攻撃者が悪意のある活動を隠すために正規のツールに依存することが増えているため、企業の防御者はこれらの攻撃を検出して防御するためにネットワーク アーキテクチャを再考する必要があります。
「living off the land」(LotL)として知られるこれらの戦術は、攻撃者が被害者の環境内でネイティブの正当なツールを使用して攻撃を実行する方法を指します。攻撃者が独自のマルウェアやツールを使用して環境に新しいツールを導入すると、ネットワーク上にノイズが発生します。そのため、これらのツールがセキュリティ アラームをトリガーし、無許可の誰かがネットワーク上にいて不審な活動を行っていることを防御者に警告する可能性があります。攻撃者が既存のツールを使用すると、防御者が悪意のある行為を正当な行為から区別することが困難になります。
攻撃者にネットワーク上でさらに多くのノイズを発生させるには、IT セキュリティ リーダーはネットワークを再考し、ネットワーク内での移動がそれほど簡単にならないようにする必要があります。
アイデンティティの確保、移動の制限
1 つのアプローチは、強力なアクセス制御を適用し、特権動作分析を監視して、セキュリティ チームがネットワーク トラフィックと独自のツールからのアクセス要求を分析できるようにすることです。 Delinea のチーフ セキュリティ サイエンティスト兼アドバイザリー CISO であるジョセフ カーソン氏は、「最小特権の原則など、強力な特権アクセス制御を備えたゼロトラストにより、攻撃者がネットワーク内を移動することが困難になります」と述べています。
「そのため、ネットワーク上により多くのノイズや波紋を生み出す技術を使用せざるを得なくなります」と彼は言います。 「IT 防御者は、悪意のあるソフトウェアやランサムウェアを導入する前に、攻撃のかなり早い段階で不正アクセスを検出できる可能性が高くなります。」
もう 1 つは、クラウド アクセス セキュリティ ブローカー (CASB) とセキュア アクセス サービス エッジ (SASE) テクノロジーを検討して、誰 (または何が) がどのリソースやシステムに接続しているかを把握することです。これにより、予期せぬネットワーク フローや疑わしいネットワーク フローが浮き彫りになる可能性があります。 CASB ソリューションは、クラウド サービスとアプリケーションを導入する組織にセキュリティと可視性を提供するように設計されています。これらはエンド ユーザーとクラウド サービス プロバイダーの間の仲介者として機能し、データ損失防止 (DLP)、アクセス制御、暗号化、脅威検出などのさまざまなセキュリティ制御を提供します。
SASE は、セキュア Web ゲートウェイ、サービスとしてのファイアウォール、ゼロトラスト ネットワーク アクセスなどのネットワーク セキュリティ機能と、SD-WAN (ソフトウェア定義ワイド エリア ネットワーク) などのワイド エリア ネットワーク (WAN) 機能を組み合わせたセキュリティ フレームワークです。 )。
「[LotL] 攻撃対象領域の管理に重点を置く必要があります」と Ontinue の CISO である Gareth Lindahl-Wise は述べています。 「組み込みまたは導入されたツールやプロセスが、あまりにも多くのエンドポイントから、あまりにも多くの ID によって使用される場合、攻撃者は成功します。」
これらのアクティビティは本質的に異常な行動であるため、何が監視されているかを理解し、相関プラットフォームに取り込むことが重要であるとリンダールワイズ氏は言います。チームは、エンドポイントと ID からのカバレッジを確保し、時間をかけてネットワーク接続情報でこれを強化する必要があります。ネットワーク トラフィック検査は、トラフィック自体が暗号化されている場合でも、他の技術を発見するのに役立ちます。
証拠に基づいたアプローチ
組織は、合法的なユーティリティの悪用を可視化するために使用するテレメトリ ソースに優先順位を付けるために、証拠に基づいたアプローチを採用できますし、またそうすべきです。
「大容量のログ ソースを保存するコストは非常に現実的な要素ですが、テレメトリへの支出は、悪用されたユーティリティなど、実際の環境で最も頻繁に観察され、組織に関連すると考えられる脅威を洞察できるソースに応じて最適化される必要があります。 」と Tidal Cyber の脅威インテリジェンス担当ディレクターの Scott Small 氏は言います。
何百もの主要なユーティリティの潜在的に悪意のあるアプリケーションを追跡する「LOLBAS」オープンソース プロジェクトなど、複数のコミュニティの取り組みにより、このプロセスは以前よりも実用的になったと同氏は指摘する。
一方、MITRE ATT&CK、Center for Threat-Informed Defense、およびセキュリティ ツール ベンダーからのリソースのカタログは増加しており、同じ敵対行為を個別の関連データおよびログ ソースに直接変換できるようになります。
「ほとんどの組織にとって、既知のログ ソースを常に完全に追跡することは現実的ではありません」と Small 氏は指摘します。 「LOBAS プロジェクトからのデータを分析したところ、これらの LotL ユーティリティは事実上あらゆる種類の悪意のある活動を実行するために使用できることがわかりました。」
