nella rete, afferma Joseph Carson, capo scienziato della sicurezza e consulente CISO presso Delinea.
"Ciò li costringe a utilizzare tecniche che creano più rumore e increspature sulla rete", afferma. "Offre ai difensori IT maggiori possibilità di rilevare l'accesso non autorizzato molto prima nel corso dell'attacco, prima che abbiano la possibilità di distribuire software dannoso o ransomware."
Un altro è prendere in considerazione le tecnologie CASB (Cloud Access Security Broker) e SASE (Secure Access Service Edge) per capire chi (o cosa) si sta connettendo a quali risorse e sistemi, il che può evidenziare flussi di rete imprevisti o sospetti. Le soluzioni CASB sono progettate per fornire sicurezza e visibilità alle organizzazioni che adottano servizi e applicazioni cloud. Fungono da intermediari tra gli utenti finali e i fornitori di servizi cloud, offrendo una gamma di controlli di sicurezza, tra cui la prevenzione della perdita di dati (DLP), il controllo degli accessi, la crittografia e il rilevamento delle minacce.
SASE è un framework di sicurezza che combina funzioni di sicurezza di rete, come gateway Web sicuri, firewall-as-a-service e accesso alla rete zero-trust, con funzionalità di rete geografica (WAN) come SD-WAN (rete geografica definita dal software) ).
“Dovrebbe esserci una forte attenzione alla gestione della superficie di attacco [LotL]”, afferma Gareth Lindahl-Wise, CISO di Ontinue. “Gli aggressori riescono laddove gli strumenti e i processi integrati o distribuiti possono essere utilizzati da troppi endpoint e da troppe identità”.
Queste attività, per loro natura, sono anomalie comportamentali, quindi capire cosa viene monitorato e inserirlo nelle piattaforme di correlazione è fondamentale, afferma Lindahl-Wise. I team dovrebbero garantire la copertura da endpoint e identità e poi, nel tempo, arricchirla con informazioni sulla connettività di rete. L'ispezione del traffico di rete può aiutare a scoprire altre tecniche, anche se il traffico stesso è crittografato.
Un approccio basato sull’evidenza
Le organizzazioni possono e devono adottare un approccio basato sull’evidenza per stabilire la priorità delle fonti di telemetria da utilizzare per ottenere visibilità sugli abusi legittimi dei servizi pubblici.
"Il costo di archiviazione di fonti di log di volume più elevato è un fattore molto reale, ma la spesa per la telemetria dovrebbe essere ottimizzata in base a fonti che forniscano una finestra sulle minacce, comprese le utilità abusate, osservate più spesso in natura e ritenute rilevanti per l'organizzazione ", afferma Scott Small, direttore dell'intelligence sulle minacce presso Tidal Cyber.
Numerosi sforzi della comunità rendono questo processo più pratico di prima, incluso il progetto open source “LOLBAS”, che tiene traccia delle applicazioni potenzialmente dannose di centinaia di utility chiave, sottolinea.
Nel frattempo, un catalogo crescente di risorse di MITRE ATT&CK, il Center for Threat-Informed Defense e di fornitori di strumenti di sicurezza, consente di tradurre quegli stessi comportamenti antagonisti direttamente in dati discreti e pertinenti e fonti di registro.
"Non è pratico per la maggior parte delle organizzazioni tenere costantemente traccia di ogni fonte di registro conosciuta", nota Small. "La nostra analisi dei dati del progetto LOBAS mostra che queste utility LotL possono essere utilizzate per svolgere praticamente ogni tipo di attività dannosa."
Questi vanno dall'evasione della difesa all'escalation dei privilegi, alla persistenza, all'accesso alle credenziali e persino all'esfiltrazione e all'impatto.
"Ciò significa anche che esistono dozzine di fonti di dati discrete che potrebbero fornire visibilità sull'uso dannoso di questi strumenti: troppe per poterle registrare realisticamente in modo completo e per lunghi periodi di tempo", afferma Small.
Tuttavia, un’analisi più approfondita mostra dove esistono i cluster (e le fonti uniche): ad esempio, solo sei delle 48 fonti di dati sono rilevanti per più di tre quarti (82%) delle tecniche relative a LOLBAS.
