Eftersom motståndare i allt högre grad förlitar sig på legitima verktyg för att dölja sina skadliga aktiviteter, måste företagsförsvarare tänka om nätverksarkitekturen för att upptäcka och försvara sig mot dessa attacker.
Känd som "living off the land" (LotL), hänvisar dessa taktiker till hur motståndare använder inhemska, legitima verktyg i offrets miljö för att utföra sina attacker. När angripare introducerar nya verktyg i miljön genom att använda sina egna skadliga program eller verktyg skapar de en del brus i nätverket. Det ökar möjligheten att dessa verktyg kan utlösa säkerhetslarm och varna försvarare om att någon obehörig är på nätverket och utför misstänkt aktivitet. Angripare som använder befintliga verktyg gör det svårare för försvarare att skilja ut skadliga handlingar från legitim aktivitet.
För att tvinga angripare att skapa mer brus i nätverket måste IT-säkerhetsledare tänka om nätverket så att det inte är så lätt att flytta runt i nätverket.
Säkra identiteter, begränsa rörelser
Ett tillvägagångssätt är att tillämpa starka åtkomstkontroller och övervaka privilegierad beteendeanalys så att säkerhetsteamet kan analysera nätverkstrafik och åtkomstförfrågningar som kommer från deras egna verktyg. Noll förtroende med starka privilegierade åtkomstkontroller – som principen om minsta privilegium – gör det svårare för angripare att röra sig i nätverket, säger Joseph Carson, chefssäkerhetsforskare och rådgivande CISO på Delinea.
"Detta tvingar dem att använda tekniker som skapar mer brus och krusningar på nätverket", säger han. "Det ger IT-försvarare en bättre chans att upptäcka obehörig åtkomst mycket tidigare i attacken - innan de har en chans att distribuera skadlig programvara eller ransomware."
En annan är att överväga cloud Access Security Broker (CASB) och SASE-teknologier (Secure Access Service Edge) för att förstå vem (eller vad) som ansluter till vilka resurser och system, vilket kan lyfta fram oväntade eller misstänkta nätverksflöden. CASB-lösningar är designade för att ge säkerhet och synlighet för organisationer som använder molntjänster och applikationer. De fungerar som mellanhänder mellan slutanvändare och molntjänstleverantörer och erbjuder en rad säkerhetskontroller, inklusive förebyggande av dataförlust (DLP), åtkomstkontroll, kryptering och upptäckt av hot.
SASE är ett säkerhetsramverk som kombinerar nätverkssäkerhetsfunktioner, såsom säkra webbgateways, brandvägg-som-en-tjänst och noll-trust-nätverksåtkomst, med WAN-funktioner (Wide Area Network) som SD-WAN (programvarudefinierat wide area network). ).
"Det bör finnas ett starkt fokus på att hantera [LotL] attackytan", säger Gareth Lindahl-Wise, CISO på Ontinue. "Angripare lyckas där inbyggda eller distribuerade verktyg och processer kan användas från för många slutpunkter av för många identiteter."
Dessa aktiviteter, till sin natur, är beteendeavvikelser, så att förstå vad som övervakas och matas in i korrelationsplattformar är avgörande, säger Lindahl-Wise. Team bör säkerställa täckning från slutpunkter och identiteter och sedan över tiden berika detta med information om nätverksanslutning. Nätverkstrafikinspektion kan hjälpa till att avslöja andra tekniker, även om själva trafiken är krypterad.
En evidensbaserad strategi
Organisationer kan och bör ta ett evidensbaserat tillvägagångssätt för att prioritera vilka telemetrikällor de använder för att få insyn i legitimt missbruk av verktyg.
"Kostnaden för att lagra loggkällor med större volymer är en mycket verklig faktor, men utgifterna för telemetri bör optimeras enligt källor som ger ett fönster till hoten, inklusive missbrukade verktyg, som oftast observeras i naturen och anses vara relevanta för organisationen , säger Scott Small, chef för hotintelligens på Tidal Cyber.
Flera gemenskapsinsatser gör denna process mer praktisk än tidigare, inklusive "LOLBAS" open source-projektet, som spårar potentiellt skadliga applikationer från hundratals nyckelverktyg, påpekar han.
Samtidigt möjliggör en växande katalog av resurser från MITER ATT&CK, Center for Threat-Informed Defense och leverantörer av säkerhetsverktyg att översätta från samma kontradiktoriska beteenden direkt till diskreta, relevanta data och loggkällor.
