Cu adversarii care se bazează tot mai mult pe instrumente legitime pentru a-și ascunde activitățile rău intenționate, apărătorii întreprinderilor trebuie să regândească arhitectura rețelei pentru a detecta și a se apăra împotriva acestor atacuri.
Cunoscute sub numele de „a trăi din pământ” (LotL), aceste tactici se referă la modul în care adversarii folosesc instrumente native și legitime din mediul victimei pentru a-și duce atacurile. Când atacatorii introduc instrumente noi în mediu folosind propriile lor programe malware sau instrumente, ei creează zgomot în rețea. Acest lucru ridică posibilitatea ca acele instrumente să declanșeze alarme de securitate și să avertizeze apărătorii că cineva neautorizat se află în rețea și desfășoară activități suspecte. Atacatorii care folosesc instrumentele existente îngreunează apărătorilor să separe acțiunile rău intenționate de activitatea legitimă.
Pentru a forța atacatorii să creeze mai mult zgomot în rețea, liderii de securitate IT trebuie să regândească rețeaua, astfel încât deplasarea în rețea să nu fie atât de ușoară.
Securizarea identităților, limitarea mișcărilor
O abordare este aplicarea unor controale puternice de acces și monitorizarea analizei comportamentului privilegiat, astfel încât echipa de securitate să poată analiza traficul de rețea și solicitările de acces care provin de la propriile instrumente. Încrederea zero cu controale puternice de acces privilegiat – cum ar fi principiul celui mai mic privilegiu – îngreunează mișcarea atacatorilor în rețea, spune Joseph Carson, om de știință în domeniul securității și consilier CISO la Delinea.
„Acest lucru îi obligă să folosească tehnici care creează mai mult zgomot și ondulații în rețea”, spune el. „Oferă apărătorilor IT o șansă mai bună de a detecta accesul neautorizat mult mai devreme în atac – înainte ca aceștia să aibă șansa de a implementa software rău intenționat sau ransomware.”
O alta este să luați în considerare tehnologiile brokerului de securitate pentru acces la cloud (CASB) și secure access service edge (SASE) pentru a înțelege cine (sau ce) se conectează la ce resurse și sisteme, ceea ce poate evidenția fluxuri de rețea neașteptate sau suspecte. Soluțiile CASB sunt concepute pentru a oferi securitate și vizibilitate pentru organizațiile care adoptă servicii și aplicații cloud. Aceștia acționează ca intermediari între utilizatorii finali și furnizorii de servicii cloud, oferind o gamă largă de controale de securitate, inclusiv prevenirea pierderii datelor (DLP), controlul accesului, criptarea și detectarea amenințărilor.
SASE este un cadru de securitate care combină funcții de securitate a rețelei, cum ar fi gateway-uri Web securizate, firewall-as-a-service și acces la rețea de încredere zero, cu capabilități de rețea largă (WAN) precum SD-WAN (rețea extinsă definită de software). ).
„Ar trebui să existe un accent puternic pe gestionarea suprafeței de atac [LotL]”, spune Gareth Lindahl-Wise, CISO la Ontinue. „Atacatorii reușesc acolo unde instrumentele și procesele încorporate sau implementate pot fi folosite de la prea multe puncte finale de prea multe identități.”
Aceste activități, prin natura lor, sunt anomalii de comportament, așa că înțelegerea a ceea ce este monitorizat și alimentat în platformele de corelare este esențială, spune Lindahl-Wise. Echipele ar trebui să asigure acoperirea de la punctele finale și identitățile și apoi, în timp, să îmbogățească acest lucru cu informații de conectivitate la rețea. Inspecția traficului în rețea poate ajuta la descoperirea altor tehnici, chiar dacă traficul în sine este criptat.
O abordare bazată pe dovezi
Organizațiile pot și ar trebui să adopte o abordare bazată pe dovezi pentru a prioritiza sursele de telemetrie pe care le folosesc pentru a obține vizibilitate asupra abuzului legitim de utilitate.
„Costul stocării surselor de jurnal de volum mai mare este un factor foarte real, dar cheltuielile pentru telemetrie ar trebui optimizate în funcție de sursele care oferă o fereastră asupra amenințărilor, inclusiv a utilităților abuzate, observate cel mai des în sălbăticie și considerate relevante pentru organizație. ”, spune Scott Small, director de informații despre amenințări la Tidal Cyber.
Eforturile multiple ale comunității fac acest proces mai practic decât înainte, inclusiv proiectul open source „LOLBAS”, care urmărește aplicațiile potențial rău intenționate a sute de utilități cheie, subliniază el.
