Ponieważ przeciwnicy w coraz większym stopniu polegają na legalnych narzędziach do ukrywania swoich szkodliwych działań, obrońcy przedsiębiorstw muszą na nowo przemyśleć architekturę sieci, aby wykrywać takie ataki i bronić się przed nimi.
Taktyki te, znane jako „życie z ziemi” (LotL), odnoszą się do sposobu, w jaki przeciwnicy wykorzystują rodzime, legalne narzędzia w środowisku ofiary do przeprowadzania ataków. Kiedy napastnicy wprowadzają do środowiska nowe narzędzia, korzystając z własnego złośliwego oprogramowania lub narzędzi, powodują pewien szum w sieci. Rodzi to ryzyko, że narzędzia te mogą wywołać alarmy bezpieczeństwa i ostrzec obrońców, że ktoś nieupoważniony znajduje się w sieci i wykonuje podejrzane działania. Atakujący korzystający z istniejących narzędzi utrudniają obrońcom oddzielenie złośliwych działań od legalnych działań.
Aby zmusić atakujących do tworzenia większego szumu w sieci, liderzy bezpieczeństwa IT muszą ponownie przemyśleć sieć, tak aby poruszanie się po niej nie było takie proste.
Zabezpieczanie tożsamości, ograniczanie ruchów
Jednym z podejść jest zastosowanie silnej kontroli dostępu i monitorowanie analiz zachowań uprzywilejowanych, aby zespół ds. bezpieczeństwa mógł analizować ruch sieciowy i żądania dostępu pochodzące z własnych narzędzi. Zero zaufania i silna kontrola dostępu uprzywilejowanego – taka jak zasada najmniejszych uprawnień – utrudnia atakującym poruszanie się po sieci, mówi Joseph Carson, główny naukowiec ds. bezpieczeństwa i doradca CISO w Delinea.
„To zmusza ich do stosowania technik, które powodują więcej szumu i zniekształceń w sieci” – mówi. „Dzięki temu obrońcy IT mają większą szansę na wykrycie nieautoryzowanego dostępu znacznie wcześniej w fazie ataku — zanim zdążą wdrożyć złośliwe oprogramowanie lub oprogramowanie ransomware”.
Innym rozwiązaniem jest rozważenie technologii brokera zabezpieczeń dostępu do chmury (CASB) i bezpiecznego dostępu do usługi brzegowej (SASE), aby zrozumieć, kto (lub co) łączy się z jakimi zasobami i systemami, co może uwydatnić nieoczekiwane lub podejrzane przepływy sieciowe. Rozwiązania CASB zostały zaprojektowane w celu zapewnienia bezpieczeństwa i widoczności organizacjom korzystającym z usług i aplikacji w chmurze. Działają jako pośrednicy między użytkownikami końcowymi a dostawcami usług w chmurze, oferując szereg kontroli bezpieczeństwa, w tym zapobieganie utracie danych (DLP), kontrolę dostępu, szyfrowanie i wykrywanie zagrożeń.
SASE to platforma bezpieczeństwa łącząca funkcje zabezpieczeń sieci, takie jak bezpieczne bramy internetowe, zapora sieciowa jako usługa i dostęp do sieci o zerowym zaufaniu, z funkcjami sieci rozległej (WAN), takimi jak SD-WAN (sieć rozległa definiowana programowo ).
„Należy położyć duży nacisk na zarządzanie powierzchnią ataku [LotL]” – mówi Gareth Lindahl-Wise, CISO w Ontinue. „Atakujący odnoszą sukcesy tam, gdzie wbudowane lub wdrożone narzędzia i procesy mogą być używane ze zbyt wielu punktów końcowych przez zbyt wiele tożsamości”.
Działania te ze swej natury są anomaliami behawioralnymi, dlatego zrozumienie tego, co jest monitorowane i wykorzystanie platform korelacji, ma kluczowe znaczenie, mówi Lindahl-Wise. Zespoły powinny zapewnić zasięg od punktów końcowych i tożsamości, a następnie z czasem wzbogacić go o informacje o łączności sieciowej. Inspekcja ruchu sieciowego może pomóc w odkryciu innych technik, nawet jeśli sam ruch jest szyfrowany.
