เนื่องจากฝ่ายตรงข้ามต้องพึ่งพาเครื่องมือที่ถูกต้องตามกฎหมายมากขึ้นในการซ่อนกิจกรรมที่เป็นอันตราย ผู้พิทักษ์องค์กรจึงต้องคิดใหม่เกี่ยวกับสถาปัตยกรรมเครือข่ายเพื่อตรวจจับและป้องกันการโจมตีเหล่านี้
กลยุทธ์เหล่านี้รู้จักกันในชื่อ "การอยู่นอกแผ่นดิน" (LotL) หมายถึงวิธีที่ฝ่ายตรงข้ามใช้เครื่องมือดั้งเดิมและถูกกฎหมายภายในสภาพแวดล้อมของเหยื่อเพื่อทำการโจมตี เมื่อผู้โจมตีแนะนำเครื่องมือใหม่ในสภาพแวดล้อมโดยใช้มัลแวร์หรือเครื่องมือของตนเอง พวกเขาจะสร้างสัญญาณรบกวนบนเครือข่าย นั่นเพิ่มความเป็นไปได้ที่เครื่องมือเหล่านั้นสามารถกระตุ้นการแจ้งเตือนด้านความปลอดภัยและแจ้งเตือนผู้ปกป้องว่ามีบุคคลที่ไม่ได้รับอนุญาตอยู่ในเครือข่ายและดำเนินกิจกรรมที่น่าสงสัย ผู้โจมตีที่ใช้เครื่องมือที่มีอยู่ทำให้ผู้พิทักษ์แยกการกระทำที่เป็นอันตรายออกจากกิจกรรมที่ชอบด้วยกฎหมายได้ยากขึ้น
เพื่อบังคับให้ผู้โจมตีสร้างสัญญาณรบกวนบนเครือข่ายมากขึ้น ผู้นำด้านความปลอดภัยด้านไอทีจะต้องคิดใหม่เกี่ยวกับเครือข่าย เพื่อให้การเคลื่อนย้ายเครือข่ายไม่ใช่เรื่องง่าย
การรักษาอัตลักษณ์ การจำกัดการเคลื่อนไหว
แนวทางหนึ่งคือการใช้การควบคุมการเข้าถึงที่เข้มงวดและติดตามการวิเคราะห์พฤติกรรมที่ได้รับสิทธิพิเศษ เพื่อให้ทีมรักษาความปลอดภัยสามารถวิเคราะห์การรับส่งข้อมูลเครือข่ายและคำขอเข้าถึงที่มาจากเครื่องมือของตนเอง ความไว้วางใจเป็นศูนย์ด้วยการควบคุมการเข้าถึงสิทธิพิเศษที่แข็งแกร่ง เช่น หลักการของสิทธิ์ขั้นต่ำ ทำให้ผู้โจมตีเคลื่อนย้ายเครือข่ายได้ยากขึ้น โจเซฟ คาร์สัน หัวหน้านักวิทยาศาสตร์ด้านความปลอดภัยและ CISO ที่ปรึกษาของ Delinea กล่าว
“สิ่งนี้บังคับให้พวกเขาใช้เทคนิคที่สร้างเสียงรบกวนและระลอกคลื่นบนเครือข่ายมากขึ้น” เขากล่าว “มันทำให้ผู้ปกป้องไอทีมีโอกาสที่ดีกว่าในการตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาตตั้งแต่เนิ่นๆ ในการโจมตี ก่อนที่พวกเขาจะมีโอกาสปรับใช้ซอฟต์แวร์ที่เป็นอันตรายหรือแรนซัมแวร์”
