כאשר יריבים מסתמכים יותר ויותר על כלים לגיטימיים כדי להסתיר את הפעילות הזדונית שלהם, מגיני ארגונים צריכים לחשוב מחדש על ארכיטקטורת הרשת כדי לזהות ולהגן מפני התקפות אלה.
טקטיקות אלה, המכונה "לחיות מהאדמה" (LotL), מתייחסות לאופן שבו יריבים משתמשים בכלים מקומיים ולגיטימיים בתוך הסביבה של הקורבן כדי לבצע את התקפותיהם. כאשר תוקפים מציגים כלים חדשים בסביבה באמצעות תוכנות זדוניות או כלים משלהם, הם יוצרים רעש מסוים ברשת. זה מעלה את האפשרות שכלים אלה עלולים להפעיל אזעקות אבטחה ולהתריע בפני מגינים שמישהו לא מורשה נמצא ברשת ומבצע פעילות חשודה. תוקפים המשתמשים בכלים קיימים מקשים על המגינים להפריד בין פעולות זדוניות לפעילות לגיטימית.
כדי לאלץ תוקפים ליצור יותר רעש ברשת, מובילי אבטחת IT חייבים לחשוב מחדש על הרשת כך שהמעבר ברשת לא יהיה כל כך קל.
אבטחת זהויות, הגבלת תנועות
גישה אחת היא ליישם בקרות גישה חזקות ולנטר ניתוח התנהגות מועדף כך שצוות האבטחה יוכל לנתח תעבורת רשת ובקשות גישה המגיעות מהכלים שלו. אפס אמון עם בקרות גישה מיוחסות חזקות - כמו עקרון המינימום הזכויות - מקשה על התוקפים לנוע ברשת, אומר ג'וזף קרסון, מדען אבטחה ראשי ו-CISO מייעץ ב-Delinea.
"זה מאלץ אותם להשתמש בטכניקות שיוצרות יותר רעש ואדוות ברשת", הוא אומר. "זה נותן למגיני IT סיכוי טוב יותר לזהות גישה לא מורשית הרבה יותר מוקדם בהתקפה - לפני שיש להם סיכוי לפרוס תוכנות זדוניות או תוכנות כופר."
אחר הוא לשקול טכנולוגיות ברוקר גישה לענן (CASB) וטכנולוגיות קצה שירות גישה מאובטחת (SASE) כדי להבין מי (או מה) מתחבר לאילו משאבים ומערכות, שיכולים להדגיש זרימות רשת בלתי צפויות או חשודות. פתרונות CASB נועדו לספק אבטחה ונראות לארגונים המאמצים שירותי ענן ואפליקציות. הם פועלים כמתווכים בין משתמשי קצה וספקי שירותי ענן, ומציעים מגוון בקרות אבטחה, כולל מניעת אובדן נתונים (DLP), בקרת גישה, הצפנה וזיהוי איומים.
SASE היא מסגרת אבטחה המשלבת פונקציות אבטחת רשת, כגון שער אינטרנט מאובטח, חומת אש כשירות וגישה לרשת אפס אמון, עם יכולות רשת רחבה (WAN) כמו SD-WAN (רשת מרחב רחבה המוגדרת בתוכנה). ).
"צריך להיות דגש חזק על ניהול משטח ההתקפה [LotL]", אומר Gareth Lindahl-Wise, CISO ב-Ontinue. "תוקפים מצליחים במקום שבו ניתן להשתמש בכלים ותהליכים מובנים או פרוסים מנקודות קצה רבות מדי על ידי יותר מדי זהויות."
פעילויות אלה, מטבען, הן חריגות התנהגותיות, כך שהבנת מה מנוטר והזנה לפלטפורמות מתאם היא קריטית, אומרת לינדהל-וייז. על הצוותים להבטיח כיסוי מנקודות קצה וזהויות ולאחר מכן להעשיר זאת לאורך זמן במידע על קישוריות רשת. בדיקת תעבורת רשת יכולה לסייע בגילוי טכניקות אחרות, גם אם התעבורה עצמה מוצפנת.
גישה מבוססת ראיות
ארגונים יכולים וצריכים לנקוט בגישה מבוססת ראיות לתעדוף באילו מקורות טלמטריה הם משתמשים כדי להשיג חשיפה לניצול לרעה של שירותים לגיטימיים.
