Оскільки зловмисники все більше покладаються на законні інструменти, щоб приховати свою зловмисну діяльність, захисникам підприємств доводиться переглядати мережеву архітектуру, щоб виявляти ці атаки та захищатися від них.
Ці тактики, відомі як «жити за рахунок землі» (LotL), стосуються того, як супротивники використовують рідні, законні інструменти в середовищі жертви для здійснення своїх атак. Коли зловмисники вводять нові інструменти в середовище за допомогою власного шкідливого програмного забезпечення або інструментів, вони створюють певний шум у мережі. Це підвищує ймовірність того, що ці інструменти можуть запускати сигналізацію безпеки та сповіщати захисників про те, що хтось неавторизований перебуває в мережі та здійснює підозрілу діяльність. Зловмисники, які використовують існуючі інструменти, ускладнюють захисникам відокремлення зловмисних дій від законної діяльності.
Щоб змусити зловмисників створювати більше шуму в мережі, лідери ІТ-безпеки повинні переосмислити мережу, щоб переміщення по мережі було не таким легким.
Захист особистих даних, обмеження рухів
Один із підходів полягає в застосуванні надійних засобів контролю доступу та моніторингу аналітики привілейованої поведінки, щоб команда безпеки могла аналізувати мережевий трафік і запити на доступ, що надходять із власних інструментів. За словами Джозефа Карсона, головного спеціаліста з питань безпеки та консультанта CISO у Delinea, відсутність довіри з сильним контролем привілейованого доступу, наприклад принцип найменших привілеїв, ускладнює пересування по мережі для зловмисників.
«Це змушує їх використовувати методи, які створюють більше шуму та брижів у мережі», — каже він. «Це дає ІТ-захисникам кращі шанси виявити несанкціонований доступ набагато раніше під час атаки — до того, як у них з’явиться шанс розгорнути шкідливе програмне забезпечення або програми-вимагачі».
Інший варіант — розглянути технології брокера безпеки доступу до хмари (CASB) і технології безпечного доступу (SASE), щоб зрозуміти, хто (або що) підключається до яких ресурсів і систем, що може виявити несподівані або підозрілі мережеві потоки. Рішення CASB призначені для забезпечення безпеки та видимості для організацій, які використовують хмарні служби та програми. Вони діють як посередники між кінцевими користувачами та постачальниками хмарних послуг, пропонуючи низку засобів контролю безпеки, включаючи запобігання втраті даних (DLP), контроль доступу, шифрування та виявлення загроз.
SASE — це система безпеки, яка поєднує функції безпеки мережі, такі як захищені веб-шлюзи, брандмауер як послуга та доступ до мережі без довіри, з можливостями глобальної мережі (WAN), як-от SD-WAN (програмно визначена глобальна мережа ).
«Слід зосередитися на управлінні поверхнею атак [LotL], — говорить Гарет Ліндаль-Вайз, керівник відділу інформаційних технологій у Ontinue. «Зловмисники досягають успіху там, де вбудовані або розгорнуті інструменти та процеси можуть використовуватися з надто великої кількості кінцевих точок за допомогою занадто багатьох ідентифікацій».
Ці дії за своєю природою є поведінковими аномаліями, тому розуміння того, що відстежується, і введення в кореляційні платформи має вирішальне значення, говорить Ліндаль-Вайз. Команди повинні забезпечити покриття з кінцевих точок і ідентифікаторів, а потім з часом збагатити це інформацією про підключення до мережі. Перевірка мережевого трафіку може допомогти виявити інші методи, навіть якщо сам трафік зашифрований.
Підхід, заснований на доказах
Організації можуть і повинні застосовувати підхід, заснований на доказах, для визначення пріоритетів, які джерела телеметрії вони використовують, щоб отримати видимість законних зловживань комунальними послугами.
«Вартість зберігання джерел журналів більшого обсягу є цілком реальним фактором, але витрати на телеметрію повинні бути оптимізовані відповідно до джерел, які дають вікно в загрози, включаючи зловживання утилітами, які найчастіше спостерігаються в дикій природі та вважаються актуальними для організації. ", - каже Скотт Смолл, директор відділу аналізу загроз у Tidal Cyber.
Численні зусилля спільноти роблять цей процес більш практичним, ніж раніше, включаючи проект з відкритим кодом «LOLBAS», який відстежує потенційно шкідливі програми сотень ключових утиліт, зазначає він.
У той же час зростаючий каталог ресурсів від MITRE ATT&CK, Центру захисту від загроз, і постачальників інструментів безпеки дозволяє перетворювати ту саму ворожу поведінку безпосередньо в дискретні релевантні дані та джерела журналів.
