Како се заштитити од напада изван земље?

Живот од копнених напада стекао је снагу у новије вријеме, тако да можемо са сигурношћу екстраполирати да хакери сада поново користе старе стратегије и технике. Концепти повезани са Животом од земље тешко да су нови. Системски алати су се некада често користили као бацкдоор, а познате рањивости су искоришћаване у системима.

Од напада од земље (ЛотЛ) невероватно је тешко одбранити, јер понекад укључују и нападе без датотека као подскуп. Други пут хакери користе алате за двоструку употребу и меморију, што је смртоносна комбинација. У овом водичу намеравамо да вам кажемо онолико колико вам је потребно да знате о нападима Живот изван земље и како можете да заштитите себе или своју организацију од њих.

Шта су напади Живот од земље?

Живот од копнених напада су напади у којима нападачи користе већ инсталиране или постојеће алате на рачунарима жртава да би побољшали своја средства (краду информације или новац, преузимају системе итд.). Такви напади су јединствени по томе што укључени хакери не користе злонамерне програме, на које су програмирани сигурносни апликативни програми. Будући да нападачи користе уобичајене алате или чак једноставне скрипте, откривање претњи постаје веома тешко.

На пример, у нападима без датотека, сајбер криминалци могу да делују у нестабилној меморији, у деловима који одговарају ПоверСхелл-у и ВМИ-у. У таквим сценаријима антивируси и апликације против малвера не успевају да открију и пронађу претње - јер се чак ни њихови уноси не чувају у евиденцијама. На крају, током напада се створи врло мало датотека (или их уопште нема).

Нападачи имају довољно разлога да остану без датотека. Вероватно су схватили да што је мањи број датотека које се креирају, то су мање шансе да сигурносне службе открију претње. И углавном су нападачи у праву. Сигурносне апликације се често боре да открију нападе Живот са копна док не постане прекасно јер не знају на шта прво треба пазити.

ЛотЛ напади не укључују злонамерни софтвер, али нападачи (ако успеју са њима) добијају довољно времена да се задрже на угроженим рачунарима у областима у којима их није могуће открити. А с временом нападачи на крају добију прилику да се инфилтрирају у осетљиве компоненте и униште податке или операције (ако то одлуче).

Можда сте чули за нападе Петиа / НотПетиа, који су потресли свет негде 2017. Жртве тих напада (појединци и организације) никада их нису видели како долазе, јер су нападачи ушли у њихове системе путем поузданих програма, што није изазвало сумњу, а затим убризгавао те апликације са злонамерним кодом. Традиционални системи заштите нису успели; њихову одбрану није покренула необична употреба софтвера који се чини поузданим.

Са техникама Ливинг офф тхе Ланд, кибер криминалци могу ући у ИТ системе без компликација и провести пуно времена у њима, а да притом не покрену никакав аларм или изазивају сумњу. Стога, с обзиром на околности које дефинишу такве нападе, сигурносни стручњаци тешко могу идентификовати извор напада. Многи криминалци тактику Живот од земље сматрају идеалном методом за извршење напада.

Како се заштитити од напада изван земље (савети за редовне кориснике или појединце)

Предузимањем неопходних мера предострожности и проактивношћу смањујете шансе да ваши рачунари или мреже буду изложени сајбер криминалцима путем ЛотЛ тактике.

1. Увек надгледајте или проверите употребу услужних програма двоструке намене у вашим мрежама.

2. Користите белу листу апликација тамо где је доступна или применљива.

3. Када примате неочекиване или сумњиве е-поруке, морате бити опрезни. Увек је боље да у таквим порукама не кликнете на било шта (везе или прилоге).

4. Увек преузмите и инсталирајте исправке за све своје апликације (програме) и оперативне системе (на пример, Виндовс).

5. Будите опрезни док користите Мицрософт Оффице прилоге који захтевају да омогућите макронаредбе. Боље је да уопште не користите такве прилоге - ако си можете приуштити да их не користите.

6. Конфигуришите напредне безбедносне функције тамо где је то могуће. Под напредним безбедносним функцијама подразумевамо двофакторску потврду идентитета (2ФА), обавештења о пријави или упите итд.

7. Користите јаке јединствене лозинке за све своје налоге и профиле (на мрежама или платформама). Набавите менаџер лозинки - ако вам је потребан да бисте запамтили све лозинке.

8. Увек не заборавите да одјавите свој профил или налог из мреже када завршите са сесијом.

Како избећи нападе Живјети са земље (савети за организације и предузећа)

С обзиром на то да тактике Живот са земље чине неке од најсофистициранијих техника хаковања, оне представљају велики ниво изазова за организације да се идентификују и одбију. Ипак, још увек постоје начини на које компаније могу смањити ризике од таквих напада (или ублажити ефекте таквих напада - ако се икада десе).

