Với việc các đối thủ ngày càng dựa vào các công cụ hợp pháp để che giấu các hoạt động độc hại của mình, những người bảo vệ doanh nghiệp phải suy nghĩ lại về kiến trúc mạng để phát hiện và chống lại các cuộc tấn công này.
Được gọi là “sống xa đất liền” (LotL), những chiến thuật này đề cập đến cách đối thủ sử dụng các công cụ hợp pháp, bản địa trong môi trường của nạn nhân để thực hiện các cuộc tấn công của chúng. Khi kẻ tấn công giới thiệu các công cụ mới vào môi trường bằng cách sử dụng phần mềm độc hại hoặc công cụ của riêng chúng, chúng sẽ tạo ra một số tiếng ồn trên mạng. Điều đó làm tăng khả năng những công cụ đó có thể kích hoạt cảnh báo an ninh và cảnh báo những người bảo vệ rằng có ai đó truy cập trái phép vào mạng và thực hiện hoạt động đáng ngờ. Những kẻ tấn công sử dụng các công cụ hiện có khiến những người bảo vệ gặp khó khăn hơn trong việc tách các hành động độc hại khỏi hoạt động hợp pháp.
Để buộc những kẻ tấn công tạo ra nhiều tiếng ồn hơn trên mạng, các nhà lãnh đạo bảo mật CNTT phải suy nghĩ lại về mạng để việc di chuyển khắp mạng không còn dễ dàng nữa.
Bảo vệ danh tính, hạn chế di chuyển
Một cách tiếp cận là áp dụng các biện pháp kiểm soát truy cập mạnh mẽ và giám sát phân tích hành vi đặc quyền để nhóm bảo mật có thể phân tích lưu lượng truy cập mạng và các yêu cầu truy cập đến từ các công cụ của riêng họ. Joseph Carson, nhà khoa học bảo mật và cố vấn CISO tại Delinea, cho biết: Không tin cậy với các biện pháp kiểm soát truy cập đặc quyền mạnh mẽ – chẳng hạn như nguyên tắc đặc quyền tối thiểu – khiến kẻ tấn công khó di chuyển trên mạng hơn.
Ông nói: “Điều này buộc họ phải sử dụng các kỹ thuật tạo ra nhiều tiếng ồn và gợn sóng hơn trên mạng”. “Nó mang lại cho những người bảo vệ CNTT cơ hội tốt hơn trong việc phát hiện truy cập trái phép sớm hơn nhiều trong cuộc tấn công — trước khi họ có cơ hội triển khai phần mềm độc hại hoặc ransomware.”
Một cách khác là xem xét các công nghệ của nhà môi giới bảo mật truy cập đám mây (CASB) và biên dịch vụ truy cập an toàn (SASE) để hiểu ai (hoặc cái gì) đang kết nối với tài nguyên và hệ thống nào, điều này có thể làm nổi bật các luồng mạng bất ngờ hoặc đáng ngờ. Các giải pháp CASB được thiết kế để cung cấp tính bảo mật và khả năng hiển thị cho các tổ chức áp dụng các ứng dụng và dịch vụ đám mây. Họ đóng vai trò trung gian giữa người dùng cuối và nhà cung cấp dịch vụ đám mây, cung cấp nhiều biện pháp kiểm soát bảo mật, bao gồm ngăn ngừa mất dữ liệu (DLP), kiểm soát truy cập, mã hóa và phát hiện mối đe dọa.
SASE là một khung bảo mật kết hợp các chức năng bảo mật mạng, chẳng hạn như cổng Web an toàn, tường lửa dưới dạng dịch vụ và truy cập mạng không tin cậy, với các khả năng của mạng diện rộng (WAN) như SD-WAN (mạng diện rộng được xác định bằng phần mềm). ).
