Elit siber suçlular LOTL saldırılarını tercih ediyorlar çünkü fark etmek inanılmaz zor. Saldırganlar, bariz kötü amaçlı yazılımları dağıtmak yerine, bir BT ekibinin PowerShell, Windows Management Enstrümantasyonu (WMI) ve hemen hemen her bilgisayardaki çeşitli entegre yardımcı programlar gibi günlük güvendiği güvenilir araçları kullanırlar.
Saldırganlar meşru sistem araçlarını kullandıklarında, geleneksel güvenlik yazılımı her şeyin normal olduğunu düşünür ve kontrolsüz geçmelerini sağlar.
Bu, tehditleri aylarca gizli tutabilirken, istilacı sessizce verileri veya bitkileri sıradan çalıyor. Makine Öğrenimi (ML), her şey meşru görünse bile, birinin davranışlarıyla tam olarak eşleşmediğini fark ederek oyunu değiştiriyor.
Lotl saldırılarını anlamak
LOTL saldırıları, özel kötü amaçlı yazılım veya harici saldırı araçlarını dağıtmak yerine kötü amaçlı faaliyetler yürütmek için meşru, önceden yüklenmiş sistem araçları ve yardımcı programlar kullanan siber saldırılardır.
Saldırganlar genellikle bu günlük sistem kamu hizmetlerinden yararlanır:
- Powershell: Microsoft’un komut satırı kabuğu otomasyon ve sistem yönetimi için kullanılır.
- WMI: Bu yerleşik Windows hizmeti sistem bilgileri toplama içindir.
- Sistem Yönetim Araçları: Bu, tüm sistemlerde ağ yardımcı programları, dosya yöneticileri ve yapılandırma araçlarını içerir.
Lotl saldırıları neden başarılı olur
Bu saldırılar başarılı olur, çünkü meşru idari faaliyetler ve aynı araçların kötü niyetli kullanımı arasında ayrım yapma zorluğundan yararlanırlar.
Saldırganlar, keşif yapmak ve verileri dışarı atmak için yanal olarak hareket etmek için PowerShell, WMI ve diğer standart sistem kamu hizmetlerini kullanırlar.
Güvenlik İzleme Sistemleri Rutin BT bakımı gibi görünen şeyleri görür. Bu mükemmel kılık değiştirme, sofistike tehditlerin, güvenilir, önceden yüklenmiş sistem yetenekleri aracılığıyla hedeflerine ulaşırken, uzun süreler boyunca tespit edilmemiş süre boyunca çalıştırmalarına izin verir.
Şifreleri çalmak için aynı komut dosyasını kullanarak yazılımı güncellemek için bir PowerShell komut dosyası ve bir saldırganı çalıştıran meşru bir BT yöneticisi arasında nasıl ayrım yaparsınız? Aynı aracı, temel etkinliği ve erişim seviyelerini içerdikleri için geleneksel güvenlik araçlarıyla aynı görünüyorlar.
Geleneksel algılama yöntemlerinin sınırlamaları
Geleneksel imza tabanlı güvenlik, daha önce olduğu gibi aynı yöntemleri kullanan suçluları yakalamak için harikadır, ancak meşru araçlar ve yaratıcılık kullanan biriyle karşı karşıya kaldığında tamamen çaresizdir.
Bir saldırgan PowerShell veya WMI’yi başlattığında, tespit etmek için kötü niyetli bir imza yoktur – bunlar BT ekibinizin günde düzinelerce kez kullandığı güvenilir yardımcı programlarla aynıdır.
Statik kurallar aynı soruna girer. BT işlemlerinize zarar vermeden PowerShell’i ağınızdan yasaklayamazsınız.
Tüm güvenlik görevlilerinin anahtar taşımasını yasaklayarak banka soygunlarını önlemeye çalışmak gibi olurdu.
Kural tabanlı sistemler, potansiyel olarak şüpheli aktiviteleri işaretleyerek bu boşluğu kapatmaya çalışır, ancak hala sofistike saldırıları kaçırırken aşırı yanlış pozitiflerle uyanık yorgunluk yaratırlar.
ML LOTL tespitini nasıl geliştirir
İş arkadaşlarınızı rutin çalışma görevleri yapsalar bile, birisinin garip bir şekilde hareket ettiğini fark edecek kadar iyi tanıyabilirsiniz.
Alışılmadık bir zamanda veya genellikle çalışmadığı bir alanda çalışan biri öne çıkıyor. Beyniniz bu desenleri alır.
ML benzer bir şey yapar, ancak ayrıntılara daha fazla dikkat ederek. Tüm altyapınızdaki her işlem yürütme, komut satırı bağımsız değişkeni, ağ bağlantısı ve dosya erişimini izler.
Her kullanıcı, sistem ve araç için normalin neye benzediğini öğrenir.