«Більшості організацій непрактично весь час повністю відстежувати кожне відоме джерело журналу», — зазначає Смолл. «Наш аналіз даних проекту LOBAS показує, що ці утиліти LotL можна використовувати для здійснення практично будь-якого типу зловмисної діяльності».
Вони варіюються від ухилення від захисту до ескалації привілеїв, постійності, доступу до облікових даних і навіть викрадання та впливу.
«Це також означає, що існують десятки окремих джерел даних, які можуть надати видимість зловмисному використанню цих інструментів — занадто багато, щоб реально реєструвати всебічно та протягом тривалого періоду часу», — каже Смолл.
Однак ретельніший аналіз показує, де існує кластеризація (та унікальні джерела) – наприклад, лише шість із 48 джерел даних є релевантними для більш ніж трьох чвертей (82%) методів, пов’язаних з LOLBAS.
«Це дає можливість підключити або оптимізувати телеметрію безпосередньо відповідно до найкращих методів життя поза межами землі або конкретних, пов’язаних із комунальними послугами, які організація вважає найпріоритетнішими», — говорить Смолл.
Практичні кроки для керівників ІТ-безпеки
Групи ІТ-безпеки можуть вжити багатьох практичних і розумних заходів для виявлення зловмисників, які живуть за межами землі, якщо вони мають можливість бачити події.
«Хоча мати мережеву видимість чудово, події з кінцевих точок – як робочих станцій, так і серверів – є не менш цінними, якщо їх правильно використовувати», – каже Ренді Паргман, директор із виявлення загроз Proofpoint.
Наприклад, один із прийомів LotL, який останнім часом використовують багато загрозливих суб’єктів, полягає в установці законного програмного забезпечення віддаленого моніторингу та керування (RMM).
Зловмисники віддають перевагу інструментам RMM, тому що вони надійні, мають цифровий підпис і не запускають антивірусні попередження або сповіщення про виявлення та реагування на кінцеві точки (EDR), крім того, вони прості у використанні, і більшість постачальників RMM мають повнофункціональну безкоштовну пробну версію.
Перевага для команд безпеки полягає в тому, що всі інструменти RMM мають дуже передбачувану поведінку, включаючи цифрові підписи, ключі реєстру, які змінюються, доменні імена, які шукаються, і імена процесів, які потрібно шукати.
«Я досяг великого успіху у виявленні використання зловмисниками інструментів RMM, просто написавши сигнатури виявлення для всіх вільно доступних інструментів RMM і зробивши виняток для схваленого інструменту, якщо такий є», — каже Паргман.
Допомагає, якщо авторизовано використовувати лише одного постачальника RMM, і якщо він завжди встановлюється одним і тим же способом – наприклад, під час створення образу системи або за допомогою спеціального сценарію – щоб було легко відрізнити авторизоване встановлення від загроза, яка обманом змушує користувача запустити інсталяцію, додає він.
«Є багато інших подібних можливостей виявлення, починаючи зі списку ЛОЛБАС", - каже Паргман. «Виконуючи запити на пошук загроз для всіх подій кінцевої точки, групи безпеки можуть знаходити шаблони нормального використання у своєму середовищі, а потім створювати власні запити попереджень для виявлення ненормальних шаблонів використання».
Існують також можливості обмежити зловживання вбудованими інструментами, які віддають перевагу зловмисникам, наприклад змінити програму за замовчуванням, яка використовується для відкриття файлів сценаріїв (розширення файлів .js, .jse, .vbs, .vbe, .wsh тощо), щоб що вони не відкриваються у WScript.exe при подвійному клацанні.
«Це допомагає уникнути того, що кінцевих користувачів обманом змусять запустити шкідливий сценарій», — каже Паргман.
Зменшення залежності від облікових даних
За словами Роба Хьюза, ІТ-директора RSA, організаціям потрібно зменшити залежність від облікових даних для встановлення зв’язків. Так само організаціям необхідно попереджати про аномальні та невдалі спроби та викиди, щоб надати командам безпеки бачення того, де використовується зашифрована видимість. Розуміння того, як виглядають «нормальний» і «хороший» зв’язок між системами, і виявлення викидів — це спосіб виявити атаки LotL.
Сфера, про яку часто не звертають уваги, починає привертати все більше уваги, це облікові записи сервісів, які, як правило, нерегульовані, слабо захищені та є основною мішенню для виживання за рахунок наземних атак.
