Com os adversários a depender cada vez mais de ferramentas legítimas para ocultar as suas atividades maliciosas, os defensores das empresas têm de repensar a arquitetura da rede para detetar e defender-se contra estes ataques.
Conhecidas como “viver da terra” (LotL), essas táticas referem-se à forma como os adversários usam ferramentas nativas e legítimas no ambiente da vítima para realizar seus ataques. Quando os invasores introduzem novas ferramentas no ambiente usando seus próprios malwares ou ferramentas, eles criam algum ruído na rede. Isso levanta a possibilidade de que essas ferramentas acionem alarmes de segurança e alertem os defensores de que alguém não autorizado está na rede e realizando atividades suspeitas. Os invasores que usam as ferramentas existentes tornam mais difícil para os defensores separar as ações maliciosas das atividades legítimas.
Para forçar os invasores a criar mais ruído na rede, os líderes de segurança de TI devem repensar a rede para que a movimentação pela rede não seja tão fácil.
Protegendo identidades, limitando movimentos
Uma abordagem é aplicar fortes controles de acesso e monitorar análises de comportamento privilegiado para que a equipe de segurança possa analisar o tráfego de rede e as solicitações de acesso provenientes de suas próprias ferramentas. A confiança zero com fortes controles de acesso privilegiado – como o princípio do menor privilégio – torna mais difícil para os invasores se movimentarem pela rede, diz Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea.
“Isso os obriga a usar técnicas que criam mais ruído e ondulações na rede”, diz ele. “Isso dá aos defensores de TI uma melhor chance de detectar acesso não autorizado muito mais cedo no ataque – antes que eles tenham a chance de implantar software malicioso ou ransomware.”
Outra é considerar as tecnologias de corretor de segurança de acesso à nuvem (CASB) e de borda de serviço de acesso seguro (SASE) para entender quem (ou o quê) está se conectando a quais recursos e sistemas, o que pode destacar fluxos de rede inesperados ou suspeitos. As soluções CASB são projetadas para fornecer segurança e visibilidade para organizações que adotam serviços e aplicativos em nuvem. Eles atuam como intermediários entre usuários finais e provedores de serviços em nuvem, oferecendo uma variedade de controles de segurança, incluindo prevenção contra perda de dados (DLP), controle de acesso, criptografia e detecção de ameaças.
SASE é uma estrutura de segurança que combina funções de segurança de rede, como gateways da Web seguros, firewall como serviço e acesso à rede de confiança zero, com recursos de rede de área ampla (WAN), como SD-WAN (rede de área ampla definida por software). ).
“Deve haver um foco robusto no gerenciamento da superfície de ataque [LotL]”, diz Gareth Lindahl-Wise, CISO da Ontinue. “Os invasores têm sucesso onde ferramentas e processos integrados ou implantados podem ser usados a partir de muitos endpoints por muitas identidades.”
Estas atividades, pela sua natureza, são anomalias comportamentais, pelo que é fundamental compreender o que está a ser monitorizado e alimentar plataformas de correlação, afirma Lindahl-Wise. As equipes devem garantir a cobertura de pontos finais e identidades e, ao longo do tempo, enriquecer isso com informações de conectividade de rede. A inspeção do tráfego de rede pode ajudar a descobrir outras técnicas, mesmo que o próprio tráfego esteja criptografado.
Uma abordagem baseada em evidências
As organizações podem e devem adotar uma abordagem baseada em evidências para priorizar quais fontes de telemetria utilizam para obter visibilidade sobre abusos legítimos de serviços públicos.
“O custo de armazenamento de fontes de log de maior volume é um fator muito real, mas os gastos com telemetria devem ser otimizados de acordo com fontes que fornecem uma visão das ameaças, incluindo serviços públicos abusados, observadas com mais frequência na natureza e consideradas relevantes para a organização ”, diz Scott Small, diretor de inteligência de ameaças da Tidal Cyber.
Vários esforços da comunidade tornam este processo mais prático do que antes, incluindo o projeto de código aberto “LOLBAS”, que rastreia as aplicações potencialmente maliciosas de centenas de utilitários importantes, salienta.
Enquanto isso, um catálogo crescente de recursos do MITRE ATT&CK, do Center for Threat-Informed Defense e de fornecedores de ferramentas de segurança permite a tradução desses mesmos comportamentos adversários diretamente em dados e fontes de log discretos e relevantes.
