Поскольку злоумышленники все чаще полагаются на законные инструменты для сокрытия своей вредоносной деятельности, защитникам предприятий приходится переосмысливать сетевую архитектуру, чтобы обнаруживать эти атаки и защищаться от них.
Эта тактика, известная как «жизнь за счет земли» (LotL), означает, что злоумышленники используют собственные законные инструменты в среде жертвы для осуществления своих атак. Когда злоумышленники внедряют в среду новые инструменты, используя свои собственные вредоносные программы или инструменты, они создают некоторый шум в сети. Это повышает вероятность того, что эти инструменты могут активировать охранную сигнализацию и предупредить защитников о том, что кто-то несанкционированный находится в сети и осуществляет подозрительную деятельность. Злоумышленникам, использующим существующие инструменты, становится сложнее отличить вредоносные действия от законной деятельности.
Чтобы заставить злоумышленников создавать больше шума в сети, руководители ИТ-безопасности должны переосмыслить сеть, чтобы передвижение по ней было не таким простым.
Защита личности, ограничение передвижения
Один из подходов — применять строгий контроль доступа и отслеживать аналитику привилегированного поведения, чтобы команда безопасности могла анализировать сетевой трафик и запросы на доступ, поступающие от их собственных инструментов. «Нулевое доверие» с жестким контролем привилегированного доступа, таким как принцип наименьших привилегий, затрудняет передвижение злоумышленников по сети, говорит Джозеф Карсон, главный специалист по безопасности и консультативный директор по информационной безопасности в Delinea.
«Это вынуждает их использовать методы, которые создают больше шума и пульсаций в сети», — говорит он. «Это дает ИТ-защитникам больше шансов обнаружить несанкционированный доступ гораздо раньше в ходе атаки — до того, как у них появится шанс развернуть вредоносное программное обеспечение или программы-вымогатели».
Другой вариант — рассмотреть технологии брокера безопасности доступа к облаку (CASB) и периферии службы безопасного доступа (SASE), чтобы понять, кто (или что) к каким ресурсам и системам подключается, что может выявить неожиданные или подозрительные сетевые потоки. Решения CASB предназначены для обеспечения безопасности и прозрачности для организаций, внедряющих облачные сервисы и приложения. Они выступают в качестве посредников между конечными пользователями и поставщиками облачных услуг, предлагая ряд мер безопасности, включая предотвращение потери данных (DLP), контроль доступа, шифрование и обнаружение угроз.
SASE — это платформа безопасности, сочетающая функции сетевой безопасности, такие как защищенные веб-шлюзы, межсетевой экран как услуга и доступ к сети с нулевым доверием, с возможностями глобальной сети (WAN), такими как SD-WAN (программно-определяемая глобальная сеть). ).
«Необходимо уделять пристальное внимание управлению поверхностью атаки [LotL]», — говорит Гарет Линдал-Вайз, директор по информационной безопасности в Ontinue. «Злоумышленники добиваются успеха там, где встроенные или развернутые инструменты и процессы могут использоваться слишком многими конечными точками слишком большим количеством пользователей».
Эти действия по своей природе являются поведенческими аномалиями, поэтому понимание того, что отслеживается и что вводится в корреляционные платформы, имеет решающее значение, говорит Линдал-Вайз. Команды должны обеспечить покрытие конечных точек и идентификаторов, а затем со временем дополнить их информацией о сетевых подключениях. Проверка сетевого трафика может помочь обнаружить другие методы, даже если сам трафик зашифрован.
Доказательный подход
Организации могут и должны применять научно обоснованный подход к определению приоритетности источников телеметрии, которые они используют, чтобы получить представление о законных злоупотреблениях коммунальными услугами.
«Стоимость хранения источников журналов большего объема является вполне реальным фактором, но расходы на телеметрию следует оптимизировать в соответствии с источниками, которые дают представление об угрозах, включая злоупотребляемые утилиты, которые чаще всего наблюдаются в реальной жизни и считаются актуальными для организации. », — говорит Скотт Смолл, директор по анализу угроз в Tidal Cyber.
Он отмечает, что многочисленные усилия сообщества делают этот процесс более практичным, чем раньше, включая проект с открытым исходным кодом «LOLBAS», который отслеживает потенциально вредоносные приложения сотен ключевых утилит.
Между тем, растущий каталог ресурсов MITRE ATT&CK, Центра защиты с учетом угроз и поставщиков инструментов безопасности позволяет преобразовать те же самые состязательные действия непосредственно в отдельные, релевантные источники данных и журналов.