อีกประการหนึ่งคือการพิจารณานายหน้ารักษาความปลอดภัยการเข้าถึงระบบคลาวด์ (CASB) และเทคโนโลยี Secure Access Service Edge (SASE) เพื่อทำความเข้าใจว่าใคร (หรืออะไร) กำลังเชื่อมต่อกับทรัพยากรและระบบใด ซึ่งสามารถเน้นย้ำถึงกระแสเครือข่ายที่ไม่คาดคิดหรือน่าสงสัย โซลูชัน CASB ได้รับการออกแบบมาเพื่อมอบความปลอดภัยและการมองเห็นสำหรับองค์กรที่ใช้บริการและแอปพลิเคชันระบบคลาวด์ พวกเขาทำหน้าที่เป็นสื่อกลางระหว่างผู้ใช้ปลายทางและผู้ให้บริการคลาวด์ โดยนำเสนอการควบคุมความปลอดภัยที่หลากหลาย รวมถึงการป้องกันข้อมูลสูญหาย (DLP) การควบคุมการเข้าถึง การเข้ารหัส และการตรวจจับภัยคุกคาม
SASE เป็นเฟรมเวิร์กความปลอดภัยที่รวมฟังก์ชันความปลอดภัยของเครือข่าย เช่น เว็บเกตเวย์ที่ปลอดภัย ไฟร์วอลล์ในรูปแบบบริการ และการเข้าถึงเครือข่ายแบบ Zero Trust พร้อมความสามารถของเครือข่ายบริเวณกว้าง (WAN) เช่น SD-WAN (เครือข่ายบริเวณกว้างที่กำหนดโดยซอฟต์แวร์) ).
“ควรให้ความสำคัญกับการจัดการพื้นผิวการโจมตี [LotL]” Gareth Lindahl-Wise, CISO ของ Ontinue กล่าว “ผู้โจมตีประสบความสำเร็จโดยที่เครื่องมือและกระบวนการในตัวหรือที่ใช้งานสามารถใช้งานได้จากจุดสิ้นสุดที่มากเกินไปโดยมีการระบุตัวตนมากเกินไป”
กิจกรรมเหล่านี้โดยธรรมชาติแล้วถือเป็นความผิดปกติของพฤติกรรม ดังนั้นการทำความเข้าใจสิ่งที่ถูกติดตามและป้อนเข้าสู่แพลตฟอร์มที่สัมพันธ์กันจึงเป็นสิ่งสำคัญ Lindahl-Wise กล่าว ทีมควรตรวจสอบให้แน่ใจว่ามีความครอบคลุมตั้งแต่จุดสิ้นสุดและตัวตน จากนั้นจึงเพิ่มคุณค่าด้วยข้อมูลการเชื่อมต่อเครือข่ายเมื่อเวลาผ่านไป การตรวจสอบการรับส่งข้อมูลเครือข่ายสามารถช่วยเปิดเผยเทคนิคอื่นๆ ได้ แม้ว่าการรับส่งข้อมูลนั้นจะถูกเข้ารหัสก็ตาม
แนวทางที่ใช้หลักฐานเชิงประจักษ์
องค์กรต่างๆ สามารถและควรใช้แนวทางที่มีหลักฐานเชิงประจักษ์ในการจัดลำดับความสำคัญว่าแหล่งข้อมูลการวัดและส่งข้อมูลทางไกลใดที่พวกเขาใช้เพื่อให้มองเห็นการละเมิดยูทิลิตี้ที่ถูกต้องตามกฎหมาย
“ค่าใช้จ่ายในการจัดเก็บแหล่งบันทึกที่มีปริมาณสูงกว่านั้นเป็นปัจจัยที่แท้จริง แต่การใช้จ่ายด้านการวัดและส่งข้อมูลทางไกลควรได้รับการปรับให้เหมาะสมตามแหล่งที่มาที่เปิดโอกาสให้เข้าถึงภัยคุกคาม รวมถึงยูทิลิตี้ที่ถูกละเมิด ซึ่งพบบ่อยที่สุดในป่าและถือว่าเกี่ยวข้องกับองค์กร ” Scott Small ผู้อำนวยการฝ่ายข่าวกรองภัยคุกคามของ Tidal Cyber กล่าว
