Ker se nasprotniki vedno bolj zanašajo na zakonita orodja za skrivanje svojih zlonamernih dejavnosti, morajo zagovorniki podjetij ponovno razmisliti o omrežni arhitekturi, da bi lahko odkrili te napade in se pred njimi branili.
Te taktike, znane kot »živeti od zemlje« (LotL), se nanašajo na to, kako nasprotniki uporabljajo domača, zakonita orodja v žrtvinem okolju za izvedbo svojih napadov. Ko napadalci uvedejo nova orodja v okolje z uporabo lastne zlonamerne programske opreme ali orodij, ustvarijo nekaj šuma v omrežju. To povečuje možnost, da bi ta orodja lahko sprožila varnostne alarme in opozorila zagovornike, da je nekdo nepooblaščen v omrežju in izvaja sumljivo dejavnost. Napadalci, ki uporabljajo obstoječa orodja, branilcem otežijo ločevanje zlonamernih dejanj od zakonite dejavnosti.
Da bi prisilili napadalce, da ustvarjajo več hrupa v omrežju, morajo vodje IT varnosti ponovno razmisliti o omrežju, tako da premikanje po omrežju ni tako enostavno.
Varovanje identitete, omejevanje gibanja
Eden od pristopov je uporaba močnih kontrol dostopa in spremljanje analitike privilegiranega vedenja, tako da lahko ekipa za varnost analizira omrežni promet in zahteve za dostop, ki prihajajo iz njihovih orodij. Ničelno zaupanje z močnimi privilegiranimi kontrolami dostopa – kot je načelo najmanjših privilegijev – napadalcem otežuje premikanje po omrežju, pravi Joseph Carson, glavni varnostni znanstvenik in svetovalec CISO pri Delinei.
"To jih sili k uporabi tehnik, ki ustvarjajo več hrupa in valovanja v omrežju," pravi. "Zagovornikom IT daje boljšo možnost pri odkrivanju nepooblaščenega dostopa veliko prej v napadu - preden imajo možnost uvesti zlonamerno programsko opremo ali izsiljevalsko programsko opremo."
Druga možnost je razmisliti o tehnologijah varnostnega posrednika dostopa v oblaku (CASB) in varnega dostopa (SASE), da bi razumeli, kdo (ali kaj) se povezuje s katerimi viri in sistemi, kar lahko izpostavi nepričakovane ali sumljive omrežne tokove. Rešitve CASB so zasnovane za zagotavljanje varnosti in preglednosti za organizacije, ki uporabljajo storitve in aplikacije v oblaku. Delujejo kot posredniki med končnimi uporabniki in ponudniki storitev v oblaku ter ponujajo vrsto varnostnih kontrol, vključno s preprečevanjem izgube podatkov (DLP), nadzorom dostopa, šifriranjem in zaznavanjem groženj.
SASE je varnostni okvir, ki združuje varnostne funkcije omrežja, kot so varni spletni prehodi, požarni zid kot storitev in omrežni dostop brez zaupanja, z zmogljivostmi prostranega omrežja (WAN), kot je SD-WAN (programsko definirano prostrano omrežje ).
»Morali bi se močno osredotočiti na upravljanje napadalne površine [LotL],« pravi Gareth Lindahl-Wise, CISO pri Ontinue. "Napadalci uspejo tam, kjer se lahko vgrajena ali nameščena orodja in procesi uporabljajo s preveč končnih točk s preveč identitetami."
Te dejavnosti so po svoji naravi vedenjske anomalije, zato je razumevanje, kaj se spremlja in vnašanje v korelacijske platforme, ključnega pomena, pravi Lindahl-Wise. Ekipe bi morale zagotoviti pokritost s končnih točk in identitet in nato sčasoma to obogatiti z informacijami o omrežni povezljivosti. Pregled omrežnega prometa lahko pomaga odkriti druge tehnike, tudi če je sam promet šifriran.
