Kun vastustajat luottavat yhä enemmän laillisiin työkaluihin piilottaakseen haitalliset toimintansa, yritysten puolustajien on harkittava verkkoarkkitehtuuria uudelleen havaitakseen nämä hyökkäykset ja puolustautuakseen niitä vastaan.
Nämä taktiikat tunnetaan nimellä "eläminen maasta" (LotL). Nämä taktiikat viittaavat siihen, kuinka vastustajat käyttävät alkuperäisiä, laillisia työkaluja uhrin ympäristössä suorittaakseen hyökkäyksensä. Kun hyökkääjät tuovat ympäristöön uusia työkaluja käyttämällä omia haittaohjelmiaan tai työkalujaan, he aiheuttavat verkkoon melua. Tämä lisää mahdollisuutta, että kyseiset työkalut voivat laukaista turvahälytyksiä ja varoittaa puolustajia siitä, että joku luvaton on verkossa ja suorittaa epäilyttävää toimintaa. Hyökkääjät, jotka käyttävät olemassa olevia työkaluja, vaikeuttavat puolustajien erottaa haitalliset toimet laillisista toimista.
Pakottaakseen hyökkääjät luomaan lisää melua verkkoon IT-tietoturvajohtajien on harkittava verkkoa uudelleen, jotta verkossa liikkuminen ei ole niin helppoa.
Identiteettien turvaaminen, liikkeiden rajoittaminen
Yksi lähestymistapa on soveltaa vahvoja pääsynvalvontaa ja valvoa etuoikeutetun käyttäytymisen analytiikkaa, jotta tietoturvatiimi voi analysoida verkkoliikennettä ja pääsypyyntöjä, jotka tulevat omista työkaluistaan. Nolla luottamusta vahvoilla etuoikeutetuilla käyttöoikeuksilla – kuten vähiten etuoikeusperiaatteella – vaikeuttaa hyökkääjien liikkumista verkossa, sanoo Joseph Carson, Delinean turvallisuustutkija ja neuvonantaja CISO.
"Tämä pakottaa heidät käyttämään tekniikoita, jotka luovat enemmän melua ja väreilyä verkossa", hän sanoo. "Se antaa IT-puolustajille paremmat mahdollisuudet havaita luvaton käyttö paljon aikaisemmin hyökkäyksen aikana – ennen kuin heillä on mahdollisuus ottaa käyttöön haittaohjelmia tai kiristysohjelmia."
Toinen on harkita pilvikäyttöturvavälittäjä (CASB) ja SASE (Secure Access Service Edge) -tekniikoita, jotta voidaan ymmärtää, kuka (tai mikä) on yhteydessä mihinkin resursseihin ja järjestelmiin, mikä voi korostaa odottamattomia tai epäilyttäviä verkkovirtoja. CASB-ratkaisut on suunniteltu tarjoamaan turvallisuutta ja näkyvyyttä organisaatioille, jotka ottavat käyttöön pilvipalveluita ja -sovelluksia. Ne toimivat välittäjinä loppukäyttäjien ja pilvipalveluntarjoajien välillä tarjoten erilaisia suojaustoimintoja, mukaan lukien tietojen menetyksen eston (DLP), kulunvalvonta, salaus ja uhkien havaitseminen.
SASE on tietoturvakehys, jossa yhdistyvät verkon suojaustoiminnot, kuten suojatut verkkoyhdyskäytävät, palveluna toimiva palomuuri ja nollaluottamuksellinen verkkoyhteys, ja WAN-ominaisuudet, kuten SD-WAN (ohjelmiston määrittämä suuralueverkko). ).
"[LotL]-hyökkäyspinnan hallintaan tulisi keskittyä vahvasti", sanoo Gareth Lindahl-Wise, Ontinuen CISO. "Hyökkääjät menestyvät siellä, missä liian monet identiteetit voivat käyttää sisäänrakennettuja tai käyttöön otettuja työkaluja ja prosesseja liian monesta päätepisteestä."
Nämä toiminnot ovat luonteeltaan käyttäytymispoikkeavuuksia, joten seurattavan ymmärtäminen ja korrelaatioalustoille syöttäminen on ratkaisevan tärkeää, Lindahl-Wise sanoo. Tiimien tulee varmistaa päätepisteiden ja identiteettien kattavuus ja rikastaa sitä ajan myötä verkkoyhteystiedoilla. Verkkoliikenteen tarkastus voi auttaa paljastamaan muita tekniikoita, vaikka itse liikenne olisi salattua.