Diyelim ki PowerShell Base64 kodlu bir komut yürütür, alışılmadık bir zamanda çalışır, garip bir üst işlem tarafından tetiklenir ve hemen şüpheli alanlarla ağ bağlantıları yapmaya başlar.
Her öğe açıklanabilir, ancak kombinasyon her gün işe yaramayan bir model oluşturur.
Yeterli veri üzerinde eğitilmiş bir ML sistemi, geleneksel güvenlik araçlarını ve deneyimli analistleri geçecek bu ince kombinasyonları tespit edebilir.
Sihir, farklı ML yaklaşımları birlikte çalıştığında olur. Denetimli öğrenme modelleri, daha önce binlerce saldırı gören bir akıl hocasına sahip olmak gibidir – eğitimden tanıdıkları teknikleri tespit edebilirler.
Denetimsiz öğrenme, nedenini tam olarak açıklayamasalar bile, olağandışı şeyleri fark eden inanılmaz derecede gözlemli bir yeni gelene sahip olmak gibidir.
Kuruluşlar, gelişen Lotl taktiklerinin önünde kalmak için ML güdümlü tespit yaklaşımlarını benimsemelidir.
Varsayılan ihlal zihniyeti, gelişmiş tehditlerin muhtemelen ilk uzlaşmayı sağlayacağını kabul ederek bu teknik yetenekleri tamamlar, bu da hasarı sınırlamak için hızlı tespit ve yanıtı kritik hale getirir.
ML tabanlı LOTL algılama için temel özellikler ve veri kaynakları
ML tabanlı algılamanın etkinliği, sistem faaliyetlerinin tam bağlamını yakalayan kapsamlı veri toplama üzerindeki menteşelerdir.
Sadece binaya giren, aynı zamanda yürüyüş desenlerini, kiminle konuştuklarını, her odada ne kadar kaldıklarını ve davranışlarının orada olma amacıyla eşleşip eşleşmediğine dair güvenlik kameralarına sahip olmak gibi düşünün.
Son nokta telemetrisi, temel veri katmanının sağlanmasına yardımcı olur. Süreç oluşturma olayları, komuta hattı bağımsız değişkenleri, ebeveyn-çocuk süreç ilişkileri, yürütme zamanlaması ve çevre koşulları dahil olmak üzere hangi araçları bilgisayar korsanlarının kullandıklarını ve tam bağlamı ortaya çıkarabilir.
Bu ayrıntılı görünürlük, ML modellerinin aynı araçları kullanarak rutin idari görevler ve potansiyel olarak kötü niyetli aktiviteler arasında ayrım yapmasını sağlar.
Komut satırı argüman analizi özellikle değerli olabilir, çünkü saldırganlar genellikle tipik idari kalıplardan sapan belirli parametreler veya gizleme teknikleri kullanırlar.
Proses şecere izleme, yanal hareket veya ayrıcalık yükseltme girişimlerini gösterebilecek yürütme zincirlerini ortaya çıkarır.
Ağ trafik analizi, sistem aracı kullanımını harici iletişim ile ilişkilendirerek, geleneksel çevre güvenliğinin kaçırabileceği veri açığa çıkma girişimlerini veya komut ve kontrol iletişimlerini tanımlamaya yardımcı olur.
Kullanıcı ve Varlık Davranış Analizi Entegrasyonu, kullanıcı rolleri, tipik erişim modelleri ve tarihsel davranış taban çizgileri dikkate alarak önemli bağlam ekler.
Tehdit istihbarat beslemeleri ile entegrasyon, bilinen kötü niyetli göstergeleri ve ortaya çıkan saldırı tekniklerini dahil ederek tespit doğruluğunu arttırır, ML modellerinin meşru ticari faaliyetlerin bağlamsal olarak anlaşılması yoluyla yanlış pozitif oranları azaltırken tehditleri tanımasına yardımcı olur.
LOTL tespitinde ML’nin zorlukları
Önemli avantajlarına rağmen, ML tabanlı algılama sistemleri, kuruluşların dikkatle ele alması gereken çeşitli uygulama ve operasyonel zorluklar sunmaktadır.
Yanlış pozitif oranlar
Yanlış pozitif oranlar, özellikle modellerin temel davranış kalıpları oluşturduğu ilk dağıtım aşamaları sırasında birincil bir endişeyi temsil eder.
Meşru ancak olağandışı idari faaliyetler, araştırma ve eğilim gerektiren iyi huylu etkinliklerle birlikte güvenlik operasyonları ekiplerini potansiyel olarak ezebilir.
Model kayması
Model sürüklenme, saldırı metodolojileri ve örgütsel ortamlar sürekli olarak geliştikçe başka bir kritik husus oluşturur.
ML modelleri, algılama etkinliğini ve doğruluğunu korumak için mevcut verilerle düzenli olarak yeniden eğitilmeyi gerektirir.
