Saldırganların kötü niyetli faaliyetlerini gizlemek için yasal araçlara giderek daha fazla güvenmeleri nedeniyle, kurumsal savunucuların bu saldırıları tespit etmek ve bunlara karşı savunma yapmak için ağ mimarisini yeniden düşünmesi gerekiyor.
“Topraktan geçinmek” (LotL) olarak bilinen bu taktikler, saldırganların saldırılarını gerçekleştirmek için kurbanın ortamındaki yerel, meşru araçları nasıl kullandıklarını ifade eder. Saldırganlar kendi kötü amaçlı yazılımlarını veya araçlarını kullanarak ortama yeni araçlar soktuklarında ağda bir miktar gürültü yaratırlar. Bu durum, bu araçların güvenlik alarmlarını tetikleyebilmesi ve savunucuları yetkisiz birinin ağda olduğu ve şüpheli faaliyet yürüttüğü konusunda uyarabilmesi olasılığını artırıyor. Saldırganların mevcut araçları kullanması, savunucuların kötü niyetli eylemleri meşru faaliyetlerden ayırmasını zorlaştırıyor.
Saldırganları ağda daha fazla gürültü yaratmaya zorlamak için BT güvenlik liderlerinin, ağda dolaşmanın o kadar kolay olmaması için ağı yeniden düşünmesi gerekir.
Kimlikleri Güvenceye Almak, Hareketleri Sınırlamak
Yaklaşımlardan biri, güçlü erişim kontrolleri uygulamak ve ayrıcalıklı davranış analizlerini izlemek, böylece güvenlik ekibinin ağ trafiğini ve kendi araçlarından gelen erişim isteklerini analiz edebilmesidir. Delinea güvenlik bilimcisi ve danışman CISO’su Joseph Carson, en az ayrıcalık ilkesi gibi güçlü ayrıcalıklı erişim kontrolleriyle sıfır güvenin, saldırganların ağda dolaşmasını zorlaştırdığını söylüyor.
“Bu, onları ağda daha fazla gürültü ve dalgalanma yaratan teknikleri kullanmaya zorluyor” diyor. “BT savunucularına, saldırıda yetkisiz erişimi, kötü amaçlı yazılım veya fidye yazılımı dağıtma şansına sahip olmadan çok daha erken tespit etme şansı veriyor.”
Bir diğeri, kimin (veya neyin) hangi kaynaklara ve sistemlere bağlandığını anlamak için bulut erişim güvenlik aracısı (CASB) ve güvenli erişim hizmeti ucu (SASE) teknolojilerini dikkate almaktır; bu, beklenmeyen veya şüpheli ağ akışlarını vurgulayabilir. CASB çözümleri, bulut hizmetlerini ve uygulamalarını benimseyen kuruluşlar için güvenlik ve görünürlük sağlamak üzere tasarlanmıştır. Veri kaybı önleme (DLP), erişim kontrolü, şifreleme ve tehdit tespiti de dahil olmak üzere bir dizi güvenlik kontrolü sunarak son kullanıcılar ile bulut hizmeti sağlayıcıları arasında aracı görevi görürler.
SASE, güvenli Web ağ geçitleri, hizmet olarak güvenlik duvarı ve sıfır güven ağ erişimi gibi ağ güvenliği işlevlerini SD-WAN (yazılım tanımlı geniş alan ağı) gibi geniş alan ağı (WAN) yetenekleriyle birleştiren bir güvenlik çerçevesidir. ).
“Yönetmeye güçlü bir şekilde odaklanılmalı” [LotL] Ontinue CISO’su Gareth Lindahl-Wise şöyle diyor: “Yerleşik veya konuşlandırılmış araç ve süreçlerin çok sayıda kimlik tarafından çok sayıda uç noktadan kullanılabildiği durumlarda saldırganlar başarılı olur.”
Lindahl-Wise, bu faaliyetlerin doğaları gereği davranışsal anomaliler olduğunu, dolayısıyla neyin izlendiğini anlamanın ve korelasyon platformlarına beslenmenin kritik önem taşıdığını söylüyor. Ekipler, uç noktalardan ve kimliklerden kapsama alanı sağlamalı ve daha sonra zaman içinde bunu ağ bağlantı bilgileriyle zenginleştirmelidir. Ağ trafiğinin incelenmesi, trafiğin kendisi şifrelenmiş olsa bile diğer tekniklerin ortaya çıkarılmasına yardımcı olabilir.