ความพยายามของชุมชนหลายครั้งทำให้กระบวนการนี้ใช้งานได้จริงมากขึ้นกว่าเดิม รวมถึงโครงการโอเพ่นซอร์ส “LOLBAS” ซึ่งติดตามแอปพลิเคชันที่อาจเป็นอันตรายของยูทิลิตี้หลักหลายร้อยรายการ เขาชี้ให้เห็น
ในขณะเดียวกัน แคตตาล็อกทรัพยากรที่เพิ่มขึ้นจาก MITER ATT&CK, Center for Threat-Informed Defense และผู้จำหน่ายเครื่องมือรักษาความปลอดภัย ช่วยให้สามารถแปลจากพฤติกรรมฝ่ายตรงข้ามเดียวกันเหล่านั้นเป็นข้อมูลและแหล่งที่มาของบันทึกที่ไม่ต่อเนื่องและเกี่ยวข้องได้โดยตรง
“ไม่ใช่เรื่องจริงสำหรับองค์กรส่วนใหญ่ที่จะติดตามแหล่งที่มาของบันทึกที่รู้จักทุกแหล่งตลอดเวลา” Small Notes “การวิเคราะห์ข้อมูลจากโครงการ LOBAS ของเราแสดงให้เห็นว่ายูทิลิตี้ LotL เหล่านี้สามารถใช้เพื่อดำเนินกิจกรรมที่เป็นอันตรายทุกประเภท”
สิ่งเหล่านี้มีตั้งแต่การหลีกเลี่ยงการป้องกันไปจนถึงการเพิ่มสิทธิพิเศษ การคงอยู่ การเข้าถึงข้อมูลประจำตัว และแม้แต่การกรองและผลกระทบ
“นี่ยังหมายความว่ามีแหล่งข้อมูลแยกหลายสิบแหล่งที่สามารถทำให้มองเห็นการใช้งานที่เป็นอันตรายของเครื่องมือเหล่านี้ได้ ซึ่งมากเกินไปที่จะบันทึกอย่างครอบคลุมตามความเป็นจริงและเป็นระยะเวลานาน” Small กล่าว
อย่างไรก็ตาม การวิเคราะห์อย่างใกล้ชิดแสดงให้เห็นว่ามีการจัดกลุ่ม (และแหล่งที่มาเฉพาะ) อยู่ที่ไหน ตัวอย่างเช่น แหล่งข้อมูลเพียง 48 แห่งจาก 82 แห่งมีความเกี่ยวข้องกับเทคนิคที่เกี่ยวข้องกับ LOLBAS มากกว่าสามในสี่ (XNUMX%)
“นี่เป็นโอกาสในการเริ่มต้นใช้งานหรือเพิ่มประสิทธิภาพการวัดและส่งข้อมูลทางไกลโดยตรงโดยสอดคล้องกับเทคนิคการใช้ชีวิตนอกพื้นที่ชั้นนำ หรือเฉพาะที่เกี่ยวข้องกับระบบสาธารณูปโภคที่องค์กรถือว่ามีความสำคัญสูงสุด” Small กล่าว
ขั้นตอนการปฏิบัติสำหรับผู้นำด้านความปลอดภัยด้านไอที
ทีมรักษาความปลอดภัยด้านไอทีสามารถดำเนินการตามขั้นตอนที่เป็นประโยชน์และสมเหตุสมผลหลายประการเพื่อตรวจจับผู้โจมตีที่อาศัยอยู่นอกพื้นที่ ตราบใดที่พวกเขาสามารถมองเห็นเหตุการณ์ได้
“แม้ว่าการมองเห็นเครือข่ายจะเป็นเรื่องดี แต่เหตุการณ์จากอุปกรณ์ปลายทาง ทั้งเวิร์กสเตชันและเซิร์ฟเวอร์ ก็มีคุณค่าไม่แพ้กันหากใช้อย่างดี” Randy Pargman ผู้อำนวยการฝ่ายการตรวจจับภัยคุกคามของ Proofpoint กล่าว
ตัวอย่างเช่น หนึ่งในเทคนิค LotL ที่ผู้คุกคามจำนวนมากใช้เมื่อเร็ว ๆ นี้คือการติดตั้งซอฟต์แวร์การตรวจสอบและการจัดการระยะไกล (RMM) ที่ถูกต้องตามกฎหมาย