Gareth Lindahl-Wise, CISO tại Ontinue cho biết: “Cần có sự tập trung mạnh mẽ vào việc quản lý bề mặt tấn công [LotL]”. “Những kẻ tấn công thành công khi các công cụ và quy trình tích hợp hoặc đã triển khai có thể được sử dụng từ quá nhiều điểm cuối bởi quá nhiều danh tính.”
Lindahl-Wise cho biết, về bản chất, những hoạt động này là những hành vi bất thường, vì vậy việc hiểu những gì đang được theo dõi và đưa vào các nền tảng tương quan là rất quan trọng. Các nhóm nên đảm bảo phạm vi phủ sóng từ các điểm cuối và danh tính, sau đó làm phong phú thêm điều này bằng thông tin kết nối mạng theo thời gian. Kiểm tra lưu lượng mạng có thể giúp khám phá các kỹ thuật khác, ngay cả khi bản thân lưu lượng truy cập được mã hóa.
Phương pháp tiếp cận dựa trên bằng chứng
Các tổ chức có thể và nên áp dụng cách tiếp cận dựa trên bằng chứng để ưu tiên các nguồn đo từ xa mà họ sử dụng nhằm đạt được tầm nhìn rõ ràng về việc lạm dụng tiện ích hợp pháp.
“Chi phí lưu trữ các nguồn nhật ký có khối lượng lớn hơn là một yếu tố rất thực tế, nhưng chi tiêu cho đo từ xa phải được tối ưu hóa theo các nguồn cung cấp cái nhìn sâu sắc về các mối đe dọa, bao gồm cả các tiện ích bị lạm dụng, được quan sát thường xuyên nhất trong thực tế và được coi là có liên quan đến tổ chức.” ,” Scott Small, giám đốc tình báo mối đe dọa tại Tidal Cyber cho biết.
Ông chỉ ra rằng nhiều nỗ lực của cộng đồng làm cho quá trình này trở nên thiết thực hơn trước, bao gồm cả dự án nguồn mở “LOLBAS”, theo dõi các ứng dụng độc hại tiềm ẩn của hàng trăm tiện ích chính.
Trong khi đó, danh mục tài nguyên ngày càng tăng từ MITER ATT&CK, Trung tâm phòng thủ trước mối đe dọa và các nhà cung cấp công cụ bảo mật cho phép chuyển trực tiếp từ các hành vi đối nghịch tương tự đó thành các nguồn nhật ký và dữ liệu riêng biệt, có liên quan.
“Việc hầu hết các tổ chức luôn theo dõi đầy đủ mọi nguồn nhật ký đã biết là không thực tế,” Small lưu ý. “Phân tích dữ liệu của chúng tôi từ dự án LOBAS cho thấy các tiện ích LotL này có thể được sử dụng để thực hiện hầu hết mọi loại hoạt động độc hại.”
Chúng bao gồm từ trốn tránh phòng thủ đến leo thang đặc quyền, kiên trì, truy cập thông tin xác thực và thậm chí cả việc đánh cắp và tác động.
“Điều này cũng có nghĩa là có hàng tá nguồn dữ liệu riêng biệt có thể cung cấp thông tin rõ ràng về việc sử dụng độc hại các công cụ này – quá nhiều để có thể ghi nhật ký một cách toàn diện và trong thời gian dài một cách thực tế,” Small nói.
Tuy nhiên, phân tích kỹ hơn cho thấy nơi tồn tại việc phân cụm (và các nguồn duy nhất) - ví dụ: chỉ sáu trong số 48 nguồn dữ liệu có liên quan đến hơn ba phần tư (82%) các kỹ thuật liên quan đến LOLBAS.
Small cho biết: “Điều này mang đến cơ hội triển khai hoặc tối ưu hóa phép đo từ xa trực tiếp phù hợp với các kỹ thuật sống ngoài đất liền hàng đầu hoặc những kỹ thuật cụ thể liên quan đến các tiện ích được tổ chức coi là ưu tiên cao nhất”.
