Выживание в цифровых джунглях: Введение в LOTL и LOLbins

Документ, ‎озаглавленный‏ ‎«Joint ‎Guidance: ‎Identifying ‎and ‎Mitigating‏ ‎LOTL ‎Techniques»,‏ ‎содержит‏ ‎рекомендации ‎о ‎том,‏ ‎как ‎организации‏ ‎могут ‎лучше ‎защитить ‎себя‏ ‎от‏ ‎методов ‎известных‏ ‎как ‎Living‏ ‎Off ‎The ‎Land ‎(LOTL). ‎Эти‏ ‎методы‏ ‎предполагают, ‎что‏ ‎атакующие ‎используют‏ ‎легитимные ‎инструменты ‎и ‎программное ‎обеспечение,‏ ‎присутствующие‏ ‎в‏ ‎среде ‎объекта,‏ ‎для ‎осуществления‏ ‎вредоносных ‎действий,‏ ‎что‏ ‎усложняет ‎обнаружение.‏ ‎Этот ‎подход ‎направлен ‎на ‎сокращение‏ ‎таких ‎легитимных‏ ‎инструментов‏ ‎операционной ‎системы ‎и‏ ‎приложений ‎для‏ ‎нецелевого ‎применения.

Руководство ‎основано ‎на‏ ‎практических‏ ‎результатах, ‎оценках‏ ‎red ‎team,‏ ‎отраслевых ‎практиках ‎и ‎практиках ‎по‏ ‎реагированию‏ ‎на ‎инциденты.‏ ‎Также ‎подчёркивается‏ ‎важность ‎создания ‎и ‎поддержания ‎инфраструктуры,‏ ‎которая‏ ‎собирает‏ ‎и ‎систематизирует‏ ‎данные, ‎помогающие‏ ‎правозащитникам ‎выявлять‏ ‎методы‏ ‎LOTL, ‎адаптированные‏ ‎к ‎ландшафту ‎рисков ‎каждой ‎организации‏ ‎и ‎её‏ ‎ресурсным‏ ‎возможностям.

Ключевые ‎моменты

📌 Руководство ‎составлено‏ ‎крупнейшими ‎агентствами‏ ‎кибербезопасности ‎и ‎национальной ‎безопасности‏ ‎США,‏ ‎Австралии, ‎Канады,‏ ‎Соединённого ‎Королевства‏ ‎и ‎Новой ‎Зеландии ‎и ‎посвящено‏ ‎распространённым‏ ‎методам ‎LOTL‏ ‎и ‎пробелам‏ ‎в ‎возможностях ‎киберзащиты.

📌 LOTL ‎применяется ‎для‏ ‎компрометации‏ ‎и‏ ‎поддержания ‎доступа‏ ‎к ‎критически‏ ‎важной ‎инфраструктуре,‏ ‎путём‏ ‎использования ‎легитимных‏ ‎системных ‎инструментов ‎и ‎процессов, ‎чтобы‏ ‎«вписаться ‎в‏ ‎обычную‏ ‎активность» ‎и ‎избежать‏ ‎обнаружения.

📌 Многим ‎организациям‏ ‎трудно ‎обнаружить ‎вредоносную ‎активность‏ ‎LOTL‏ ‎из-за ‎неадекватных‏ ‎методов ‎обеспечения‏ ‎безопасности ‎и ‎управления ‎сетью, ‎отсутствия‏ ‎общепринятых‏ ‎индикаторов ‎компрометации‏ ‎и ‎сложности‏ ‎отличить ‎вредоносную ‎активность ‎от ‎легитимного‏ ‎поведения.

📌 Рекомендации‏ ‎включают‏ ‎использование ‎детализированного‏ ‎журнала ‎событий,‏ ‎установление ‎базовых‏ ‎показателей‏ ‎активности, ‎использование‏ ‎автоматизации ‎для ‎непрерывного ‎анализа, ‎снижение‏ ‎количества ‎оповещений‏ ‎и‏ ‎использование ‎аналитики ‎поведения‏ ‎пользователей ‎и‏ ‎объектов ‎(UEBA).

📌 Усиление ‎безопасности ‎включают‏ ‎применение‏ ‎рекомендаций ‎поставщика‏ ‎по ‎усилению‏ ‎безопасности, ‎внедрение ‎списка ‎разрешённых ‎приложений,‏ ‎улучшение‏ ‎сегментации ‎сети‏ ‎и ‎мониторинга,‏ ‎а ‎также ‎усиление ‎контроля ‎аутентификации‏ ‎и‏ ‎авторизации.

📌 Производителям‏ ‎программного ‎обеспечения‏ ‎рекомендуется ‎применять‏ ‎принципы ‎secure-by-design,‏ ‎чтобы‏ ‎уменьшить ‎количество‏ ‎уязвимостей, ‎которые ‎позволяют ‎использовать ‎методы‏ ‎LOTL, ‎что‏ ‎включает‏ ‎в ‎себя ‎отключение‏ ‎ненужных ‎протоколов,‏ ‎ограничение ‎доступности ‎сети, ‎ограничение‏ ‎повышенных‏ ‎привилегий, ‎включение‏ ‎по ‎умолчанию‏ ‎защищённого ‎от ‎фишинга ‎MFA, ‎обеспечение‏ ‎защищённости‏ ‎журнала ‎событий,‏ ‎устранение ‎паролей‏ ‎по ‎умолчанию ‎и ‎ограничение ‎динамического‏ ‎выполнения‏ ‎кода.

Вторичные‏ ‎моменты

📌 Направленность ‎на‏ ‎смягчение ‎последствий‏ ‎использования ‎LOTL-методов,‏ ‎когда‏ ‎нецелевым ‎образом‏ ‎применяются ‎легитимные ‎инструменты.

📌 Поставщики ‎должны ‎нести‏ ‎ответственность ‎за‏ ‎настройки‏ ‎своего ‎программного ‎обеспечения‏ ‎по ‎умолчанию‏ ‎и ‎соблюдение ‎принципа ‎наименьших‏ ‎привилегий.

📌 Производителям‏ ‎ПО ‎рекомендуется‏ ‎сокращать ‎количество‏ ‎уязвимостей, ‎которыми ‎можно ‎воспользоваться, ‎и‏ ‎брать‏ ‎на ‎себя‏ ‎ответственность ‎за‏ ‎обеспечение ‎безопасности ‎своих ‎клиентов.

📌 Стратегии ‎сетевой‏ ‎защиты‏ ‎включают‏ ‎мониторинг ‎необычных‏ ‎системных ‎взаимодействий,‏ ‎повышения ‎привилегий‏ ‎и‏ ‎отклонений ‎от‏ ‎обычных ‎административных ‎действий.

📌 Организациям ‎следует ‎создать‏ ‎и ‎поддерживать‏ ‎инфраструктуру‏ ‎для ‎сбора ‎и‏ ‎систематизации ‎данных‏ ‎для ‎обнаружения ‎методов ‎LOTL,‏ ‎адаптированную‏ ‎к ‎их‏ ‎конкретному ‎ландшафту‏ ‎рисков ‎и ‎ресурсным ‎возможностям