ผู้โจมตีชอบเครื่องมือ RMM เพราะพวกเขาเชื่อถือได้ เซ็นชื่อแบบดิจิทัล และจะไม่ปิดการแจ้งเตือนการป้องกันไวรัสหรือการตรวจจับและตอบสนองปลายทาง (EDR) อีกทั้งยังใช้งานง่ายและผู้จำหน่าย RMM ส่วนใหญ่มีตัวเลือกทดลองใช้ฟรีที่มีคุณลักษณะครบถ้วน
ข้อได้เปรียบสำหรับทีมรักษาความปลอดภัยคือเครื่องมือ RMM ทั้งหมดมีพฤติกรรมที่สามารถคาดเดาได้อย่างมาก รวมถึงลายเซ็นดิจิทัล รีจิสตรีคีย์ที่ถูกแก้ไข ชื่อโดเมนที่ถูกค้นหา และชื่อกระบวนการที่จะค้นหา
“ฉันประสบความสำเร็จอย่างมากในการตรวจจับการใช้เครื่องมือ RMM ของผู้บุกรุก เพียงแค่เขียนลายเซ็นการตรวจจับสำหรับเครื่องมือ RMM ที่หาได้ฟรีทั้งหมด และทำการยกเว้นสำหรับเครื่องมือที่ได้รับอนุมัติ ถ้ามี” Pargman กล่าว
จะช่วยได้มากหากอนุญาตให้ใช้ผู้จำหน่าย RMM เพียงรายเดียว และหากมีการติดตั้งในลักษณะเดียวกันเสมอ เช่น ในระหว่างการสร้างอิมเมจระบบหรือด้วยสคริปต์พิเศษ เพื่อให้ง่ายต่อการบอกความแตกต่างระหว่างการติดตั้งที่ได้รับอนุญาตและ ผู้คุกคามหลอกให้ผู้ใช้เรียกใช้การติดตั้ง เขากล่าวเสริม
“มีโอกาสการตรวจจับอื่นๆ มากมายเช่นนี้ เริ่มจากรายการในนั้น” ลอลบาส” พาร์กแมนกล่าว “การเรียกใช้การสืบค้นตามล่าภัยคุกคามในเหตุการณ์ปลายทางทั้งหมด ทีมรักษาความปลอดภัยสามารถค้นหารูปแบบการใช้งานปกติในสภาพแวดล้อมของตน จากนั้นสร้างการสืบค้นการแจ้งเตือนแบบกำหนดเองเพื่อตรวจจับรูปแบบการใช้งานที่ผิดปกติ”
นอกจากนี้ยังมีโอกาสในการจำกัดการใช้เครื่องมือในตัวที่ผู้โจมตีชื่นชอบ เช่น การเปลี่ยนโปรแกรมเริ่มต้นที่ใช้ในการเปิดไฟล์สคริปต์ (นามสกุลไฟล์ .js, .jse, .vbs, .vbe, .wsh ฯลฯ) ดังนั้น ที่ไม่เปิดใน WScript.exe เมื่อดับเบิลคลิก
“นั่นช่วยหลีกเลี่ยงผู้ใช้ปลายทางที่ถูกหลอกให้เรียกใช้สคริปต์ที่เป็นอันตราย” Pargman กล่าว
การลดการพึ่งพาข้อมูลรับรอง
Rob Hughes, CIO ของ RSA กล่าวว่าองค์กรต่างๆ จำเป็นต้องลดการพึ่งพาข้อมูลประจำตัวเพื่อสร้างการเชื่อมต่อ ในทำนองเดียวกัน องค์กรจำเป็นต้องเพิ่มการแจ้งเตือนเกี่ยวกับความพยายามที่ผิดปกติและล้มเหลวและค่าผิดปกติ เพื่อให้ทีมรักษาความปลอดภัยมองเห็นได้ว่าการมองเห็นที่เข้ารหัสอยู่ที่จุดใด การทำความเข้าใจว่าการสื่อสารของระบบและการระบุค่าผิดปกติมีลักษณะอย่างไร “ปกติ” และ “ดี” เป็นวิธีการตรวจจับการโจมตี LotL