"העלות של אחסון מקורות יומן בנפח גבוה יותר היא גורם אמיתי מאוד, אבל יש לייעל את ההוצאה על טלמטריה בהתאם למקורות שנותנים צוהר לאיומים, כולל כלי עזר מנוצלים לרעה, הנצפים לרוב בטבע ונחשבים רלוונטיים לארגון ", אומר סקוט סמול, מנהל מודיעין איומים ב-Tidal Cyber.
מאמצים קהילתיים מרובים הופכים את התהליך הזה למעשי יותר מבעבר, כולל פרויקט הקוד הפתוח "LOLBAS", שעוקב אחר היישומים העלולים להיות זדוניים של מאות כלי עזר מרכזיים, הוא מציין.
בינתיים, קטלוג הולך וגדל של משאבים מאת MITER ATT&CK, המרכז להגנה מבוססת איומים וספקי כלי אבטחה מאפשרים לתרגם מאותן התנהגויות יריבות ישירות למקורות נתונים ויומנים דיסקרטיים רלוונטיים.
"זה לא מעשי עבור רוב הארגונים לעקוב באופן מלא אחר כל מקור יומן ידוע כל הזמן", מציין Small. "ניתוח הנתונים שלנו מפרויקט LOBAS מראה שניתן להשתמש בכלי השירות הללו של LotL לביצוע כמעט כל סוג של פעילות זדונית."
אלה נעים בין התחמקות מהגנה להסלמה של זכויות יתר, התמדה, גישה לאישורים, ואפילו הסתננות והשפעה.
"זה גם אומר שיש עשרות מקורות נתונים דיסקרטיים שיכולים לתת נראות לשימוש הזדוני בכלים האלה - יותר מדי מכדי לרשום באופן מציאותי באופן מקיף ולמשך פרקי זמן ארוכים", אומר סמול.
עם זאת, ניתוח מדוקדק יותר מראה היכן קיימים אשכולות (ומקורות ייחודיים) - לדוגמה, רק שישה מתוך 48 מקורות נתונים רלוונטיים ליותר משלושה רבעים (82%) מהטכניקות הקשורות ל-LOLBAS.
"זה מספק הזדמנויות להטמיע או לייעל את הטלמטריה ישירות בהתאם לטכניקות מובילות של חיים מחוץ לאדמה, או כאלה ספציפיות הקשורות לשירותים הנחשבים לעדיפות הגבוהה ביותר על ידי הארגון", אומר סמול.
שלבים מעשיים למובילי אבטחת IT
צוותי אבטחת IT יכולים לנקוט בצעדים מעשיים והגיוניים רבים כדי לזהות תוקפים החיים מחוץ לאדמה, כל עוד יש להם נראות לאירועים.
"למרות שזה נהדר שיש נראות רשת, אירועים מנקודות קצה - הן מתחנות עבודה והן שרתים - הם בעלי ערך לא פחות אם משתמשים בהם היטב", אומר רנדי פרגמן, מנהל זיהוי איומים ב-Proofpoint.
לדוגמה, אחת מטכניקות ה-LotL שבהן השתמשו גורמי איומים רבים לאחרונה היא התקנת תוכנת ניטור וניהול מרחוק (RMM) לגיטימיות.
התוקפים מעדיפים כלי RMM מכיוון שהם מהימנים, חתומים דיגיטלית, ואינם מפעילים התראות אנטי-וירוס או זיהוי ותגובה של נקודות קצה (EDR), בנוסף הם קלים לשימוש ולרוב ספקי ה-RMM יש אפשרות ניסיון חינמית מלאה.
היתרון של צוותי אבטחה הוא שלכל כלי ה-RMM יש התנהגות מאוד צפויה, כולל חתימות דיגיטליות, מפתחות רישום שמשתנים, שמות תחום שנחפשים ושמות תהליכים שיש לחפש.
"הייתה לי הצלחה גדולה בזיהוי שימוש של פולשים בכלי RMM פשוט על ידי כתיבת חתימות זיהוי עבור כל כלי ה-RMM הזמינים באופן חופשי, וביצוע חריג עבור הכלי המאושר, אם בכלל", אומר פרגמן.