«Вони виконують наші робочі навантаження у фоновому режимі. Ми схильні довіряти їм — напевно, занадто», — каже Хьюз. «Вам також потрібні інвентаризація, право власності та надійні механізми автентифікації в цих облікових записах».
Останню частину може бути важче досягти, оскільки облікові записи сервісів не є інтерактивними, тому звичайні механізми багатофакторної автентифікації (MFA), на які організації покладаються з користувачами, не застосовуються.
«Як і будь-яка автентифікація, існує ступінь міцності», — каже Хьюз. «Я б порекомендував вибрати надійний механізм і переконатися, що групи безпеки реєструють і реагують на будь-які інтерактивні входи з облікового запису служби. Такого не повинно бути».
Потрібні адекватні інвестиції часу
Розбудова культури безпеки не обов’язково має бути дорогим, але вам потрібне готове керівництво, щоб підтримувати та відстоювати справу.
Інвестиція в час іноді є найбільшою інвестицією, каже Хьюз. Але впровадження жорстких засобів контролю ідентифікації в усій організації не повинно бути дорогим завданням у порівнянні зі зниженням ризику, досягнутого таким чином.
«Безпека процвітає завдяки стабільності та узгодженості, але ми не завжди можемо це контролювати в бізнес-середовищі», — каже він. «Робіть розумні інвестиції в зменшення технічної заборгованості в системах, які несумісні або не співпрацюють із MFA або сильним контролем ідентичності».
Вся справа в швидкості виявлення та реагування, каже Паргман.
«У багатьох випадках, які я досліджував, найбільшою позитивною зміною для захисників була швидка відповідь попередженого аналітика SecOps, який помітив щось підозріле, провів розслідування та виявив вторгнення до того, як у загрози з’явився шанс розширитися. їхній вплив», – каже він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :є
- : ні
- :де
- $UP
- 7
- a
- ненормальний
- МЕНЮ
- зловживання
- доступ
- За
- рахунки
- Рахунки
- Achieve
- через
- Діяти
- дії
- діяльності
- діяльність
- актори
- Додає
- адекватний
- прийняти
- Перевага
- змагальність
- консультативний
- проти
- Оповіщення
- Alerts
- ВСІ
- дозволяти
- Також
- завжди
- an
- аналіз
- аналітик
- аналітика
- аналізувати
- та
- аномалії
- антивірус
- будь-який
- застосування
- Застосовувати
- підхід
- затверджений
- архітектура
- ЕСТЬ
- ПЛОЩА
- навколо
- AS
- асоційований
- At
- атака
- нападки
- Спроби
- увагу
- Authentication
- уповноважений
- доступний
- уникнути
- фон
- BE
- оскільки
- перед тим
- поведінка
- поведінкові
- поведінки
- буття
- Краще
- між
- найбільший
- обидва
- брокер
- будувати
- вбудований
- бізнес
- але
- by
- CAN
- можливості
- нести
- проведення
- випадків
- каталог
- Викликати
- Центр
- чемпіон
- шанс
- заміна
- головний
- CIO
- CISO
- ближче
- хмара
- хмарні сервіси
- Кластеризація
- об'єднання
- майбутній
- зв'язку
- співтовариство
- порівняння
- сумісний
- З'єднувальний
- Зв'язки
- зв'язок
- Вважати
- контроль
- управління
- кооперативний
- Кореляція
- Коштувати
- може
- охоплення
- створювати
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- критичний
- культура
- виготовлений на замовлення
- кібер-
- дані
- втрати даних
- Борг
- вважається
- дефолт
- Захисники
- оборони
- розгорнути
- розгортання
- призначений
- виявляти
- Виявлення
- різниця
- цифровий
- в цифровому вигляді
- безпосередньо
- Директор
- do
- робить
- байдуже
- справи
- домен
- ДОМЕННІ ІМЕНА
- безліч
- під час
- Раніше
- легко
- край
- зусилля
- зашифрованих
- шифрування
- кінець
- endeavor
- Кінцева точка
- збагачувати
- забезпечувати
- підприємство
- Навколишнє середовище
- середовищах
- ескалація
- встановити
- і т.д.