Podejście oparte na dowodach
Organizacje mogą i powinny zastosować podejście oparte na dowodach, aby ustalić priorytety źródeł telemetrycznych, z których korzystają, aby uzyskać wgląd w uzasadnione nadużycia w zakresie usług użyteczności publicznej.
„Koszt przechowywania źródeł logów o większej objętości jest bardzo realnym czynnikiem, ale wydatki na telemetrię należy optymalizować w oparciu o źródła, które dają wgląd w zagrożenia, w tym nadużywane narzędzia, najczęściej obserwowane w środowisku naturalnym i uznawane za istotne dla organizacji ” – mówi Scott Small, dyrektor ds. analizy zagrożeń w Tidal Cyber.
Wiele wysiłków społeczności sprawia, że proces ten jest bardziej praktyczny niż wcześniej, co obejmuje projekt open source „LOLBAS”, który śledzi potencjalnie złośliwe aplikacje setek kluczowych narzędzi – podkreśla.
Tymczasem rosnący katalog zasobów MITER ATT&CK, Centrum Obrony Informowanej o Zagrożeniach, a także dostawców narzędzi bezpieczeństwa, pozwala na przełożenie tych samych wrogich zachowań bezpośrednio na dyskretne, istotne źródła danych i dzienników.
„Dla większości organizacji niepraktyczne jest ciągłe śledzenie każdego znanego źródła logów” – zauważa Small. „Nasza analiza danych z projektu LOBAS pokazuje, że te narzędzia LotL można wykorzystać do przeprowadzenia praktycznie każdego rodzaju szkodliwej aktywności”.
Obejmują one zakres od uchylania się od obrony po eskalację przywilejów, trwałość, dostęp do danych uwierzytelniających, a nawet eksfiltrację i wpływ.
„Oznacza to również, że istnieją dziesiątki odrębnych źródeł danych, które mogą zapewnić wgląd w złośliwe wykorzystanie tych narzędzi – to zbyt wiele, aby realistycznie i kompleksowo rejestrować je przez długi czas” – mówi Small.
Jednak bliższa analiza pokazuje, gdzie istnieje grupowanie (i unikalne źródła) – na przykład tylko sześć z 48 źródeł danych jest istotnych dla ponad trzech czwartych (82%) technik związanych z LOLBAS.
„Dzięki temu możliwe jest wdrożenie lub optymalizacja telemetrii bezpośrednio zgodnie z najlepszymi technikami życia poza ziemią lub konkretnymi technikami związanymi z usługami użyteczności publicznej uznawanymi przez organizację za najwyższy priorytet” – mówi Small.
Praktyczne kroki dla liderów bezpieczeństwa IT
Zespoły ds. bezpieczeństwa IT mogą podjąć wiele praktycznych i rozsądnych kroków w celu wykrycia atakujących na lądzie, pod warunkiem, że mają wgląd w zdarzenia.
„Chociaż widoczność sieci jest wspaniała, zdarzenia z punktów końcowych – zarówno stacji roboczych, jak i serwerów – są równie cenne, jeśli są właściwie wykorzystywane” – mówi Randy Pargman, dyrektor ds. wykrywania zagrożeń w Proofpoint.
Na przykład jedną z technik LotL stosowaną ostatnio przez wiele cyberprzestępców jest instalowanie legalnego oprogramowania do zdalnego monitorowania i zarządzania (RMM).
Osoby atakujące preferują narzędzia RMM, ponieważ są zaufane, podpisane cyfrowo i nie uruchamiają alertów oprogramowania antywirusowego ani wykrywania i reagowania na punkty końcowe (EDR), a ponadto są łatwe w użyciu, a większość dostawców RMM oferuje w pełni funkcjonalną bezpłatną opcję próbną.
Zaletą dla zespołów ds. bezpieczeństwa jest to, że wszystkie narzędzia RMM zachowują się bardzo przewidywalnie, łącznie z podpisami cyfrowymi, modyfikowanymi kluczami rejestru, wyszukiwanymi nazwami domen i wyszukiwanymi nazwami procesów.
„Odniosłem wielki sukces w wykrywaniu intruzów korzystających z narzędzi RMM po prostu poprzez zapisanie sygnatur wykrywania dla wszystkich ogólnodostępnych narzędzi RMM i zrobienie wyjątku dla zatwierdzonego narzędzia, jeśli takie istnieje” – mówi Pargman.