Todisteisiin perustuva lähestymistapa
Organisaatiot voivat ja niiden pitäisikin ottaa näyttöön perustuva lähestymistapa priorisoidakseen, mitä telemetrialähteitä ne käyttävät saadakseen näkyvyyttä laillisesta hyödyn väärinkäytöstä.
"Suuremman volyymin lokilähteiden tallentamisen kustannukset ovat hyvin todellinen tekijä, mutta telemetrian kulutus tulee optimoida lähteiden mukaan, jotka antavat ikkunan uhkille, mukaan lukien väärinkäytetyt apuohjelmat, joita havaitaan useimmiten luonnossa ja katsotaan organisaation kannalta merkityksellisiksi. ”, sanoo Scott Small, Tidal Cyberin uhkatiedon johtaja.
Useat yhteisön toimet tekevät tästä prosessista aiempaa käytännöllisemmän, mukaan lukien avoimen lähdekoodin LOLBAS-projekti, joka seuraa satojen keskeisten apuohjelmien mahdollisesti haitallisia sovelluksia, hän huomauttaa.
Samaan aikaan kasvava resurssiluettelo MITER ATT&CK:lta, Center for Threat-Informed Defence -keskukselta ja tietoturvatyökalujen toimittajilta mahdollistaa samojen vastustajakäyttäytymisten muuntamisen suoraan erillisiksi, relevanteiksi tieto- ja lokilähteiksi.
"Useimpien organisaatioiden ei ole käytännöllistä seurata kaikkia tunnettuja lokilähteitä koko ajan", Small huomauttaa. "LOBAS-projektin tietojen analyysimme osoittaa, että näitä LotL-apuohjelmia voidaan käyttää käytännössä kaikentyyppisten haitallisten toimintojen suorittamiseen."
Nämä vaihtelevat puolustuksen kiertämisestä etuoikeuksien eskaloitumiseen, pysyvyyteen, valtuustietojen saantiin ja jopa suodattamiseen ja vaikuttamiseen.
"Tämä tarkoittaa myös sitä, että on olemassa kymmeniä erillisiä tietolähteitä, jotka voivat antaa näkyvyyttä näiden työkalujen haitallisesta käytöstä – liian paljon realistiseen kirjautumiseen kattavasti ja pitkiä aikoja", Small sanoo.
Tarkempi analyysi osoittaa kuitenkin, missä klusterointi (ja ainutlaatuiset lähteet) on olemassa – esimerkiksi vain kuusi 48 tietolähteestä on relevanttia yli kolmelle neljäsosalle (82 %) LOLBAS-tekniikkaan liittyvistä tekniikoista.
"Tämä tarjoaa mahdollisuuksia ottaa käyttöön tai optimoida telemetriaa suoraan parhaiden off-the-land-tekniikoiden mukaisesti tai tiettyjen organisaation tärkeimpien laitosten kannalta tärkeiden tekniikoiden mukaisesti", Small sanoo.
Käytännön vaiheita IT-tietoturvajohtajille
IT-tietoturvatiimit voivat tehdä monia käytännöllisiä ja järkeviä toimenpiteitä havaitakseen maalla elävät hyökkääjät, kunhan heillä on näkyvyyttä tapahtumiin.
"Vaikka verkon näkyvyys on hienoa, päätepisteistä – sekä työasemilta että palvelimilta - tulevat tapahtumat ovat yhtä arvokkaita, jos niitä käytetään hyvin", sanoo Proofpointin uhkien havaitsemisesta vastaava johtaja Randy Pargman.
Esimerkiksi yksi monien uhkatoimijoiden viime aikoina käyttämistä LotL-tekniikoista on laillisen etävalvonta- ja etähallintaohjelmiston (RMM) asentaminen.
Hyökkääjät suosivat RMM-työkaluja, koska ne ovat luotettavia, digitaalisesti allekirjoitettuja eivätkä anna virustorjunta- tai päätepisteiden havaitsemis- ja vastaushälytyksiä (EDR), ja niitä on helppo käyttää, ja useimmilla RMM-toimittajilla on täysin varusteltu ilmainen kokeiluversio.
Tietoturvatiimien etu on, että kaikilla RMM-työkaluilla on hyvin ennakoitavissa oleva toiminta, mukaan lukien digitaaliset allekirjoitukset, muokatut rekisteriavaimet, etsittävät verkkotunnukset ja etsittävät prosessinimet.
"Olen onnistunut havaitsemaan RMM-työkalujen tunkeilijan käytön yksinkertaisesti kirjoittamalla tunnistusallekirjoituksia kaikille vapaasti saatavilla oleville RMM-työkaluille ja tekemällä poikkeuksen hyväksytylle työkalulle, jos sellainen on", Pargman sanoo.