"Det är inte praktiskt för de flesta organisationer att helt spåra alla kända loggkällor hela tiden," noterar Small. "Vår analys av data från LOBAS-projektet visar att dessa LotL-verktyg kan användas för att utföra praktiskt taget alla typer av skadlig aktivitet."
Dessa sträcker sig från försvarsundandragande till privilegieupptrappning, uthållighet, åtkomst till autentiseringsuppgifter och till och med exfiltration och påverkan.
"Detta betyder också att det finns dussintals diskreta datakällor som kan ge insyn i den skadliga användningen av dessa verktyg - för mycket för att realistiskt logga heltäckande och under långa tidsperioder," säger Small.
Närmare analys visar dock var klustring (och unika källor) finns – till exempel är bara sex av 48 datakällor relevanta för mer än tre fjärdedelar (82 %) av LOLBAS-relaterade tekniker.
"Detta ger möjligheter att ombord eller optimera telemetri direkt i linje med de bästa teknikerna för att leva utanför landet, eller särskilda sådana som är förknippade med de verktyg som anses ha högsta prioritet av organisationen," säger Small.
Praktiska steg för IT-säkerhetsledare
IT-säkerhetsteam kan vidta många praktiska och rimliga åtgärder för att upptäcka angripare som lever utanför landet, så länge de har insyn i händelser.
"Även om det är bra att ha nätverkssynlighet är händelser från slutpunkter – både arbetsstationer och servrar – lika värdefulla om de används väl", säger Randy Pargman, chef för hotdetektion på Proofpoint.
Till exempel är en av LotL-teknikerna som använts av många hotaktörer nyligen att installera legitim programvara för fjärrövervakning och hantering (RMM).
Angriparna föredrar RMM-verktyg eftersom de är pålitliga, digitalt signerade och inte kommer att utlösa antivirus- eller slutpunktsdetektering och -svar (EDR), plus att de är enkla att använda och de flesta RMM-leverantörer har ett fullt utrustat gratis testalternativ.
Fördelen för säkerhetsteam är att alla RMM-verktyg har ett mycket förutsägbart beteende, inklusive digitala signaturer, registernycklar som ändras, domännamn som slås upp och processnamn att leta efter.
"Jag har haft stor framgång med att upptäcka inkräktaresanvändning av RMM-verktyg helt enkelt genom att skriva detekteringssignaturer för alla fritt tillgängliga RMM-verktyg och göra ett undantag för det godkända verktyget, om något finns", säger Pargman.
Det hjälper om endast en RMM-leverantör är auktoriserad att användas, och om den alltid installeras på samma sätt – till exempel under systemavbildning eller med ett speciellt skript – så att det är lätt att se skillnaden mellan en auktoriserad installation och en hotaktör som lurar en användare att köra installationen, tillägger han.
"Det finns många andra upptäcktsmöjligheter precis som denna, med början i listan LOLBAS, säger Pargman. "Genom att köra hotjaktsfrågor över alla slutpunktshändelser kan säkerhetsteam hitta mönstren för normal användning i sina miljöer och sedan bygga anpassade varningsfrågor för att upptäcka onormala användningsmönster."
Det finns också möjligheter att begränsa missbruket av inbyggda verktyg som angripare föredrar, till exempel att ändra standardprogrammet som används för att öppna skriptfiler (filtillägg .js, .jse, .vbs, .vbe, .wsh, etc.) så att de inte öppnas i WScript.exe när de dubbelklickas.
"Det hjälper till att undvika att slutanvändare luras att köra ett skadligt skript", säger Pargman.
Minska beroendet av referenser
Organisationer måste minska sitt beroende av referenser för att upprätta förbindelser, enligt Rob Hughes, CIO på RSA. På samma sätt måste organisationer larma om onormala och misslyckade försök och extremvärden för att ge säkerhetsteam insyn i var krypterad synlighet är i spel. Att förstå hur "normalt" och "bra" ser ut i systemkommunikation och identifiera extremvärden är ett sätt att upptäcka LotL-attacker.
Ett ofta förbisedt område som börjar få mycket mer uppmärksamhet är tjänstekonton, som tenderar att vara oreglerade, svagt skyddade och ett främsta mål för att leva på landattackerna.
"De kör våra arbetsbelastningar i bakgrunden. Vi tenderar att lita på dem – förmodligen för mycket”, säger Hughes. "Du vill ha lager, ägande och starka autentiseringsmekanismer på dessa konton också."
