Nu tegenstanders steeds meer vertrouwen op legitieme tools om hun kwaadaardige activiteiten te verbergen, moeten verdedigers van ondernemingen de netwerkarchitectuur heroverwegen om deze aanvallen te kunnen detecteren en er zich tegen te kunnen verdedigen.
Deze tactieken staan โโbekend als 'leven van het land' (LotL) en verwijzen naar de manier waarop tegenstanders inheemse, legitieme hulpmiddelen binnen de omgeving van het slachtoffer gebruiken om hun aanvallen uit te voeren. Wanneer aanvallers nieuwe tools in de omgeving introduceren door hun eigen malware of tools te gebruiken, veroorzaken ze enige ruis op het netwerk. Dat vergroot de mogelijkheid dat deze tools beveiligingsalarmen kunnen activeren en verdedigers kunnen waarschuwen dat iemand die onbevoegd is, zich op het netwerk bevindt en verdachte activiteiten uitvoert. Aanvallers die bestaande tools gebruiken, maken het voor verdedigers moeilijker om kwaadaardige acties te onderscheiden van legitieme activiteiten.
Om aanvallers te dwingen meer ruis op het netwerk te veroorzaken, moeten IT-beveiligingsleiders het netwerk heroverwegen, zodat het verplaatsen binnen het netwerk niet zo eenvoudig is.
Identiteiten beveiligen, bewegingen beperken
Eรฉn benadering is het toepassen van sterke toegangscontroles en het monitoren van geprivilegieerde gedragsanalyses, zodat het beveiligingsteam netwerkverkeer en toegangsverzoeken die afkomstig zijn van hun eigen tools kan analyseren. Zero trust met sterke geprivilegieerde toegangscontroles โ zoals het principe van least privilege โ maakt het moeilijker voor aanvallers om zich binnen het netwerk te verplaatsen, zegt Joseph Carson, hoofdbeveiligingswetenschapper en adviserend CISO bij Delinea.
โDit dwingt hen technieken te gebruiken die meer ruis en rimpelingen op het netwerk veroorzakenโ, zegt hij. โHet geeft IT-verdedigers een betere kans om ongeautoriseerde toegang veel eerder tijdens de aanval te detecteren โ voordat ze de kans krijgen om kwaadaardige software of ransomware in te zetten.โ
Een andere is het overwegen van Cloud Access Security Broker (CASB) en Secure Access Service Edge (SASE)-technologieรซn om te begrijpen wie (of wat) verbinding maakt met welke bronnen en systemen, wat onverwachte of verdachte netwerkstromen kan benadrukken. CASB-oplossingen zijn ontworpen om beveiliging en zichtbaarheid te bieden aan organisaties die clouddiensten en -applicaties adopteren. Ze fungeren als tussenpersoon tussen eindgebruikers en cloudserviceproviders en bieden een reeks beveiligingsmaatregelen, waaronder preventie van gegevensverlies (DLP), toegangscontrole, encryptie en detectie van bedreigingen.
SASE is een beveiligingsframework dat netwerkbeveiligingsfuncties combineert, zoals veilige webgateways, firewall-as-a-service en zero-trust netwerktoegang, met Wide Area Network (WAN)-mogelijkheden zoals SD-WAN (software-Defined Wide Area Network). ).
โEr moet een robuuste focus liggen op het beheer van het aanvalsoppervlak [LotL]โ, zegt Gareth Lindahl-Wise, CISO bij Ontinue. โAanvallers slagen daar waar ingebouwde of geรฏmplementeerde tools en processen vanaf te veel eindpunten door te veel identiteiten kunnen worden gebruikt.โ
Deze activiteiten zijn van nature gedragsafwijkingen, dus het begrijpen van wat er wordt gemonitord en wat er in correlatieplatforms wordt ingevoerd, is van cruciaal belang, zegt Lindahl-Wise. Teams moeten zorgen voor dekking vanaf eindpunten en identiteiten en dit na verloop van tijd verrijken met netwerkconnectiviteitsinformatie. Inspectie van netwerkverkeer kan helpen andere technieken te ontdekken, zelfs als het verkeer zelf gecodeerd is.
