악의적인 활동을 숨기기 위해 적법한 도구에 점점 더 의존하는 공격자들로 인해 기업 방어자는 이러한 공격을 탐지하고 방어하기 위해 네트워크 아키텍처를 다시 생각해야 합니다.
LotL('living off the land')로 알려진 이러한 전술은 공격자가 피해자 환경 내에서 기본적이고 합법적인 도구를 사용하여 공격을 수행하는 방법을 나타냅니다. 공격자가 자체 악성 코드나 도구를 사용하여 환경에 새로운 도구를 도입하면 네트워크에 약간의 소음이 발생합니다. 이는 이러한 도구가 보안 경보를 실행하고 승인되지 않은 누군가가 네트워크에 있고 의심스러운 활동을 수행하고 있음을 방어자에게 경고할 가능성을 높입니다. 기존 도구를 사용하는 공격자는 방어자가 악의적인 활동과 합법적인 활동을 구분하기 어렵게 만듭니다.
공격자가 네트워크에 더 많은 소음을 발생시키도록 하려면 IT 보안 리더는 네트워크를 돌아다니는 것이 그렇게 쉽지 않도록 네트워크를 다시 생각해야 합니다.
신원 확보, 이동 제한
한 가지 접근 방식은 강력한 액세스 제어를 적용하고 권한 있는 행동 분석을 모니터링하여 보안 팀이 자체 도구에서 들어오는 네트워크 트래픽과 액세스 요청을 분석할 수 있도록 하는 것입니다. Delinea의 수석 보안 과학자이자 자문 CISO인 Joseph Carson은 최소 권한 원칙과 같은 강력한 권한 있는 액세스 제어를 사용하는 제로 트러스트를 사용하면 공격자가 네트워크를 이동하기가 더 어려워진다고 말합니다.
“이로 인해 네트워크에 더 많은 소음과 파문을 일으키는 기술을 사용하게 됩니다.”라고 그는 말합니다. “이를 통해 IT 방어자는 공격 초기, 즉 악성 소프트웨어나 랜섬웨어를 배포하기 전에 무단 액세스를 탐지할 수 있는 더 나은 기회를 얻을 수 있습니다.”
또 다른 방법은 CASB(클라우드 액세스 보안 브로커) 및 SASE(보안 액세스 서비스 에지) 기술을 고려하여 누가(또는 무엇을) 어떤 리소스 및 시스템에 연결하고 있는지 이해하여 예상치 못한 또는 의심스러운 네트워크 흐름을 강조하는 것입니다. CASB 솔루션은 클라우드 서비스 및 애플리케이션을 채택하는 조직에 보안과 가시성을 제공하도록 설계되었습니다. 이는 최종 사용자와 클라우드 서비스 제공업체 사이의 중개자 역할을 하며 데이터 손실 방지(DLP), 액세스 제어, 암호화, 위협 감지 등 다양한 보안 제어 기능을 제공합니다.
SASE는 보안 웹 게이트웨이, 서비스형 방화벽, 제로 트러스트 네트워크 액세스 등의 네트워크 보안 기능과 SD-WAN(소프트웨어 정의 광역 네트워크) 같은 광역 네트워크(WAN) 기능을 결합한 보안 프레임워크입니다. ).
Ontinue의 CISO인 Gareth Lindahl-Wise는 "[LotL] 공격 표면을 관리하는 데 중점을 두어야 합니다."라고 말합니다. “너무 많은 ID로 너무 많은 엔드포인트에서 기본 제공되거나 배포된 도구와 프로세스를 사용할 수 있는 경우 공격자가 성공합니다.”
이러한 활동은 본질적으로 비정상적인 행동이므로 모니터링 대상이 무엇인지 이해하고 상관관계 플랫폼에 반영하는 것이 중요하다고 Lindahl-Wise는 말합니다. 팀은 엔드포인트와 ID의 적용 범위를 보장한 다음 시간이 지남에 따라 네트워크 연결 정보로 이를 강화해야 합니다. 네트워크 트래픽 검사는 트래픽 자체가 암호화되어 있더라도 다른 기술을 찾아내는 데 도움이 됩니다.
