Tehdit oyuncuları eski bir iş hilesi öğrendi: neyin işe yaradığını bul ve tekrarlayın. Sayısız siber saldırı boyunca, Bitdefender rakiplerin sürekli olarak aynı adımları (aynı teknikler, aynı güvenlik baypas kalıpları) uyguladığını gözlemledi. Bir ortamda etkili olan şey genellikle diğerinde de etkilidir ve saldırganlar bunu bilir.
Bu bir tesadüf değil. Bir saldırgan belirli bir uç nokta koruma çözümünden nasıl kaçınacağını anladıktan sonra, bir laboratuvarda çevreyi çoğaltır ve güvenle konuşlandırılacak kadar gizli olana kadar yaklaşımı hassaslaştırırlar. Saldırı başarılı olduğunda, yeniden kullanılabilir bir varlık haline gelir. Desen, benzer güvenlik konfigürasyonlarını veya aynı kör noktaları paylaşan sistemlerden yararlanarak organizasyondan organizasyona devam eder.
Kurumsal ortamlar arasındaki tutarlılık sorunun bir parçasıdır. Çoğu kuruluş, tüm kullanıcılara ve uç noktalara dağıtılan bir boyutta olan tüm yapılandırmalar olan tek tip politikalara güvenir. Bu yönetimi basitleştirirken, rakiplerin önceden test edebileceği öngörülebilir savunmalar da yaratır.
Ve bu tekrarlanabilir saldırıların merkezinde toprak (LOTL) tekniklerinden yaşıyor. LOTL, alarmları tetiklemeden saldırıları gerçekleştirmek için son noktalarda yer alan yerel araçlara güvenir. PowerShell ve WMIC’den Netsh ve Bitsadmin’e, bunlar yöneticiler tarafından güvenilen kamu hizmetleridir, ancak düzenli olarak saldırganlar tarafından kaçırılır.
700.000’den fazla olay analizimizde, büyük saldırıların% 84’ü LOTL ikili dosyalarının kullanımını içeriyordu. Bunlar teorik tehditler değil-aktörlerin gerçek dünya kampanyalarında aktif olarak kullandıkları tehditler. Ve sömürdükleri araçların çoğu varsayılan olarak etkinleştirilir veya meşru oldukları varsayıldıkları için nadiren izlenir.
Örneğin, WMIC’in eski olması gerekiyordu-ancak hala eski komut dosyaları tarafından değil, arka planda çağıran üçüncü taraf uygulamalar tarafından düzenli olarak kullanıldığını görüyoruz. PowerShell etkinliği, yöneticilerin birincil kullanıcılar olmadığı sistemler de dahil olmak üzere analiz ettiğimiz tüm uç noktaların% 73’ünde ortaya çıktı. Bu belirsizlik – hem meşru hem de kötü niyetli bir şekilde kullanılıyor – tespiti zor ve önlemeyi daha da zorlaştırıyor.
Peki savunucular bu döngüyü nasıl kırıyor?
Anlamlı bir yanıt, tespitten daha fazlasını gerektirir. Öngörülemezlik gerektirir. Güvenlik her yerde aynı şekilde davranırsa, saldırganlar bir kez öğrenebilir ve birçok kez uygulayabilir. Ancak her sistem farklı yanıt verirse-sertleşme her kullanıcı cihaz çiftine, gerçek davranışa ve çevrede olanlara uyum sağlarsa-o zaman en iyi oyun kitabı bile değişkenlikle karşılaştığı anda başarısız olur.
Bu ilke Bitdefender GravityZone Phasr’ın yaratılmasına yol açtı. Amaç sadece bilinen tehditleri engellemek değil, aynı zamanda saldırı yüzeyini hareketli bir hedef haline getirmekti. PHASR, normal davranışı gözlemleyerek, gereksiz veya riskli olanı belirleyerek ve otomatik olarak kısıtlamaları uygulayarak güvenliği her kullanıcıya ve uç noktaya uyarlar. Sonuç, çevre ile gelişen bireyselleştirilmiş sertleştirmedir.
Örneğin, PowerShell’i tamamen engellemek yerine – meşru işlemleri bozacak – FASR, saldırganların güvendiği atipik veya şifreli komutları engellerken standart komut dosyalarına izin verir. Aynı şey WMIC veya NetSH için de geçerlidir. PHASR, araçları kapatmak ve iş akışlarını bozmak yerine, eylemleri riske dayalı olarak filtreler, sadece politikaya izin verilenlere değil, gerçekte neler olduğuna dayalı kararlar verir.
Bunun pratikte anlamı basittir: Saldırganlar bir sistem için mükemmel bypass oluştursa bile, bu yöntem bir sonrakinde çalışmaz. PHASR, saldırganların güvendiği öngörülebilirliği ortadan kaldırır. Ve sürekli olarak uç nokta davranışından öğrendiği için, önde kalmak için sürekli manuel güncellemelere veya ayarlamaya ihtiyaç duymaz.
Playbook yeniden kullanımı döngüsünü kırmak tahmin gerektirmez. Tekdüze olmayı bırakan ve uyarlanabilir olmaya başlayan sistemler gerektirir. Statik konfigürasyonlardan bireyselleştirilmiş, davranış temelli sertleşmeye geçerek, kuruluşlar başlamadan önce tehditleri durdurabilme yeteneği kazanırlar-saldırgan daha önce düzinelerce kez aynı adımları kullansa.
Siber güvenlikte, saldırganlar en az direniş yolunu ararlar. Terzikli, proaktif savunmalarla, yolun artık bize yol açmadığından emin olabiliriz.