Pomocne jest, jeśli tylko jeden dostawca RMM jest autoryzowany do użycia i jeśli jest on zawsze instalowany w ten sam sposób – na przykład podczas tworzenia obrazu systemu lub za pomocą specjalnego skryptu – tak aby łatwo było odróżnić instalację autoryzowaną od instalacji autoryzowanej. dodaje, że ugrupowanie zagrażające nakłania użytkownika do uruchomienia instalacji.
„Istnieje wiele innych możliwości wykrywania takich jak ta, zaczynając od listy w LOLBA– mówi Pargman. „Wykorzystując zapytania wyszukujące zagrożenia we wszystkich zdarzeniach na punktach końcowych, zespoły ds. bezpieczeństwa mogą znaleźć wzorce normalnego użytkowania w swoich środowiskach, a następnie utworzyć niestandardowe zapytania alertów w celu wykrycia nietypowych wzorców użytkowania”.
Istnieją także możliwości ograniczenia nadużywania wbudowanych narzędzi preferowanych przez atakujących, np. zmiana domyślnego programu używanego do otwierania plików skryptowych (rozszerzenia plików .js, .jse, .vbs, .vbe, .wsh itp.), tak aby że po dwukrotnym kliknięciu nie otwierają się w pliku WScript.exe.
„Pozwala to uniknąć nakłonienia użytkowników końcowych do uruchomienia złośliwego skryptu” – mówi Pargman.
Zmniejszenie polegania na poświadczeniach
Według Roba Hughesa, dyrektora ds. IT w RSA, organizacje muszą ograniczyć poleganie na referencjach przy nawiązywaniu połączeń. Podobnie organizacje muszą ostrzegać o nietypowych i nieudanych próbach oraz o wartościach odstających, aby zapewnić zespołom ds. bezpieczeństwa wgląd w to, gdzie w grę wchodzi szyfrowana widoczność. Zrozumienie, jak wygląda „normalność” i „dobra” komunikacja systemowa oraz identyfikacja wartości odstających, to sposób na wykrycie ataków LotL.
Często pomijanym obszarem, któremu poświęca się coraz więcej uwagi, są konta usług, które zwykle są nieuregulowane, słabo chronione i stanowią główny cel utrzymywania się z ataków lądowych.
„Uruchamiają nasze zadania w tle. Zwykle im ufamy – prawdopodobnie za bardzo” – mówi Hughes. „Chcesz mieć zapasy, własność i silne mechanizmy uwierzytelniania również na tych kontach”.
Ostatnia część może być trudniejsza do osiągnięcia, ponieważ konta usług nie są interaktywne, więc zwykłe mechanizmy uwierzytelniania wieloczynnikowego (MFA), z których korzystają organizacje w przypadku użytkowników, nie mają zastosowania.
„Jak każde uwierzytelnienie, istnieją stopnie siły” – mówi Hughes. „Polecam wybranie solidnego mechanizmu i upewnienie się, że zespoły ds. bezpieczeństwa rejestrują i odpowiadają na wszelkie interaktywne logowania z konta usługi. To nie powinno mieć miejsca.”
Wymagana odpowiednia inwestycja czasowa
Budowanie kultury bezpieczeństwa nie musi być kosztowne, ale potrzebne jest chętne przywództwo, które będzie wspierać i bronić tej sprawy.
Hughes twierdzi, że inwestycja w czas jest czasami największą inwestycją, jakiej można dokonać. Jednak wprowadzenie silnej kontroli tożsamości w całej organizacji nie musi być kosztownym przedsięwzięciem w porównaniu z redukcją ryzyka, jaką można w ten sposób osiągnąć.
„Bezpieczeństwo opiera się na stabilności i spójności, ale w środowisku biznesowym nie zawsze możemy to kontrolować” – mówi. „Dokonuj mądrych inwestycji, aby zmniejszyć dług techniczny w systemach, które nie są kompatybilne lub nie współpracują z usługą MFA lub silną kontrolą tożsamości”.
„Wszystko zależy od szybkości wykrywania i reakcji” – mówi Pargman.