- ухилення
- Навіть
- Події
- Кожен
- приклад
- виняток
- ексфільтрація
- існувати
- існуючий
- Розширювати
- дорогий
- Розширення
- фактор
- не вдалося
- на користь
- ознаками
- годування
- філе
- Файли
- знайти
- Потоки
- Сфокусувати
- для
- Примусово
- Війська
- знайдений
- Рамки
- Безкоштовна
- безкоштовне випробування
- вільно
- від
- повністю
- Функції
- Отримувати
- Шлюзи
- отримати
- GitHub
- Давати
- дає
- добре
- великий
- Зростання
- було
- Відбувається
- важче
- Мати
- he
- допомога
- допомагає
- приховувати
- найвищий
- Виділіть
- Як
- HTTPS
- Сотні
- i
- ідентифікує
- тотожності
- Особистість
- if
- Зображеннями
- Impact
- in
- У тому числі
- в тому числі цифрові
- все більше і більше
- вплив
- інформація
- встановлювати
- установка
- встановлений
- Інтелект
- інтерактивний
- посередників
- в
- вводити
- інвентаризація
- інвестиції
- інвестиції
- IT
- це безпека
- сам
- JPG
- просто
- ключ
- ключі
- відомий
- земля
- найбільших
- останній
- Лідери
- Керівництво
- найменш
- законний
- як
- Ймовірно
- МЕЖА
- обмежуючий
- Лінія
- список
- життя
- журнал
- Довго
- подивитися
- виглядає як
- подивився
- від
- серія
- made
- зробити
- РОБОТИ
- Робить
- malicious
- шкідливих програм
- управління
- управління
- багато
- засоби
- механізм
- механізми
- МЗС
- модифікований
- монітор
- контрольований
- моніторинг
- більше
- найбільш
- рухатися
- руху
- переміщення
- багато
- багатофакторна аутентифікація
- повинен
- Імена
- рідний
- природа
- Необхідність
- мережу
- мережева безпека
- мережевий трафік
- Нові
- шум
- нормальний
- примітки
- of
- від
- пропонує
- часто
- on
- Onboard
- ONE
- ті,
- тільки
- відкрити
- з відкритим вихідним кодом
- Можливості
- Оптимізувати
- оптимізований
- варіант
- or
- порядок
- організація
- організації
- Інше
- наші
- з
- над
- власний
- власність
- частина
- приватність
- моделі
- періодів
- наполегливість
- збір
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- Play
- плюс
- точок
- позитивний
- можливість
- потенційно
- Практичний
- практично
- Передбачуваний
- надавати перевагу
- Попередження
- Prime
- принцип
- визначення пріоритетів
- пріоритет
- привілей
- привілейовані
- процес
- процеси
- програма
- проект
- захищений
- забезпечувати
- провайдери
- забезпечує
- запити
- Швидко
- підвищення
- піднімається
- діапазон
- вимагачів
- реальний
- розумний
- нещодавно
- рекомендувати
- перепроектування
- зменшити
- зниження
- скорочення
- послатися
- реєстру
- доречний
- опора
- покладатися
- покладаючись
- віддалений
- запитів
- вимагається
- ресурси
- Реагувати
- відповідь
- брижі
- Risk
- грабувати
- міцний
- RSA
- прогін
- біг
- s
- то ж
- говорить
- вчений
- Скотт
- сценарій
- безпечний
- забезпечення
- безпеку
- окремий
- Сервери
- обслуговування
- постачальники послуг
- Послуги
- комплект
- Повинен
- Шоу
- Signatures
- підписаний
- просто
- SIX
- невеликий
- розумний
- So
- Софтвер
- Рішення
- деякі
- Хтось
- що в сім'ї щось
- іноді
- Source
- Джерела
- спеціальний
- швидкість
- витрачати
- Рекламні
- Стабільність
- Починаючи
- заходи
- зберігання
- сила
- сильний
- процвітати
- успіх
- такі
- підтримка
- Переконайтеся
- поверхню
- підозрілі
- система
- Systems
- тактика
- Приймати
- Мета
- команда
- команди
- технічний
- методи
- Технології
- сказати
- як правило,
- ніж
- Що
- Команда
- їх
- Їх
- потім
- Там.
- Ці
- вони
- річ
- це
- ті
- загроза
- актори загроз
- загрози
- процвітає
- по всьому
- час
- до
- занадто
- інструмент
- інструменти
- топ
- трек
- треків
- трафік
- суд
- обманом
- викликати
- Довіряйте
- Довірений
- тип
- несанкціонований
- розкрити
- розуміти
- розуміння
- Unexpected
- створеного
- використання
- використовуваний
- користувач
- користувачі
- використання
- звичайний
- комунальні послуги
- утиліта
- Цінний
- Ve
- продавець
- постачальники
- дуже
- Жертва
- видимість
- хотіти
- було
- шлях..
- we
- Web
- ДОБРЕ
- Що
- Що таке
- коли
- який
- в той час як
- ВООЗ
- широкий
- Wild
- готовий
- вікно
- з
- в
- лист
- Ти
- зефірнет
- нуль
- нульова довіра