증거 기반 접근 방식
조직은 합법적인 유틸리티 남용에 대한 가시성을 확보하기 위해 사용하는 원격 측정 소스의 우선순위를 정하는 증거 기반 접근 방식을 취할 수 있고 취해야 합니다.
“대용량 로그 소스를 저장하는 데 드는 비용은 매우 실제적인 요소이지만 원격 측정에 대한 지출은 남용된 유틸리티를 포함하여 야생에서 가장 자주 관찰되고 조직과 관련이 있다고 간주되는 위협에 대한 창을 제공하는 소스에 따라 최적화되어야 합니다. "라고 Tidal Cyber의 위협 인텔리전스 이사인 Scott Small은 말합니다.
수백 가지 주요 유틸리티의 잠재적인 악성 애플리케이션을 추적하는 "LOLBAS" 오픈 소스 프로젝트를 포함하여 다양한 커뮤니티의 노력으로 이 프로세스가 이전보다 더 실용적이게 되었다고 그는 지적합니다.
한편, MITRE ATT&CK, Center for Threat-Informed Defense 및 보안 도구 공급업체의 리소스 카탈로그가 증가함에 따라 동일한 적대적 행동을 개별적인 관련 데이터 및 로그 소스로 직접 변환할 수 있습니다.
Small은 “대부분의 조직에서 알려진 모든 로그 소스를 항상 완벽하게 추적하는 것은 실용적이지 않습니다.”라고 말합니다. "LOBAS 프로젝트의 데이터를 분석한 결과 이러한 LotL 유틸리티가 거의 모든 유형의 악의적 활동을 수행하는 데 사용될 수 있음이 나타났습니다."
이는 방어 회피부터 권한 상승, 지속성, 자격 증명 액세스, 심지어 유출 및 영향까지 다양합니다.
Small은 "이것은 또한 이러한 도구의 악의적인 사용에 대한 가시성을 제공할 수 있는 수십 개의 개별 데이터 소스가 있다는 것을 의미합니다. 현실적으로 포괄적으로 장기간 기록하기에는 너무 많은 것입니다."라고 Small은 말합니다.
그러나 면밀한 분석을 통해 클러스터링(및 고유 소스)이 존재하는 위치를 알 수 있습니다. 예를 들어 48개 데이터 소스 중 단 82개만이 LOLBAS 관련 기술의 XNUMX분의 XNUMX 이상(XNUMX%)과 관련이 있습니다.
Small은 "이는 최고의 토지 생활 기술 또는 조직에서 최우선 순위로 간주하는 유틸리티와 관련된 특정 기술에 따라 직접 원격 측정을 탑재하거나 최적화할 수 있는 기회를 제공합니다."라고 말합니다.
IT 보안 리더를 위한 실제 단계
IT 보안 팀은 이벤트에 대한 가시성을 갖고 있는 한 외부에 거주하는 공격자를 탐지하기 위해 실용적이고 합리적인 여러 조치를 취할 수 있습니다.
Proofpoint의 위협 탐지 담당 이사인 Randy Pargman은 "네트워크 가시성을 확보하는 것도 좋지만 워크스테이션과 서버 모두에서 엔드포인트에서 발생하는 이벤트는 잘 사용하면 그만큼 가치가 있습니다."라고 말합니다.
예를 들어, 최근 많은 위협 행위자가 사용하는 LotL 기술 중 하나는 합법적인 원격 모니터링 및 관리(RMM) 소프트웨어를 설치하는 것입니다.
공격자는 RMM 도구를 선호합니다. RMM 도구는 신뢰할 수 있고 디지털 서명이 되어 있으며 바이러스 백신이나 EDR(엔드포인트 탐지 및 응답) 경고를 발생시키지 않으며 사용하기 쉽고 대부분의 RMM 공급업체는 모든 기능을 갖춘 무료 평가판 옵션을 제공합니다.
보안 팀의 장점은 디지털 서명, 수정된 레지스트리 키, 조회되는 도메인 이름, 찾을 프로세스 이름을 포함하여 모든 RMM 도구의 동작이 매우 예측 가능하다는 것입니다.