Den sista delen kan vara svårare att uppnå eftersom tjänstekonton inte är interaktiva, så de vanliga multifaktorautentiseringsmekanismerna (MFA) organisationer förlitar sig på med användare är inte i spel.
"Som all autentisering finns det grader av styrka", säger Hughes. "Jag skulle rekommendera att välja en stark mekanism och se till att säkerhetsteam loggar och svarar på alla interaktiva inloggningar från ett tjänstkonto. De borde inte hända."
Tillräcklig tidsinvestering krävs
Att bygga en säkerhetskultur behöver inte vara dyrt, men du behöver ett villigt ledarskap för att stödja och kämpa för saken.
Investeringen i tid är ibland den största investeringen att göra, säger Hughes. Men att använda starka identitetskontroller över och i hela organisationen behöver inte vara en dyr ansträngning i jämförelse med den minskade risken att göra det.
"Säkerhet frodas på stabilitet och konsekvens, men vi kan inte alltid kontrollera det i en affärsmiljö", säger han. "Gör smarta investeringar för att minska tekniska skulder i system som inte är kompatibla eller samarbetar med MFA eller starka identitetskontroller."
Det handlar om hastighet för upptäckt och svar, säger Pargman.
"I så många fall jag har undersökt var det som gjorde den största positiva skillnaden för försvararna ett snabbt svar från en alert SecOps-analytiker som märkte något misstänkt, undersökte och hittade intrånget innan hotaktören fick en chans att expandera deras inflytande”, säger han.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :är
- :inte
- :var
- $UPP
- 7
- a
- onormal
- Om oss
- missbruk
- tillgång
- Enligt
- Konto
- konton
- Uppnå
- tvärs
- Agera
- åtgärder
- aktiviteter
- aktivitet
- aktörer
- Lägger
- adekvat
- anta
- Fördel
- kontradiktoriskt
- rådgivande
- mot
- Varna
- Varningar
- Alla
- tillåter
- också
- alltid
- an
- analys
- analytiker
- analytics
- analysera
- och
- abnormiteter
- antivirus
- vilken som helst
- tillämpningar
- Ansök
- tillvägagångssätt
- godkänd
- arkitektur
- ÄR
- OMRÅDE
- runt
- AS
- associerad
- At
- attackera
- Attacker
- Försök
- uppmärksamhet
- Autentisering
- tillstånd
- tillgänglig
- undvika
- bakgrund
- BE
- därför att
- innan
- beteende
- beteende
- beteenden
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- mellan
- störst
- båda
- mäklare
- SLUTRESULTAT
- inbyggd
- företag
- men
- by
- KAN
- kapacitet
- bära
- bär
- fall
- katalog
- Orsak
- Centrum
- champion
- chans
- byte
- chef
- CIO
- CISO
- närmare
- cloud
- molntjänster
- klustring
- kombinera
- kommande
- Trygghet i vårdförloppet
- samfundet
- jämförelse
- kompatibel
- Anslutning
- Anslutningar
- Anslutningar
- Tänk
- kontroll
- kontroller
- kooperativ
- Korrelation
- Pris
- kunde
- täckning
- skapa
- CREDENTIAL
- referenser
- kritisk
- kultur
- beställnings
- cyber
- datum
- dataförlust
- Skulder
- anses
- Standard
- Försvararna
- Försvar
- utplacerade
- utplacera
- utformade
- upptäcka
- Detektering
- Skillnaden
- digital
- digitalt
- direkt
- Direktör
- do
- gör
- doesn
- gör
- domän
- DOMÄNNAMN
- dussintals
- under
- Tidigare
- lätt
- kant
- ansträngningar
- krypterad
- kryptering
- änden
- bemöda
- Slutpunkt
- berika
- säkerställa
- Företag
- Miljö
- miljöer
- eskalering
- etablera
- etc
- skatteflykt
- Även
- händelser
- Varje
- exempel
- undantag
- exfiltrering
- existerar
- befintliga
- Bygga ut
- dyra
- förlängningar
- faktor
- Misslyckades
- gynna
- skisserat
- matning
- Fil
- Filer
- hitta
- flöden