Între timp, un catalog din ce în ce mai mare de resurse de la MITRE ATT&CK, Centrul pentru Apărare Informată asupra Amenințărilor și furnizorii de instrumente de securitate permit traducerea din aceleași comportamente adverse direct în date discrete și relevante și surse de jurnal.
„Nu este practic pentru majoritatea organizațiilor să urmărească complet fiecare sursă de jurnal cunoscută tot timpul”, notează Small. „Analiza noastră a datelor din proiectul LOBAS arată că aceste utilități LotL pot fi folosite pentru a desfășura practic orice tip de activitate rău intenționată.”
Acestea variază de la evaziunea apărării până la escaladarea privilegiilor, persistență, acces la acreditări și chiar exfiltrare și impact.
„Acest lucru înseamnă, de asemenea, că există zeci de surse de date discrete care ar putea oferi vizibilitate asupra utilizării rău intenționate a acestor instrumente – prea mult pentru a se înregistra în mod realist complet și pentru perioade lungi de timp”, spune Small.
Cu toate acestea, o analiză mai atentă arată unde există gruparea (și sursele unice) – de exemplu, doar șase din 48 de surse de date sunt relevante pentru mai mult de trei sferturi (82%) din tehnicile legate de LOLBAS.
„Acest lucru oferă oportunități de integrare sau optimizare a telemetriei în mod direct în conformitate cu tehnicile de top de viață din teren sau cu cele asociate cu utilitățile considerate cea mai mare prioritate de către organizație”, spune Small.
Pași practici pentru liderii de securitate IT
Echipele de securitate IT pot lua mulți pași practici și rezonabili pentru a detecta atacatorii care trăiesc în afara terenului, atâta timp cât au vizibilitate asupra evenimentelor.
„Deși este grozav să ai vizibilitate în rețea, evenimentele de la punctele terminale – atât stațiile de lucru, cât și serverele – sunt la fel de valoroase dacă sunt folosite bine”, spune Randy Pargman, director de detectare a amenințărilor la Proofpoint.
De exemplu, una dintre tehnicile LotL utilizate recent de mulți actori de amenințări este instalarea unui software legitim de monitorizare și management de la distanță (RMM).
Atacatorii preferă instrumentele RMM pentru că sunt de încredere, sunt semnate digital și nu vor declanșa alerte antivirus sau de detectare și răspuns la punctele finale (EDR), în plus, sunt ușor de utilizat și majoritatea furnizorilor de RMM au o opțiune de încercare gratuită completă.
Avantajul echipelor de securitate este că toate instrumentele RMM au un comportament foarte previzibil, inclusiv semnături digitale, chei de registry care sunt modificate, nume de domenii care sunt căutate și nume de proces de căutat.
„Am avut un mare succes în detectarea utilizării intrușilor a instrumentelor RMM prin simpla scriere a semnăturilor de detectare pentru toate instrumentele RMM disponibile gratuit și făcând o excepție pentru instrumentul aprobat, dacă există”, spune Pargman.
Este de ajutor dacă un singur furnizor RMM este autorizat să fie utilizat și dacă acesta este întotdeauna instalat în același mod – cum ar fi în timpul imagistică de sistem sau cu un script special – astfel încât să fie ușor de făcut diferența dintre o instalare autorizată și o un actor de amenințare care păcălește un utilizator să ruleze instalarea, adaugă el.
„Există multe alte oportunități de detectare ca aceasta, începând cu lista înscrisă LOLBAS”, spune Pargman. „Rulând interogări de vânătoare de amenințări în toate evenimentele terminale, echipele de securitate pot găsi modele de utilizare normală în mediile lor, apoi pot crea interogări de alertă personalizate pentru a detecta modele anormale de utilizare.”
Există, de asemenea, oportunități de a limita abuzul de instrumente încorporate pe care atacatorii le preferă, cum ar fi schimbarea programului implicit utilizat pentru a deschide fișierele de scripting (extensii de fișiere .js, .jse, .vbs, .vbe, .wsh etc.), deci că nu se deschid în WScript.exe când se face dublu clic.
„Aceasta ajută la evitarea ca utilizatorii finali să fie păcăliți să execute un script rău intenționat”, spune Pargman.
Reducerea dependenței de acreditări
Organizațiile trebuie să își reducă dependența de acreditări pentru a stabili conexiuni, conform lui Rob Hughes, CIO al RSA. De asemenea, organizațiile trebuie să declanșeze alerte privind încercările și valorile anormale nereușite, pentru a oferi echipelor de securitate vizibilitate în cazul în care este în joc vizibilitatea criptată. Înțelegerea cum arată „normal” și „bun” în comunicațiile sistemelor și identificarea valorii aberante este o modalitate de a detecta atacurile LotL.
O zonă adesea trecută cu vederea și care începe să primească mult mai multă atenție sunt conturile de servicii, care tind să fie nereglementate, slab protejate și o țintă principală pentru a trăi din atacurile terestre.