Pargman은 “무료로 사용할 수 있는 모든 RMM 도구에 대한 탐지 서명을 작성하고 승인된 도구에 대해 예외를 적용함으로써 침입자의 RMM 도구 사용을 탐지하는 데 큰 성공을 거두었습니다.”라고 말합니다.
하나의 RMM 공급업체만 사용하도록 승인된 경우, 그리고 시스템 이미징 중이나 특수 스크립트를 사용하여 항상 동일한 방식으로 설치되는 경우 승인된 설치와 그는 위협 행위자가 사용자를 속여 설치를 실행하게 한다고 덧붙였습니다.
“이와 같은 다른 탐지 기회도 많이 있습니다. 롤바스"라고 Pargman은 말합니다. "보안 팀은 모든 엔드포인트 이벤트에서 위협 사냥 쿼리를 실행하여 해당 환경에서 정상적인 사용 패턴을 찾은 다음 사용자 지정 경고 쿼리를 구축하여 비정상적인 사용 패턴을 감지할 수 있습니다."
또한 스크립팅 파일(파일 확장자 .js, .jse, .vbs, .vbe, .wsh 등)을 여는 데 사용되는 기본 프로그램을 변경하는 등 공격자가 선호하는 내장 도구의 남용을 제한할 수 있는 기회도 있습니다. 두 번 클릭해도 WScript.exe에서 열리지 않습니다.
Pargman은 “이는 최종 사용자가 속아서 악성 스크립트를 실행하는 것을 방지하는 데 도움이 됩니다.”라고 말합니다.
자격 증명에 대한 의존도 줄이기
RSA의 CIO인 Rob Hughes에 따르면 조직은 연결을 설정하기 위해 자격 증명에 대한 의존도를 줄여야 합니다. 마찬가지로, 조직은 보안 팀이 암호화된 가시성이 작동하는 위치에 대한 가시성을 제공하기 위해 비정상적이고 실패한 시도와 이상값에 대한 경고를 발생시켜야 합니다. 시스템 통신에서 "정상"과 "양호"가 무엇인지 이해하고 이상값을 식별하는 것은 LotL 공격을 탐지하는 방법입니다.
더 많은 관심을 받기 시작하면서 자주 간과되는 영역은 서비스 계정입니다. 서비스 계정은 규제가 없고 보호가 약하며 지상 공격으로부터 생존하기 위한 주요 목표가 되는 경향이 있습니다.
“그들은 백그라운드에서 작업 부하를 실행합니다. 우리는 그들을 신뢰하는 경향이 있습니다. 아마도 너무 많이 신뢰하는 것 같습니다.”라고 Hughes는 말합니다. “이러한 계정에도 인벤토리, 소유권, 강력한 인증 메커니즘이 필요합니다.”
마지막 부분은 서비스 계정이 대화형이 아니기 때문에 달성하기가 더 어려울 수 있으며, 따라서 조직이 사용자에게 의존하는 일반적인 다단계 인증(MFA) 메커니즘이 작동하지 않습니다.
Hughes는 “다른 인증과 마찬가지로 강도의 정도가 있습니다.”라고 말합니다. “강력한 메커니즘을 선택하고 보안 팀이 서비스 계정의 모든 대화형 로그인에 대해 기록하고 응답하는지 확인하는 것이 좋습니다. 그런 일이 일어나서는 안 됩니다.”
적절한 시간 투자 필요
보안 문화를 구축하는 데 비용이 많이 들 필요는 없지만 보안 대의를 지원하고 옹호하려면 기꺼이 리더십이 필요합니다.
시간에 대한 투자는 때로는 가장 큰 투자라고 Hughes는 말합니다. 그러나 조직 전반에 걸쳐 강력한 ID 제어를 확장하는 것은 위험 감소에 비해 비용이 많이 드는 노력일 필요는 없습니다.