その範囲は、防御回避から権限昇格、永続化、認証情報へのアクセス、さらには漏洩と影響にまで及びます。
「これは、これらのツールの悪意のある使用を可視化する可能性のある個別のデータ ソースが数十存在することも意味します。現実的には、包括的かつ長期間のログを記録するには多すぎます」とスモール氏は言います。
ただし、詳しく分析すると、クラスタリング (および固有のソース) が存在する場所がわかります。たとえば、LOLBAS 関連の手法の 48 分の 82 (XNUMX%) 以上に関連するのは、XNUMX のデータ ソースのうち XNUMX つだけです。
「これにより、陸地外での生活に必要な技術や、組織が最優先と考える公共事業に関連する特定の技術に沿って、テレメトリを直接導入または最適化する機会が提供されます」とスモール氏は言います。
IT セキュリティ リーダーのための実践的な手順
IT セキュリティ チームは、イベントを可視化できる限り、陸上以外で活動する攻撃者を検出するために多くの実用的かつ合理的な手順を実行できます。
「ネットワークを可視化できるのは素晴らしいことですが、ワークステーションとサーバーの両方のエンドポイントからのイベントも、うまく活用すれば同様に価値があります」と Proofpoint の脅威検出ディレクター、Randy Pargman 氏は述べています。
たとえば、最近多くの攻撃者が使用している LotL 手法の 1 つは、正規のリモート監視および管理 (RMM) ソフトウェアをインストールすることです。
攻撃者が RMM ツールを好む理由は、RMM ツールが信頼でき、デジタル署名されており、ウイルス対策やエンドポイント検出と応答 (EDR) のアラートを発生させないことに加え、使いやすく、ほとんどの RMM ベンダーがフル機能の無料トライアル オプションを備えているためです。
セキュリティ チームにとっての利点は、デジタル署名、変更されるレジストリ キー、検索されるドメイン名、検索されるプロセス名など、すべての RMM ツールの動作が非常に予測可能であることです。
「無料で利用できるすべての RMM ツールの検出シグネチャを作成し、承認されたツールがある場合は例外を作成するだけで、侵入者による RMM ツールの使用を検出することに大きな成功を収めました」と Pargman 氏は言います。
使用が許可されている RMM ベンダーが 1 つだけで、システム イメージング中や特別なスクリプトなど、常に同じ方法でインストールされている場合に役立ちます。そのため、承認されたインストールと RMM ベンダーの違いを簡単に区別できます。脅威アクターがユーザーをだましてインストールを実行させようとしている、と同氏は付け加えた。
「以下のリストから始めて、同様の検出の機会は他にもたくさんあります。 ロルバス」とパーグマンは言います。 「すべてのエンドポイント イベントに対して脅威ハンティング クエリを実行することで、セキュリティ チームは環境内の通常の使用パターンを見つけて、異常な使用パターンを検出するためのカスタム アラート クエリを構築できます。」
また、スクリプト ファイル (ファイル拡張子 .js、.jse、.vbs、.vbe、.wsh など) を開くために使用されるデフォルト プログラムを変更するなど、攻撃者が好む組み込みツールの悪用を制限する機会もあります。ダブルクリックしても WScript.exe で開かないこと。
「これにより、エンド ユーザーがだまされて悪意のあるスクリプトを実行することを回避できます」と Pargman 氏は言います。
認証情報への依存を軽減する
RSA の CIO である Rob Hughes 氏によると、組織は接続を確立するために資格情報への依存を減らす必要があります。同様に、組織は、セキュリティ チームに暗号化された可視性が影響している箇所を可視化するために、異常な試行や失敗した試行、異常値についてアラートを発する必要があります。システム通信における「正常」と「良好」がどのようなものかを理解し、外れ値を特定することは、LotL 攻撃を検出する方法です。
見落とされがちですが、ますます注目を集め始めているのがサービス アカウントです。サービス アカウントは規制されておらず、保護が弱い傾向があり、陸上攻撃で生計を立てる主な標的となっています。
「彼らは私たちのワークロードをバックグラウンドで実行します。私たちは彼らを信頼する傾向がありますが、おそらく過剰に信頼しているのです」とヒューズ氏は言います。 「これらのアカウントにも在庫、所有権、強力な認証メカニズムが必要です。」
サービス アカウントは対話型ではないため、組織がユーザーに対して依存する通常の多要素認証 (MFA) メカニズムが機能しないため、最後の部分を達成するのはより困難になる可能性があります。
「他の認証と同様、強度にも段階があります」とヒューズ氏は言います。 「強力なメカニズムを選択し、セキュリティ チームがサービス アカウントからの対話型ログインをログに記録し、応答するようにすることをお勧めします。そういったことはあってはならないのです。」
十分な時間投資が必要
セキュリティの文化の構築に費用がかかる必要はありませんが、その理念をサポートし擁護する意欲的なリーダーシップが必要です。
ヒューズ氏は、時間への投資が最大の投資になることもあると言う。しかし、組織全体にわたって強力な ID 制御を導入することは、それによって達成されるリスクの軽減に比べれば、必ずしも高価な取り組みである必要はありません。