„Ei rulează sarcinile noastre de lucru în fundal. Avem tendința de a avea încredere în ei – probabil prea mult”, spune Hughes. „Doriți inventar, proprietate și mecanisme puternice de autentificare și pentru aceste conturi.”
Ultima parte poate fi mai greu de realizat, deoarece conturile de serviciu nu sunt interactive, astfel încât mecanismele obișnuite de autentificare multifactor (MFA) pe care se bazează organizațiile cu utilizatorii nu sunt în joc.
„Ca orice autentificare, există grade de putere”, spune Hughes. „Recomand să alegeți un mecanism puternic și să vă asigurați că echipele de securitate se înregistrează și răspund la orice autentificare interactivă dintr-un cont de serviciu. Acestea nu ar trebui să se întâmple.”
Este necesară o investiție de timp adecvată
Construirea unei culturi a securității nu trebuie să fie costisitoare, dar aveți nevoie de un lider dispus pentru a sprijini și a susține cauza.
Investiția în timp este uneori cea mai mare investiție de făcut, spune Hughes. Dar aplicarea unor controale puternice de identitate în cadrul și în întreaga organizație nu trebuie să fie un efort costisitor în comparație cu reducerea riscului prin care se realizează acest lucru.
„Securitatea prosperă pe stabilitate și consecvență, dar nu putem întotdeauna controla asta într-un mediu de afaceri”, spune el. „Fă investiții inteligente în reducerea datoriilor tehnice în sisteme care nu sunt compatibile sau cooperante cu AMF sau cu controale puternice de identitate.”
Totul tine de viteza de detectare si raspuns, spune Pargman.
„În atât de multe cazuri pe care le-am investigat, lucrul care a făcut cea mai mare diferență pozitivă pentru apărători a fost un răspuns rapid din partea unui analist alert SecOps care a observat ceva suspect, a investigat și a descoperit intruziunea înainte ca actorul amenințării să aibă șansa de a se extinde. influența lor”, spune el.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :este
- :nu
- :Unde
- $UP
- 7
- a
- anormal
- Despre Noi
- abuz
- acces
- Conform
- Cont
- Conturi
- Obține
- peste
- act
- acțiuni
- activităţi de
- activitate
- actori
- Adaugă
- adecvat
- adopta
- Avantaj
- contradictorialității
- consultativ
- împotriva
- Alerta
- Alerte
- TOATE
- permite
- de asemenea
- mereu
- an
- analiză
- analist
- Google Analytics
- analiza
- și
- anomalii
- antivirus
- Orice
- aplicatii
- Aplică
- abordare
- aprobat
- arhitectură
- SUNT
- ZONĂ
- în jurul
- AS
- asociate
- At
- ataca
- Atacuri
- Încercările
- atenţie
- Autentificare
- autorizat
- disponibil
- evita
- fundal
- BE
- deoarece
- înainte
- comportament
- comportamental
- comportamente
- fiind
- Mai bine
- între
- Cea mai mare
- atât
- agent
- construi
- construit-in
- afaceri
- dar
- by
- CAN
- capacități
- transporta
- purtător
- cazuri
- catalog
- Provoca
- Centru
- campion
- șansă
- schimbarea
- şef
- CIO
- CISO
- mai aproape
- Cloud
- servicii de tip cloud
- clustering
- combinând
- venire
- Comunicații
- comunitate
- comparație
- compatibil
- Conectarea
- Conexiuni
- Suport conectare
- Lua în considerare
- Control
- controale
- cooperativă
- Corelație
- A costat
- ar putea
- acoperire
- crea
- CREDENTIALĂ
- scrisori de acreditare
- critic
- Cultură
- personalizat
- Cyber
- de date
- pierderi de date
- Datorie
- considerate
- Mod implicit
- apărătorii
- Apărare
- dislocate
- Implementarea
- proiectat
- detecta
- Detectare
- diferenţă
- digital
- digital
- direct
- Director
- do
- face
- nu
- face
- domeniu
- NUMELE DE DOMENIU
- zeci
- în timpul
- Mai devreme
- uşor
- Margine
- Eforturile
- criptate
- criptare
- capăt
- încerca
- Punct final
- îmbogăți
- asigura
- Afacere
- Mediu inconjurator
- medii
- Escaladarea
- stabili
- etc
- evaziune
- Chiar
- evenimente
- Fiecare
- exemplu
- excepție
