Med motstandere som i økende grad stoler på legitime verktøy for å skjule sine ondsinnede aktiviteter, må bedriftsforsvarere revurdere nettverksarkitekturen for å oppdage og forsvare seg mot disse angrepene.
Disse taktikkene, kjent som «living off the land» (LotL), refererer til hvordan motstandere bruker innfødte, legitime verktøy i offerets miljø for å utføre sine angrep. Når angripere introduserer nye verktøy i miljøet ved å bruke sin egen skadevare eller verktøy, skaper de noe støy på nettverket. Det øker muligheten for at disse verktøyene kan utløse sikkerhetsalarmer og varsle forsvarere om at noen uautoriserte er på nettverket og utfører mistenkelig aktivitet. Angripere som bruker eksisterende verktøy gjør det vanskeligere for forsvarere å skille ut ondsinnede handlinger fra legitim aktivitet.
For å tvinge angripere til å skape mer støy på nettverket, må IT-sikkerhetsledere revurdere nettverket slik at det ikke er så enkelt å flytte rundt på nettverket.
Sikre identiteter, begrense bevegelser
En tilnærming er å bruke sterke tilgangskontroller og overvåke privilegert atferdsanalyse slik at sikkerhetsteamet kan analysere nettverkstrafikk og tilgangsforespørsler som kommer fra deres egne verktøy. Null tillit med sterke privilegerte tilgangskontroller – som prinsippet om minste privilegium – gjør det vanskeligere for angripere å bevege seg rundt på nettverket, sier Joseph Carson, sjefssikkerhetsforsker og rådgivende CISO i Delinea.
"Dette tvinger dem til å bruke teknikker som skaper mer støy og krusninger på nettverket," sier han. "Det gir IT-forsvarere en bedre sjanse til å oppdage uautorisert tilgang mye tidligere i angrepet - før de har en sjanse til å distribuere skadelig programvare eller løsepengeprogramvare."
En annen er å vurdere cloud access security broker (CASB) og SASE-teknologier (Secure Access Service Edge) for å forstå hvem (eller hva) som kobler til hvilke ressurser og systemer, noe som kan fremheve uventede eller mistenkelige nettverksstrømmer. CASB-løsninger er utviklet for å gi sikkerhet og synlighet for organisasjoner som tar i bruk skytjenester og -applikasjoner. De fungerer som mellomledd mellom sluttbrukere og skytjenesteleverandører, og tilbyr en rekke sikkerhetskontroller, inkludert datatapsforebygging (DLP), tilgangskontroll, kryptering og trusseldeteksjon.
SASE er et sikkerhetsrammeverk som kombinerer nettverkssikkerhetsfunksjoner, for eksempel sikre nettgatewayer, brannmur-som-en-tjeneste og null-tillit nettverkstilgang, med Wide Area Network (WAN)-funksjoner som SD-WAN (programvaredefinert Wide Area Network). ).
"Det bør være et robust fokus på å administrere [LotL] angrepsoverflaten," sier Gareth Lindahl-Wise, CISO hos Ontinue. "Angripere lykkes der innebygde eller distribuerte verktøy og prosesser kan brukes fra for mange endepunkter av for mange identiteter."
Disse aktivitetene er i sin natur atferdsmessige anomalier, så det er avgjørende å forstå hva som overvåkes og mates inn i korrelasjonsplattformer, sier Lindahl-Wise. Lag bør sikre dekning fra endepunkter og identiteter og deretter over tid berike dette med informasjon om nettverkstilkobling. Inspeksjon av nettverkstrafikk kan bidra til å avdekke andre teknikker, selv om trafikken i seg selv er kryptert.
En evidensbasert tilnærming
Organisasjoner kan og bør ta en evidensbasert tilnærming til å prioritere hvilke telemetrikilder de bruker for å få innsyn i lovlig misbruk av verktøy.
"Kostnadene ved å lagre loggkilder med større volum er en veldig reell faktor, men utgifter til telemetri bør optimaliseres i henhold til kilder som gir et vindu inn i truslene, inkludert misbrukte verktøy, som oftest observeres i naturen og anses som relevante for organisasjonen , sier Scott Small, direktør for trusseletterretning i Tidal Cyber.
Flere fellesskapsinnsats gjør denne prosessen mer praktisk enn før, inkludert "LOLBAS" åpen kildekode-prosjektet, som sporer potensielt skadelige applikasjoner til hundrevis av nøkkelverktøy, påpeker han.
I mellomtiden tillater en voksende katalog med ressurser fra MITER ATT&CK, Center for Threat-Informed Defense og leverandører av sikkerhetsverktøy å oversette fra den samme motstandsdyktige oppførselen direkte til diskrete, relevante data- og loggkilder.