Pristop, ki temelji na dokazih
Organizacije lahko in bi morale sprejeti pristop, ki temelji na dokazih, da prednostno razvrstijo, katere vire telemetrije uporabljajo, da pridobijo vpogled v zakonite zlorabe komunalnih storitev.
»Stroški shranjevanja virov dnevnikov večjega obsega so zelo resničen dejavnik, vendar je treba porabo za telemetrijo optimizirati glede na vire, ki omogočajo vpogled v grožnje, vključno z zlorabljenimi pripomočki, ki so najpogosteje opaženi v divjini in veljajo za pomembne za organizacijo. ,« pravi Scott Small, direktor oddelka za obveščanje o grožnjah pri Tidal Cyber.
Več prizadevanj skupnosti naredi ta proces bolj praktičen kot prej, vključno z odprtokodnim projektom "LOLBAS", ki sledi potencialno zlonamernim aplikacijam na stotine ključnih pripomočkov, poudarja.
Medtem pa rastoči katalog virov MITER ATT&CK, Centra za obrambo obveščeno o grožnjah, in prodajalcev varnostnih orodij omogoča prevajanje iz istih kontradiktornih vedenj neposredno v diskretne, ustrezne vire podatkov in dnevnikov.
"Za večino organizacij ni praktično, da ves čas popolnoma sledi vsakemu znanemu viru dnevnika," ugotavlja Small. "Naša analiza podatkov iz projekta LOBAS kaže, da je te pripomočke LotL mogoče uporabiti za izvajanje praktično vseh vrst zlonamernih dejavnosti."
Te segajo od izogibanja obrambi do stopnjevanja privilegijev, vztrajnosti, dostopa do poverilnic in celo izločanja in vpliva.
"To tudi pomeni, da obstaja na desetine ločenih virov podatkov, ki bi lahko dali vpogled v zlonamerno uporabo teh orodij - preveč, da bi realistično beležili celovito in za daljša časovna obdobja," pravi Small.
Vendar podrobnejša analiza pokaže, kje obstaja združevanje (in edinstveni viri) – na primer, samo šest od 48 podatkovnih virov je relevantnih za več kot tri četrtine (82 %) tehnik, povezanih z LOLBAS.
»To ponuja priložnosti za vgradnjo ali optimizacijo telemetrije neposredno v skladu z vrhunskimi tehnikami bivanja zunaj zemlje ali posebnimi tistimi, povezanimi s pripomočki, ki jih organizacija šteje za najvišjo prioriteto,« pravi Small.
Praktični koraki za vodje IT varnosti
Ekipe za varnost IT lahko sprejmejo veliko praktičnih in razumnih korakov za odkrivanje napadalcev, ki živijo zunaj zemlje, če imajo vpogled v dogodke.
»Čeprav je vidnost omrežja odlična, so dogodki iz končnih točk – tako delovnih postaj kot strežnikov – prav tako dragoceni, če se dobro uporabljajo,« pravi Randy Pargman, direktor za odkrivanje groženj pri Proofpointu.
Na primer, ena od tehnik LotL, ki jo v zadnjem času uporabljajo številni akterji groženj, je namestitev legitimne programske opreme za daljinsko spremljanje in upravljanje (RMM).
Napadalci imajo raje orodja RMM, ker so zaupanja vredna, digitalno podpisana in ne sprožijo protivirusnih opozoril ali opozoril za odkrivanje in odziv končne točke (EDR), poleg tega pa so enostavna za uporabo in večina prodajalcev RMM ima popolnoma opremljeno možnost brezplačnega preizkusa.
Prednost za varnostne ekipe je, da imajo vsa orodja RMM zelo predvidljivo vedenje, vključno z digitalnimi podpisi, registrskimi ključi, ki so spremenjeni, imeni domen, ki se poiščejo, in imeni procesov, ki jih je treba iskati.
»Imel sem velik uspeh pri odkrivanju vsiljivcev, ki uporabljajo orodja RMM, preprosto tako, da sem napisal podpise zaznavanja za vsa prosto dostopna orodja RMM in naredil izjemo za odobreno orodje, če obstaja,« pravi Pargman.