«Для большинства организаций нецелесообразно постоянно полностью отслеживать каждый известный источник журналов», — отмечает Смолл. «Наш анализ данных проекта LOBAS показывает, что эти утилиты LotL можно использовать практически для любого типа вредоносной деятельности».
Они варьируются от уклонения от защиты до повышения привилегий, устойчивости, доступа к учетным данным и даже эксфильтрации и воздействия.
«Это также означает, что существуют десятки отдельных источников данных, которые могут дать представление о злонамеренном использовании этих инструментов — слишком много, чтобы реально регистрировать всесторонне и в течение длительных периодов времени», — говорит Смолл.
Однако более тщательный анализ показывает, где существует кластеризация (и уникальные источники) – например, только шесть из 48 источников данных актуальны для более чем трех четвертей (82%) методов, связанных с LOLBAS.
«Это дает возможность внедрить или оптимизировать телеметрию непосредственно в соответствии с лучшими технологиями жизни за счет земли или конкретными технологиями, связанными с коммунальными услугами, которые организация считает наивысшим приоритетом», — говорит Смолл.
Практические шаги для лидеров ИТ-безопасности
Команды ИТ-безопасности могут предпринять множество практических и разумных шагов для обнаружения злоумышленников, живущих за счет земли, если они имеют представление о событиях.
«Хотя иметь видимость сети — это здорово, события с конечных точек — как рабочих станций, так и серверов — не менее ценны, если их правильно использовать», — говорит Рэнди Паргман, директор по обнаружению угроз в Proofpoint.
Например, одним из методов LotL, используемых в последнее время многими злоумышленниками, является установка законного программного обеспечения для удаленного мониторинга и управления (RMM).
Злоумышленники предпочитают инструменты RMM, потому что они надежны, имеют цифровую подпись и не вызывают срабатывания антивирусных предупреждений или предупреждений об обнаружении и реагировании на конечных точках (EDR). Кроме того, они просты в использовании, и большинство поставщиков RMM имеют полнофункциональную бесплатную пробную версию.
Преимущество для групп безопасности заключается в том, что все инструменты RMM имеют очень предсказуемое поведение, включая цифровые подписи, изменяемые ключи реестра, просматриваемые доменные имена и имена процессов, которые нужно искать.
«Я добился большого успеха в обнаружении использования злоумышленниками инструментов RMM, просто написав сигнатуры обнаружения для всех свободно доступных инструментов RMM и сделав исключение для утвержденного инструмента, если таковой имеется», — говорит Паргман.
Полезно, если только один поставщик RMM имеет право на использование и если он всегда устанавливается одним и тем же способом – например, во время создания образа системы или с помощью специального сценария – чтобы можно было легко отличить авторизованную установку от Он добавляет, что злоумышленник обманом заставляет пользователя запустить установку.
«Есть много других возможностей обнаружения, подобных этой, начиная со списка в ЛОЛБАС», — говорит Паргман. «Выполняя запросы поиска угроз для всех событий конечных точек, группы безопасности могут находить закономерности нормального использования в своих средах, а затем создавать собственные запросы оповещений для обнаружения ненормальных моделей использования».
Существуют также возможности ограничить злоупотребление встроенными инструментами, которые предпочитают злоумышленники, например, изменение программы по умолчанию, используемой для открытия файлов сценариев (расширения файлов .js, .jse, .vbs, .vbe, .wsh и т. д.), чтобы что они не открываются в WScript.exe при двойном щелчке.
«Это помогает избежать обмана конечных пользователей, заставляющих их запустить вредоносный сценарий», — говорит Паргман.
Снижение зависимости от учетных данных
По мнению Роба Хьюза, директора по информационным технологиям RSA, организациям необходимо уменьшить зависимость от учетных данных для установления соединений. Аналогично, организациям необходимо поднимать оповещения об аномальных и неудачных попытках и выбросах, чтобы дать командам безопасности представление о том, где используется зашифрованная видимость. Понимание того, как выглядят «нормальные» и «хорошие» системные коммуникации, и выявление отклонений — это способ обнаружить атаки LotL.
Часто упускаемая из виду область, которой начинают уделять гораздо больше внимания, — это сервисные учетные записи, которые, как правило, нерегулируются, слабо защищены и являются основной мишенью для выживания за счет наземных атак.
«Они запускают наши рабочие нагрузки в фоновом режиме. Мы склонны им доверять – возможно, слишком сильно», – говорит Хьюз. «Вам также нужны механизмы инвентаризации, владения и строгой аутентификации для этих учетных записей».