"Det er ikke praktisk for de fleste organisasjoner å spore alle kjente loggkilder hele tiden," bemerker Small. "Vår analyse av data fra LOBAS-prosjektet viser at disse LotL-verktøyene kan brukes til å utføre praktisk talt alle typer ondsinnet aktivitet."
Disse spenner fra forsvarsunndragelse til privilegieeskalering, utholdenhet, legitimasjonstilgang og til og med eksfiltrering og påvirkning.
"Dette betyr også at det er dusinvis av diskrete datakilder som kan gi innsikt i den ondsinnede bruken av disse verktøyene - for mye til realistisk å logge omfattende og over lengre perioder," sier Small.
Nærmere analyse viser imidlertid hvor klynging (og unike kilder) eksisterer – for eksempel er bare seks av 48 datakilder relevante for mer enn tre fjerdedeler (82 %) av LOLBAS-relaterte teknikker.
"Dette gir muligheter til å ombord eller optimere telemetri direkte i tråd med de beste teknikkene som lever utenfor landet, eller spesielle som er knyttet til verktøyene som anses som høyest prioritet av organisasjonen," sier Small.
Praktiske trinn for IT-sikkerhetsledere
IT-sikkerhetsteam kan ta mange praktiske og rimelige skritt for å oppdage angripere som lever utenfor landet, så lenge de har innsyn i hendelser.
"Selv om det er flott å ha nettverkssynlighet, er hendelser fra endepunkter - både arbeidsstasjoner og servere - like verdifulle hvis de brukes godt," sier Randy Pargman, direktør for trusseldeteksjon hos Proofpoint.
For eksempel er en av LotL-teknikkene brukt av mange trusselaktører nylig å installere legitim programvare for fjernovervåking og administrasjon (RMM).
Angriperne foretrekker RMM-verktøy fordi de er pålitelige, digitalt signert, og vil ikke utløse antivirus- eller endepunktsdeteksjon og -svar (EDR), pluss at de er enkle å bruke og de fleste RMM-leverandører har et fullt utstyrt gratis prøveversjonsalternativ.
Fordelen for sikkerhetsteam er at alle RMM-verktøyene har svært forutsigbar oppførsel, inkludert digitale signaturer, registernøkler som endres, domenenavn som slås opp og prosessnavn å se etter.
"Jeg har hatt stor suksess med å oppdage inntrengere bruk av RMM-verktøy ganske enkelt ved å skrive deteksjonssignaturer for alle de fritt tilgjengelige RMM-verktøyene, og gjøre et unntak for det godkjente verktøyet, hvis noen," sier Pargman.
Det hjelper hvis bare én RMM-leverandør er autorisert til å brukes, og hvis den alltid installeres på samme måte – for eksempel under systemavbildning eller med et spesielt skript – slik at det er lett å se forskjellen mellom en autorisert installasjon og en trusselaktør som lurer en bruker til å kjøre installasjonen, legger han til.
"Det er mange andre deteksjonsmuligheter akkurat som dette, og starter med listen i LOLBAS", sier Pargman. "Ved å kjøre trusseljaktende spørringer på tvers av alle endepunkthendelser, kan sikkerhetsteam finne mønstrene for normal bruk i miljøene sine, og deretter bygge tilpassede varslingsspørringer for å oppdage unormale bruksmønstre."
Det er også muligheter for å begrense misbruk av innebygde verktøy som angripere foretrekker, for eksempel å endre standardprogrammet som brukes til å åpne skriptfiler (filtypene .js, .jse, .vbs, .vbe, .wsh, etc.) så at de ikke åpnes i WScript.exe når de dobbeltklikkes.
"Det bidrar til å unngå at sluttbrukere blir lurt til å kjøre et ondsinnet skript," sier Pargman.
Reduser avhengigheten av legitimasjon
Organisasjoner må redusere sin avhengighet av legitimasjon for å etablere forbindelser, ifølge Rob Hughes, CIO i RSA. På samme måte må organisasjoner varsle om unormale og mislykkede forsøk og uteliggere for å gi sikkerhetsteam innsyn i hvor kryptert synlighet er i spill. Å forstå hvordan "normalt" og "bra" ser ut i systemkommunikasjon og identifisere avvikere er en måte å oppdage LotL-angrep.
Et ofte oversett område som begynner å få mye mer oppmerksomhet er tjenestekontoer, som har en tendens til å være uregulerte, svakt beskyttet og et hovedmål for å leve av landangrepene.