Các bước thực tế dành cho người lãnh đạo bảo mật CNTT
Các nhóm bảo mật CNTT có thể thực hiện nhiều bước thiết thực và hợp lý để phát hiện những kẻ tấn công sống ngoài đất liền, miễn là chúng có tầm nhìn rõ ràng về các sự kiện.
Randy Pargman, giám đốc phát hiện mối đe dọa tại Proofpoint cho biết: “Mặc dù việc có khả năng hiển thị mạng là điều tuyệt vời nhưng các sự kiện từ điểm cuối – cả máy trạm và máy chủ – đều có giá trị nếu được sử dụng tốt”.
Ví dụ: một trong những kỹ thuật LotL được nhiều kẻ đe dọa sử dụng gần đây là cài đặt phần mềm quản lý và giám sát từ xa (RMM) hợp pháp.
Những kẻ tấn công thích các công cụ RMM hơn vì chúng đáng tin cậy, được ký điện tử và không kích hoạt cảnh báo chống vi-rút hoặc phát hiện điểm cuối và phản hồi (EDR), ngoài ra, chúng dễ sử dụng và hầu hết các nhà cung cấp RMM đều có tùy chọn dùng thử miễn phí đầy đủ tính năng.
Ưu điểm dành cho các nhóm bảo mật là tất cả các công cụ RMM đều có hành vi rất dễ đoán, bao gồm chữ ký điện tử, khóa đăng ký được sửa đổi, tên miền được tra cứu và tên quy trình cần tìm.
Pargman cho biết: “Tôi đã thành công rực rỡ khi phát hiện kẻ xâm nhập sử dụng các công cụ RMM chỉ bằng cách viết chữ ký phát hiện cho tất cả các công cụ RMM có sẵn miễn phí và tạo một ngoại lệ cho công cụ được phê duyệt, nếu có”.
Sẽ hữu ích nếu chỉ một nhà cung cấp RMM được phép sử dụng và nếu nó luôn được cài đặt theo cùng một cách – chẳng hạn như trong quá trình chụp ảnh hệ thống hoặc bằng một tập lệnh đặc biệt – để có thể dễ dàng nhận ra sự khác biệt giữa cài đặt được ủy quyền và một Ông cho biết thêm, tác nhân đe dọa lừa người dùng chạy cài đặt.
“Có rất nhiều cơ hội phát hiện khác giống như thế này, bắt đầu từ danh sách ở LOLBA,” Pargman nói. “Khi chạy các truy vấn tìm kiếm mối đe dọa trên tất cả các sự kiện điểm cuối, các nhóm bảo mật có thể tìm thấy các kiểu sử dụng thông thường trong môi trường của họ, sau đó xây dựng các truy vấn cảnh báo tùy chỉnh để phát hiện các kiểu sử dụng bất thường.”
Ngoài ra còn có cơ hội để hạn chế việc lạm dụng các công cụ tích hợp mà kẻ tấn công ưa thích, chẳng hạn như thay đổi chương trình mặc định được sử dụng để mở các tệp tập lệnh (phần mở rộng tệp .js, .jse, .vbs, .vbe, .wsh, v.v.) để rằng chúng không mở trong WScript.exe khi bấm đúp.
Pargman nói: “Điều đó giúp tránh việc người dùng cuối bị lừa chạy một tập lệnh độc hại”.
Giảm sự phụ thuộc vào thông tin xác thực
Theo Rob Hughes, CIO của RSA, các tổ chức cần giảm sự phụ thuộc vào thông tin xác thực để thiết lập kết nối. Tương tự như vậy, các tổ chức cần đưa ra cảnh báo về các lần thử bất thường, thất bại và các ngoại lệ để cung cấp cho các nhóm bảo mật khả năng hiển thị về nơi khả năng hiển thị được mã hóa đang diễn ra. Hiểu được thế nào là “bình thường” và “tốt” trong giao tiếp hệ thống và xác định các ngoại lệ là một cách để phát hiện các cuộc tấn công LotL.