"Ciò offre l'opportunità di integrare o ottimizzare la telemetria direttamente in linea con le migliori tecniche di vita fuori terra o con quelle particolari associate ai servizi ritenuti di massima priorità dall'organizzazione", afferma Small.
Passaggi pratici per i leader della sicurezza IT
I team di sicurezza IT possono adottare molte misure pratiche e ragionevoli per individuare gli aggressori che vivono nei campi, purché abbiano visibilità degli eventi.
"Sebbene sia fantastico avere visibilità sulla rete, gli eventi provenienti dagli endpoint, sia workstation che server, sono altrettanto preziosi se utilizzati bene", afferma Randy Pargman, direttore del rilevamento delle minacce presso Proofpoint.
Ad esempio, una delle tecniche LotL utilizzate recentemente da molti autori di minacce consiste nell'installare un software legittimo di monitoraggio e gestione remota (RMM).
Gli aggressori preferiscono gli strumenti RMM perché sono affidabili, firmati digitalmente e non attivano avvisi antivirus o di rilevamento e risposta degli endpoint (EDR), inoltre sono facili da usare e la maggior parte dei fornitori di RMM dispone di un'opzione di prova gratuita completa di tutte le funzionalità.
Il vantaggio per i team di sicurezza è che tutti gli strumenti RMM hanno un comportamento molto prevedibile, comprese firme digitali, chiavi di registro modificate, nomi di dominio ricercati e nomi di processi da cercare.
"Ho avuto un grande successo nel rilevare l'uso degli strumenti RMM da parte di intrusi semplicemente scrivendo firme di rilevamento per tutti gli strumenti RMM disponibili gratuitamente e facendo un'eccezione per lo strumento approvato, se presente", afferma Pargman.
È utile se solo un fornitore RMM è autorizzato all'uso e se viene installato sempre nello stesso modo, ad esempio durante l'imaging del sistema o con uno script speciale, in modo che sia facile distinguere tra un'installazione autorizzata e una un attore di minacce che induce con l'inganno un utente a eseguire l'installazione, aggiunge.
“Esistono molte altre opportunità di rilevamento proprio come questa, a cominciare dall’elenco in basso LOLBA", dice Pargman. "Eseguendo query di ricerca delle minacce su tutti gli eventi degli endpoint, i team di sicurezza possono trovare i modelli di utilizzo normale nei loro ambienti, quindi creare query di avviso personalizzate per rilevare modelli di utilizzo anomali."
Esistono anche opportunità per limitare l'abuso degli strumenti integrati preferiti dagli aggressori, come la modifica del programma predefinito utilizzato per aprire i file di scripting (estensioni dei file .js, .jse, .vbs, .vbe, .wsh, ecc.) in modo che non si aprano in WScript.exe quando si fa doppio clic.
"Ciò aiuta a evitare che gli utenti finali vengano indotti con l'inganno a eseguire uno script dannoso", afferma Pargman.
Ridurre la dipendenza dalle credenziali
Secondo Rob Hughes, CIO di RSA, le organizzazioni devono ridurre la dipendenza dalle credenziali per stabilire connessioni. Allo stesso modo, le organizzazioni devono generare avvisi su tentativi anomali e falliti e valori anomali per dare ai team di sicurezza visibilità su dove è in gioco la visibilità crittografata. Capire cosa significano "normale" e "buono" nelle comunicazioni di sistema e identificare i valori anomali è un modo per rilevare gli attacchi LotL.
Un’area spesso trascurata che sta iniziando a ricevere molta più attenzione è quella dei conti dei servizi, che tendono ad essere non regolamentati, scarsamente protetti e un obiettivo primario per sopravvivere degli attacchi via terra.
“Eseguono i nostri carichi di lavoro in background. Tendiamo a fidarci di loro, probabilmente troppo”, afferma Hughes. "Vuoi inventario, proprietà e meccanismi di autenticazione forti anche su questi account."
L’ultima parte può essere più difficile da realizzare perché gli account di servizio non sono interattivi, quindi i consueti meccanismi di autenticazione a più fattori (MFA) su cui le organizzazioni fanno affidamento con gli utenti non sono in gioco.
"Come ogni autenticazione, ci sono gradi di forza", afferma Hughes. “Consiglierei di scegliere un meccanismo efficace e di assicurarsi che i team di sicurezza accedano e rispondano a qualsiasi accesso interattivo da un account di servizio. Queste cose non dovrebbero accadere”.