זה עוזר אם רק ספק RMM אחד מורשה לשימוש, ואם הוא מותקן תמיד באותו אופן - כמו במהלך הדמיית מערכת או עם סקריפט מיוחד - כך שקל להבחין בהבדל בין התקנה מורשית ל- שחקן איומים שמרמה משתמש להפעיל את ההתקנה, הוא מוסיף.
"ישנן הזדמנויות רבות אחרות לזיהוי בדיוק כמו זה, החל מהרשימה ב LOLBAS", אומר פרגמן. "בהפעלת שאילתות ציד איומים בכל אירועי נקודת הקצה, צוותי אבטחה יכולים למצוא את דפוסי השימוש הרגיל בסביבותיהם, ולאחר מכן לבנות שאילתות התראה מותאמות אישית כדי לזהות דפוסי שימוש חריגים."
ישנן גם הזדמנויות להגביל את השימוש לרעה בכלים מובנים שתוקפים מעדיפים, כגון שינוי תוכנית ברירת המחדל המשמשת לפתיחת קבצי סקריפטים (סיומות קבצים .js, .jse, .vbs, .vbe, .wsh וכו') כך שהם לא נפתחים ב-WScript.exe בלחיצה כפולה.
"זה עוזר למנוע שמשתמשי קצה מרומים להפעיל סקריפט זדוני", אומר פרגמן.
צמצום ההסתמכות על אישורים
ארגונים צריכים להפחית את הסתמכותם על אישורים כדי ליצור קשרים, על פי רוב יוז, CIO של RSA. כמו כן, ארגונים צריכים להעלות התראות על ניסיונות וחריגים חריגים וכושלים על מנת לתת לצוותי אבטחה נראות היכן פועלת נראות מוצפנת. הבנת איך נראים "רגיל" ו"טוב" בתקשורת מערכות וזיהוי חריגים היא דרך לזהות התקפות LotL.
אזור שמתעלמים ממנו לעתים קרובות שמתחיל לקבל הרבה יותר תשומת לב הוא חשבונות שירות, אשר נוטים להיות לא מוסדרים, מוגנים בצורה חלשה, ויעד מרכזי לחיות מהתקפות הקרקע.
"הם מריצים את עומסי העבודה שלנו ברקע. אנחנו נוטים לסמוך עליהם - כנראה יותר מדי", אומר יוז. "אתה רוצה מלאי, בעלות ומנגנוני אימות חזקים גם בחשבונות האלה."
החלק האחרון יכול להיות קשה יותר להשגה מכיוון שחשבונות שירות אינם אינטראקטיביים, כך שמנגנוני האימות הרב-גורמי (MFA) הרגילים שארגונים מסתמכים עליהם עם משתמשים אינם פועלים.
"כמו כל אימות, יש דרגות של כוח", אומר יוז. "אני ממליץ לבחור מנגנון חזק ולוודא שצוותי האבטחה נרשמים ומגיבים לכל כניסות אינטראקטיביות מחשבון שירות. אלו לא אמורים לקרות".
נדרשת השקעה מספקת בזמן
בניית תרבות של אבטחה לא חייבת להיות יקרה, אבל אתה צריך מנהיגות מוכנה כדי לתמוך ולקדם את המטרה.
ההשקעה בזמן היא לפעמים ההשקעה הגדולה ביותר שיש לבצע, אומר יוז. אבל הוצאת בקרות זהות חזקות ברחבי הארגון וברחבי הארגון לא חייבת להיות מאמץ יקר בהשוואה להפחתת הסיכון שהדבר משיג.
"אבטחה משגשגת על יציבות ועקביות, אבל אנחנו לא תמיד יכולים לשלוט בזה בסביבה עסקית", הוא אומר. "בצע השקעות חכמות בהפחתת חוב טכני במערכות שאינן תואמות או משתפות פעולה עם MFA או בקרת זהות חזקה."
הכל עניין של מהירות זיהוי ותגובה, אומר פרגמן.
