随着攻击者越来越依赖合法工具来隐藏其恶意活动,企业防御者必须重新考虑网络架构,以检测和防御这些攻击。
这些策略被称为“Living off the land”(LotL),指的是对手如何在受害者环境中使用本地合法工具来实施攻击。当攻击者使用自己的恶意软件或工具在环境中引入新工具时,他们会在网络上产生一些噪音。这就增加了这些工具可能触发安全警报并提醒防御者有人未经授权在网络上进行可疑活动的可能性。使用现有工具的攻击者使防御者更难将恶意行为与合法活动区分开来。
为了迫使攻击者在网络上制造更多噪音,IT 安全领导者必须重新思考网络,以便在网络中移动不再那么容易。
保护身份,限制行动
一种方法是应用强大的访问控制并监控特权行为分析,以便安全团队可以分析来自自己工具的网络流量和访问请求。 Delinea 首席安全科学家兼顾问 CISO 约瑟夫·卡森 (Joseph Carson) 表示,零信任和强大的特权访问控制(例如最小特权原则)使攻击者更难在网络中移动。
“这迫使他们使用在网络上产生更多噪音和涟漪的技术,”他说。 “它使 IT 防御者有更好的机会在攻击中更早地检测到未经授权的访问 - 在他们有机会部署恶意软件或勒索软件之前。”
另一种方法是考虑云访问安全代理 (CASB) 和安全访问服务边缘 (SASE) 技术,以了解谁(或什么)正在连接哪些资源和系统,这可以突出显示意外或可疑的网络流量。 CASB 解决方案旨在为采用云服务和应用程序的组织提供安全性和可见性。它们充当最终用户和云服务提供商之间的中介,提供一系列安全控制,包括数据丢失防护 (DLP)、访问控制、加密和威胁检测。
SASE 是一种安全框架,它将安全 Web 网关、防火墙即服务和零信任网络访问等网络安全功能与 SD-WAN(软件定义的广域网)等广域网 (WAN) 功能相结合)。
Ontinue 首席信息安全官 Gareth Lindahl-Wise 表示:“应该重点关注管理 [LotL] 攻击面。” “当太多身份可以从太多端点使用内置或部署的工具和流程时,攻击者就会成功。”
Lindahl-Wise 表示,这些活动本质上属于行为异常,因此了解正在监控的内容并将其输入相关平台至关重要。团队应确保端点和身份的覆盖范围,然后随着时间的推移通过网络连接信息来丰富这一范围。网络流量检查可以帮助发现其他技术,即使流量本身是加密的。
循证方法
组织可以而且应该采取基于证据的方法来确定他们使用哪些遥测源的优先级,以了解合法的公用事业滥用情况。
“存储大量日志源的成本是一个非常现实的因素,但遥测方面的支出应根据提供威胁窗口的来源进行优化,包括滥用的实用程序,这些在野外最常观察到并被认为与组织相关”,Tidal Cyber 威胁情报总监 Scott Small 说道。
他指出,多个社区的努力使这一过程比以前更加实用,其中包括“LOLBAS”开源项目,该项目跟踪数百个关键实用程序的潜在恶意应用程序。
与此同时,来自 MITRE ATT&CK、威胁信息防御中心和安全工具供应商的不断增长的资源目录允许将这些相同的对抗行为直接转换为离散的相关数据和日志源。
“对于大多数组织来说,始终完全跟踪每个已知的日志源是不切实际的,”Small 指出。 “我们对 LOBAS 项目数据的分析表明,这些 LotL 实用程序可用于执行几乎所有类型的恶意活动。”
这些范围从防御规避到特权升级、持久性、凭证访问,甚至渗透和影响。
“这也意味着有数十个离散数据源可以让人们了解这些工具的恶意使用情况——数量太多,无法实际全面、长时间地记录,”斯莫尔说。
然而,更仔细的分析显示了聚类(和独特来源)存在的地方 - 例如,48 个数据源中只有 82 个与超过四分之三 (XNUMX%) 的 LOLBAS 相关技术相关。
“这提供了直接根据顶级陆上生活技术或与组织认为最优先的公用事业相关的特定技术来加入或优化遥测的机会,”斯莫尔说。
IT 安全领导者的实用步骤
IT 安全团队可以采取许多实际且合理的步骤来检测生活在陆地上的攻击者,只要他们能够了解事件。
“虽然拥有网络可见性固然很好,但来自端点(包括工作站和服务器)的事件如果使用得当也同样有价值,”Proofpoint 威胁检测总监 Randy Pargman 说道。
例如,许多威胁行为者最近使用的 LotL 技术之一是安装合法的远程监控和管理 (RMM) 软件。
攻击者更喜欢 RMM 工具,因为它们值得信赖、经过数字签名,并且不会引发防病毒或端点检测和响应 (EDR) 警报,而且它们易于使用,而且大多数 RMM 供应商都有功能齐全的免费试用选项。
安全团队的优势在于,所有 RMM 工具都具有非常可预测的行为,包括数字签名、修改的注册表项、查找的域名以及要查找的进程名称。