È richiesto un adeguato investimento di tempo
Costruire una cultura della sicurezza non deve essere necessariamente costoso, ma è necessaria una leadership disponibile a sostenere e difendere la causa.
L'investimento nel tempo a volte è il più grande investimento da fare, afferma Hughes. Ma l’implementazione di forti controlli dell’identità all’interno e all’interno dell’organizzazione non deve essere un’impresa costosa rispetto alla riduzione del rischio che si ottiene in tal modo.
"La sicurezza si basa sulla stabilità e sulla coerenza, ma non è sempre possibile controllarle in un ambiente aziendale", afferma. "Fare investimenti intelligenti per ridurre il debito tecnico in sistemi che non sono compatibili o cooperativi con l'AMF o con forti controlli sull'identità."
È tutta una questione di velocità di rilevamento e risposta, afferma Pargman.
"In tanti casi su cui ho indagato, l'elemento che ha fatto la differenza più grande per i difensori è stata la risposta rapida da parte di un analista SecOps attento che ha notato qualcosa di sospetto, ha indagato e ha scoperto l'intrusione prima che l'autore della minaccia avesse la possibilità di espandersi la loro influenza”, dice.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :È
- :non
- :Dove
- $ SU
- 7
- a
- anormale
- WRI
- abuso
- accesso
- Secondo
- Il mio account
- conti
- Raggiungere
- operanti in
- Legge
- azioni
- attività
- attività
- attori
- Aggiunge
- adeguato
- adottare
- Vantaggio
- contraddittorio
- consultivo
- contro
- Mettere in guardia
- Avvisi
- Tutti
- consentire
- anche
- sempre
- an
- .
- analista
- analitica
- analizzare
- ed
- anomalie
- antivirus
- in qualsiasi
- applicazioni
- APPLICA
- approccio
- approvato
- architettura
- SONO
- RISERVATA
- in giro
- AS
- associato
- At
- attacco
- attacchi
- Tentativi
- attenzione
- Autenticazione
- autorizzato
- disponibile
- evitare
- sfondo
- BE
- perché
- prima
- comportamento
- comportamentale
- comportamenti
- essendo
- Meglio
- fra
- Maggiore
- entrambi
- broker
- costruire
- incassato
- affari
- ma
- by
- Materiale
- funzionalità
- trasportare
- trasporto
- casi
- catalogo
- Causare
- centro
- campione
- possibilità
- cambiando
- capo
- CIO
- CISO
- più vicino
- Cloud
- servizi cloud
- il clustering
- combinando
- arrivo
- Comunicazioni
- comunità
- confronto
- compatibile
- Collegamento
- Connessioni
- Connettività
- Prendere in considerazione
- di controllo
- controlli
- cooperativa
- Correlazione
- Costo
- potuto
- copertura
- creare
- CREDENZIALI
- Credenziali
- critico
- Cultura
- costume
- Cyber
- dati
- Perdita di dati
- Debito
- ritenuto
- Predefinito
- Difensori
- Difesa
- schierato
- distribuzione
- progettato
- individuare
- rivelazione
- differenza
- digitale
- digitalmente
- direttamente
- Direttore
- do
- effettua
- doesn
- fare
- dominio
- NOMI DI DOMINIO
- decine
- durante
- In precedenza
- facile
- bordo
- sforzi
- crittografato
- crittografia
- fine
- sforzarsi
- endpoint
- arricchire
- garantire
- Impresa
- Ambiente
- ambienti
- intensificazione
- stabilire
- eccetera
- evasione
- Anche
- eventi
- Ogni
- esempio
- eccezione
- esfiltrazione
- esistere
- esistente
- Espandere
- costoso
- estensioni
- fattore
- fallito
- favorire
- In primo piano
- alimentazione
- Compila il
- File
- Trovate
- flussi
- Focus
- Nel
- forza
- Forze
- essere trovato
- Contesto
- Gratis
- prova gratuita
- liberamente
- da
- completamente
- funzioni
- Guadagno
- gateway
- ottenere
- GitHub
- Dare
- dà
- buono
- grande
- Crescita
- ha avuto
- Happening
- Più forte