Pomaga, če je za uporabo pooblaščen samo en prodajalec RMM in če je vedno nameščen na enak način – na primer med slikanjem sistema ali s posebnim skriptom –, tako da je enostavno ugotoviti razliko med pooblaščeno namestitvijo in grožnja, ki uporabnika preslepi, da zažene namestitev, dodaja.
»Obstaja veliko drugih priložnosti za odkrivanje, kot je ta, začenši s seznamom v LOLBE,« pravi Pargman. "Z izvajanjem poizvedb za iskanje groženj v vseh dogodkih končne točke lahko varnostne ekipe najdejo vzorce normalne uporabe v svojih okoljih, nato pa sestavijo poizvedbe za opozorila po meri za odkrivanje nenormalnih vzorcev uporabe."
Obstajajo tudi priložnosti za omejitev zlorabe vgrajenih orodij, ki so jim napadalci naklonjeni, na primer spreminjanje privzetega programa, ki se uporablja za odpiranje skriptnih datotek (pripone datotek .js, .jse, .vbs, .vbe, .wsh itd.), tako da da se ob dvojnem kliku ne odprejo v WScript.exe.
"To pomaga preprečiti, da bi bili končni uporabniki zavedeni v zagon zlonamernega skripta," pravi Pargman.
Zmanjšanje odvisnosti od poverilnic
Po besedah Roba Hughesa, CIO RSA, morajo organizacije zmanjšati odvisnost od poverilnic za vzpostavljanje povezav. Podobno morajo organizacije sprožiti opozorila o neobičajnih in neuspešnih poskusih ter odstopanjih, da bi varnostnim ekipam omogočile vpogled v to, kje je v igri šifrirana vidnost. Razumevanje, kako izgledata »normalno« in »dobro« v sistemskih komunikacijah, in prepoznavanje izstopajočih vrednosti je način za odkrivanje napadov LotL.
Pogosto spregledano področje, ki začenja dobivati veliko več pozornosti, so storitveni računi, ki so običajno neregulirani, slabo zaščiteni in glavna tarča za preživetje od kopenskih napadov.
»V ozadju opravljajo naše naloge. Ponavadi jim zaupamo – verjetno preveč,« pravi Hughes. "Tudi na teh računih želite inventar, lastništvo in močne mehanizme za preverjanje pristnosti."
Zadnji del je lahko težje doseči, ker storitveni računi niso interaktivni, zato običajni mehanizmi večfaktorske avtentikacije (MFA), na katere se organizacije zanašajo pri uporabnikih, niso v igri.
"Kot vsako preverjanje pristnosti obstajajo stopnje moči," pravi Hughes. »Priporočam, da izberete močan mehanizem in zagotovite, da varnostne ekipe beležijo in se odzivajo na vse interaktivne prijave iz storitvenega računa. To se ne bi smelo dogajati.”
Potrebna ustrezna časovna naložba
Gradnja kulture varnosti ni nujno draga, vendar potrebujete pripravljeno vodstvo, ki podpira in zagovarja cilj.
Naložba v čas je včasih največja naložba, pravi Hughes. Vendar uporaba močnega nadzora identitete v celotni organizaciji ni nujno drag podvig v primerjavi z zmanjšanjem tveganja, ki ga s tem dosežete.
»Varnost temelji na stabilnosti in doslednosti, vendar tega v poslovnem okolju ne moremo vedno nadzorovati,« pravi. »Pametno vlagajte v zmanjšanje tehničnega dolga v sistemih, ki niso združljivi ali ne sodelujejo z MFA ali močnim nadzorom identitete.«
Vse je odvisno od hitrosti odkrivanja in odziva, pravi Pargman.
