Siber savunucular ve şirketler, müdahaleleri engellemenin yeni yollarını her keşfettiklerinde, saldırganlar taktiklerini değiştirir ve savunma etrafında bir yol bulurlar.
“Topraktan yaşamak” (LOTL) en iyi örnektir: Birçok algılama aracı kötü amaçlı yazılımları işaretlemede iyi hale geldiğinden, saldırganlar bir alternatif bulmak zorundaydı. İşletim sistemlerinde yerleşik meşru araçların kullanımının uyarı bayraklarını yükseltme olasılığının daha düşük olduğunu fark ettiler, bu yüzden bu yaklaşıma yoğun bir şekilde eğildiler. Son araştırmalar, büyük saldırıların% 84’ünün artık LOTL tekniklerini ve PowerShell, WMIC, Psexec ve diğerleri gibi güvenilir sistem araçlarının sömürülmesini içerdiğini göstermiştir.
LOTL, normal işlemlerde kötü niyetli etkinlikleri gizlemenin daha geniş bir yaklaşımının bir parçasıdır. Ne yazık ki, bir sistem veya kullanıcı için normal olan diğeri için normal değildir, bu nedenle statik kurallar ve tek bedene uyan politikalar bu sorunun çözümü değildir.
Bitdefender’ın Yeni Bir Yaklaşımı: GravityZone Phasr
Proaktif Sertleştirme ve Saldırı Yüzeyi Azaltma (PHASR), Bitdefender’ın GravityZone platformunda bir araçtır ve amacı, saldırganlar için mevcut olanları sınırlayarak kuruluşların tehditlere maruz kalmasını azaltmaktır.
Bununla birlikte, göze çarpan özelliği, operasyonel yük eklemeden akıllıca yapmasıdır.
PHASR, sistem araçlarının meşru ve kötü niyetli kullanımı arasında aşağıdakilerle ayrım yapar:
- Her uç nokta ve kullanıcı çiftinin gerçekte nasıl davrandığını öğrenmek ve taban çizgileri oluşturmayı öğrenmek
- Koruma politikalarını, kullanıcı başına ve uç nokta başına ayrıntılı bir seviyede uyarlamak
- Saldırgan davranışıyla uyumlu şüpheli sapmaları işaretleme ve engelleme
Bitdefender ürün pazarlama direktörü Cristian Iordache, “PHASR, özellikle dinamik ortamlarda ve uzak çalışanlar için riski azaltmada çok etkilidir, çünkü her kullanıcı tarafından istihdam edilen araç ve davranışları tam olarak öğrenir” diyor.
“Örneğin, blockchain teknolojisi geliştiren veya tipik olarak geliştiriciler tarafından kullanılan belirli araçları kullanan bir şirketiniz olabilir. Bu araçlar, işlerini yapmalarına ihtiyaç duyan belirli çalışanlar için izin verilecek, ancak başkaları için değil.”
Bir sistem aracı kullanılabilir veya kötüye kullanılabilir. PHASR farkı bilir ve buna göre hareket eder: birincisine izin verir ve ikincisini engeller.
PHASR sinsi şeyleri yakalamak için inşa edilmiştir: Birisi, yapmamaları gerektiği yerde kazmak için yerleşik bir Windows aracı kullanan veya uzaktan erişim yazılımını garip şekillerde yüklemek. Ekibiniz için normalin neye benzediğini bilir, bu yüzden bir şey çizgiden çıktığında, üzerinde.
Şekil 1: GravityZone PHASR, yerel araçların meşru kullanımına izin verir, ancak tehdit aktörleri tarafından arazi saldırılarından yaşamak için sıklıkla kullanılan belirli eylemleri engeller.
Ve saldırganlar taktikleri değiştirdikçe, “gelişir”: Bitdefender’ın küresel tehdit istihbaratı tarafından desteklenir, BT ekibi hiçbir şey yapmak zorunda kalmadan güncel kalır. Yeni kalıplar ve kural güncellemeleri düzenli olarak itilir, bu da aracın zararsız tuhaflıkları güvenlik risklerinden ayırmasına izin verir.
Kurulumu kolay ve kullanımı kolay
PHASR, riskli araçlara gereksiz erişimin sürekli bir değerlendirmesini gerçekleştirir ve otomatik iyileştirme ve uygulanabilir politika kontrolleri sağlar. Etkinleştirildikten sonra, mevcut müşteriler birkaç dakika içinde eyleme geçirilebilir sertleştirme önerileri görecektir.
