Хроники кибер-безопасника

Хроники кибер-безопасника 

Ничто так не говорит о ИБ, как сотни ИБ продуктов

115subscribers

134posts

Выживание в цифровых джунглях: Введение в LOTL и LOLbins

Документ, озаглавленный "Joint Guidance: Identifying and Mitigating LOTL Techniques", содержит рекомендации о том, как организации могут лучше защитить себя от методов известных как Living Off The Land (LOTL). Эти методы предполагают, что атакующие используют легитимные инструменты и программное обеспечение, присутствующие в среде объекта, для осуществления вредоносных действий, что усложняет обнаружение. Этот подход направлен на сокращение таких легитимных инструментов операционной системы и приложений для нецелевого применения.
Руководство основано на практических результатах, оценках red team, отраслевых практиках и практиках по реагированию на инциденты. Также подчёркивается важность создания и поддержания инфраструктуры, которая собирает и систематизирует данные, помогающие правозащитникам выявлять методы LOTL, адаптированные к ландшафту рисков каждой организации и её ресурсным возможностям.
Ключевые моменты
📌 Руководство составлено крупнейшими агентствами кибербезопасности и национальной безопасности США, Австралии, Канады, Соединённого Королевства и Новой Зеландии и посвящено распространённым методам LOTL и пробелам в возможностях киберзащиты.
📌 LOTL применяется для компрометации и поддержания доступа к критически важной инфраструктуре, путём использования легитимных системных инструментов и процессов, чтобы «вписаться в обычную активность» и избежать обнаружения.
📌 Многим организациям трудно обнаружить вредоносную активность LOTL из-за неадекватных методов обеспечения безопасности и управления сетью, отсутствия общепринятых индикаторов компрометации и сложности отличить вредоносную активность от легитимного поведения.
📌 Рекомендации включают использование детализированного журнала событий, установление базовых показателей активности, использование автоматизации для непрерывного анализа, снижение количества оповещений и использование аналитики поведения пользователей и объектов (UEBA).
📌 Усиление безопасности включают применение рекомендаций поставщика по усилению безопасности, внедрение списка разрешённых приложений, улучшение сегментации сети и мониторинга, а также усиление контроля аутентификации и авторизации.
📌 Производителям программного обеспечения рекомендуется применять принципы secure-by-design, чтобы уменьшить количество уязвимостей, которые позволяют использовать методы LOTL, что включает в себя отключение ненужных протоколов, ограничение доступности сети, ограничение повышенных привилегий, включение по умолчанию защищённого от фишинга MFA, обеспечение защищённости журнала событий, устранение паролей по умолчанию и ограничение динамического выполнения кода.
Вторичные моменты
📌 Направленность на смягчение последствий использования LOTL-методов, когда нецелевым образом применяются легитимные инструменты.
📌 Поставщики должны нести ответственность за настройки своего программного обеспечения по умолчанию и соблюдение принципа наименьших привилегий.
📌 Производителям ПО рекомендуется сокращать количество уязвимостей, которыми можно воспользоваться, и брать на себя ответственность за обеспечение безопасности своих клиентов.
📌 Стратегии сетевой защиты включают мониторинг необычных системных взаимодействий, повышения привилегий и отклонений от обычных административных действий.
📌 Организациям следует создать и поддерживать инфраструктуру для сбора и систематизации данных для обнаружения методов LOTL, адаптированную к их конкретному ландшафту рисков и ресурсным возможностям
Creator has disabled comments for this post.
Subscription levels2

Постоянный читатель

$21$10.5 per month
-50%
Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Профессионал

$42 per month
Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A
Go up