Kanıta Dayalı Bir Yaklaşım
Kuruluşlar, meşru hizmet kötüye kullanımına ilişkin görünürlük elde etmek için hangi telemetri kaynaklarını kullanacaklarını önceliklendirme konusunda kanıta dayalı bir yaklaşım benimseyebilir ve benimsemelidir.
“Daha yüksek hacimli günlük kaynaklarını depolamanın maliyeti son derece gerçek bir faktördür, ancak telemetriye yapılan harcamalar, en sık doğada gözlemlenen ve kuruluşla ilgili olduğu düşünülen, kötüye kullanılan yardımcı programlar da dahil olmak üzere tehditlere yönelik bir pencere sağlayan kaynaklara göre optimize edilmelidir. ” diyor Tidal Cyber’in tehdit istihbaratı direktörü Scott Small.
Yüzlerce önemli yardımcı programın potansiyel olarak kötü amaçlı uygulamalarını izleyen “LOLBAS” açık kaynak projesi de dahil olmak üzere, çok sayıda topluluk çabası bu süreci öncekinden daha pratik hale getiriyor.
Bu arada, MITRE ATT&CK, Tehdit Bilgili Savunma Merkezi ve güvenlik aracı satıcılarının giderek büyüyen kaynak kataloğu, aynı düşmanca davranışların doğrudan ayrı, ilgili verilere ve günlük kaynaklarına dönüştürülmesine olanak tanıyor.
Small, “Çoğu kuruluş için bilinen her günlük kaynağını her zaman tam olarak takip etmek pratik değildir” diye belirtiyor. “LOBAS projesinden elde edilen veriler üzerinde yaptığımız analiz, bu LotL yardımcı programlarının neredeyse her türlü kötü amaçlı etkinliği gerçekleştirmek için kullanılabileceğini gösteriyor.”
Bunlar, savunmadan kaçınmadan ayrıcalık artışına, kalıcılığa, kimlik bilgileri erişimine ve hatta sızma ve etkiye kadar uzanır.
Small, “Bu aynı zamanda, bu araçların kötü amaçlı kullanımına görünürlük kazandırabilecek düzinelerce ayrı veri kaynağının olduğu anlamına da geliyor; bu, kapsamlı ve uzun süreler boyunca gerçekçi bir şekilde günlüğe kaydedilemeyecek kadar fazla” diyor.
Bununla birlikte, daha yakın analiz, kümelemenin (ve benzersiz kaynakların) nerede mevcut olduğunu göstermektedir; örneğin, 48 veri kaynağından yalnızca altısı, LOLBAS ile ilgili tekniklerin dörtte üçünden fazlası (%82) ile ilgilidir.
Small, “Bu, telemetriyi doğrudan arazide yaşama tekniklerine veya kuruluş tarafından en yüksek öncelik olarak kabul edilen hizmetlerle ilişkili belirli tekniklere uygun olarak dahil etme veya optimize etme fırsatları sağlıyor” diyor.
BT Güvenliği Liderleri için Pratik Adımlar
BT güvenlik ekipleri, olaylara ilişkin görünürlükleri olduğu sürece, kara dışında yaşayan saldırganları tespit etmek için birçok pratik ve makul adım atabilir.
Proofpoint tehdit algılama direktörü Randy Pargman, “Ağ görünürlüğüne sahip olmak harika olsa da, uç noktalardan (hem iş istasyonları hem de sunucular) gelen olaylar, iyi kullanıldığında aynı derecede değerlidir” diyor.
Örneğin son zamanlarda birçok tehdit aktörünün kullandığı LotL tekniklerinden biri meşru uzaktan izleme ve yönetim (RMM) yazılımı yüklemektir.
Saldırganlar, güvenilir oldukları, dijital olarak imzalandıkları ve antivirüs veya uç nokta algılama ve yanıt (EDR) uyarılarını tetiklemedikleri, ayrıca kullanımlarının kolay olduğu ve çoğu RMM satıcısının tam özellikli bir ücretsiz deneme seçeneğine sahip olduğu için RMM araçlarını tercih ediyor.
Güvenlik ekipleri için avantaj, tüm RMM araçlarının, dijital imzalar, değiştirilen kayıt defteri anahtarları, aranan alan adları ve aranacak işlem adları dahil olmak üzere oldukça öngörülebilir davranışlara sahip olmasıdır.
Pargman, “Ücretsiz olarak kullanılabilen tüm RMM araçları için algılama imzaları yazarak ve varsa onaylanmış araç için bir istisna oluşturarak, RMM araçlarının izinsiz giriş yapan kişiler tarafından kullanıldığını tespit etmede büyük başarı elde ettim” diyor.
