無論是近期美國政府點名的中國國家駭客伏特颱風或
微軟證實長期隱匿於台灣各行業的「亞麻颱風」駭客組織,都採用了使用一系列「寄生攻擊(Living-off-the-Land )」技術進行大規模網路間諜活動。
這些被稱為「寄生攻擊」,又稱為「離地攻擊」的策略,攻擊者在受害者環境中引入新工具或惡意軟體時,這些活動可能會在網路上留下異常的痕跡、訊號或數據流量,從而引起安全警報。
這種雜訊 (noise on network) 增加了被安全防禦系統偵測到的風險,因此可能會提醒防禦者有未授權的人正在進行可疑活動。為了迫使攻擊者在網路上產生更多雜訊,資安管理人員必須重新思考網路佈署,讓在網路上移動變得不是那麼容易,以便早期偵測寄生攻擊的跡象。
相關文章:中國Volt Typhoon涉嫌滲透美、非國家電力設施! 台灣電力相關單位應立即採取網路防禦
確保身份、限制行動
採取的方法是利用強大的存取控制並監控特權行為分析,以便安全團隊可以分析來自既有工具的網路流量和存取請求。專家認為,零信任與強大的特權訪問控制,如最小權限原則,使攻擊者更難在網路中移動。
迫使攻擊者在網路上產生更多訊號和漣漪的技術可以讓IT防禦者有機會在攻擊早期或部署惡意軟體或勒索軟體前,就檢測到未經授權的訪問。
另一種方法是考慮雲端存取安全代理(CASB)和安全存取邊緣(SASE)技術,以瞭解誰(或什麼)正在連接哪些資源和系統,這可以突顯出異常或可疑的網路流量。
CASB解決方案旨在為採用雲服務和應用程序的組織提供安全性和可見性。它們作為終端用戶和雲端服務提供商之間的中間人,提供一系列安全控制,包括資料外洩預防(DLP)、訪問控制、加密和威脅檢測。SASE是一種安全框架,它將網路安全功能,如安全Web閘道器、防火牆即服務和零信任網路訪問與廣域網路(WAN)功能,如SD-WAN相結合。
此外,
專家認為資安管理者需要關注攻擊面管理。當太多的身份可以從太多的端點使用內建或部署工具和流程時,攻擊者容易從中取得入侵點。
攻擊活動本質上屬於行為異常。網路流量檢查可以幫助發現其他可疑點,即使流量本身是加密的。
基於證據的方法
組織應該採取基於證據的方法來確定他們使用遙測源的優先級,以判斷是否有合法工具被濫用。
對於大多數組織來說,一直且全面追蹤每個儲存的日誌來源是不切實際的,應該善用像LOLBAS這類型開源工具列表以及MITRE ATT&CK的資源目錄。LOLBAS已經追蹤了數百個關鍵程式的潛在惡意應用。
另外,
許多威脅行為者最近使用的LotL技術之一是安裝合法的遠端監控和管理(RMM)軟體。攻擊者喜歡RMM工具,因為它們受信任、數位簽名並且不會觸發防毒或EDR警報。而且大多數RMM供應商都有功能齊全的免費試用選項,非常容易取得。
但安全團隊的優勢在於所有RMM工具的行為都非常可預測,包括數位簽名、修改的登記選像、查詢的域名以及要相關的程序。
如果只授權使用一個RMM供應商並且始終以相同的方式安裝它,就可以輕鬆區分授權安裝和威脅行為者冒用安裝行為。
藉由所有端點事件,安全團隊可以找到環境中正常使用的模式,然後構建自定義警報查詢以檢測異常的使用模式。也有機會限制攻擊者青睞的內建工具的濫用,例如更改用於打開腳本文件的默認程式(文件擴展名.js、.jse、.vbs、.vbe、.wsh等)。 這將有助於避免終端用戶被誘騙運行惡意腳本。
相關文章: 網路安全不再只有防火牆!資料科學如何搶先發現網路威脅
關注服務帳號的異常
專家表示, 經常被忽略的領域就是服務帳號或老舊的測試帳號。這些帳號多半不受監管、保護薄弱,是網路攻擊的首要目標。組織需要減少對這些帳號建立連接的憑證依賴,並定期盤點帳號的數量、權限以及身分驗證機制。
需要注意的是,這些帳號通常不可互動,因此組織對用戶的多重身份驗證(MFA)機制並不適用。但是與任何身份驗證一樣,服務帳號應該有不同強度的身份驗證。專家推薦選擇一種強大的機制,並確保安全團隊記錄並回應任何來自服務帳戶的登錄紀錄。
關鍵在檢測和回應的速度
安全依賴於穩定性和一致性,但在現實商業環境中,我們無法控制。專家建議透過減少與MFA不相容的系統建置而產生的安全債。
在許多的調查案例中,最有效的方法就是資安人員積極回應SecOps分析師的警告,當分析師發現可疑現象,第一時間就進行處理。
本文轉載自DarkReading。