Последнюю часть может оказаться сложнее достичь, поскольку учетные записи служб не являются интерактивными, поэтому обычные механизмы многофакторной аутентификации (MFA), на которые организации полагаются при работе с пользователями, не используются.
«Как и у любой аутентификации, у нее есть степени силы», — говорит Хьюз. «Я бы рекомендовал выбрать надежный механизм и убедиться, что службы безопасности регистрируют и реагируют на любые интерактивные входы в систему из учетной записи службы. Этого не должно происходить».
Требуются адекватные временные инвестиции
Создание культуры безопасности не должно быть дорогостоящим, но вам нужно готовое руководство, которое будет поддерживать и отстаивать это дело.
Инвестиции во время иногда являются самыми крупными инвестициями, говорит Хьюз. Но внедрение строгого контроля над идентификацией во всей организации не должно быть дорогостоящим мероприятием по сравнению с тем снижением риска, которое достигается за счет этого.
«Безопасность процветает благодаря стабильности и последовательности, но мы не всегда можем контролировать это в деловой среде», — говорит он. «Делайте разумные инвестиции в сокращение технического долга в системах, которые несовместимы или не взаимодействуют с MFA или строгим контролем идентификации».
«Все дело в скорости обнаружения и реагирования», — говорит Паргман.
«Во многих случаях, которые я расследовал, самым большим положительным эффектом для защитников была быстрая реакция бдительного аналитика службы безопасности, который заметил что-то подозрительное, расследовал и обнаружил вторжение до того, как злоумышленник получил возможность расшириться. их влияние», — говорит он.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :является
- :нет
- :куда
- $UP
- 7
- a
- ненормальный
- О нас
- злоупотребление
- доступ
- По
- Учетная запись
- Учетные записи
- Достигать
- через
- Действие (Act):
- действия
- активно
- деятельность
- актеры
- Добавляет
- адекватный
- принять
- плюс
- состязательный
- консультативный
- против
- Оповещение
- Оповещения
- Все
- позволять
- причислены
- всегда
- an
- анализ
- аналитик
- аналитика
- анализировать
- и
- аномалии
- антивирус
- любой
- Приложения
- Применить
- подхода
- утвержденный
- архитектура
- МЫ
- ПЛОЩАДЬ
- около
- AS
- связанный
- At
- атаковать
- нападки
- попытки
- внимание
- Аутентификация
- уполномоченный
- доступен
- избежать
- фон
- BE
- , так как:
- до
- поведение
- поведенческий
- поведения
- не являетесь
- Лучшая
- между
- Крупнейшая
- изоферменты печени
- брокер
- строить
- встроенный
- бизнес
- но
- by
- CAN
- возможности
- нести
- проведение
- случаев
- каталог
- Вызывать
- Центр
- чемпион
- шанс
- изменения
- главный
- CIO
- CISO
- ближе
- облако
- облачные сервисы
- кластеризации
- комбинируя
- приход
- Связь
- сообщество
- сравнение
- совместим
- Соединительный
- Коммутация
- связь
- Рассматривать
- контроль
- контрольная
- кооперативный
- Корреляция
- Цена
- может
- охват
- Создайте
- ПОЛНОМОЧИЯ
- Полномочия
- критической
- Культура
- изготовленный на заказ
- кибер-
- данным
- Потеря данных
- Долг
- считается
- По умолчанию
- Защитники
- Защита
- развернуть
- развертывание
- предназначенный
- обнаруживать
- обнаружение
- разница
- Интернет
- цифровой
- непосредственно
- директор
- do
- приносит
- Безразлично
- дело
- домен
- ДОМЕННЫЕ ИМЕНА
- множество
- в течение
- Ранее
- легко
- Edge
- усилия
- зашифрованный
- шифрование
- конец
- прилагать усилия
- Конечная точка
- обогащать
- обеспечивать
- Предприятие
- Окружающая среда
- средах
- эскалация
- установить
- и т.д
- уклонение
- Даже
- События
- Каждая
- пример
- исключение
- эксфильтрации
- существовать
- существующий
- Расширьте
- дорогим
- расширения
- фактор
- Oшибка
- в пользу
- СПЕЦЦЕНА
- кормление
- Файл
- Файлы
- Найдите
- Потоки
- Фокус
- Что касается
- Форс-мажор