"בכל כך הרבה מקרים שחקרתי, הדבר שעשה את ההבדל החיובי הגדול ביותר עבור המגינים היה תגובה מהירה של אנליסט ערני של SecOps שהבחין במשהו חשוד, חקר ומצא את החדירה לפני שלשחקן האיום הייתה הזדמנות להתרחב השפעתם", הוא אומר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 7
- a
- לֹא נוֹרמָלִי
- אודות
- התעללות
- גישה
- פי
- חֶשְׁבּוֹן
- חשבונות
- להשיג
- לרוחב
- לפעול
- פעולות
- פעילויות
- פעילות
- שחקנים
- מוסיף
- נאות
- לְאַמֵץ
- יתרון
- -
- ייעוץ
- נגד
- ערני
- התראות
- תעשיות
- להתיר
- גם
- תמיד
- an
- אנליזה
- מנתח
- ניתוח
- לנתח
- ו
- חריגויות
- אנטי וירוס
- כל
- יישומים
- החל
- גישה
- מאושר
- ארכיטקטורה
- ARE
- AREA
- סביב
- AS
- המשויך
- At
- לתקוף
- המתקפות
- ניסיונות
- תשומת לב
- אימות
- מורשה
- זמין
- לְהִמָנַע
- רקע
- BE
- כי
- לפני
- התנהגות
- התנהגותי
- התנהגויות
- להיות
- מוטב
- בֵּין
- הגדול ביותר
- שניהם
- ברוקר
- לִבנוֹת
- מובנה
- עסקים
- אבל
- by
- CAN
- יכולות
- לשאת
- נושאת
- מקרים
- קטלוג
- לגרום
- מרכז
- אלוף
- סיכוי
- משתנה
- רֹאשׁ
- CIO
- CISO
- קרוב יותר
- ענן
- שירותי ענן
- קיבוץ
- שילוב
- מגיע
- תקשורת
- קהילה
- השוואה
- תואם
- מקשר
- חיבורי
- קישוריות
- לשקול
- לִשְׁלוֹט
- בקרות
- קואופרטיב
- מתאם
- עלות
- יכול
- כיסוי
- לִיצוֹר
- תְעוּדָה
- אישורים
- קריטי
- תַרְבּוּת
- מנהג
- סייבר
- נתונים
- אובדן נתונים
- חוב
- נחשב
- בְּרִירַת מֶחדָל
- המגינים
- גופי בטחון
- פרס
- פריסה
- מעוצב
- לאתר
- איתור
- הבדל
- דיגיטלי
- באופן דיגיטלי
- ישירות
- מְנַהֵל
- do
- עושה
- לא איכפת
- עושה
- תחום
- שמות דומיינים
- עשרות
- בְּמַהֲלָך
- מוקדם יותר
- קל
- אדג '
- מַאֲמָצִים
- מוצפן
- הצף
- סוף
- מאמץ
- נקודת קצה
- להעשיר
- לְהַבטִיחַ
- מִפְעָל
- סביבה
- סביבות
- הסלמה
- להקים
- וכו '
- התחמקות
- אֲפִילוּ
- אירועים
- כל
- דוגמה
- יוצא מן הכלל
- פילטרציה
- להתקיים
- קיימים
- לְהַרְחִיב
- יקר
- סיומות
- גורם
- נכשל
- טובה
- מומלצים
- האכלה
- שלח
- קבצים
- זורם
- להתמקד
- בעד
- להכריח
- כוחות
- מצא
- מסגרת
- חופשי
- ניסיון ללא תשלום
- בחופשיות
- החל מ-
- לגמרי
- פונקציות
- לְהַשִׂיג
- שערים
- לקבל
- GitHub
- לתת
- נותן
- טוב
- גדול
- גדל
- היה
- מתרחש
- קשה
- יש
- he
- לעזור
- עוזר
- הסתר
- הגבוה ביותר
- להבליט
- איך
- HTTPS
- מאות
- i
- זיהוי
- זהויות
- זהות
- if
- הדמיה
- פְּגִיעָה
- in
- כולל
- כולל דיגיטלי
- יותר ויותר
- להשפיע
- מידע
- להתקין
- התקנה
- מותקן
- מוֹדִיעִין
- אינטראקטיבי
- מתווך
- אל תוך
- מבוא
- מלאי
- השקעה
- השקעות
- IT
- זה ביטחון
- עצמו
- jpg
- רק
- מפתח
- מפתחות
- ידוע
- מדינה