“Não é prático para a maioria das organizações rastrear totalmente todas as fontes de log conhecidas o tempo todo”, observa Small. “Nossa análise dos dados do projeto LOBAS mostra que esses utilitários LotL podem ser usados para realizar praticamente todo tipo de atividade maliciosa.”
Eles vão desde evasão de defesa até escalonamento de privilégios, persistência, acesso a credenciais e até mesmo exfiltração e impacto.
“Isso também significa que existem dezenas de fontes de dados distintas que podem dar visibilidade ao uso malicioso dessas ferramentas – muitas para serem registradas de forma realista e abrangente por longos períodos de tempo”, diz Small.
No entanto, uma análise mais detalhada mostra onde existem agrupamentos (e fontes únicas) – por exemplo, apenas seis das 48 fontes de dados são relevantes para mais de três quartos (82%) das técnicas relacionadas com LOLBAS.
“Isso oferece oportunidades para integrar ou otimizar a telemetria diretamente de acordo com as principais técnicas de vida fora da terra, ou aquelas associadas aos serviços públicos considerados de maior prioridade pela organização”, diz Small.
Passos práticos para líderes de segurança de TI
As equipes de segurança de TI podem tomar muitas medidas práticas e razoáveis para detectar invasores que vivem fora do território, desde que tenham visibilidade dos eventos.
“Embora seja ótimo ter visibilidade da rede, os eventos de endpoints – tanto estações de trabalho quanto servidores – são igualmente valiosos se bem usados”, afirma Randy Pargman, diretor de detecção de ameaças da Proofpoint.
Por exemplo, uma das técnicas LotL usadas recentemente por muitos agentes de ameaças é instalar software legítimo de monitoramento e gerenciamento remoto (RMM).
Os invasores preferem ferramentas RMM porque são confiáveis, assinadas digitalmente e não acionam alertas antivírus ou de detecção e resposta de endpoint (EDR), além de serem fáceis de usar e a maioria dos fornecedores de RMM ter uma opção de teste gratuito com todos os recursos.
A vantagem para as equipes de segurança é que todas as ferramentas RMM têm um comportamento muito previsível, incluindo assinaturas digitais, chaves de registro que são modificadas, nomes de domínio que são pesquisados e nomes de processos a serem procurados.
“Tive grande sucesso na detecção do uso de ferramentas RMM por intrusos simplesmente escrevendo assinaturas de detecção para todas as ferramentas RMM disponíveis gratuitamente e abrindo uma exceção para a ferramenta aprovada, se houver”, diz Pargman.
Ajuda se apenas um fornecedor de RMM for autorizado para uso e se ele for sempre instalado da mesma maneira – como durante a criação de imagens do sistema ou com um script especial – para que seja fácil saber a diferença entre uma instalação autorizada e uma instalação autorizada. ator de ameaça enganando um usuário para que execute a instalação, acrescenta.
“Existem muitas outras oportunidades de detecção como esta, começando com a lista em LOLBAS”, diz Pargman. “Executando consultas de busca de ameaças em todos os eventos de endpoint, as equipes de segurança podem encontrar os padrões de uso normal em seus ambientes e, em seguida, criar consultas de alerta personalizadas para detectar padrões anormais de uso.”
Também existem oportunidades para limitar o abuso de ferramentas integradas preferidas pelos invasores, como alterar o programa padrão usado para abrir arquivos de script (extensões de arquivo .js, .jse, .vbs, .vbe, .wsh, etc.) para que que eles não abrem em WScript.exe quando clicados duas vezes.
“Isso ajuda a evitar que os usuários finais sejam induzidos a executar um script malicioso”, diz Pargman.
Reduzindo a dependência de credenciais
As organizações precisam reduzir a dependência de credenciais para estabelecer conexões, de acordo com Rob Hughes, CIO da RSA. Da mesma forma, as organizações precisam gerar alertas sobre tentativas anômalas e fracassadas e valores discrepantes, a fim de dar às equipes de segurança visibilidade sobre onde a visibilidade criptografada está em jogo. Compreender o que é “normal” e “bom” nas comunicações de sistemas e identificar valores discrepantes é uma forma de detectar ataques LotL.
Uma área frequentemente negligenciada e que está a começar a receber muito mais atenção é a das contas de serviços, que tendem a ser não regulamentadas, pouco protegidas e um alvo principal para viver dos ataques terrestres.
“Eles executam nossas cargas de trabalho em segundo plano. Tendemos a confiar neles – provavelmente até demais”, diz Hughes. “Você também deseja inventário, propriedade e mecanismos de autenticação fortes nessas contas.”