「セキュリティは安定性と一貫性に基づいて強化されますが、ビジネス環境では常にそれを制御できるわけではありません」と彼は言います。 「MFA や強力な ID 管理と互換性がない、または連携していないシステムの技術的負債を削減するために、賢明な投資を行ってください。」
重要なのは検出と応答の速度です、とパーグマン氏は言います。
「私が調査した非常に多くのケースにおいて、防御側にとって最大のプラスの変化をもたらしたのは、脅威アクターが拡大する機会を得る前に、何か不審なものに気づき、調査し、侵入を発見した、警戒心の強い SecOps アナリストからの迅速な対応でした。彼らの影響力だ」と彼は言う。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :は
- :not
- :どこ
- $UP
- 7
- a
- 異常な
- 私たちについて
- 虐待
- アクセス
- 従った
- アカウント
- 達成する
- 越えて
- 行為
- 行動
- 活動
- アクティビティ
- 俳優
- 追加
- 十分な
- 採用
- 利点
- 敵対者
- アドバイザリー
- に対して
- 警告
- アラート
- すべて
- 許す
- また
- 常に
- an
- 分析
- アナリスト
- 分析論
- 分析します
- および
- 異常
- アンチウイルス
- どれか
- 申し込む
- アプローチ
- 承認された
- 建築
- です
- AREA
- 周りに
- AS
- 関連する
- At
- 攻撃
- 攻撃
- 試み
- 注意
- 認証
- 許可
- 利用できます
- 避ける
- 背景
- BE
- なぜなら
- 行動
- 行動的
- 行動
- さ
- より良いです
- の間に
- 最大の
- 両言語で
- ブローカー
- ビルド
- 内蔵
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 機能
- キャリー
- 携帯
- 例
- カタログ
- 原因となる
- センター
- チャンピオン
- チャンス
- 変化
- チーフ
- 最高情報責任者
- CISO
- クローザー
- クラウド
- クラウドサービス
- クラスタリング
- 結合
- 到来
- 通信部
- コミュニティ
- 比較
- 互換性のあります
- 接続する
- Connections
- 接続性
- 検討
- コントロール
- controls
- 協同組合
- 相関
- 費用
- 可能性
- カバレッジ
- 作ります
- クレデンシャル
- Credentials
- 重大な
- 文化
- カスタム
- サイバー
- データ
- データ損失
- 借金
- 考える
- デフォルト
- ディフェンダー
- 防衛
- 展開
- 展開する
- 設計
- 検出
- 検出
- 違い
- デジタル
- デジタル処理で
- 直接に
- 取締役
- do
- ありません
- doesnの
- すること
- ドメイン
- ドメイン名
- 数十
- 間に
- 前
- 簡単に
- エッジ(Edge)
- 努力
- では使用できません
- 暗号化
- end
- 将来
- エンドポイント
- 豊かにする
- 確保
- Enterprise
- 環境
- 環境
- エスカレーション
- 確立する
- 等
- 回避
- さらに
- イベント
- あらゆる
- 例
- 例外
- 流出
- 存在する
- 既存の
- 詳細
- 高価な
- エクステンション
- 要因
- Failed:
- 賛成
- 特集
- 摂食
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 流れ
- フォーカス
- 強
- 軍隊
- 発見
- フレームワーク
- 無料版
- 無料試用
- 自由に
- から
- 完全に
- 機能
- 利得
- ゲートウェイ
- 取得する
- GitHubの
- 与える
- 与える
- 良い
- 素晴らしい
- 成長
- 持っていました
- 出来事
- もっと強く
- 持ってる
- he
- 助けます
- ことができます
- 隠す
- 最高
- 特徴
- 認定条件
- HTTPS
- 何百
- i
- 識別
- アイデンティティ
- アイデンティティ
- if
- イメージング
- 影響
- in
- 含めて
- デジタル含む
- ますます
- 影響
- 情報
- install
- インストール
- インストール
- インテリジェンス
- 相互作用的
- 仲介
- に
- 紹介する
- インベントリー
- 投資
- インベストメント
- IT
- それセキュリティ
- 自体
- JPG
- ただ
- キー
- キー
- 既知の
- 土地
- 最大の
- 姓
- リーダー
- リーダーシップ
- 最低
- 正当な
- ような
- 可能性が高い
- LIMIT
- 制限する
- LINE
- リスト
- 生活
- ログ
- 長い
- 見て
- のように見える
- 見
- 損失
- たくさん
- 製
- make
- 作る
- 作成
- 悪意のある
- マルウェア
- 管理
- 管理する
- 多くの
- 手段
- メカニズム
- メカニズム
- MFA
- 修正されました
- モニター
- 監視対象
- モニタリング
- 他には?