- Войска
- найденный
- Рамки
- Бесплатно
- бесплатная пробная версия
- свободно
- от
- полностью
- Функции
- Gain
- шлюзы
- получить
- GitHub
- Дайте
- дает
- хорошо
- большой
- Рост
- было
- Случай
- Сильнее
- Есть
- he
- помощь
- помогает
- Спрятать
- наивысший
- Выделите
- Как
- HTTPS
- Сотни
- i
- идентифицирующий
- тождества
- Личность
- if
- Изображениями
- Влияние
- in
- В том числе
- в том числе цифровой
- все больше и больше
- повлиять
- информация
- устанавливать
- установка
- установлен
- Интеллекта
- интерактивный
- посредников
- в
- вводить
- инвентаризация
- инвестиций
- Вложения
- IT
- это безопасность
- саму трезвость
- JPG
- всего
- Основные
- ключи
- известный
- Земля
- крупнейших
- Фамилия
- Лидеры
- Наша команда
- наименее
- законный
- такое как
- Вероятно
- ОГРАНИЧЕНИЯ
- ограничивающий
- линия
- Список
- жизнью
- журнал
- Длинное
- посмотреть
- выглядит как
- смотрел
- от
- серия
- сделанный
- сделать
- ДЕЛАЕТ
- Создание
- злонамеренный
- вредоносных программ
- управление
- управления
- многих
- означает
- механизм
- механизмы
- МИД
- модифицировало
- монитор
- контролируемый
- Мониторинг
- БОЛЕЕ
- самых
- двигаться
- движения
- перемещение
- много
- многофакторная аутентификация
- должен
- имена
- родной
- природа
- Необходимость
- сеть
- Сетевая безопасность
- сетевой трафик
- Новые
- Шум
- "обычные"
- Заметки
- of
- от
- предлагающий
- .
- on
- Onboard
- ONE
- те,
- только
- открытый
- с открытым исходным кодом
- Возможности
- Оптимизировать
- оптимизированный
- Опция
- or
- заказ
- организация
- организации
- Другое
- наши
- внешний
- за
- собственный
- собственность
- часть
- особый
- паттеранами
- периодов
- настойчивость
- сбор
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- плюс
- пунктов
- положительный
- возможность
- потенциально
- практическое
- практически
- предсказуемый
- предпочитать
- предотвращение
- Простое число
- принцип
- приоритезация
- приоритет
- привилегия
- привилегированный
- процесс
- Процессы
- FitPartner™
- Проект
- защищенный
- обеспечивать
- поставщики
- приводит
- Запросы
- САЙТ
- повышение
- повышения
- ассортимент
- вымогателей
- реальные
- разумный
- недавно
- рекомендовать
- редизайн
- уменьшить
- снижение
- снижение
- относиться
- реестра
- соответствующие
- опора
- полагаться
- опираясь
- удаленные
- Запросы
- обязательный
- Полезные ресурсы
- Реагируйте
- ответ
- рябь
- Снижение
- грабить
- надежный
- RSA
- Run
- Бег
- s
- то же
- говорит
- Ученый
- Скотт
- скрипт
- безопасный
- обеспечение
- безопасность
- отдельный
- Серверы
- обслуживание
- поставщики услуг
- Услуги
- набор
- должен
- Шоу
- Подписи
- подписанный
- просто
- ШЕСТЬ
- небольшой
- умный
- So
- Software
- Решения
- некоторые
- Кто-то
- удалось
- иногда
- Источник
- Источники
- особый
- скорость
- тратить
- Спонсоров
- Стабильность
- Начало
- Шаги
- хранение
- прочность
- сильный
- быть успешными
- успех
- такие
- поддержка
- Убедитесь
- Поверхность
- подозрительный
- система
- системы
- тактика
- взять
- цель
- команда
- команды
- Технический
- снижения вреда
- технологии
- сказать
- Тенденцию
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- Эти
- они
- задача
- этой
- те
- угроза
- актеры угрозы
- угрозы
- процветает
- по всему
- время
- в
- слишком
- инструментом
- инструменты
- топ
- трек
- треков
- трафик
- суд
- обманули
- вызвать
- Доверие
- надежных
- напишите
- неразрешенный
- открывай
- понимать
- понимание
- Неожиданный
- созданного
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- обычный
- коммунальные услуги
- утилита
- ценный
- Ve
- продавец
- поставщики
- очень
- Жертва
- видимость
- хотеть
- законопроект
- Путь..
- we
- Web
- ЧТО Ж
- Что
- Что такое
- когда
- который
- в то время как
- КТО
- широкий
- Дикий
- готовый
- окно
- в
- письмо
- Ты
- зефирнет
- нуль
- нулевое доверие