Saldırganların kötü niyetli faaliyetlerini gizlemek için yasal araçlara giderek daha fazla güvenmeleri nedeniyle, kurumsal savunucuların bu saldırıları tespit etmek ve bunlara karşı savunma yapmak için ağ mimarisini yeniden düşünmesi gerekiyor.
“Topraktan geçinmek” olarak adlandırılan bu taktikler, saldırganların saldırılarını gerçekleştirmek için kurbanın ortamındaki yerel, meşru araçları nasıl kullandığını ifade eder. Saldırganlar kendi kötü amaçlı yazılımlarını veya araçlarını kullanarak ortama yeni araçlar soktuklarında ağda bir miktar gürültü yaratırlar. Bu durum, bu araçların güvenlik alarmlarını tetikleyebilmesi ve savunucuları yetkisiz birinin ağda olduğu ve şüpheli faaliyet yürüttüğü konusunda uyarabilmesi olasılığını artırıyor. Saldırganların mevcut araçları kullanması, savunucuların kötü amaçlı eylemleri meşru etkinliklerden ayırmasını zorlaştırıyor.
Saldırganları ağda daha fazla gürültü yaratmaya zorlamak için BT güvenlik liderlerinin, ağda dolaşmanın o kadar kolay olmaması için ağı yeniden düşünmesi gerekir.
Kimlikleri Güvenceye Almak, Hareketleri Sınırlamak
Yaklaşımlardan biri, güvenlik ekibinin kendi araçlarından gelen ağ trafiğini ve erişim isteklerini analiz edebilmesi için güçlü erişim kontrolleri uygulamak ve ayrıcalıklı davranış analitiğini izlemektir. Delinea Güvenlik Bilimcisi ve Danışmanlık CISO’su Joseph Carson, en az ayrıcalık ilkesi gibi güçlü ayrıcalıklı erişim kontrolleriyle sıfır güvenin, saldırganların ağda hareket etmesini zorlaştırdığını söylüyor.
“Bu, onları ağda daha fazla gürültü ve dalgalanma yaratan teknikleri kullanmaya zorluyor” diyor. “BT savunucularına, saldırıda yetkisiz erişimi, kötü amaçlı yazılım veya fidye yazılımı dağıtma şansına sahip olmadan çok daha erken tespit etme şansı veriyor.”
Bir diğeri, kimin (veya neyin) hangi kaynaklara ve sistemlere bağlandığını anlamak için bulut erişim güvenlik aracısı (CASB) ve güvenli erişim hizmeti ucu (SASE) teknolojilerini dikkate almaktır; bu, beklenmeyen veya şüpheli ağ akışlarını vurgulayabilir. CASB çözümleri, bulut hizmetlerini ve uygulamalarını benimseyen kuruluşlar için güvenlik ve görünürlük sağlamak üzere tasarlanmıştır. Veri kaybı önleme (DLP), erişim kontrolü, şifreleme ve tehdit tespiti de dahil olmak üzere bir dizi güvenlik kontrolü sunarak son kullanıcılar ile bulut hizmeti sağlayıcıları arasında aracı görevi görürler.
SASE, güvenli web ağ geçitleri, hizmet olarak güvenlik duvarı ve sıfır güven ağ erişimi gibi ağ güvenliği işlevlerini SD-WAN (yazılım tanımlı geniş alan ağı) gibi geniş alan ağı (WAN) yetenekleriyle birleştiren bir güvenlik çerçevesidir. ).
“Yönetmeye güçlü bir şekilde odaklanılmalı” [living off the land] Ontinue CISO’su Gareth Lindahl-Wise şöyle diyor: “Saldırganlar, yerleşik veya konuşlandırılmış araç ve süreçlerin çok sayıda uç noktadan çok sayıda kimlik tarafından kullanılabildiği durumlarda başarılı olur.”
Lindahl-Wise, bu faaliyetlerin doğaları gereği davranışsal anomaliler olduğunu, dolayısıyla neyin izlendiğini anlamanın ve korelasyon platformlarına beslenmenin kritik önem taşıdığını söylüyor. Ekipler, uç noktaların ve kimliklerin kapsandığından emin olmalı ve daha sonra zaman içinde bunu ağ bağlantı bilgileriyle zenginleştirmelidir. Ağ trafiğinin incelenmesi, trafiğin kendisi şifrelenmiş olsa bile diğer tekniklerin ortaya çıkarılmasına yardımcı olabilir.