- 最も
- 動作
- 移動する
- ずっと
- 多要素認証
- しなければなりません
- 名
- ネイティブ
- 自然
- 必要
- ネットワーク
- ネットワークセキュリティー
- ネットワークトラフィック
- 新作
- ノイズ
- 通常の
- ノート
- of
- オフ
- 提供すること
- 頻繁に
- on
- オンボード
- ONE
- もの
- の
- 開いた
- オープンソース
- 機会
- 最適化
- 最適化
- オプション
- or
- 注文
- 組織
- 組織
- その他
- 私たちの
- でる
- が
- 自分の
- 所有権
- 部
- 特定の
- パターン
- 期間
- 持続性
- ピッキング
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- さらに
- ポイント
- 正の
- 可能性
- :
- 実用的
- 事実上
- 予測可能な
- 好む
- 防止
- 素数
- 原則
- 優先順位付け
- 優先順位
- 特権
- 特権を持つ
- プロセス
- ラボレーション
- 演奏曲目
- プロジェクト
- 保護された
- 提供します
- プロバイダ
- は、大阪で
- クエリ
- クイック
- 上げる
- 提起
- 範囲
- ランサムウェア
- リアル
- 合理的な
- 最近
- 推奨する
- 再設計
- 減らします
- 縮小
- 削減
- 参照する
- レジストリ
- 関連した
- 依存
- 頼る
- 信頼
- リモート
- リクエスト
- の提出が必要です
- リソース
- 反応します
- 応答
- 波紋
- リスク
- ロブ
- 堅牢な
- RSA
- ラン
- ランニング
- s
- 同じ
- 言う
- 科学者
- スコット
- スクリプト
- 安全に
- 確保する
- セキュリティ
- 別
- サーバー
- サービス
- サービスプロバイダ
- サービス
- セッションに
- すべき
- 作品
- 署名
- 署名されました
- 単に
- SIX
- 小さい
- スマート
- So
- ソフトウェア
- ソリューション
- 一部
- 誰か
- 何か
- 時々
- ソース
- ソース
- 特別
- スピード
- 過ごす
- スポンサー
- 安定性
- 起動
- ステップ
- 保存
- 力
- 強い
- 成功する
- 成功
- そのような
- サポート
- 確か
- 表面
- 疑わしい
- システム
- 戦術
- 取る
- ターゲット
- チーム
- チーム
- 技術的
- テクニック
- テクノロジー
- 言う
- 傾向があります
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- もの
- この
- それらの
- 脅威
- 脅威アクター
- 脅威
- 繁栄する
- 全体
- 時間
- 〜へ
- あまりに
- ツール
- 豊富なツール群
- top
- 追跡する
- トラック
- トラフィック
- トライアル
- だまさ
- トリガー
- 信頼
- 信頼されている
- type
- 無許可
- 明らかにする
- わかる
- 理解する
- 予期しない
- ユニーク
- つかいます
- 中古
- ユーザー
- users
- いつもの
- 公益事業
- ユーティリティ
- 貴重な
- Ve
- ベンダー
- ベンダー
- 非常に
- 被害者
- 視認性
- 欲しいです
- ました
- 仕方..
- we
- ウェブ
- WELL
- この試験は
- 何ですか
- いつ
- which
- while
- 誰
- ワイド
- ワイルド
- 喜んで
- ウィンドウを使用して入力ファイルを追加します。
- 以内
- 書き込み
- You
- ゼファーネット
- ゼロ
- ゼロトラスト