- Avere
- he
- Aiuto
- aiuta
- nascondere
- massimo
- Highlight
- Come
- HTTPS
- centinaia
- i
- identificazione
- identità
- Identità
- if
- Imaging
- Impact
- in
- Compreso
- compreso il digitale
- sempre più
- influenza
- informazioni
- install
- installazione
- installato
- Intelligence
- interattivo
- intermediari
- ai miglioramenti
- introdurre
- inventario
- investimento
- Investimenti
- IT
- sicurezza
- stessa
- jpg
- ad appena
- Le
- Tasti
- conosciuto
- Paese
- maggiore
- Cognome
- capi
- Leadership
- meno
- legittimo
- piace
- probabile
- LIMITE
- limitativo
- linea
- Lista
- vita
- ceppo
- Lunghi
- Guarda
- una
- guardò
- spento
- lotto
- fatto
- make
- FA
- Fare
- maligno
- il malware
- gestione
- gestione
- molti
- si intende
- meccanismo
- meccanismi di
- AMF
- modificato
- Monitorare
- monitorati
- monitoraggio
- Scopri di più
- maggior parte
- cambiano
- movimenti
- in movimento
- molti
- autenticazione a più fattori
- devono obbligatoriamente:
- nomi
- nativo
- Natura
- Bisogno
- Rete
- Sicurezza di rete
- traffico di rete
- New
- Rumore
- normale
- Note
- of
- MENO
- offerta
- di frequente
- on
- Onboard
- ONE
- quelli
- esclusivamente
- aprire
- open source
- Opportunità
- OTTIMIZZA
- ottimizzati
- Opzione
- or
- minimo
- organizzazione
- organizzazioni
- Altro
- nostro
- su
- ancora
- proprio
- proprietà
- parte
- particolare
- modelli
- periodi
- persistenza
- raccolta
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- più
- punti
- positivo
- possibilità
- potenzialmente
- Pratico
- in pratica
- Prevedibile
- preferire
- Frodi
- premio
- principio
- prioritizzazione
- priorità
- privilegio
- privilegiato
- processi
- i processi
- Programma
- progetto
- protetta
- fornire
- fornitori
- fornisce
- query
- Presto
- aumentare
- solleva
- gamma
- ransomware
- di rose
- ragionevole
- recentemente
- raccomandare
- riprogettazione
- ridurre
- riducendo
- riduzione
- riferimento
- registro
- pertinente
- fiducia
- fare affidamento
- basandosi
- a distanza
- richieste
- necessario
- Risorse
- Rispondere
- risposta
- increspature
- Rischio
- derubare
- robusto
- rsa
- Correre
- running
- s
- stesso
- dice
- Scienziato
- Scott
- copione
- sicuro
- fissaggio
- problemi di
- separato
- Server
- servizio
- fornitori di servizi
- Servizi
- set
- dovrebbero
- Spettacoli
- firme
- firmato
- semplicemente
- SIX
- piccole
- smart
- So
- Software
- Soluzioni
- alcuni
- Qualcuno
- qualcosa
- a volte
- Fonte
- fonti
- la nostra speciale
- velocità
- spendere
- Sponsored
- Stabilità
- Di partenza
- Passi
- memorizzare
- forza
- forte
- avere successo
- il successo
- tale
- supporto
- sicuro
- superficie
- sospettoso
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- Target
- team
- le squadre
- Consulenza
- tecniche
- Tecnologie
- dire
- Tendono
- di
- che
- Il
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- questo
- quelli
- minaccia
- attori della minaccia
- minacce
- prospera
- per tutto
- tempo
- a
- pure
- strumenti
- top
- pista
- brani
- traffico
- prova
- ingannato
- innescare
- Affidati ad
- di fiducia
- Digitare
- non autorizzato
- scoprire
- capire
- e una comprensione reciproca
- Inaspettato
- unico
- uso
- utilizzato
- Utente
- utenti
- utilizzando
- solito
- utilità
- utilità
- Prezioso
- Ve
- venditore
- fornitori
- molto
- Vittima
- visibilità
- volere
- Prima
- Modo..
- we
- sito web
- WELL
- Che
- Che cosa è l'
- quando
- quale
- while
- OMS
- largo
- Selvaggio
- disposto
- finestra
- con
- entro
- scrittura
- Tu
- zefiro
- zero
- zero fiducia