»V toliko primerih, ki sem jih preiskoval, je bila stvar, ki je naredila največjo pozitivno razliko za zagovornike, hiter odziv opozorilnega analitika SecOps, ki je opazil nekaj sumljivega, preiskal in našel vdor, preden se je akter grožnje imel priložnost razširiti njihov vpliv,« pravi.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- : je
- :ne
- :kje
- $GOR
- 7
- a
- nenormalno
- O meni
- zloraba
- dostop
- Po
- Račun
- računi
- Doseči
- čez
- Zakon
- dejavnosti
- dejavnosti
- dejavnost
- akterji
- Dodaja
- primerno
- sprejme
- Prednost
- kontradiktorno
- svetovanje
- proti
- Opozorite
- Opozorila
- vsi
- omogočajo
- Prav tako
- vedno
- an
- Analiza
- Analitik
- analitika
- analizirati
- in
- nepravilnosti
- antivirus
- kaj
- aplikacije
- Uporabi
- pristop
- odobren
- Arhitektura
- SE
- OBMOČJE
- okoli
- AS
- povezan
- At
- napad
- Napadi
- Poskusi
- pozornosti
- Preverjanje pristnosti
- pooblaščeni
- Na voljo
- izogniti
- ozadje
- BE
- ker
- pred
- vedenje
- vedenjske
- vedenja
- počutje
- Boljše
- med
- največji
- tako
- posrednik
- izgradnjo
- vgrajeno
- poslovni
- vendar
- by
- CAN
- Zmogljivosti
- opravlja
- knjigovodska
- primeri
- Katalog
- Vzrok
- center
- prvak
- priložnost
- spreminjanje
- šef
- CIO
- CISO
- bližje
- Cloud
- storitev v oblaku
- grozdenje
- združevanje
- prihajajo
- Communications
- skupnost
- Primerjava
- združljiv
- Povezovanje
- povezave
- Povezovanje
- Razmislite
- nadzor
- Nadzor
- zadruga
- Korelacija
- strošek
- bi
- pokritost
- ustvarjajo
- POVERILNICA
- Mandatno
- kritično
- Kultura
- po meri
- cyber
- datum
- izguba podatkov
- Dolg
- šteje
- privzeto
- Branilci
- Defense
- razporejeni
- uvajanja
- zasnovan
- odkrivanje
- Odkrivanje
- Razlika
- digitalni
- digitalno
- neposredno
- Direktor
- do
- ne
- ne
- tem
- domena
- IMENA DOMEN
- desetine
- med
- prej
- lahka
- Edge
- prizadevanja
- šifriran
- šifriranje
- konec
- prizadevati
- Končna točka
- obogatiti
- zagotovitev
- Podjetje
- okolje
- okolja
- Stopnjevanje
- vzpostaviti
- itd
- utaje
- Tudi
- dogodki
- Tudi vsak
- Primer
- izjema
- eksfiltracija
- obstajajo
- obstoječih
- Razširi
- drago
- razširitve
- Faktor
- ni uspelo
- prednost
- izrazit
- hranjenje
- file
- datoteke
- Najdi
- Tokovi
- Osredotočite
- za
- moč
- sile
- je pokazala,
- Okvirni
- brezplačno
- brezplačen preizkus
- prosto
- iz
- v celoti
- funkcije
- Gain
- prehodi
- dobili
- GitHub
- Daj
- daje
- dobro
- veliko
- Pridelovanje
- imel
- Zgodi se
- težje
- Imajo
- he
- pomoč
- Pomaga
- Skrij
- najvišja
- Označite
- Kako
- HTTPS
- Stotine
- i
- identifikacijo
- identitete
- identiteta
- if
- slikanje
- vpliv
- in
- Vključno
- vključno z digitalnimi
- vedno
- vplivajo
- Podatki
- namestitev
- namestitev
- nameščen
- Intelligence
- interaktivno
- posredniki
- v
- uvesti
- inventar
- naložbe
- naložbe
- IT
- varnost
- sam
- jpg
- samo
- Ključne
- tipke
- znano
- Država
- Največji