"De kjører arbeidsmengdene våre i bakgrunnen. Vi har en tendens til å stole på dem – sannsynligvis for mye, sier Hughes. "Du vil ha inventar, eierskap og sterke autentiseringsmekanismer på disse kontoene også."
Den siste delen kan være vanskeligere å oppnå fordi tjenestekontoer ikke er interaktive, så de vanlige multifaktorautentiseringsmekanismene (MFA) organisasjoner er avhengige av med brukere, er ikke i spill.
"Som enhver autentisering er det grader av styrke," sier Hughes. «Jeg vil anbefale å velge en sterk mekanisme og sørge for at sikkerhetsteam logger og svarer på eventuelle interaktive pålogginger fra en tjenestekonto. De burde ikke skje."
Tilstrekkelig tidsinvestering kreves
Å bygge en sikkerhetskultur trenger ikke å være dyrt, men du trenger villig lederskap for å støtte og forkjempe saken.
Investeringen i tid er noen ganger den største investeringen å gjøre, sier Hughes. Men å bruke sterke identitetskontroller på tvers av og i hele organisasjonen trenger ikke å være en kostbar innsats sammenlignet med den reduksjonen i risiko som dette oppnår.
"Sikkerhet trives med stabilitet og konsistens, men vi kan ikke alltid kontrollere det i et forretningsmiljø," sier han. "Gjør smarte investeringer for å redusere teknisk gjeld i systemer som ikke er kompatible eller samarbeider med MFA eller sterke identitetskontroller."
Det handler om hastighet på deteksjon og respons, sier Pargman.
«I så mange saker jeg har undersøkt, var det som gjorde den største positive forskjellen for forsvarerne et raskt svar fra en våken SecOps-analytiker som la merke til noe mistenkelig, undersøkte og fant inntrengingen før trusselaktøren hadde en sjanse til å utvide deres innflytelse, sier han.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :er
- :ikke
- :hvor
- $OPP
- 7
- a
- unormal
- Om oss
- misbruk
- adgang
- Ifølge
- Logg inn
- kontoer
- Oppnå
- tvers
- Handling
- handlinger
- Aktiviteter
- aktivitet
- aktører
- Legger
- tilstrekkelig
- adoptere
- Fordel
- motstandere
- rådgivende
- mot
- Varsle
- Varsler
- Alle
- tillate
- også
- alltid
- an
- analyse
- analytiker
- analytics
- analysere
- og
- abnormiteter
- antivirus
- noen
- søknader
- Påfør
- tilnærming
- godkjent
- arkitektur
- ER
- AREA
- rundt
- AS
- assosiert
- At
- angripe
- Angrep
- forsøk
- oppmerksomhet
- Autentisering
- autorisert
- tilgjengelig
- unngå
- bakgrunn
- BE
- fordi
- før du
- atferd
- atferds
- atferd
- være
- Bedre
- mellom
- Biggest
- både
- megler
- bygge
- innebygd
- virksomhet
- men
- by
- CAN
- evner
- bære
- bærer
- saker
- katalog
- Årsak
- sentrum
- Champion
- sjanse
- endring
- sjef
- CIO
- CISO
- nærmere
- Cloud
- skytjenester
- gruppering
- kombinere
- kommer
- kommunikasjon
- samfunnet
- sammenligning
- kompatibel
- Tilkobling
- Tilkoblinger
- Tilkobling
- Vurder
- kontroll
- kontroller
- samarbeidende
- Korrelasjon
- Kostnad
- kunne
- dekning
- skape
- KREDENSISJON
- Credentials
- kritisk
- Kultur
- skikk
- cyber
- dato
- Data Loss
- Gjeld
- anses
- Misligholde
- Defenders
- Forsvar
- utplassert
- utplasserings
- designet
- oppdage
- Gjenkjenning
- forskjell
- digitalt
- digitalt
- direkte
- Regissør
- do
- gjør
- doesn
- gjør
- domene
- DOMENENAVN
- dusinvis
- under
- Tidligere
- lett
- Edge
- innsats
- kryptert
- kryptering
- slutt
- forsøke
- Endpoint
- berike
- sikre
- Enterprise
- Miljø
- miljøer
- eskalering
- etablere
- etc
- unnvikelse
- Selv
- hendelser
- Hver
- eksempel
- unntak
- eksfiltrering
- eksisterer
- eksisterende
- Expand
- dyrt
- utvidelser
- faktor