Một lĩnh vực thường bị bỏ qua đang bắt đầu được chú ý nhiều hơn là các tài khoản dịch vụ, có xu hướng không được kiểm soát, được bảo vệ yếu kém và là mục tiêu hàng đầu để sống nhờ các cuộc tấn công trên bộ.
“Họ chạy khối lượng công việc của chúng tôi ở chế độ nền. Chúng ta có xu hướng tin tưởng họ – có thể là quá nhiều,” Hughes nói. “Bạn cũng muốn có khoảng không quảng cáo, quyền sở hữu và cơ chế xác thực mạnh mẽ trên các tài khoản này.”
Phần cuối cùng có thể khó đạt được hơn vì các tài khoản dịch vụ không có tính tương tác, do đó, cơ chế xác thực đa yếu tố (MFA) thông thường mà các tổ chức dựa vào với người dùng không còn hiệu quả.
Hughes nói: “Giống như bất kỳ xác thực nào, đều có mức độ mạnh mẽ. “Tôi khuyên bạn nên chọn một cơ chế mạnh mẽ và đảm bảo các nhóm bảo mật ghi nhật ký và phản hồi mọi thông tin đăng nhập tương tác từ tài khoản dịch vụ. Những điều đó không nên xảy ra.”
Cần đầu tư đủ thời gian
Xây dựng văn hóa an ninh không nhất thiết phải tốn kém, nhưng bạn cần có sự lãnh đạo sẵn sàng hỗ trợ và bảo vệ chính nghĩa.
Hughes cho rằng đầu tư vào thời gian đôi khi là khoản đầu tư lớn nhất. Nhưng việc mở rộng các biện pháp kiểm soát danh tính mạnh mẽ trong toàn bộ tổ chức không nhất thiết phải là một nỗ lực tốn kém so với việc giảm thiểu rủi ro khi thực hiện điều đó.
Ông nói: “Bảo mật phát triển dựa trên sự ổn định và nhất quán, nhưng không phải lúc nào chúng ta cũng có thể kiểm soát được điều đó trong môi trường kinh doanh. “Hãy đầu tư thông minh vào việc giảm nợ kỹ thuật trong các hệ thống không tương thích hoặc không hợp tác với MFA hoặc các biện pháp kiểm soát danh tính mạnh mẽ.”
Pargman cho biết tất cả phụ thuộc vào tốc độ phát hiện và phản hồi.
“Trong rất nhiều trường hợp tôi đã điều tra, điều tạo ra sự khác biệt tích cực lớn nhất cho những người bảo vệ là phản hồi nhanh chóng từ một nhà phân tích cảnh báo của SecOps, người đã nhận thấy điều gì đó đáng ngờ, điều tra và phát hiện ra hành vi xâm nhập trước khi tác nhân đe dọa có cơ hội mở rộng ảnh hưởng của họ,” ông nói.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 7
- a
- dị thường
- Giới thiệu
- lạm dụng
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- Đạt được
- ngang qua
- Hành động
- hành động
- hoạt động
- hoạt động
- diễn viên
- Thêm
- đầy đủ
- nhận nuôi
- Lợi thế
- đối thủ
- cố vấn
- chống lại
- Cảnh báo
- Cảnh báo
- Tất cả
- cho phép
- Ngoài ra
- luôn luôn
- an
- phân tích
- phân tích
- phân tích
- phân tích
- và
- bất thường
- antivirus
- bất kì
- các ứng dụng
- Đăng Nhập
- phương pháp tiếp cận