- exfiltrațiile
- exista
- existent
- Extinde
- scump
- extensii
- factor
- A eșuat
- favoriza
- Recomandate
- hrănire
- Fișier
- Fişiere
- Găsi
- fluxurilor
- Concentra
- Pentru
- Forţarea
- Forțele
- găsit
- Cadru
- Gratuit
- încercare gratuită
- în mod liber
- din
- complet
- funcții
- Câştig
- gateway-uri
- obține
- GitHub
- Da
- oferă
- bine
- mare
- În creştere
- HAD
- lucru
- Mai tare
- Avea
- he
- ajutor
- ajută
- Ascunde
- cea mai mare
- Evidențiați
- Cum
- HTTPS
- sute
- i
- identificarea
- identitățile
- Identitate
- if
- Imaging
- Impactul
- in
- Inclusiv
- inclusiv digital
- tot mai mult
- influență
- informații
- instala
- instalare
- instalat
- Inteligență
- interactiv
- intermediari
- în
- introduce
- inventar
- investiţie
- Investiții
- IT
- este securitate
- în sine
- jpg
- doar
- Cheie
- chei
- cunoscut
- Țară
- cea mai mare
- Nume
- Liderii
- Conducere
- cel mai puțin
- legitim
- ca
- Probabil
- LIMITĂ
- limitativ
- Linie
- Listă
- viaţă
- log
- Lung
- Uite
- arată ca
- uitat
- de pe
- Lot
- făcut
- face
- FACE
- Efectuarea
- rău
- malware
- administrare
- de conducere
- multe
- mijloace
- mecanism
- mecanisme
- AMF
- modificată
- monitor
- monitorizate
- Monitorizarea
- mai mult
- cele mai multe
- muta
- mișcări
- în mişcare
- mult
- autentificare multifactor
- trebuie sa
- nume
- nativ
- Natură
- Nevoie
- reţea
- Securitatea rețelei
- trafic de retea
- Nou
- Zgomot
- normală.
- notițe
- of
- de pe
- oferind
- de multe ori
- on
- bord
- ONE
- cele
- afară
- deschide
- open-source
- Oportunităţi
- Optimizați
- optimizate
- Opțiune
- or
- comandă
- organizație
- organizații
- Altele
- al nostru
- afară
- peste
- propriu
- proprietate
- parte
- special
- modele
- perioadele
- persistență
- cules
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- la care se adauga
- puncte
- pozitiv
- posibilitate
- potenţial
- Practic
- practic
- predictibil
- a prefera
- Prevenirea
- Prim
- principiu
- Stabilirea priorităților
- prioritate
- privilegiu
- privilegiat
- proces
- procese
- Program
- proiect
- protejat
- furniza
- furnizori
- furnizează
- interogări
- Rapid
- ridica
- ridică
- gamă
- Ransomware
- real
- rezonabil
- recent
- recomanda
- reproiectarea
- reduce
- reducerea
- reducere
- trimite
- registru
- încredere
- se bazează
- bazându-se
- la distanta
- cereri de
- necesar
- Resurse
- Răspunde
- răspuns
- ondulații
- Risc
- jefui
- robust
- rsa
- Alerga
- funcţionare
- s
- acelaşi
- spune
- Om de stiinta
- îra
- scenariu
- sigur
- asigurarea
- securitate
- distinct
- Servere
- serviciu
- prestatori de servicii
- Servicii
- set
- să
- Emisiuni
- Semnături
- semnat
- pur şi simplu
- SIX
- mic
- inteligent
- So
- Software
- soluţii
- unele
- Cineva
- ceva
- uneori
- Sursă
- Surse
- special
- viteză
- petrece
- Sponsorizat
- Stabilitate
- Pornire
- paşi
- stocarea
- rezistenţă
- puternic
- reuși
- succes
- astfel de
- a sustine
- sigur
- Suprafață
- suspicios
- sistem
- sisteme
- tactică
- Lua
- Ţintă
- echipă
- echipe
- Tehnic
- tehnici de
- Tehnologii
- spune
- Tind
- decât
- acea
- lor
- Lor
- apoi
- Acolo.
- Acestea
- ei
- lucru
- acest
- aceste
- amenințare
- actori amenințători
- amenințări
- înflorește
- de-a lungul
- timp
- la
- de asemenea
- instrument
- Unelte
- top
- urmări
- piese
- trafic
- proces
- păcălit
- declanşa
- Încredere
- de încredere
- tip
- neautorizat
- descoperi
- înţelege
- înţelegere
- Neașteptat
- unic
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- ca de obicei
- utilitati
- utilitate
- Valoros
- Ve
- vânzător
- furnizori
- foarte
- Victimă
- vizibilitate
- vrea
- a fost
- Cale..
- we
- web
- BINE
- Ce
- Ce este
- cand
- care
- în timp ce
- OMS
- larg
- Sălbatic
- dispus
- fereastră
- cu
- în
- scris
- Tu
- zephyrnet
- zero
- încredere zero