Een op bewijzen gebaseerde aanpak
Organisaties kunnen en moeten een op bewijs gebaseerde aanpak hanteren bij het prioriteren van de telemetriebronnen die zij gebruiken om inzicht te krijgen in legitiem misbruik van nutsvoorzieningen.
โDe kosten voor het opslaan van logboekbronnen met een groter volume zijn een zeer reรซle factor, maar de uitgaven aan telemetrie moeten worden geoptimaliseerd op basis van bronnen die inzicht geven in de bedreigingen, waaronder misbruikte hulpprogrammaโs, die het vaakst in het wild worden waargenomen en die relevant worden geacht voor de organisatie. โ, zegt Scott Small, directeur dreigingsinformatie bij Tidal Cyber.
Meerdere inspanningen van de gemeenschap maken dit proces praktischer dan voorheen, waaronder het โLOLBASโ open source-project, dat de potentieel kwaadaardige toepassingen van honderden belangrijke hulpprogrammaโs volgt, benadrukt hij.
Ondertussen maakt een groeiende catalogus van bronnen van MITRE ATT&CK, het Center for Threat-Informed Defense en leveranciers van beveiligingstools het mogelijk om hetzelfde vijandige gedrag rechtstreeks te vertalen naar discrete, relevante gegevens- en logbronnen.
"Het is voor de meeste organisaties niet praktisch om elke bekende logbron voortdurend volledig bij te houden", merkt Small op. โOnze analyse van gegevens uit het LOBAS-project laat zien dat deze LotL-hulpprogrammaโs kunnen worden gebruikt om vrijwel elk type kwaadaardige activiteit uit te voeren.โ
Deze variรซren van het ontwijken van verdediging tot escalatie van privileges, doorzettingsvermogen, toegang tot inloggegevens en zelfs exfiltratie en impact.
โDit betekent ook dat er tientallen afzonderlijke gegevensbronnen zijn die inzicht kunnen geven in het kwaadwillige gebruik van deze tools โ te veel om op realistische wijze uitgebreid en voor langere tijd te loggenโ, zegt Small.
Uit nadere analyse blijkt echter waar sprake is van clustering (en unieke bronnen). Slechts zes van de 48 gegevensbronnen zijn bijvoorbeeld relevant voor meer dan driekwart (82%) van de LOLBAS-gerelateerde technieken.
โDit biedt mogelijkheden om telemetrie direct aan boord te nemen of te optimaliseren in lijn met de beste technieken voor leven buiten het land, of specifieke technieken die verband houden met de nutsvoorzieningen die door de organisatie als de hoogste prioriteit worden beschouwdโ, zegt Small.
Praktische stappen voor IT-beveiligingsleiders
IT-beveiligingsteams kunnen veel praktische en redelijke stappen ondernemen om aanvallers die van het land leven te detecteren, zolang ze maar inzicht hebben in de gebeurtenissen.
โHoewel het geweldig is om netwerkzichtbaarheid te hebben, zijn gebeurtenissen vanaf eindpunten โ zowel werkstations als servers โ net zo waardevol als ze goed worden gebruiktโ, zegt Randy Pargman, directeur bedreigingsdetectie bij Proofpoint.
Een van de LotL-technieken die de laatste tijd door veel bedreigingsactoren wordt gebruikt, is bijvoorbeeld het installeren van legitieme software voor monitoring en beheer op afstand (RMM).
De aanvallers geven de voorkeur aan RMM-tools omdat ze vertrouwd zijn, digitaal ondertekend zijn en geen antivirus- of endpoint detectie en respons (EDR)-waarschuwingen veroorzaken. Bovendien zijn ze gemakkelijk te gebruiken en hebben de meeste RMM-leveranciers een volledig functionele gratis proefoptie.
Het voordeel voor beveiligingsteams is dat alle RMM-tools zeer voorspelbaar gedrag vertonen, inclusief digitale handtekeningen, registersleutels die worden aangepast, domeinnamen die worden opgezocht en procesnamen waarnaar moet worden gezocht.