“我只需为所有免费提供的 RMM 工具编写检测签名,并为已批准的工具(如果有的话)设置例外,就可以成功检测入侵者对 RMM 工具的使用,”Pargman 说。
如果只有一个 RMM 供应商被授权使用,并且总是以相同的方式安装(例如在系统映像期间或使用特殊脚本),这会有所帮助,这样就可以轻松区分授权安装和非授权安装。他补充道,威胁行为者会诱骗用户运行安装程序。
“还有很多其他类似的检测机会,首先是 乐巴斯,”帕格曼说。 “通过对所有端点事件运行威胁追踪查询,安全团队可以找到其环境中的正常使用模式,然后构建自定义警报查询以检测异常使用模式。”
还有机会限制攻击者喜欢的内置工具的滥用,例如更改用于打开脚本文件(文件扩展名 .js、.jse、.vbs、.vbe、.wsh 等)的默认程序,以便双击时它们不会在 WScript.exe 中打开。
“这有助于避免最终用户被诱骗运行恶意脚本,”帕格曼说。
减少对凭证的依赖
RSA 首席信息官 Rob Hughes 表示,组织需要减少对凭证建立连接的依赖。同样,组织需要针对异常和失败的尝试以及异常值发出警报,以便安全团队能够了解加密可见性的发挥作用。了解系统通信中的“正常”和“良好”并识别异常值是检测 LotL 攻击的一种方法。
服务帐户是一个经常被忽视但开始受到更多关注的领域,它往往不受监管、保护薄弱,并且是靠陆地攻击为生的主要目标。
“他们在后台运行我们的工作负载。我们倾向于信任他们——可能过于信任他们,”休斯说。 “您还需要这些帐户的库存、所有权和强大的身份验证机制。”
最后一部分可能更难实现,因为服务帐户不具有交互性,因此组织依赖于用户的常用多重身份验证 (MFA) 机制不起作用。
“就像任何认证一样,强度也有等级之分,”休斯说。 “我建议选择一个强大的机制,并确保安全团队记录并响应来自服务帐户的任何交互式登录。这些不应该发生。”
需要足够的时间投入
建立安全文化不一定要花费昂贵的费用,但您需要愿意的领导来支持和捍卫这一事业。
休斯说,时间投资有时是最大的投资。但是,与降低风险相比,在整个组织内实施强有力的身份控制并不一定是一项昂贵的努力。
“安全性依赖于稳定性和一致性,但我们无法在商业环境中始终控制这一点,”他说。 “做出明智的投资,减少与 MFA 或强大的身份控制不兼容或不合作的系统的技术债务。”
帕格曼说,这一切都与检测和响应的速度有关。
“在我调查过的很多案例中,对防御者来说最大的积极影响是来自警觉的 SecOps 分析师的快速响应,他们注意到了可疑的情况,进行了调查,并在威胁行为者有机会扩大规模之前发现了入侵。他们的影响力,”他说。
- :是
- :不是
- :在哪里
- $UP
- 7
- a
- 异常
- 关于
- 滥用
- ACCESS
- 根据
- 账号管理
- 账户
- 横过
- 法案
- 行动
- 活动
- 活动
- 演员
- 添加
- 充足
- 采用
- 优点
- 对抗
- advisory
- 驳
- 警惕
- 通知
- 所有类型
- 让
- 还
- 时刻
- an
- 分析
- 分析人士
- 分析
- 分析
- 和
- 异常
- 杀毒软件
- 任何
- 应用领域
- 使用
- 的途径
- 批准
- 架构
- 保健
- 国家 / 地区
- 围绕
- AS
- 相关
- At
- 攻击
- 攻击
- 尝试
- 关注我们
- 认证
- 授权
- 可使用
- 避免
- 背景
- BE
- 因为
- before
- 行为
- 行为
- 行为
- 作为
- 更好
- 之间
- 最大
- 都
- 经纪人
- 建立
- 内建的
- 商业
- 但是
- by
- CAN
- 能力
- 携带
- 携带
- 例
- 检索目录
- 原因
- Center
- 冠军
- 机会
- 改变
- 首席
- CIO
- CISO
- 接近
- 云端技术
- 云服务
- 集群
- 结合
- 未来
- 通信
- 社体的一部分
- 对照
- 兼容
- 连接
- 连接
- 连接方式
- 考虑
- 控制
- 控制
- 合作社
- 相关
- 价格
- 可以
- 覆盖
- 创建信息图
- 凭据
- 资历
- 危急
- 文化塑造
- 习俗
- 网络
- data
- 数据丢失
- 债务
- 认为
- 默认
- 捍卫者
- 国防
- 部署
- 部署
- 设计
- 检测
- 检测
- 差异
- 数字
- 数字
- 直接
- 副总经理
- do
- 不
- 不会
- 做
- 域
- 网站域名
- 几十个
- ,我们将参加
- 此前
- 易
- 边缘
- 工作的影响。
- 加密
- 加密
- 结束
- 努力
- 端点
- 丰富
- 确保
- 企业
- 环境
- 环境中
- 升级
- 建立
- 等
- 逃税
- 甚至