- Mislyktes
- favorisere
- kjennetegnet
- fôring
- filet
- Filer
- Finn
- Flows
- Fokus
- Til
- Tving
- Krefter
- funnet
- Rammeverk
- Gratis
- gratis prøveperiode
- fritt
- fra
- fullt
- funksjoner
- Gevinst
- gatewayer
- få
- GitHub
- Gi
- gir
- god
- flott
- Økende
- HAD
- Skjer
- hardere
- Ha
- he
- hjelpe
- hjelper
- Gjemme seg
- høyest
- Uthev
- Hvordan
- HTTPS
- Hundrevis
- i
- identifisering
- identiteter
- Identitet
- if
- Imaging
- Påvirkning
- in
- Inkludert
- inkludert digitalt
- stadig
- påvirke
- informasjon
- installere
- installasjon
- installerte
- Intelligens
- interaktiv
- mellommenn
- inn
- introdusere
- inventar
- investering
- Investeringer
- IT
- det sikkerhet
- selv
- jpg
- bare
- nøkkel
- nøkler
- kjent
- Tomt
- største
- Siste
- ledere
- Ledelse
- minst
- legitim
- i likhet med
- Sannsynlig
- BEGRENSE
- begrense
- linje
- Liste
- levende
- logg
- Lang
- Se
- ser ut som
- så
- tap
- Lot
- laget
- gjøre
- GJØR AT
- Making
- skadelig
- malware
- ledelse
- administrerende
- mange
- midler
- mekanisme
- mekanismer
- MFA
- modifisert
- Overvåke
- overvåket
- overvåking
- mer
- mest
- flytte
- bevegelser
- flytting
- mye
- multifaktorautentisering
- må
- navn
- innfødt
- Natur
- Trenger
- nettverk
- Nettverkssikkerhet
- nettverkstrafikk
- Ny
- Bråk
- normal
- Merknader
- of
- off
- tilby
- ofte
- on
- Ombord
- ONE
- seg
- bare
- åpen
- åpen kildekode
- Muligheter
- Optimalisere
- optimalisert
- Alternativ
- or
- rekkefølge
- organisasjon
- organisasjoner
- Annen
- vår
- ut
- enn
- egen
- eierskap
- del
- Spesielt
- mønstre
- perioder
- utholdenhet
- plukking
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- i tillegg til
- poeng
- positiv
- mulighet
- potensielt
- Praktisk
- praktisk talt
- Forutsigbar
- trekker
- Forebygging
- Prime
- prinsipp
- prioritering
- prioritet
- privilegium
- privilegert
- prosess
- Prosesser
- program
- prosjekt
- beskyttet
- gi
- tilbydere
- gir
- spørsmål
- Rask
- heve
- hever
- område
- ransomware
- ekte
- rimelig
- nylig
- anbefaler
- redesign
- redusere
- redusere
- reduksjon
- referere
- registret
- relevant
- avhengighet
- avhengige
- avhengig
- fjernkontroll
- forespørsler
- påkrevd
- Ressurser
- Svare
- svar
- krusninger
- Risiko
- rob
- robust
- rsa
- Kjør
- rennende
- s
- samme
- sier
- Forsker
- scott
- script
- sikre
- sikring
- sikkerhet
- separat
- Servere
- tjeneste
- tjenestetilbydere
- Tjenester
- sett
- bør
- Viser
- signaturer
- signert
- ganske enkelt
- SIX
- liten
- Smart
- So
- Software
- Solutions
- noen
- Noen
- noe
- noen ganger
- kilde
- Kilder
- spesiell
- fart
- bruke
- Sponset
- Stabilitet
- Start
- Steps
- lagring
- styrke
- sterk
- lykkes
- suksess
- slik
- støtte
- sikker
- overflaten
- mistenkelig
- system
- Systemer
- taktikk
- Ta
- Target
- lag
- lag
- Teknisk
- teknikker
- Technologies
- fortelle
- tendens
- enn
- Det
- De
- deres
- Dem
- deretter
- Der.
- Disse
- de
- ting
- denne
- De
- trussel
- trusselaktører
- trusler
- trives
- hele
- tid
- til
- også
- verktøy
- verktøy
- topp
- spor
- spor
- trafikk
- prøve
- lurt
- utløse
- Stol
- klarert
- typen
- uautorisert
- avdekke
- forstå
- forståelse
- Uventet
- unik
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- vanlig
- verktøy
- verktøyet
- Verdifull
- Ve
- leverandør
- leverandører
- veldig
- Offer
- synlighet
- ønsker
- var
- Vei..
- we
- web
- VI VIL
- Hva
- Hva er
- når
- hvilken
- mens
- HVEM
- bred
- Wild
- villig
- vindu
- med
- innenfor
- skriving
- Du
- zephyrnet
- null
- null tillit