"Ik heb veel succes gehad met het detecteren van het gebruik van RMM-tools door indringers door simpelweg detectiehandtekeningen te schrijven voor alle vrij beschikbare RMM-tools en een uitzondering te maken voor de goedgekeurde tool, als die er is", zegt Pargman.
Het helpt als slechts รฉรฉn RMM-leverancier geautoriseerd is om gebruikt te worden, en als deze altijd op dezelfde manier wordt geรฏnstalleerd โ bijvoorbeeld tijdens systeemimage of met een speciaal script โ zodat het verschil gemakkelijk te zien is tussen een geautoriseerde installatie en een Een bedreigingsacteur die een gebruiker ertoe verleidt de installatie uit te voeren, voegt hij eraan toe.
โEr zijn nog veel meer soortgelijke detectiemogelijkheden, te beginnen met de lijst in LOLBASโ, zegt Pargman. โDoor zoekopdrachten op bedreigingen uit te voeren voor alle eindpuntgebeurtenissen, kunnen beveiligingsteams de patronen van normaal gebruik in hun omgevingen vinden en vervolgens aangepaste waarschuwingsqueryโs bouwen om abnormale gebruikspatronen te detecteren.โ
Er zijn ook mogelijkheden om het misbruik van ingebouwde tools waar aanvallers de voorkeur aan geven, te beperken, zoals het wijzigen van het standaardprogramma dat wordt gebruikt om scriptbestanden te openen (bestandsextensies .js, .jse, .vbs, .vbe, .wsh, enz.) zodat dat ze niet openen in WScript.exe wanneer erop wordt dubbelklikt.
โDat helpt voorkomen dat eindgebruikers worden misleid om een โโkwaadaardig script uit te voerenโ, zegt Pargman.
De afhankelijkheid van referenties verminderen
Organisaties moeten minder afhankelijk zijn van inloggegevens om verbindingen tot stand te brengen, aldus Rob Hughes, CIO van RSA. Op dezelfde manier moeten organisaties waarschuwingen geven over afwijkende en mislukte pogingen en uitschieters om beveiligingsteams inzicht te geven in waar gecodeerde zichtbaarheid in het spel is. Begrijpen hoe โnormaalโ en โgoedโ eruit zien in systeemcommunicatie en het identificeren van uitschieters is een manier om LotL-aanvallen te detecteren.
Een vaak over het hoofd gezien gebied dat veel meer aandacht begint te krijgen zijn de servicerekeningen, die vaak ongereguleerd zijn, zwak beschermd en een belangrijk doelwit zijn om van de landaanvallen te leven.
โZe voeren onze workloads op de achtergrond uit. We hebben de neiging om ze te vertrouwen โ waarschijnlijk te veelโ, zegt Hughes. โJe wilt ook voor deze accounts voorraad, eigendom en sterke authenticatiemechanismen.โ
Het laatste deel kan lastiger te realiseren zijn omdat serviceaccounts niet interactief zijn, waardoor de gebruikelijke multifactorauthenticatiemechanismen (MFA) waar organisaties op vertrouwen bij gebruikers niet in het spel zijn.
โZoals bij elke authenticatie zijn er gradaties in sterkteโ, zegt Hughes. โIk raad aan om een โโkrachtig mechanisme te kiezen en ervoor te zorgen dat beveiligingsteams alle interactieve aanmeldingen van een serviceaccount registreren en erop reageren. Die zouden niet mogen gebeuren.โ
Voldoende tijdsinvestering vereist
Het opbouwen van een veiligheidscultuur hoeft niet duur te zijn, maar je hebt bereidwillig leiderschap nodig om de zaak te steunen en te verdedigen.
De investering in tijd is soms de grootste investering die je kunt doen, zegt Hughes. Maar het invoeren van sterke identiteitscontroles binnen en door de hele organisatie hoeft geen dure onderneming te zijn in vergelijking met de risicoreductie die dit met zich meebrengt.
"Beveiliging gedijt op stabiliteit en consistentie, maar in een zakelijke omgeving hebben we daar niet altijd controle over", zegt hij. โDoe slimme investeringen in het terugdringen van de technische schulden in systemen die niet compatibel zijn met of niet samenwerken met MFA of sterke identiteitscontroles.โ
Het draait allemaal om de snelheid van detectie en reactie, zegt Pargman.