„W wielu przypadkach, które badałem, największą pozytywną różnicę dla obrońców stanowiła szybka reakcja czujnego analityka SecOps, który zauważył coś podejrzanego, zbadał go i znalazł włamanie, zanim ugrupowanie zagrażające miało szansę się rozszerzyć. ich wpływ” – mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 7
- a
- nieprawidłowy
- O nas
- nadużycie
- dostęp
- Stosownie
- Konto
- Konta
- Osiągać
- w poprzek
- działać
- działania
- zajęcia
- działalność
- aktorzy
- Dodaje
- odpowiedni
- przyjąć
- Korzyść
- przeciwny
- doradczy
- przed
- Alarm
- Alarmy
- Wszystkie kategorie
- dopuszczać
- również
- zawsze
- an
- analiza
- analityk
- analityka
- w czasie rzeczywistym sprawiają,
- i
- anomalie
- antywirusowe
- każdy
- aplikacje
- Aplikuj
- podejście
- zatwierdzony
- architektura
- SĄ
- POWIERZCHNIA
- na około
- AS
- powiązany
- At
- atakować
- Ataki
- Próby
- Uwaga
- Uwierzytelnianie
- upoważniony
- dostępny
- uniknąć
- tło
- BE
- bo
- zanim
- zachowanie
- behawioralne
- zachowania
- jest
- Ulepsz Swój
- pomiędzy
- Najwyższa
- obie
- pośrednik
- budować
- wbudowany
- biznes
- ale
- by
- CAN
- możliwości
- nieść
- noszenie
- Etui
- katalog
- Spowodować
- Centrum
- mistrz
- szansa
- wymiana pieniędzy
- szef
- CIO
- CISO
- bliższy
- Chmura
- usługi w chmurze
- klastrowanie
- łączenie
- przyjście
- Komunikacja
- społeczność
- porównanie
- zgodny
- Podłączanie
- połączenia
- Łączność
- Rozważać
- kontrola
- kontroli
- spółdzielnia
- Korelacja
- Koszty:
- mógłby
- pokrycie
- Stwórz
- POŚWIADCZENIE
- Listy uwierzytelniające
- krytyczny
- kultura
- zwyczaj
- cyber
- dane
- Utrata danych
- Dług
- uważane
- Domyślnie
- obrońcy
- Obrona
- wdrażane
- wdrażanie
- zaprojektowany
- wykryć
- Wykrywanie
- różnica
- cyfrowy
- cyfrowo
- bezpośrednio
- Dyrektor
- do
- robi
- robi
- robi
- domena
- NAZWY DOMEN
- dziesiątki
- podczas
- Wcześniej
- łatwo
- krawędź
- starania
- szyfrowane
- szyfrowanie
- zakończenia
- starać się
- Punkt końcowy
- wzbogacać
- zapewnić
- Enterprise
- Środowisko
- środowiska
- eskalacja
- zapewniają
- itp
- uchylanie się
- Parzyste
- wydarzenia
- Każdy
- przykład
- wyjątek
- eksfiltracja
- istnieć
- Przede wszystkim system został opracowany
- Rozszerzać
- drogi
- rozszerzenia
- czynnik
- Failed
- faworyzować
- polecane
- karmienie
- filet
- Akta
- Znajdź
- Przepływy
- Skupiać
- W razie zamówieenia projektu
- wytrzymałość
- Siły
- znaleziono
- Framework
- Darmowy
- Przetestuj za darmo
- swobodnie
- od
- w pełni
- Funkcje
- Wzrost
- bramy
- otrzymać
- GitHub
- Dać
- daje
- dobry
- wspaniały
- Rozwój
- miał
- Wydarzenie
- trudniej
- Have
- he
- pomoc
- pomaga
- Ukryj
- Najwyższa
- Atrakcja
- W jaki sposób
- HTTPS
- Setki
- i
- identyfikacja
- tożsamości
- tożsamość
- if
- Obrazowanie
- Rezultat
- in
- Włącznie z
- w tym cyfrowe
- coraz bardziej
- wpływ
- Informacja
- zainstalować
- instalacja
- zainstalowany
- Inteligencja
- interaktywne
- pośredników
- najnowszych
- przedstawiać
- inwentarz
- inwestycja
- Inwestycje
- IT
- to bezpieczeństwo
- samo
- jpg
- właśnie
- Klawisz
- Klawisze
- znany
- Kraj