“보안은 안정성과 일관성을 바탕으로 이루어지지만 비즈니스 환경에서는 이를 항상 통제할 수는 없습니다.”라고 그는 말합니다. “MFA 또는 강력한 ID 제어와 호환되지 않거나 협력할 수 없는 시스템의 기술 부채를 줄이는 데 현명한 투자를 하십시오.”
Pargman은 탐지 및 대응 속도가 중요하다고 말합니다.
“내가 조사한 수많은 사례에서 방어자에게 가장 긍정적인 변화를 가져온 것은 의심스러운 것을 발견하고 조사한 후 위협 행위자가 확장할 기회를 갖기 전에 침입을 발견한 경보 SecOps 분석가의 빠른 대응이었습니다. 그들의 영향력이 크다"고 말했다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :이다
- :아니
- :어디
- $UP
- 7
- a
- 이상
- 소개
- 남용
- ACCESS
- 에 따르면
- 계정
- 계정
- 달성
- 가로질러
- 행동
- 행위
- 방과 후 액티비티
- 활동
- 배우
- 추가
- 알맞은
- 채택
- 이점
- 적의
- 자문
- 반대
- 경보
- 알림
- All
- 수
- 또한
- 항상
- an
- 분석
- 분석자
- 분석
- 분석하다
- 및
- 이상
- 안티 바이러스
- 어떤
- 어플리케이션
- 신청
- 접근
- 인가 된
- 아키텍처
- 있군요
- 지역
- 약
- AS
- 관련
- At
- 공격
- 공격
- 시도
- 주의
- 인증
- 허가
- 가능
- 피하기
- 배경
- BE
- 때문에
- 전에
- 행동
- 행동 적
- 행동
- 존재
- 더 나은
- 사이에
- 가장 큰
- 두
- 브로커
- 빌드
- 내장
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 기능
- 나르다
- 적재
- 가지 경우
- 목록
- 원인
- 센터
- 챔피언
- 기회
- 변화
- 주요한
- CIO
- 시스코
- 자세히
- 클라우드
- 클라우드 서비스
- 클러스터링
- 결합
- 오는
- 커뮤니케이션
- 커뮤니티
- 비교
- 호환
- 연결
- 연결
- 입/출력 라인
- 고려
- 제어
- 컨트롤
- 협력적인
- 상관 관계
- 비용
- 수
- 적용 범위
- 만들
- 신임장
- 신임장
- 임계
- 문화
- 관습
- 사이버
- 데이터
- 데이터 손실
- 빚
- 간주되는
- 태만
- 수호자
- 방위산업
- 배포
- 배치
- 설계
- 검색
- Detection System
- 차이
- 디지털
- 디지털
- 직접
- 책임자
- do
- 하지
- 들린
- 하기
- 도메인
- 도메인 이름
- 수십
- ...동안
- 이전
- 쉽게
- Edge
- 노력
- 암호화
- 암호화
- end
- 노력하다
- 종점
- 높이다
- 확인
- Enterprise
- 환경
- 환경
- 단계적 확대
- 세우다
- 등
- 회피
- 조차
- 이벤트
- 모든
- 예
- 예외
- 압출
- 있다
- 현존하는
- 펼치기
- 비싼
- 확장
- 인자
- 실패한
- 선호
- 추천
- 먹이
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- Find
- 흐름
- 초점
- 럭셔리
- 힘
- 군
- 발견
- 뼈대
- 무료
- 무료 시험판
- 자유로이
- 에
- 충분히
- 기능
- 이득
- 게이트웨이
- 얻을
- GitHub의
- 주기
- 제공
- 좋은
- 큰
- 성장하는
- 했다
- 무슨 일이
- 열심히
- 있다
- he
- 도움
- 도움이
- 숨는 장소
- 최고
- 강조
- 방법
- HTTPS
- 수백
- i
- 식별
- 정체성
- 통합 인증
- if
- 영상
- 영향
- in
- 포함
- 디지털을 포함한
- 더욱 더
- 영향
- 정보
- 설치
- 설치
- 설치
- 인텔리전스
- 대화형
- 중개
- 으로
- 소개
- 목록
- 투자
- 투자
- IT
- 그것은 보안
- 그 자체
- JPG
- 다만
- 키
- 키
- 알려진
- 땅
- 가장 큰
- 성
- 지도자
- Leadership
- 가장 작은
- 합법적 인
- 처럼
- 아마도
- 제한
- 제한
- 라인
- 명부
- 생활
- 기록
- 긴
- 보기
- 같이
- 보고
- 오프
- 롯
- 만든
- 확인
- 제작
- 유튜브 영상을 만드는 것은
- 악의있는
- 악성 코드
- 구축
- 관리
- .