Se auttaa, jos vain yksi RMM-toimittaja on valtuutettu käytettäväksi ja jos se asennetaan aina samalla tavalla - esimerkiksi järjestelmän kuvantamisen aikana tai erityisellä komentosarjalla - niin, että on helppo erottaa valtuutettu asennus uhkatoimija, joka huijaa käyttäjän suorittamaan asennuksen, hän lisää.
"On monia muita samanlaisia havaitsemismahdollisuuksia, alkaen luettelosta LOLBAS", Pargman sanoo. "Suorittamalla uhkien etsintäkyselyitä kaikissa päätepistetapahtumissa tietoturvatiimit voivat löytää normaalin käytön mallit ympäristöistään ja rakentaa sitten mukautettuja hälytyskyselyitä havaitakseen epänormaalit käyttötavat."
On myös mahdollisuuksia rajoittaa hyökkääjien suosimien sisäänrakennettujen työkalujen väärinkäyttöä, kuten komentosarjatiedostojen avaamiseen käytettävän oletusohjelman muuttaminen (tiedostotunnisteet .js, .jse, .vbs, .vbe, .wsh jne.) että ne eivät avaudu WScript.exe-tiedostossa, kun niitä kaksoisnapsautetaan.
"Tämä auttaa välttämään loppukäyttäjien huijauksen suorittamaan haitallista komentosarjaa", Pargman sanoo.
Tunnuksiin riippuvuuden vähentäminen
RSA:n tietohallintojohtajan Rob Hughesin mukaan organisaatioiden on vähennettävä luotettavuuttaan valtuustietoihin yhteyksien luomisessa. Samoin organisaatioiden on varoitettava poikkeavista ja epäonnistuneista yrityksistä ja poikkeamista, jotta tietoturvatiimit näkevät, missä salattu näkyvyys on pelissä. Ymmärtäminen, miltä "normaali" ja "hyvä" näyttävät järjestelmäviestinnässä, ja poikkeamien tunnistaminen on tapa havaita LotL-hyökkäykset.
Usein huomiotta jäänyt alue, joka alkaa saada paljon enemmän huomiota, ovat palvelutilit, jotka ovat yleensä sääntelemättömiä, heikosti suojattuja ja jotka ovat ensisijainen kohde maahyökkäysten varassa elämiselle.
"He hoitavat työkuormitamme taustalla. Meillä on tapana luottaa heihin – todennäköisesti liikaa”, Hughes sanoo. "Haluat myös näille tileille varaston, omistajuuden ja vahvat todennusmekanismit."
Viimeinen osa voi olla vaikeampi saavuttaa, koska palvelutilit eivät ole vuorovaikutteisia, joten tavalliset monitekijätodennusmekanismit (MFA), joihin organisaatiot luottavat käyttäjien kanssa, eivät ole pelissä.
"Kuten mikä tahansa todennus, on olemassa vahvuusasteita", Hughes sanoo. "Suosittelen valitsemaan vahvan mekanismin ja varmistamaan, että turvallisuustiimit kirjautuvat ja vastaavat kaikkiin interaktiivisiin kirjautumisiin palvelutililtä. Niitä ei pitäisi tapahtua."
Riittävä aikasijoitus vaaditaan
Turvallisuuskulttuurin rakentamisen ei tarvitse olla kallista, mutta tarvitset halukasta johtajuutta tukemaan ja puolustamaan asiaa.
Ajan investointi on joskus suurin investointi, Hughes sanoo. Vahvan identiteetin valvonnan käyttämisen kaikkialla organisaatiossa ei kuitenkaan tarvitse olla kallista verrattuna riskien vähentämiseen.
"Turvallisuus kukoistaa vakaudesta ja johdonmukaisuudesta, mutta emme voi aina hallita sitä liiketoimintaympäristössä", hän sanoo. "Tee älykkäitä investointeja teknisen velan vähentämiseen järjestelmissä, jotka eivät ole yhteensopivia tai yhteistyökykyisiä MFA:n tai vahvan identiteettivalvonnan kanssa."
Kyse on havaitsemisen ja vasteen nopeudesta, Pargman sanoo.
"Niin monissa tutkimissani tapauksissa suurin positiivinen muutos puolustajien kannalta oli nopea vastaus valppaalta SecOps-analyytikolta, joka huomasi jotain epäilyttävää, tutki ja löysi tunkeutumisen ennen kuin uhkatekijällä oli mahdollisuus laajentua. heidän vaikutuksensa", hän sanoo.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