โIn zoveel gevallen die ik heb onderzocht, was wat voor de verdedigers het grootste positieve verschil maakte een snelle reactie van een alerte SecOps-analist die iets verdachts opmerkte, onderzocht en de inbraak vond voordat de bedreigingsacteur de kans had zich uit te breiden hun invloedโ, zegt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :is
- :niet
- :waar
- $UP
- 7
- a
- abnormaal
- Over
- misbruik
- toegang
- Volgens
- Account
- accounts
- Bereiken
- over
- Handelen
- acties
- activiteiten
- activiteit
- actoren
- Voegt
- voldoende
- adopteren
- Voordeel
- tegenstander
- adviserend
- tegen
- Alarm
- Alerts
- Alles
- toelaten
- ook
- altijd
- an
- analyse
- analist
- analytics
- analyseren
- en
- anomalieรซn
- antivirus
- elke
- toepassingen
- Solliciteer
- nadering
- goedgekeurd
- architectuur
- ZIJN
- GEBIED
- rond
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- pogingen
- aandacht
- authenticatie
- bevoegd
- Beschikbaar
- vermijd
- achtergrond
- BE
- omdat
- vaardigheden
- gedrag
- gedragsproblemen
- gedrag
- wezen
- Betere
- tussen
- Grootste
- zowel
- makelaar
- bouw
- ingebouwd
- bedrijfsdeskundigen
- maar
- by
- CAN
- mogelijkheden
- dragen
- vervoer
- gevallen
- catalogus
- Veroorzaken
- Centreren
- kampioen
- kans
- veranderende
- chef
- CIO
- CISO
- dichterbij
- Cloud
- cloud-diensten
- clustering
- combineren
- komst
- Communicatie
- gemeenschap
- vergelijking
- verenigbaar
- Wij verbinden
- aansluitingen
- Connectiviteit
- Overwegen
- onder controle te houden
- controles
- coรถperatieve
- Correlatie
- Kosten
- kon
- dekking
- en je merk te creรซren
- IDENTIFICATIE
- Geloofsbrieven
- kritisch
- Culture
- gewoonte
- cyber
- gegevens
- Data Loss
- Schuld
- geacht
- Standaard
- verdedigers
- Verdediging
- ingezet
- het inzetten
- ontworpen
- opsporen
- Opsporing
- verschil
- digitaal
- digitaal
- direct
- Director
- do
- doet
- doesn
- doen
- domein
- DOMEINNAMEN
- tientallen
- gedurende
- Vroeger
- En het is heel gemakkelijk
- rand
- inspanningen
- versleutelde
- encryptie
- einde
- toekomst
- Endpoint
- verrijken
- verzekeren
- Enterprise
- Milieu
- omgevingen
- escalatie
- oprichten
- etc
- ontduiking
- Zelfs
- EVENTS
- Alle
- voorbeeld
- uitzondering
- exfiltratie
- bestaan
- bestaand
- Uitvouwen
- duur
- extensies
- factor
- Mislukt
- Favor
- uitgelicht
- voeden
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Stromen
- Focus
- Voor
- Dwingen
- Krachten
- gevonden
- Achtergrond
- Gratis
- gratis trial
- vrij
- oppompen van
- geheel
- functies
- Krijgen
- gateways
- krijgen
- GitHub
- Geven
- geeft
- goed
- groot
- Groeiend
- HAD
- Happening
- harder
- Hebben
- he
- hulp
- helpt
- Verbergen
- hoogst
- Markeer
- Hoe
- HTTPS
- Honderden
- i
- het identificeren van
- identiteiten
- Identiteit
- if
- Imaging
- Impact
- in
- Inclusief
- inclusief digitale
- in toenemende mate
- beรฏnvloeden
- informatie
- installeren
- installatie
- geรฏnstalleerd
- Intelligentie
- interactieve
- tussenpersonen
- in
- voorstellen
- inventaris
- investering
- Investeringen
- IT
- IT beveiliging