- 事件
- 所有的
- 例子
- 例外
- 渗出
- 存在
- 现有
- 扩大
- 昂贵
- 扩展
- 因素
- 失败
- 赞成
- 精选
- 喂养
- 文件
- 档
- 找到最适合您的地方
- 流动
- 专注焦点
- 针对
- 力
- 部队
- 发现
- 骨架
- Free
- 免费试用
- 自如
- 止
- 充分
- 功能
- Gain增益
- 网关
- 得到
- GitHub上
- 给
- 给
- 非常好
- 大
- 成长
- 民政事务总署
- 事件
- 更难
- 有
- he
- 帮助
- 帮助
- 隐藏
- 最高
- 近期亮点
- 创新中心
- HTTPS
- 数百
- i
- 确定
- 身份
- 身分
- if
- 同步成像
- 影响力故事
- in
- 包含
- 包括数字
- 日益
- 影响
- 信息
- 安装
- 安装
- 安装
- 房源搜索
- 互动
- 中介
- 成
- 介绍
- 库存
- 投资
- 投资
- IT
- 它的安全性
- 本身
- JPG
- 只是
- 键
- 键
- 已知
- 土地
- 最大
- 名:
- 领导人
- 领导团队
- 最少
- 合法
- 喜欢
- 容易
- 极限
- 限制
- Line
- 清单
- 活的
- 日志
- 长
- 看
- 看起来像
- 看着
- 离
- 占地
- 制成
- 使
- 制作
- 制作
- 恶意
- 恶意软件
- 颠覆性技术
- 管理的
- 许多
- 手段
- 机制
- 机制
- 外交部
- 改性
- 显示器
- 监控
- 监控
- 更多
- 最先进的
- 移动
- 运动
- 移动
- 许多
- 多因素身份验证
- 必须
- 名称
- 本地人
- 自然
- 需求
- 网络
- 网络安全
- 网络流量
- 全新
- 噪声
- 正常
- of
- 折扣
- 提供
- 经常
- on
- 板载
- 一
- 那些
- 仅由
- 打开
- 开放源码
- 机会
- 优化
- 优化
- 附加选项
- or
- 秩序
- 组织
- 组织
- 其他名称
- 我们的
- 输出
- 超过
- 己
- 所有权
- 部分
- 特别
- 模式
- 期
- 坚持
- 选择
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 加
- 点
- 积极
- 可能性
- 可能
- 实用
- 几乎
- 可预见
- 比较喜欢
- 预防
- 总理
- 原理
- 优先顺序
- 优先
- 特权
- 特权
- 过程
- 过程
- 曲目
- 项目
- 保护
- 提供
- 供应商
- 提供
- 查询
- 快速
- 提高
- 提高
- 范围
- 勒索
- 真实
- 合理
- 最近
- 建议
- 重新设计
- 减少
- 减少
- 减少
- 参考
- 注册处
- 相应
- 信赖
- 依靠
- 依托
- 远程
- 要求
- 必须
- 资源
- 回应
- 响应
- 涟漪
- 风险
- 抢劫
- 健壮
- RSA
- 运行
- 运行
- s
- 同
- 说
- 科学家
- 斯科特
- 脚本
- 安全
- 保障
- 保安
- 分开
- 服务器
- 服务
- 服务供应商
- 特色服务
- 集
- 应该
- 作品
- 签名
- 签
- 只是
- SIX
- 小
- 智能
- So
- 软件
- 解决方案
- 一些
- 有人
- 东西
- 有时
- 来源
- 来源
- 特别
- 速度
- 花
- 赞助商
- 稳定性
- 开始
- 步骤
- 存储
- 实力
- 强烈
- 走向成功
- 成功
- 这样
- SUPPORT
- 肯定
- 磁化面
- 可疑
- 系统
- 产品
- 策略
- 采取
- 目标
- 团队
- 队
- 文案
- 技术
- 技术
- 展示
- 易于
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- 事
- Free Introduction
- 那些
- 威胁
- 威胁者
- 威胁
- 蓬勃发展
- 始终
- 次
- 至
- 也有
- 工具
- 工具
- 最佳
- 跟踪时
- 轨道
- 交通
- 试用
- 被骗
- 触发
- 信任
- 信任
- 类型
- 擅自
- 揭露
- 理解
- 理解
- 意外
- 独特
- 使用
- 用过的
- 用户
- 用户
- 运用
- 通常
- 公用事业
- 效用
- 有价值
- Ve
- 供应商
- 厂商
- 非常
- 受害者
- 能见度
- 想
- 是
- 方法..
- we
- 卷筒纸
- 井
- 什么是
- 什么是
- ,尤其是
- 这
- 而
- WHO
- 宽
- Wild!!!
- 愿意
- 窗口
- 中
- 写作
- 完全
- 和风网
- 零
- 零信任