- największym
- Nazwisko
- Przywódcy
- Przywództwo
- najmniej
- prawowity
- lubić
- Prawdopodobnie
- LIMIT
- ograniczenie
- Linia
- Lista
- życie
- log
- długo
- Popatrz
- wygląda jak
- wyglądał
- od
- Partia
- zrobiony
- robić
- WYKONUJE
- Dokonywanie
- złośliwy
- malware
- i konserwacjami
- zarządzający
- wiele
- znaczy
- mechanizm
- Mechanizmy
- MSZ
- zmodyfikowano
- monitor
- monitorowane
- monitorowanie
- jeszcze
- większość
- ruch
- Ruchy
- przeniesienie
- dużo
- uwierzytelnianie wieloczynnikowe
- musi
- Nazwy
- rodzimy
- Natura
- Potrzebować
- sieć
- Bezpieczeństwo sieci
- ruch sieciowy
- Nowości
- Hałas
- normalna
- Uwagi
- of
- poza
- oferuje
- często
- on
- Onboard
- ONE
- te
- tylko
- koncepcja
- open source
- Szanse
- Optymalizacja
- zoptymalizowane
- Option
- or
- zamówienie
- organizacja
- organizacji
- Inne
- ludzkiej,
- na zewnątrz
- koniec
- własny
- własność
- część
- szczególny
- wzory
- okresy
- uporczywość
- zbierając
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Grać
- plus
- zwrotnica
- pozytywny
- możliwość
- potencjalnie
- Praktyczny
- praktycznie
- Możliwy do przewidzenia
- woleć
- Zapobieganie
- premia
- zasada
- ustalanie priorytetów
- priorytet
- przywilej
- uprzywilejowany
- wygląda tak
- procesów
- Program
- projekt
- chroniony
- zapewniać
- dostawców
- zapewnia
- zapytania
- Szybki
- podnieść
- podnosi
- zasięg
- ransomware
- real
- rozsądny
- niedawno
- polecić
- przeprojektowanie
- zmniejszyć
- redukcja
- redukcja
- odnosić się
- rejestr
- poleganie
- polegać
- opierając się
- zdalny
- wywołań
- wymagany
- Zasoby
- Odpowiadać
- odpowiedź
- wsady
- Ryzyko
- rabować
- krzepki
- RSA
- run
- bieganie
- s
- taki sam
- mówią
- Naukowiec
- Scott
- scenariusz
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- oddzielny
- Serwery
- usługa
- usługodawcy
- Usługi
- zestaw
- powinien
- Targi
- Podpisy
- podpisana
- po prostu
- SIX
- mały
- mądry
- So
- Tworzenie
- Rozwiązania
- kilka
- Ktoś
- coś
- czasami
- Źródło
- Źródła
- specjalny
- prędkość
- wydać
- Łącza
- Stabilność
- Startowy
- Cel
- przechowywania
- jest determinacja.
- silny
- osiągnąć sukces
- sukces
- taki
- wsparcie
- pewnie
- Powierzchnia
- podejrzliwy
- system
- systemy
- taktyka
- Brać
- cel
- zespół
- Zespoły
- Techniczny
- Techniki
- Technologies
- powiedzieć
- Tendencję
- niż
- że
- Połączenia
- ich
- Im
- następnie
- Tam.
- Te
- one
- rzecz
- to
- tych
- groźba
- podmioty grożące
- zagrożenia
- kwitnie
- poprzez
- czas
- do
- także
- narzędzie
- narzędzia
- Top
- śledzić
- utworów
- ruch drogowy
- próba
- Oszukany
- wyzwalać
- Zaufaj
- zaufany
- rodzaj
- Nieupoważniony
- odkryć
- zrozumieć
- zrozumienie
- Nieoczekiwany
- wyjątkowy
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- zwykły
- Użytkowe
- użyteczność
- Cenny
- Ve
- sprzedawca
- sprzedawców
- początku.
- Ofiara
- widoczność
- chcieć
- była
- Droga..
- we
- sieć
- DOBRZE
- Co
- Co to jest
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- KIM
- szeroki
- Dziki
- skłonny
- okno
- w
- w ciągu
- pisanie
- You
- zefirnet
- zero
- zero zaufania