- phê duyệt
- kiến trúc
- LÀ
- KHU VỰC
- xung quanh
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- Xác thực
- ủy quyền
- có sẵn
- tránh
- lý lịch
- BE
- bởi vì
- trước
- hành vi
- hành vi
- hành vi
- được
- Hơn
- giữa
- lớn nhất
- cả hai
- người môi giới
- xây dựng
- được xây dựng trong
- kinh doanh
- nhưng
- by
- CAN
- khả năng
- mang
- thực
- trường hợp
- Danh mục hàng
- Nguyên nhân
- Trung tâm
- nhà vô địch
- cơ hội
- thay đổi
- chánh
- CIO
- CISO
- gần gũi hơn
- đám mây
- dịch vụ điện toán đám mây
- tập hợp
- kết hợp
- đến
- Truyền thông
- cộng đồng
- sự so sánh
- tương thích
- Kết nối
- Kết nối
- Kết nối
- Hãy xem xét
- điều khiển
- điều khiển
- hợp tác xã
- Tương quan
- Phí Tổn
- có thể
- bảo hiểm
- tạo
- CHỨNG CHỈ
- Credentials
- quan trọng
- văn hóa
- khách hàng
- không gian mạng
- dữ liệu
- mất dữ liệu
- Nợ
- coi
- Mặc định
- Hậu vệ
- Phòng thủ
- triển khai
- triển khai
- thiết kế
- phát hiện
- Phát hiện
- sự khác biệt
- kỹ thuật số
- kỹ thuật số
- trực tiếp
- Giám đốc
- do
- làm
- doesn
- làm
- miền
- TÊN MIỀN
- hàng chục
- suốt trong
- Sớm hơn
- dễ dàng
- Cạnh
- những nỗ lực
- mã hóa
- mã hóa
- cuối
- nỗ lực
- Điểm cuối
- làm giàu
- đảm bảo
- Doanh nghiệp
- Môi trường
- môi trường
- leo thang
- thành lập
- vv
- trốn tránh
- Ngay cả
- sự kiện
- Mỗi
- ví dụ
- ngoại lệ
- sự lọc ra
- tồn tại
- hiện tại
- Mở rộng
- đắt tiền
- mở rộng
- yếu tố
- thất bại
- ủng hộ
- đặc sắc
- cho ăn
- Tập tin
- Các tập tin
- Tìm kiếm
- Chảy
- Tập trung
- Trong
- Buộc
- Lực lượng
- tìm thấy
- Khung
- Miễn phí
- dùng thử miễn phí
- tự do
- từ
- đầy đủ
- chức năng
- Thu được
- cổng
- được
- GitHub
- Cho
- cho
- tốt
- tuyệt vời
- Phát triển
- có
- Xảy ra
- khó hơn
- Có
- he
- giúp đỡ
- giúp
- Ẩn giấu
- cao nhất
- Đánh dấu
- Độ đáng tin của
- HTTPS
- Hàng trăm
- i
- xác định
- danh tính
- Bản sắc
- if
- Hình ảnh
- Va chạm
- in
- Bao gồm
- bao gồm cả kỹ thuật số
- lên
- ảnh hưởng
- thông tin
- cài đặt, dựng lên
- cài đặt
- cài đặt
- Sự thông minh
- tương tác
- trung gian
- trong
- giới thiệu
- hàng tồn kho
- đầu tư
- Đầu Tư
- IT
- nó bảo mật
- chính nó
- jpg
- chỉ
- Key
- phím
- nổi tiếng
- Quốc gia
- lớn nhất
- Họ
- các nhà lãnh đạo
- Lãnh đạo
- ít nhất
- hợp pháp
- Lượt thích
- Có khả năng
- LIMIT
- hạn chế
- Dòng
- Danh sách
- sống
- đăng nhập
- dài
- Xem
- giống như
- nhìn
- sự mất
- Rất nhiều
- thực hiện
- làm cho
- LÀM CHO
- Làm
- độc hại
- phần mềm độc hại
- quản lý
- quản lý
- nhiều
- có nghĩa
- cơ chế
- cơ chế
- MFA
- sửa đổi
- Màn Hình
- theo dõi
- giám sát
- chi tiết
- hầu hết
- di chuyển