Yalnızca bir RMM satıcısının kullanılmasına izin verilmesi ve her zaman aynı şekilde (örneğin, sistem görüntüleme sırasında veya özel bir komut dosyasıyla) kurulması, böylece yetkili bir kurulum ile bir kurulum arasındaki farkın anlaşılmasının kolaylaşmasına yardımcı olur. Tehdit aktörünün bir kullanıcıyı kurulumu çalıştırması için kandırdığını ekliyor.
“Listeden başlayarak, bunun gibi başka birçok tespit fırsatı var. LOLBAŞPargman şöyle diyor: “Tüm uç nokta olaylarında tehdit avcılığı sorguları çalıştıran güvenlik ekipleri, ortamlarındaki normal kullanım kalıplarını bulabilir ve ardından anormal kullanım kalıplarını tespit etmek için özel uyarı sorguları oluşturabilir.”
Komut dosyası dosyalarını açmak için kullanılan varsayılan programı (.js, .jse, .vbs, .vbe, .wsh vb. dosya uzantıları) değiştirmek gibi, saldırganların tercih ettiği yerleşik araçların kötüye kullanımını sınırlama fırsatları da vardır. çift tıklandığında WScript.exe’de açılmadıklarını.
Pargman, “Bu, son kullanıcıların kandırılarak kötü amaçlı bir komut dosyası çalıştırmasını önlemeye yardımcı oluyor” diyor.
Kimlik Bilgilerine Bağlılığın Azaltılması
RSA CIO’su Rob Hughes’a göre kuruluşların bağlantı kurmak için kimlik bilgilerine olan bağımlılıklarını azaltmaları gerekiyor. Benzer şekilde kuruluşların, güvenlik ekiplerine şifreli görünürlüğün nerede devreye girdiğine dair görünürlük sağlamak için anormal ve başarısız girişimler ve aykırı değerler hakkında uyarı vermesi gerekir. Sistem iletişiminde “normal” ve “iyi”nin neye benzediğini anlamak ve aykırı değerleri belirlemek, LotL saldırılarını tespit etmenin bir yoludur.
Çoğunlukla gözden kaçırılan ve daha fazla ilgi görmeye başlayan bir alan, genellikle düzensiz olan, zayıf bir şekilde korunan ve kara saldırılarıyla geçimini sağlamak için birincil hedef olan hizmet hesaplarıdır.
Hughes, “İş yüklerimizi arka planda çalıştırıyorlar. Onlara güvenme eğilimindeyiz, muhtemelen çok fazla” diyor. “Bu hesaplarda envanter, sahiplik ve güçlü kimlik doğrulama mekanizmaları da istiyorsunuz.”
Hizmet hesapları etkileşimli olmadığından son kısmı başarmak daha zor olabilir, bu nedenle kuruluşların kullanıcılar için güvendiği olağan çok faktörlü kimlik doğrulama (MFA) mekanizmaları devrede değildir.
Hughes, “Herhangi bir kimlik doğrulama gibi, gücün de dereceleri vardır” diyor. “Güçlü bir mekanizma seçmenizi ve güvenlik ekiplerinin bir hizmet hesabından yapılan etkileşimli oturum açma işlemlerini günlüğe kaydetmesini ve yanıt vermesini sağlamanızı öneririm. Bunlar olmamalıdır.”
Yeterli Zaman Yatırımı Gerekli
Bir güvenlik kültürü oluşturmak pahalı olmak zorunda değildir ancak amacı desteklemek ve savunmak için istekli bir liderliğe ihtiyacınız vardır.
Hughes, zamana yapılan yatırımın bazen yapılacak en büyük yatırım olduğunu söylüyor. Ancak kuruluş çapında güçlü kimlik kontrolleri uygulamak, bunun sağladığı risk azalmasıyla karşılaştırıldığında pahalı bir çaba olmak zorunda değildir.
“Güvenlik istikrar ve tutarlılıkla gelişir, ancak bunu iş ortamında her zaman kontrol edemeyiz” diyor. “MFA veya güçlü kimlik kontrolleriyle uyumlu veya işbirlikçi olmayan sistemlerde teknik borcu azaltmak için akıllı yatırımlar yapın.”
Pargman, her şeyin tespit ve tepki hızıyla ilgili olduğunu söylüyor.
“İncelediğim pek çok vakada, savunmacılar için en büyük olumlu farkı yaratan şey, şüpheli bir şeyi fark eden, araştıran ve tehdit aktörünün genişleme şansı bulamadan izinsiz girişi bulan tetikte bir SecOps analistinin hızlı tepki vermesiydi. onların etkisi” diyor.