พื้นที่ที่มักถูกมองข้ามซึ่งเริ่มได้รับความสนใจมากขึ้นคือบัญชีบริการ ซึ่งมีแนวโน้มที่จะไม่ได้รับการควบคุม มีการป้องกันที่อ่อนแอ และเป็นเป้าหมายสำคัญสำหรับการใช้ชีวิตนอกการโจมตีทางบก
“พวกเขารันภาระงานของเราในเบื้องหลัง เรามักจะเชื่อใจพวกเขา – อาจจะมากเกินไป” ฮิวจ์กล่าว “คุณต้องการสินค้าคงคลัง ความเป็นเจ้าของ และกลไกการตรวจสอบสิทธิ์ที่เข้มงวดในบัญชีเหล่านี้เช่นกัน”
ส่วนสุดท้ายอาจทำได้ยากขึ้นเนื่องจากบัญชีบริการไม่มีการโต้ตอบ ดังนั้นกลไกการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ตามปกติที่องค์กรต้องพึ่งพาผู้ใช้จึงไม่มีบทบาท
“เช่นเดียวกับการรับรองความถูกต้องอื่นๆ มีระดับความแข็งแกร่ง” ฮิวจ์กล่าว “ฉันขอแนะนำให้เลือกกลไกที่แข็งแกร่งและตรวจสอบให้แน่ใจว่าทีมรักษาความปลอดภัยบันทึกและตอบสนองต่อการเข้าสู่ระบบเชิงโต้ตอบจากบัญชีบริการ สิ่งเหล่านั้นไม่ควรเกิดขึ้น”
ต้องใช้เวลาลงทุนอย่างเพียงพอ
การสร้างวัฒนธรรมด้านความปลอดภัยไม่จำเป็นต้องมีราคาแพง แต่คุณต้องมีผู้นำที่เต็มใจที่จะสนับสนุนและสนับสนุนเป้าหมาย
การลงทุนในเวลาบางครั้งก็เป็นการลงทุนที่ใหญ่ที่สุดที่จะทำได้ Hughes กล่าว แต่การใช้การควบคุมข้อมูลประจำตัวที่แข็งแกร่งทั่วทั้งองค์กรและทั่วทั้งองค์กรไม่จำเป็นต้องเป็นความพยายามที่มีราคาแพงเมื่อเปรียบเทียบกับการลดความเสี่ยงที่ทำได้สำเร็จ
“การรักษาความปลอดภัยเติบโตได้บนความเสถียรและความสม่ำเสมอ แต่เราไม่สามารถควบคุมสิ่งนั้นได้เสมอไปในสภาพแวดล้อมทางธุรกิจ” เขากล่าว “ลงทุนอย่างชาญฉลาดในการลดหนี้ด้านเทคนิคในระบบที่ไม่เข้ากันหรือให้ความร่วมมือกับ MFA หรือการควบคุมข้อมูลประจำตัวที่เข้มงวด”
Pargman กล่าวว่ามันเป็นเรื่องของความเร็วในการตรวจจับและการตอบสนอง
“ในหลายกรณีที่ฉันได้ตรวจสอบ สิ่งที่สร้างความแตกต่างเชิงบวกที่ยิ่งใหญ่ที่สุดสำหรับกองหลังคือการตอบสนองอย่างรวดเร็วจากนักวิเคราะห์ SecOps ที่ตื่นตัวซึ่งสังเกตเห็นบางสิ่งที่น่าสงสัย ตรวจสอบ และพบการบุกรุกก่อนที่ผู้คุกคามจะมีโอกาสขยาย อิทธิพลของพวกเขา” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