A última parte pode ser mais difícil de alcançar porque as contas de serviço não são interativas, portanto, os mecanismos usuais de autenticação multifator (MFA) dos quais as organizações dependem com os usuários não estão em jogo.
“Como qualquer autenticação, existem graus de força”, diz Hughes. “Eu recomendo escolher um mecanismo forte e garantir que as equipes de segurança registrem e respondam a quaisquer logins interativos de uma conta de serviço. Isso não deveria estar acontecendo.”
É necessário um investimento de tempo adequado
Construir uma cultura de segurança não precisa ser caro, mas é necessária uma liderança disposta a apoiar e defender a causa.
O investimento em tempo às vezes é o maior investimento a ser feito, diz Hughes. Mas aplicar fortes controlos de identidade em toda a organização não tem de ser um esforço dispendioso em comparação com a redução do risco que isso proporciona.
“A segurança depende da estabilidade e da consistência, mas nem sempre podemos controlar isso num ambiente de negócios”, diz ele. “Faça investimentos inteligentes na redução da dívida técnica em sistemas que não são compatíveis ou cooperativos com MFA ou fortes controles de identidade.”
É tudo uma questão de velocidade de detecção e resposta, diz Pargman.
“Em muitos casos que investiguei, o que fez a maior diferença positiva para os defensores foi uma resposta rápida de um analista alerta de SecOps que percebeu algo suspeito, investigou e descobriu a intrusão antes que o ator da ameaça tivesse a chance de se expandir. sua influência”, diz ele.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :é
- :não
- :onde
- $UP
- 7
- a
- anormal
- Sobre
- abuso
- Acesso
- Segundo
- Conta
- Contas
- Alcançar
- em
- Aja
- ações
- atividades
- atividade
- atores
- Adiciona
- adequado
- adotar
- Vantagem
- adversarial
- consultivo
- contra
- Alertar
- Alertas
- Todos os Produtos
- permitir
- tb
- sempre
- an
- análise
- analista
- analítica
- analisar
- e
- anomalias
- antivirus
- qualquer
- aplicações
- Aplicar
- abordagem
- aprovou
- arquitetura
- SOMOS
- ÁREA
- por aí
- AS
- associado
- At
- ataque
- Ataques
- Tentativas
- por WhatsApp.
- Autenticação
- autorizado
- disponível
- evitar
- fundo
- BE
- Porque
- antes
- comportamento
- comportamental
- comportamentos
- ser
- Melhor
- entre
- O maior
- ambos
- corretor
- construir
- construídas em
- negócio
- mas a
- by
- CAN
- capacidades
- transportar
- transporte
- casos
- catálogo
- Causar
- Centralização de
- campeão
- chance
- mudança
- chefe
- CIO
- CISO
- mais próximo
- Na nuvem
- serviços na nuvem
- agrupamento
- combinando
- vinda
- Comunicações
- comunidade
- comparação
- compatível
- Conexão de
- Coneções
- Conectividade
- Considerar
- ao controle
- controles
- cooperativo
- Correlação
- Custo
- poderia
- cobertura
- crio
- CREDENCIAL
- Credenciais
- crítico
- Cultura
- personalizadas
- cibernético
- dados,
- Perda de Dados
- Dívida
- considerado
- Padrão
- Defensores
- Defesa
- implantado
- Implantação
- projetado
- descobrir
- Detecção
- diferença
- digital
- digitalmente
- diretamente
- Diretor
- do
- parece
- não
- fazer
- domínio
- NOMES DE DOMÍNIO
- dezenas
- durante
- Mais cedo
- fácil
- borda
- esforços
- criptografada
- criptografia
- final
- esforço
- Ponto final
- enriquecer
- garantir
- Empreendimento
- Meio Ambiente
- ambientes
- escalada
- estabelecer
- etc.