- zelf
- jpg
- voor slechts
- sleutel
- toetsen
- bekend
- Land
- grootste
- Achternaam*
- leiders
- Leadership
- minst
- rechtmatig
- als
- Waarschijnlijk
- LIMIT
- het beperken van
- Lijn
- Lijst
- leven
- inloggen
- lang
- Kijk
- ziet eruit als
- keek
- uit
- lot
- gemaakt
- maken
- MERKEN
- maken
- kwaadaardig
- malware
- management
- beheren
- veel
- middel
- mechanisme
- mechanismen
- MFA
- gewijzigd
- monitor
- bewaakt
- Grensverkeer
- meer
- meest
- beweging
- bewegingen
- bewegend
- veel
- multifactor authenticatie
- Dan moet je
- namen
- inheemse
- NATUUR
- Noodzaak
- netwerk
- Netwerk veiligheid
- netwerk verkeer
- New
- Geluid
- een
- Opmerkingen
- of
- korting
- het aanbieden van
- vaak
- on
- Aan boord
- EEN
- degenen
- Slechts
- open
- open source
- Kansen
- Optimaliseer
- geoptimaliseerde
- Keuze
- or
- bestellen
- organisatie
- organisaties
- Overige
- onze
- uit
- over
- het te bezitten.
- ownership
- deel
- bijzonder
- patronen
- periodes
- volharding
- plukken
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- plus
- punten
- positief
- mogelijkheid
- mogelijk
- PRAKTISCH
- bijna
- Voorspelbaar
- de voorkeur geven
- het voorkomen
- Prime
- principe
- prioriteiten stellen
- prioriteit
- privilege
- bevoorrecht
- processen
- Programma
- project
- beschermd
- zorgen voor
- providers
- biedt
- queries
- Quick
- verhogen
- verhoogt
- reeks
- ransomware
- vast
- redelijk
- onlangs
- adviseren
- herontwerpen
- verminderen
- vermindering
- reductie
- verwijzen
- register
- relevante
- vertrouwen
- vertrouwen
- te vertrouwen
- vanop
- verzoeken
- nodig
- Resources
- Reageren
- antwoord
- rimpelingen
- Risico
- beroven
- robuust
- rsa
- lopen
- lopend
- s
- dezelfde
- zegt
- Wetenschapper
- scott
- script
- beveiligen
- beveiligen
- veiligheid
- apart
- Servers
- service
- dienstverleners
- Diensten
- reeks
- moet
- Shows
- handtekeningen
- Gesigneerd
- eenvoudigweg
- ZES
- Klein
- slim
- So
- Software
- Oplossingen
- sommige
- Iemand
- iets
- soms
- bron
- bronnen
- special
- snelheid
- besteden
- Gesponsorde
- Stabiliteit
- Start
- Stappen
- bewaartemperatuur
- sterkte
- sterke
- slagen
- succes
- dergelijk
- ondersteuning
- zeker
- Oppervlak
- verdacht
- system
- Systems
- tactiek
- Nemen
- doelwit
- team
- teams
- Technisch
- technieken
- Technologies
- vertellen
- Neiging
- neem contact
- dat
- De
- hun
- Ze
- harte
- Er.
- Deze
- ze
- ding
- dit
- die
- bedreiging
- bedreigingsactoren
- bedreigingen
- gedijt
- overal
- niet de tijd of
- naar
- ook
- tools
- tools
- top
- spoor
- tracks
- verkeer
- proces
- bedrogen
- leiden
- Trust
- vertrouwde
- type dan:
- onbevoegd
- ontdekken
- begrijpen
- begrip
- Onverwacht
- unieke
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- gebruikelijk
- utilities
- utility
- waardevol
- Ve
- verkoper
- vendors
- zeer
- Slachtoffer
- zichtbaarheid
- willen
- was
- Manier..
- we
- web
- GOED
- Wat
- Wat is
- wanneer
- welke
- en
- WIE
- breed
- Wild
- gewillig
- venster
- Met
- binnen
- het schrijven van
- You
- zephyrnet
- nul
- nul vertrouwen