- phong trào
- di chuyển
- nhiều
- xác thực đa yếu tố
- phải
- tên
- tự nhiên
- Thiên nhiên
- Cần
- mạng
- An ninh mạng
- lưu lượng mạng
- Mới
- Tiếng ồn
- bình thường
- Chú ý
- of
- off
- cung cấp
- thường
- on
- onboard
- ONE
- những
- có thể
- mở
- mã nguồn mở
- Cơ hội
- Tối ưu hóa
- tối ưu hóa
- Tùy chọn
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết thúc
- riêng
- quyền sở hữu
- một phần
- riêng
- mô hình
- kinh nguyệt
- kiên trì
- chọn
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- thêm
- điểm
- tích cực
- khả năng
- có khả năng
- Thực tế
- thực tế
- Dự đoán
- thích hơn
- Phòng chống
- Thủ tướng Chính phủ
- nguyên tắc
- ưu tiên
- ưu tiên
- đặc quyền
- đặc quyền đặc lợi
- quá trình
- Quy trình
- chương trình
- dự án
- bảo vệ
- cho
- nhà cung cấp
- cung cấp
- truy vấn
- Nhanh chóng
- nâng cao
- tăng giá
- phạm vi
- ransomware
- thực
- hợp lý
- gần đây
- giới thiệu
- thiết kế lại
- giảm
- giảm
- giảm
- xem
- đăng ký
- có liên quan
- sự phụ thuộc
- dựa
- dựa vào
- xa
- yêu cầu
- cần phải
- Thông tin
- Trả lời
- phản ứng
- gợn sóng
- Nguy cơ
- cướp
- mạnh mẽ
- rsa
- chạy
- chạy
- s
- tương tự
- nói
- Nhà khoa học
- scott
- kịch bản
- an toàn
- đảm bảo
- an ninh
- riêng biệt
- Các máy chủ
- dịch vụ
- các nhà cung cấp dịch vụ
- DỊCH VỤ
- định
- nên
- Chương trình
- Chữ ký
- Ký kết
- đơn giản
- Six
- nhỏ
- thông minh
- So
- Phần mềm
- Giải pháp
- một số
- Một người nào đó
- một cái gì đó
- đôi khi
- nguồn
- nguồn
- đặc biệt
- tốc độ
- tiêu
- Được tài trợ
- Tính ổn định
- Bắt đầu
- Các bước
- lưu trữ
- sức mạnh
- mạnh mẽ
- thành công
- thành công
- như vậy
- hỗ trợ
- chắc chắn
- Bề mặt
- đáng ngờ
- hệ thống
- hệ thống
- chiến thuật
- Hãy
- Mục tiêu
- nhóm
- đội
- Kỹ thuật
- kỹ thuật
- Công nghệ
- nói
- có xu hướng
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều
- điều này
- những
- mối đe dọa
- diễn viên đe dọa
- các mối đe dọa
- phát triển mạnh
- khắp
- thời gian
- đến
- quá
- công cụ
- công cụ
- hàng đầu
- theo dõi
- bài hát
- giao thông
- thử nghiệm
- bị lừa
- kích hoạt
- NIỀM TIN
- đáng tin cậy
- kiểu
- không được phép
- khám phá
- hiểu
- sự hiểu biết
- Bất ngờ
- độc đáo
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- bình thường
- tiện ích
- tiện ích
- Quý báu
- Ve
- nhà cung cấp
- nhà cung cấp
- rất
- nạn nhân
- khả năng hiển thị
- muốn
- là
- Đường..
- we
- web
- TỐT
- Điều gì
- Là gì
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- rộng
- Hoang dã
- sẵn sàng
- cửa sổ
- với
- ở trong
- viết
- Bạn
- zephyrnet
- không
- không tin tưởng