“Yeni müşteriler için eyleme geçirilebilir önerilerin zamanı değişir,” dedi Iordache Help Net Security’ye. “Bazı öneriler aktivasyondan kısa bir süre sonra doldurulacak, diğerleri ise birkaç hafta öğrenmeye ihtiyaç duyacak, ancak koruma daha iyi olmaya devam ediyor.”
Araç iki farklı modda çalışacak şekilde ayarlanabilir: Otopilot ve doğrudan kontrol.
Otopilot, arka plandaki tehditleri sessizce işler. Her ortamı izlemeden hızlı hareket etmek isteyen şirketler için çok uygundur, özellikle de birçok uç noktayı veya uzak işçileri yönetenler.
Doğrudan Control, BT ekiplerine her öneriyi manuel olarak inceleme ve uygulama yetkisi verir. Şirketiniz niş araçlara güveniyorsa veya katı iç süreçlere sahipse, bu mod, PHASR’nin anlayışlarının faydalarını alırken ihtiyacınız olan gözetim sağlar.
PHASR bir aracı veya davranışı işaretlediğinde, nedenini söyler: nadiren kullanılır veya riskli olduğu bilinir veya sadece birinin tipik rutininin bir parçası değildir.
Iordache, “Ve PHASR’yi esneklik göz önünde bulundurarak inşa ettik. Mantıklı olmayan bir blok öneriyorsa, birkaç tıklamayla geçersiz kılabilirsiniz, bu yüzden bir uzmanda aramaya gerek yok” dedi.
Saldırı Playbook yeniden kullanım döngüsünü kırmak
Saldırganlar tekrarlama konusunda gelişir: işe yarayan bir teknik bulduklarında, genellikle sadece küçük değişikliklerle farklı hedeflerde yeniden kullanırlar. Bu döngü onların saldırılarını ölçeklendirmelerini kolaylaştırır ve kanıtlanmış taktiklere ve tekniklere güvenmelerinin nedeni budur.
PHASR, her kullanıcı ve cihaz için özel korumalar oluşturarak bu deseni kırar ve bu, bir ortamda başarılı olan bir taktik, başka bir ortamda da işe yaramayacağı anlamına gelir. Bu proaktif olarak saldırganların kopya yapıştırma yöntemlerinden elde ettiği avantajlı avantajı etkiler.
Savunucular için bu, kontrollerin her sistemin bağlamına uyum sağladığına güvenebildikleri için bir öngörülebilirlik ölçüsü getirir. Saldırganlar için öngörülemezlik getiriyor çünkü aynı oyun kitabının iki kez başarılı olacağını varsayamıyorlar. Sonuç, dinamik ve atlanması zor olan bir savunma duruşudur.
PHASR’yi dağıtmanın faydaları
PHASR’yi dağıtmak, güvenlik ekipleri ve işletme için bir bütün olarak net stratejik kazanımlar getirir.
Saldırganlar bunlardan yararlanmadan önce boşlukları kapatarak genel güvenlik duruşunu güçlendirir. Bir olayın zayıflıkları ortaya çıkarmasını beklemek yerine, PHASR bunları önceden tanımlar ve ele alır. Tehdit aktörlerinin kullandığı gizli saldırı yollarını kapatarak, ilerlemelerini önler ve ortaya çıkarır ve bir uzlaşmanın bir veri ihlaline dönüşmesini önler.
Aynı zamanda, sürekli olarak manuel kuralları ayarlama ve ince ayar yapma ihtiyacını ortadan kaldırarak operasyonel karmaşıklığı azaltarak güvenlik ekiplerine kolayca otomatikleştirilemeyen diğer işlere harcamak için daha fazla zaman kazandırır.
Uyum başka bir faydadır: PHASR, güvenlik en iyi uygulamalarıyla uyumlu olarak ve kontrolleri belgeleyerek kuruluşların düzenleyici ve denetim gereksinimlerini karşılamasına yardımcı olur.
Son olarak, normal operasyonları bozmadan arka plandaki sistemleri koruyarak iş sürekliliğini destekler. Odak noktası, insanları üretken tutarken riski azaltmaktır, bu da güvenliği bir engelden ziyade bir ortak haline getirir.
Güvenlik ve iş büyümesi rekabet etmek zorunda değil. Yerçekimi bölgesi PHASR ile her ikisini de başarabilirsiniz.