- הגדול ביותר
- אחרון
- מנהיגים
- מנהיגות
- הכי פחות
- לגיטימי
- כמו
- סביר
- להגביל
- מגביל
- קו
- רשימה
- חי
- היכנס
- ארוך
- נראה
- נראה כמו
- נראה
- את
- מגרש
- עשוי
- לעשות
- עושה
- עשייה
- זדוני
- תוכנות זדוניות
- ניהול
- ניהול
- רב
- אומר
- מנגנון
- מנגנוני
- משרד חוץ
- שונים
- צג
- פיקוח
- ניטור
- יותר
- רוב
- המהלך
- תנועות
- נע
- הרבה
- אימות רב-פקטורי
- צריך
- שמות
- יליד
- טבע
- צורך
- רשת
- אבטחת רשת
- תנועת רשת
- חדש
- רעש
- נוֹרמָלִי
- הערות
- of
- כבוי
- הצעה
- לעתים קרובות
- on
- על הסיפון
- ONE
- יחידות
- רק
- לפתוח
- קוד פתוח
- הזדמנויות
- מטב
- אופטימיזציה
- אפשרות
- or
- להזמין
- ארגון
- ארגונים
- אחר
- שלנו
- הַחוּצָה
- יותר
- שֶׁלוֹ
- בעלות
- חלק
- מסוים
- דפוסי
- תקופות
- התמדה
- לקטוף
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- ועוד
- נקודות
- חיובי
- אפשרות
- פוטנציאל
- מעשי
- לְמַעֲשֶׂה
- צפוי
- לְהַעֲדִיף
- מניעה
- ראשוני
- עקרון
- סדר עדיפויות
- עדיפות
- זְכוּת
- חסוי
- תהליך
- תהליכים
- תָכְנִית
- פּרוֹיֶקט
- מוּגָן
- לספק
- ספקים
- מספק
- שאילתות
- מָהִיר
- להעלות
- מעלה
- רכס
- ransomware
- ממשי
- סביר
- לאחרונה
- להמליץ
- עיצוב מחדש
- להפחית
- הפחתה
- הפחתה
- להתייחס
- רישום
- רלוונטי
- הסתמכות
- לסמוך
- הסתמכות
- מרחוק
- בקשות
- נדרש
- משאבים
- להגיב
- תגובה
- אדוות
- הסיכון
- לשדוד
- חָסוֹן
- RSA
- הפעלה
- ריצה
- s
- אותו
- אומר
- מַדְעָן
- סקוט
- תסריט
- לבטח
- אַבטָחָה
- אבטחה
- נפרד
- שרתים
- שרות
- ספקי שירות
- שירותים
- סט
- צריך
- הופעות
- חתימות
- חָתוּם
- בפשטות
- שישה
- קטן
- חכם
- So
- תוכנה
- פתרונות
- כמה
- מישהו
- משהו
- לפעמים
- מָקוֹר
- מקורות
- מיוחד
- מְהִירוּת
- לבלות
- ממומן
- יציבות
- החל
- צעדים
- אחסון
- כוח
- חזק
- להצליח
- הצלחה
- כזה
- תמיכה
- בטוח
- משטח
- חשוד
- מערכת
- מערכות
- טקטיקה
- לקחת
- יעד
- נבחרת
- צוותי
- טכני
- טכניקות
- טכנולוגיות
- לספר
- נוטה
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- הֵם
- דבר
- זֶה
- אלה
- איום
- איום שחקנים
- איומים
- משגשג
- בכל
- זמן
- ל
- גַם
- כלי
- כלים
- חלק עליון
- לעקוב
- מסלולים
- תְנוּעָה
- מִשׁפָּט
- מְרוּמֶה
- להפעיל
- סומך
- מהימן
- סוג
- לא מורשה
- לגלות
- להבין
- הבנה
- לא צפוי
- ייחודי
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- כרגיל
- כלי עזר
- תועלת
- בעל ערך
- Ve
- מוכר
- ספקים
- מאוד
- קרבן
- ראות
- רוצה
- היה
- דֶרֶך..
- we
- אינטרנט
- טוֹב
- מה
- מה
- מתי
- אשר
- בזמן
- מי
- רָחָב
- בר
- מוכן
- חלון
- עם
- בתוך
- כתיבה
- אתה
- זפירנט
- אפס
- אפס אמון