- Fokus
- För
- kraft
- Krafter
- hittade
- Ramverk
- Fri
- fri rättegång
- fritt
- från
- fullständigt
- funktioner
- Få
- gateways
- skaffa sig
- GitHub
- Ge
- ger
- god
- stor
- Odling
- hade
- Happening
- hårdare
- Har
- he
- hjälpa
- hjälper
- Dölja
- högsta
- Markera
- Hur ser din drömresa ut
- HTTPS
- Hundratals
- i
- identifiera
- identiteter
- Identitet
- if
- Imaging
- Inverkan
- in
- Inklusive
- inklusive digitala
- alltmer
- påverka
- informationen
- installera
- Installationen
- installerad
- Intelligens
- interaktiva
- intermediärer
- in
- införa
- lager
- investering
- Investeringar
- IT
- det säkerhet
- sig
- jpg
- bara
- Nyckel
- nycklar
- känd
- land
- största
- Efternamn
- ledare
- Ledarskap
- t minst
- legitim
- tycka om
- sannolikt
- BEGRÄNSA
- begränsande
- linje
- Lista
- levande
- log
- Lång
- se
- ser ut som
- såg
- förlust
- Lot
- gjord
- göra
- GÖR
- Framställning
- skadlig
- malware
- ledning
- hantera
- många
- betyder
- mekanism
- mekanismer
- UD
- modifierad
- Övervaka
- övervakas
- övervakning
- mer
- mest
- flytta
- rörelser
- rörliga
- mycket
- multifaktor-autentisering
- måste
- namn
- nativ
- Natur
- Behöver
- nät
- Nätverkssäkerhet
- nätverkstrafik
- Nya
- Brus
- normala
- Anmärkningar
- of
- sänkt
- erbjuda
- Ofta
- on
- Ombord
- ONE
- ettor
- endast
- öppet
- öppen källkod
- möjligheter
- Optimera
- optimerad
- Alternativet
- or
- beställa
- organisation
- organisationer
- Övriga
- vår
- ut
- över
- egen
- ägande
- del
- särskilt
- mönster
- perioder
- persistens
- plockning
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- plus
- poäng
- positiv
- Möjligheten
- potentiellt
- Praktisk
- praktiskt taget
- Förutsägbar
- föredra
- Förebyggande
- Prime
- Principen
- prioritering
- prioritet
- privilegium
- privilegierat
- process
- processer
- Program
- projektet
- skyddad
- ge
- leverantörer
- ger
- sökfrågor
- Snabbt
- höja
- höjer
- område
- Ransomware
- verklig
- rimlig
- nyligen
- rekommenderar
- redesign
- minska
- reducerande
- reduktion
- hänvisa
- register
- relevanta
- tillit
- förlita
- förlita
- avlägsen
- förfrågningar
- Obligatorisk
- Resurser
- Svara
- respons
- krusningar
- Risk
- rob
- robusta
- rsa
- Körning
- rinnande
- s
- Samma
- säger
- Forskare
- scott
- skript
- säkra
- säkring
- säkerhet
- separat
- Servrar
- service
- tjänsteleverantörer
- Tjänster
- in
- skall
- Visar
- signaturer
- signerad
- helt enkelt
- SEX
- Small
- smarta
- So
- Mjukvara
- Lösningar
- några
- någon
- något
- ibland
- Källa
- Källor
- speciell
- fart
- spendera
- Sponsrade
- Stabilitet
- Starta
- Steg
- misslyckande
- hållfasthet
- stark
- lyckas
- framgång
- sådana
- stödja
- säker
- yta
- misstänksam
- system
- System
- taktik
- Ta
- Målet
- grupp
- lag
- Teknisk
- tekniker
- Tekniken
- tala
- Tend
- än
- den där
- Smakämnen
- deras
- Dem
- sedan
- Där.
- Dessa
- de
- sak
- detta
- de
- hot
- hotaktörer
- hot
- Trivs
- hela
- tid
- till
- alltför
- verktyg
- verktyg
- topp
- spår
- spår
- trafik
- rättegång
- luras
- utlösa
- Litar
- betrodd
- Typ
- obehörig
- avslöja
- förstå
- förståelse
- Oväntat
- unika
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- vanliga
- verktyg
- verktyg
- Värdefulla
- Ve
- leverantör
- försäljare
- mycket
- Victim
- synlighet
- vill
- var
- Sätt..
- we
- webb
- VÄL
- Vad
- Vad är
- när
- som
- medan
- VEM
- bred
- Vild
- beredd
- fönster
- med
- inom
- skrivning
- Om er
- zephyrnet
- noll-
- noll förtroende