Kanıta Dayalı Bir Yaklaşım
Kuruluşlar, meşru hizmet kötüye kullanımına ilişkin görünürlük elde etmek için hangi telemetri kaynaklarını kullanacaklarını önceliklendirme konusunda kanıta dayalı bir yaklaşım benimseyebilir ve benimsemelidir.
“Daha yüksek hacimli günlük kaynaklarını depolamanın maliyeti son derece gerçek bir faktördür, ancak telemetriye yapılan harcamalar, en sık doğada gözlemlenen ve kuruluşla ilgili olduğu düşünülen, kötüye kullanılan yardımcı programlar da dahil olmak üzere tehditlere yönelik bir pencere sağlayan kaynaklara göre optimize edilmelidir. ” diyor Tidal Cyber’in tehdit istihbaratı direktörü Scott Small.
Yüzlerce önemli yardımcı programın potansiyel olarak kötü amaçlı uygulamalarını izleyen “LOLBAS” açık kaynak projesi de dahil olmak üzere, çok sayıda topluluk çabasının bu süreci eskisinden daha pratik hale getirdiğine dikkat çekiyor.
Bu arada, MITRE ATT&CK, Tehdit Bilgili Savunma Merkezi ve güvenlik aracı satıcılarının giderek büyüyen kaynak kataloğu, aynı düşmanca davranışların doğrudan ayrı, ilgili verilere ve günlük kaynaklarına dönüştürülmesine olanak tanıyor.
Small, “Çoğu kuruluş için bilinen her günlük kaynağını her zaman tam olarak takip etmek pratik değildir” diye belirtiyor. “LOBAS projesinden elde edilen veriler üzerinde yaptığımız analiz, bu LoL yardımcı programlarının neredeyse her türlü kötü amaçlı etkinliği gerçekleştirmek için kullanılabileceğini gösteriyor.”
Bunlar, savunmadan kaçınmadan ayrıcalık artışına, kalıcılığa, kimlik bilgileri erişimine, hatta sızmaya ve etkiye kadar uzanır.
Small, “Bu aynı zamanda, bu araçların kötü amaçlı kullanımına görünürlük kazandırabilecek düzinelerce ayrı veri kaynağının olduğu anlamına da geliyor; bu, kapsamlı ve uzun süreler boyunca gerçekçi bir şekilde günlüğe kaydedilemeyecek kadar fazla” diyor.
Bununla birlikte, daha yakın analiz, kümelemenin (ve benzersiz kaynakların) nerede mevcut olduğunu göstermektedir; örneğin, 48 veri kaynağından yalnızca altısı, LOLBAS ile ilgili tekniklerin dörtte üçünden fazlası (%82) ile ilgilidir.
Small, “Bu, telemetriyi doğrudan arazide yaşama tekniklerine veya kuruluş tarafından en yüksek öncelik olarak kabul edilen hizmetlerle ilişkili belirli tekniklere uygun olarak dahil etme veya optimize etme fırsatları sağlıyor” diyor.
BT Güvenliği Liderleri için Pratik Adımlar
BT güvenlik ekiplerinin, olaylara ilişkin görünürlükleri olduğu sürece, kara dışında yaşayan saldırganları tespit etmek için atabileceği birçok pratik ve makul adım vardır.
Proofpoint tehdit algılama direktörü Randy Pargman, “Ağ görünürlüğüne sahip olmak harika olsa da, uç noktalardan (hem iş istasyonları hem de sunucular) gelen olaylar, iyi kullanıldığında aynı derecede değerlidir” diyor.
Örneğin, son zamanlarda birçok tehdit aktörünün kullandığı arazide yaşama tekniklerinden biri, yasal uzaktan izleme ve yönetim (RMM) yazılımı yüklemektir.
Saldırganlar RMM araçlarını tercih ediyor çünkü bunlar güvenilir, dijital olarak imzalanmış ve anti-virüs veya EDR uyarılarını tetiklemiyor, ayrıca kullanımları kolay ve çoğu RMM satıcısı tam özellikli bir ücretsiz deneme seçeneğine sahip.
Güvenlik ekipleri için avantaj, dijital imzalar, değiştirilen kayıt defteri anahtarları, aranan alan adları ve aranacak işlem adları dahil olmak üzere tüm RMM araçlarının son derece öngörülebilir davranışlara sahip olmasıdır.
Pargman, “Ücretsiz olarak kullanılabilen tüm RMM araçları için algılama imzaları yazarak ve varsa onaylanmış araç için bir istisna oluşturarak, RMM araçlarının izinsiz giriş yapan kişiler tarafından kullanıldığını tespit etmede büyük başarı elde ettim” diyor.