- evasão
- Mesmo
- eventos
- Cada
- exemplo
- exceção
- exfiltração
- existir
- existente
- Expandir
- caro
- extensões
- fator
- fracassado
- favorecer
- destaque
- alimentação
- Envie o
- Arquivos
- Encontre
- Fluxos
- Foco
- Escolha
- força
- Forças
- encontrado
- Quadro
- Gratuito
- teste grátis
- livremente
- da
- totalmente
- funções
- Ganho
- gateways
- ter
- GitHub
- OFERTE
- dá
- Bom estado, com sinais de uso
- ótimo
- Crescente
- tinha
- Acontecimento
- mais duro
- Ter
- he
- ajudar
- ajuda
- Esconder
- mais
- Destaques
- Como funciona o dobrador de carta de canal
- HTTPS
- Centenas
- i
- identificar
- identidades
- Identidade
- if
- Imagiologia
- Impacto
- in
- Incluindo
- incluindo digital
- cada vez mais
- influência
- INFORMAÇÕES
- instalar
- instalação
- instalado
- Inteligência
- interativo
- intermediários
- para dentro
- introduzir
- inventário
- investimento
- Investimentos
- IT
- segurança de TI
- se
- jpg
- apenas por
- Chave
- chaves
- conhecido
- Terreno
- maior
- Sobrenome
- líderes
- Liderança
- mínimo
- legítimo
- como
- Provável
- LIMITE
- limitando
- Line
- Lista
- vida
- log
- longo
- olhar
- parece
- olhou
- fora
- lote
- moldadas
- fazer
- FAZ
- Fazendo
- malicioso
- malwares
- de grupos
- gestão
- muitos
- significa
- mecanismo
- mecanismos
- MFA
- modificada
- Monitore
- monitorados
- monitoração
- mais
- a maioria
- mover
- movimentos
- em movimento
- muito
- autenticação multifator
- devo
- nomes
- nativo
- Natureza
- você merece...
- rede
- Rede de Segurança
- tráfego de rede
- Novo
- Ruído
- normal
- Notas
- of
- WOW!
- oferecendo treinamento para distância
- frequentemente
- on
- A bordo
- ONE
- queridos
- só
- aberto
- open source
- oportunidades
- Otimize
- otimizado
- Opção
- or
- ordem
- organização
- organizações
- Outros
- A Nossa
- Fora
- Acima de
- próprio
- propriedade
- parte
- particular
- padrões
- períodos
- persistência
- colheita
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- mais
- pontos
- positivo
- possibilidade
- potencialmente
- Prática
- praticamente
- Previsível
- preferir
- Prevenção
- Prime
- princípio
- priorização
- prioridade
- privilégio
- privilegiado
- processo
- processos
- Agenda
- projeto
- protegido
- fornecer
- fornecedores
- fornece
- consultas
- Links
- aumentar
- raises
- alcance
- ransomware
- reais
- razoável
- recentemente
- recomendar
- redesenhando
- reduzir
- redução
- redução
- referir
- registro
- relevante
- confiança
- depender
- contando
- remoto
- pedidos
- requeridos
- Recursos
- Responder
- resposta
- ondulações
- Risco
- roubar
- uma conta de despesas robusta
- rsa
- Execute
- corrida
- s
- mesmo
- diz
- Cientista
- scott
- escrita
- seguro
- assegurando
- segurança
- separado
- Servidores
- serviço
- provedores de serviço
- Serviços
- conjunto
- rede de apoio social
- Shows
- Assinaturas
- assinado
- simplesmente
- SIX
- pequeno
- smart
- So
- Software
- Soluções
- alguns
- Alguém
- algo
- às vezes
- fonte
- Fontes
- especial
- velocidade
- gastar
- Patrocinado
- Estabilidade
- Comece
- Passos
- armazenar
- força
- mais forte,
- suceder
- sucesso
- tal
- ajuda
- certo
- superfície
- suspeito
- .
- sistemas
- tática
- Tire
- Target
- Profissionais
- equipes
- Dados Técnicos:
- técnicas
- Tecnologias
- dizer
- Tender
- do que
- que
- A
- deles
- Eles
- então
- Lá.
- Este
- deles
- coisa
- isto
- aqueles
- ameaça
- atores de ameaças
- ameaças
- prospera
- todo
- tempo
- para
- também
- ferramenta
- ferramentas
- topo
- pista
- faixas
- tráfego
- julgamento
- enganado
- desencadear
- Confiança
- confiável
- tipo
- não autorizado
- descobrir
- compreender
- compreensão
- Inesperado
- único
- usar
- usava
- Utilizador
- usuários
- utilização
- habitual
- utilitários
- utilidade
- Valioso
- Ve
- fornecedor
- fornecedores
- muito
- Vítima
- visibilidade
- queremos
- foi
- Caminho..
- we
- web
- BEM
- O Quê
- O que é a
- quando
- qual
- enquanto
- QUEM
- Largo
- Selvagem
- disposto
- janela
- de
- dentro
- escrita
- Vocês
- zefirnet
- zero
- zero confiança