Düşmanca Kusurluk Teknikleri
Bu teknikler devam eden bir zorluğu temsil eder. Sofistike tehdit aktörleri, ML sistemlerinin önceki eğitim döngüleri aracılığıyla tanımayı öğrendiği tespit modellerini atlatmak için taktiklerini uyarlar.
Doğal ML sistem karmaşıklığı
ML Sistemleri, etkili uygulama, bakım ve sürekli yönetim için uzmanlaşmış uzmanlık gerektirir.
Kuruluşlar, ML tarafından üretilen uyarıları doğru bir şekilde yorumlamak, model karar verme süreçlerini anlamak ve zaman içinde optimal sistem performansını korumak için eğitim güvenlik personeline önemli ölçüde yatırım yapmalıdır.
İnsan gözetimi önemlidir, çünkü otomatik sistemler bağlamsal bilgileri kaçırabilir deneyimli güvenlik analistleri önemli veya iyi huylu olarak tanıyacaktır.
ML tabanlı LOTL tespiti uygulamak için en iyi stratejiler
Başarılı ML uygulaması, tüm kritik uç noktalarda ve ağ segmentlerinde yüksek kaliteli, kapsamlı veri toplama temelini gerektirir.
Kuruluşlar, ML modellerine doğru davranışsal analiz için yeterli bağlamsal bilgi sağlamak için süreç oluşturma olaylarının, ayrıntılı komut satırı argümanlarının, ağ bağlantısı modellerinin ve dosya sistemi etkinliklerinin kapsamlı bir şekilde günlüğe kaydedilmesine öncelik vermelidir. ML tabanlı LOTL tespiti için diğer en iyi uygulamalar şunları içerir:
Veri önişleme ve özellik mühendisliği
Bu kritik başarı faktörleri, model etkinliğini ve tespit doğruluğunu doğrudan etkiler.
Kuruluşlar, meşru idari faaliyetler ile kötü amaçlı araç kullanımı arasında anlamlı farklılaşma sağlayan davranışsal göstergeleri dikkatle seçmektedir.
Bu seçim süreci, normal operasyonel kalıpların ve standart saldırı metodolojilerinin derin bir şekilde anlaşılmasını gerektirir.
Melez tespit mimarileri
ML yeteneklerini ustaca hazırlanmış kurallarla ve mevcut tehdit istihbaratıyla birleştiren hibrit algılama mimarileri, tek başına uygulanan tek yaklaşımdan daha sağlam ve güvenilir algılama sistemleri yaratır.
Bu entegre metodoloji, insan uzmanlığını ve endüstri kaynaklarından gelen tehdit göstergelerini dahil ederken ML örüntü tanıma güçlerinden yararlanır.
Sürekli ekip eğitimi ve model değerlendirmesi
ML modelinin düzenli değerlendirmesi, performans izleme ve sistematik ayarlanması, meşru kullanım modelleri ve saldırı teknikleri geliştikçe sürekli etkinliği sağlar.
Kuruluşlar, güvenlik ekiplerine ML tarafından üretilen bulguları etkili bir şekilde yorumlamak ve devam eden operasyonel döngüler aracılığıyla optimal sistem performansını korumak için özel bir eğitim sağlarken, uyarı soruşturması ve olay yanıtı için kapsamlı prosedürler oluşturmalıdır.
LOTL tespitinde yenilikler
Açıklanabilir AI’daki ilerlemeler, belirli uyarıların oluşturulması hakkında daha net bilgiler sağlayarak ML tabanlı güvenlik araçlarının birincil sınırlamalarından birini ele alır.
Bu şeffaflık, güvenlik analistlerinin model kararlarını anlamalarına yardımcı olur ve otomatik algılama yeteneklerine güvenir.
Açık kaynaklı araç geliştirme ve topluluk paylaşımı, LOTL algılama tekniklerinde yeniliği hızlandırıyor.
İşbirlikçi çabalar, kuruluşların ortak tehdit istihbarat ve tespit yöntemlerinden yararlanmasını ve endüstrilerdeki genel savunma yeteneklerini geliştirmelerini sağlar.
ML tabanlı algılama ile LOTL’ye karşı savunmaları güçlendirin
LOTL saldırıları, geleneksel siber güvenlik yaklaşımları için temel bir zorluğu temsil eder, ancak ML davranışsal analiz ve anomali tespiti yoluyla umut verici bir çözüm sunar.
ML tabanlı sistemler, kötü aktörlerin meşru araçları nasıl kullandığına odaklanarak geleneksel güvenlik önlemlerini atlayan gelişmiş tehditleri belirleyebilir.
Başarı, sürekli öğrenme, model geliştirme ve uyarlanabilir güvenlik stratejileri için bağlılık gerektirir.
Saldırganlar daha sofistike hale geldikçe, savunma yetenekleri buna göre gelişmeli ve ML’yi modern siber güvenlik operasyonları için faydalı ve gerekli hale getirmelidir.