Yalnızca tek bir RMM satıcısının kullanılmasına izin verilmesinin ve her zaman aynı şekilde (örneğin, sistem görüntüleme sırasında veya özel bir komut dosyasıyla) kurulmasının yardımcı olacağını, böylece bir RMM ile bir RMM arasındaki farkı anlamanın kolay olacağını ekliyor. yetkili kurulum ve kullanıcıyı kurulumu çalıştırması için kandıran bir tehdit aktörü.
“Bunun gibi başka birçok tespit fırsatı var; listeden başlayarak BEBEKLER ve tüm uç nokta olaylarında tehdit avcılığı sorguları yürüten güvenlik ekipleri, ortamlarındaki normal kullanım kalıplarını bulabilir, ardından anormal kullanım kalıplarını tespit etmek için özel uyarı sorguları oluşturabilir” diyor.
Komut dosyası dosyalarını açmak için kullanılan varsayılan programı (.js, .jse, .vbs, .vbe, .wsh vb. dosya uzantıları) değiştirmek gibi, saldırganların tercih ettiği yerleşik araçların kötüye kullanımını sınırlama fırsatları da vardır. çift tıklandığında WScript.exe’de açılmadıklarını.
Pargman, “Bu, son kullanıcıların kandırılarak kötü amaçlı bir komut dosyası çalıştırmasını önlemeye yardımcı oluyor” diyor.
Kimlik Bilgilerine Bağlılığın Azaltılması
RSA CIO’su Rob Hughes’a göre kuruluşların bağlantı kurmak için kimlik bilgilerine olan bağımlılıklarını azaltmaları gerekiyor. Benzer şekilde kuruluşların, güvenlik ekiplerine şifreli görünürlüğün nerede devreye girdiğine dair görünürlük sağlamak için anormal ve başarısız girişimler ve aykırı değerler hakkında uyarı vermesi gerekir. Sistem iletişiminde “normal” ve “iyi”nin neye benzediğini anlamak ve aykırı değerleri belirlemek, kara saldırılarını tespit etmenin bir yoludur.
Çoğunlukla gözden kaçırılan ve giderek daha fazla ilgi görmeye başlayan bir alan, genellikle düzensiz, zayıf korunan ve karadan geçinmek için birincil hedef olan Hizmet Hesaplarıdır. Hughes, “İş yüklerimizi arka planda çalıştırıyorlar. Onlara güvenme eğilimindeyiz, muhtemelen çok fazla” diyor. “Bu hesaplarda envanter, sahiplik ve güçlü kimlik doğrulama mekanizmaları da istiyorsunuz.”
Hizmet hesapları etkileşimli olmadığından son kısmı başarmak daha zor olabilir, bu nedenle kuruluşların kullanıcılar için güvendiği olağan çok faktörlü kimlik doğrulama MFA mekanizmaları devrede değildir.
Hughes, “Herhangi bir kimlik doğrulama gibi, gücün de dereceleri vardır” diyor. “Güçlü bir mekanizma seçmenizi ve güvenlik ekiplerinin bir hizmet hesabından yapılan etkileşimli oturum açma işlemlerini günlüğe kaydetmesini ve yanıt vermesini sağlamanızı öneririm. Bunlar olmamalıdır.”
Yeterli Zaman Yatırımı Gerekli
Bir güvenlik kültürü oluşturmak pahalı olmak zorunda değildir ancak amacı desteklemek ve savunmak için istekli bir liderliğe ihtiyacınız vardır.
Hughes, zamana yapılan yatırımın bazen yapılacak en büyük yatırım olduğunu ve kuruluş çapında ve genelinde güçlü kimlik kontrolleri harcamanın, bunu yapmanın sağladığı risk azalmasıyla karşılaştırıldığında pahalı bir çaba olmak zorunda olmadığını söylüyor.
“Güvenlik istikrar ve tutarlılıkla gelişir, ancak bunu iş ortamında her zaman kontrol edemeyiz” diyor. “MFA veya güçlü kimlik kontrolleriyle uyumlu veya işbirlikçi olmayan sistemlerde teknik borcu azaltmak için akıllı yatırımlar yapın.”
Pargman, her şeyin tespit ve tepki hızıyla ilgili olduğunu söylüyor.
“İncelediğim pek çok vakada, savunucular için en büyük olumlu farkı yaratan şey, şüpheli bir şeyi fark eden, araştıran ve tehdit aktörünün genişleme şansı bulamadan izinsiz girişi bulan tetikte bir SecOps analistinin hızlı tepki vermesiydi. onların etkisi” diyor.