- 방법
- 기구
- 메커니즘
- MFA
- 수정
- 모니터
- 모니터링
- 모니터링
- 배우기
- 가장
- 움직임
- 이동
- 움직이는
- 많은
- 다단계 인증
- 절대로 필요한 것
- 이름
- 출신
- 자연
- 필요
- 네트워크
- 네트워크 보안
- 네트워크 트래픽
- 신제품
- 노이즈
- 표준
- 노트
- of
- 오프
- 제공
- 자주
- on
- 온보드
- ONE
- 사람
- 만
- 열 수
- 오픈 소스
- 기회
- 최적화
- 최적화
- 선택권
- or
- 주문
- 조직
- 조직
- 기타
- 우리의
- 아웃
- 위에
- 자신의
- 소유권
- 부품
- 특별한
- 패턴
- 미문
- 고집
- 따기
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- ...을 더한
- 전철기
- 긍정적인
- 가능성
- 잠재적으로
- 실용적인
- 거의
- 예측 가능
- 취하다
- 예방
- 청춘
- 원칙
- 우선 순위
- 우선
- 특권
- 특권
- 방법
- 프로세스
- 프로그램
- 프로젝트
- 보호
- 제공
- 제공
- 제공
- 쿼리
- 빠른
- 모집
- 제기
- 범위
- 랜섬
- 현실
- 합리적인
- 최근에
- 권하다
- 재 설계
- 감소
- 감소
- 축소
- 참조
- 레지스트리
- 관련된
- 신뢰
- 의지하다
- 의지
- 먼
- 요청
- 필수
- 제품 자료
- 응답
- 응답
- 잔물결
- 위험
- 강도질하다
- 강력한
- RSA
- 달리기
- 달리는
- s
- 같은
- 라고
- 과학자
- 스캇
- 스크립트
- 안전해야합니다.
- 확보
- 보안
- 별도의
- 서버
- 서비스
- 서비스 제공자
- 서비스
- 세트
- 영상을
- 쇼
- 서명
- 서명
- 간단히
- SIX
- 작은
- 스마트 한
- So
- 소프트웨어
- 솔루션
- 일부
- 어떤 사람
- 무언가
- 때로는
- 출처
- 지우면 좋을거같음 . SM
- 특별한
- 속도
- 지출
- 후원
- 안정
- 시작 중
- 단계
- 저장
- 힘
- 강한
- 성공
- 성공
- 이러한
- SUPPORT
- 확인
- 표면
- 의심 많은
- 체계
- 시스템은
- 전술
- 받아
- 목표
- 팀
- 팀
- 테크니컬
- 기법
- 기술
- 이야기
- 경향
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 맡은 일
- 이
- 그
- 위협
- 위협 행위자
- 위협
- 번창하다
- 도처에
- 시간
- 에
- 너무
- 수단
- 검색을
- 상단
- 선로
- 트랙
- 교통
- 시도
- 속은
- 트리거
- 믿어
- 신뢰할 수있는
- 유형
- 무단의
- 폭로하다
- 이해
- 이해
- 예기치 않은
- 유일한
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 보통의
- 유용
- 유틸리티
- 가치 있는
- Ve
- 공급 업체
- 공급 업체
- 대단히
- 희생자
- 가시성
- 필요
- 였다
- 방법..
- we
- 웹
- 잘
- 뭐
- 언제
- 어느
- 동안
- 누구
- 넓은
- 야생
- 기꺼이
- 창
- 과
- 이내
- 쓰기
- 자신의
- 제퍼 넷
- 제로
- 제로 트러스트