- Zadnja
- Voditelji
- Vodstvo
- vsaj
- legitimno
- kot
- Verjeten
- LIMIT
- omejujoč
- vrstica
- Seznam
- živi
- prijavi
- Long
- Poglej
- izgleda kot
- Pogledal
- off
- Sklop
- je
- Znamka
- IZDELA
- Izdelava
- zlonamerno
- zlonamerna programska oprema
- upravljanje
- upravljanje
- več
- pomeni
- Mehanizem
- Mehanizmi
- MZZ
- spremembe
- monitor
- spremljati
- spremljanje
- več
- Najbolj
- premikanje
- gibanja
- premikanje
- veliko
- večfaktorska overitev
- morajo
- Imena
- materni
- Narava
- Nimate
- mreža
- Varnostna mreža
- omrežni promet
- Novo
- hrup
- normalno
- Opombe
- of
- off
- ponujanje
- pogosto
- on
- Na krovu
- ONE
- tiste
- samo
- odprite
- open source
- Priložnosti
- Optimizirajte
- optimizirana
- Možnost
- or
- Da
- Organizacija
- organizacije
- Ostalo
- naši
- ven
- več
- lastne
- lastništvo
- del
- zlasti
- vzorci
- obdobja
- vztrajnost
- nabiranje
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- plus
- točke
- pozitiven
- možnost
- potencialno
- Praktično
- praktično
- Predvidljivo
- raje
- Preprečevanje
- Predsednik
- Načelo
- določanje prednosti
- prednostna naloga
- privilegij
- privilegiran
- Postopek
- Procesi
- Program
- Projekt
- zaščiteni
- zagotavljajo
- ponudniki
- zagotavlja
- poizvedbe
- Hitri
- dvigniti
- povečuje
- območje
- izsiljevalska
- pravo
- razumno
- Pred kratkim
- Priporočamo
- preoblikovanje
- zmanjša
- zmanjšanje
- Zmanjšanje
- glejte
- registra
- pomembno
- odvisnost
- zanašajo
- zanašanje
- daljinsko
- zahteva
- obvezna
- viri
- Odzove
- Odgovor
- odmevi
- Tveganje
- Rob
- robusten
- RSA
- Run
- tek
- s
- Enako
- pravi
- Znanstvenik
- scott
- script
- zavarovanje
- zavarovanje
- varnost
- ločena
- Strežniki
- Storitev
- ponudnikov storitev
- Storitve
- nastavite
- shouldnt
- Razstave
- Podpisi
- podpisano
- preprosto
- SIX
- majhna
- pametna
- So
- Software
- rešitve
- nekaj
- nekdo
- Nekaj
- Včasih
- vir
- Viri
- posebna
- hitrost
- preživeti
- Sponzorirane
- Stabilnost
- Začetek
- Koraki
- shranjevanje
- moč
- močna
- uspeh
- uspeh
- taka
- podpora
- Preverite
- Površina
- sumljiv
- sistem
- sistemi
- taktike
- Bodite
- ciljna
- skupina
- Skupine
- tehnični
- tehnike
- Tehnologije
- povej
- nagiba
- kot
- da
- O
- njihove
- Njih
- POTEM
- Tukaj.
- te
- jih
- stvar
- ta
- tisti,
- Grožnja
- akterji groženj
- grožnje
- uspeva
- vsej
- čas
- do
- tudi
- orodje
- orodja
- vrh
- sledenje
- skladbe
- Prometa
- sojenje
- prevaral
- sprožijo
- Zaupajte
- zaupa
- tip
- nepooblaščeno
- odkrijte
- razumeli
- razumevanje
- Nepričakovana
- edinstven
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabo
- običajno
- javne gospodarske službe
- pripomoček
- dragocene
- Ve
- Prodajalec
- prodajalci
- zelo
- Žrtva
- vidljivost
- želeli
- je
- način..
- we
- web
- Dobro
- Kaj
- Kaj je
- kdaj
- ki
- medtem
- WHO
- široka
- Wild
- pripravljeni
- okno
- z
- v
- pisanje
- Vi
- zefirnet
- nič
- ničelno zaupanje