1. Одржавајте добру сајбер хигијену:

Овај савет може изгледати једноставно или основно ако се узме у номиналну вредност, али је вероватно најважнији део. Већина сајбер напада у историји - укључујући и оне где је примењена тактика ЛотЛ - била је успешна због немара или недостатка безбедносних пракси. Многе фирме се не труде да ажурирају или поправе алате или програме које користе. Софтверу су обично потребне закрпе и исправке да би запечатио рањивости и сигурносне рупе.

Када закрпе или исправке нису инсталиране, врата се остављају актерима пријетње да пронађу рањивости и искористе их. Организације су дужне да осигурају да воде попис пријава. На овај начин они могу да идентификују застареле и непримењене програме, па чак и оперативне системе; они такође знају када морају да обаве основне задатке ажурирања и како да се придржавају распореда.

Поред тога, особље треба да буде обучено о свести о безбедности. То превазилази пуко подучавање појединца да не отвара пхисхинг е-пошту. Идеално би било да радници науче како функционишу уграђени Виндовс уређаји и код. На тај начин уочавају аномалије или недоследности у понашању, злонамерним активностима и сумњивим апликацијама или скриптама које се покрећу у позадини и покушавају да избегну откривање. Особље са добрим знањем о позадинским активностима оперативног система Виндовс углавном је корак испред редовних цибер криминалаца.

2. Конфигуришите одговарајућа права приступа и дозволе:

На пример, запослени који кликне на злонамерну везу у е-пошти не би требало да резултира нужним слетањем злонамерног програма на систем запосленог. Системи би требало да буду дизајнирани тако да у описаном сценарију злонамерни програм путује мрежом и слети на неки други систем. У том случају можемо рећи да је мрежа довољно добро сегментирана да обезбеди да независне апликације и редовни корисници имају строге протоколе приступа.

Важност савета заслужује што више истакнутих ствари. Коришћење чврстих протокола у вези са правима приступа и привилегијама које се пружају радницима може у великој мери спречити компромитовање ваших система; то може бити разлика између успешног ЛотЛ напада и оног који не иде нигде.

3. Користите наменску стратегију за лов на претње:

Када натерате ловце на претње да заједно раде на проналажењу различитих облика претњи, шансе за откривање претњи знатно се повећавају. Најбоље сигурносне праксе захтевају од компанија (посебно великих организација) да ангажују посвећене ловце на претње и натерају их да прођу кроз различите сегменте своје ИТ инфраструктуре како би проверили да ли постоје и бледи знаци најсмртоноснијих или најсофистициранијих напада.

Ако је ваше пословање релативно мало или ако не можете да приуштите сопствени тим за лов на претње, било би добро да своје потребе препустите фирми за лов на претње или сличној служби за управљање безбедношћу. Вероватно ћете пронаћи друге организације или тимове слободњака који ће бити заинтересовани за попуњавање те критичне празнине. У сваком случају, све док се спроводе операције лова на претње, све је то добро.

4. Конфигурирање откривања и одговора крајње тачке (ЕДР):

Тихи неуспех један је важан појам када је реч о спречавању кибернетичких напада. Тихи неуспех односи се на сценарио или поставку где наменски безбедносни или одбрамбени систем не успева да се идентификује и одбрани од кибернетака и не догоди се аларм након што се напад догоди.

Размотрите ову паралелу са пројектованим догађајем: Ако злонамерни софтвер без датотека некако успе да прође ваше заштитне слојеве и добије приступ вашој мрежи, он може дуго остати у вашем систему, покушавајући да анализира целокупан систем како би се припремио за већи напад.

У ту сврху, да бисте превазишли проблем који је приказан, морате поставити чврст систем за откривање и одговор на крајње тачке (ЕДР). Добрим ЕДР системом моћи ћете да откријете и изолујете сумњиве предмете који постоје на крајњим тачкама, па чак и да их елиминишете или се решите.

5. Процените догађаје и сценарије када вас хакују (ако вас хакују):

Ако ваше машине буду хаковане или ако ваша мрежа постане угрожена, добро ћете испитати догађаје у изградњи напада. Саветујемо вам да погледате датотеке и програме који су одиграли главну улогу у помагању нападачима да успеју.

Можете запослити аналитичаре кибернетичке сигурности и замолити их да се усредсреде на алате и системе помоћу којих могу измерити историјске нападе. Већину сценарија у којима компаније постану жртве напада карактеришу сумњиви кључеви регистра и необичне излазне датотеке, као и идентификација активних или још увек постојећих претњи.

Након што откријете неке погођене датотеке или друге трагове, било би добро да их темељито анализирате. У идеалном случају, требало би да покушате да откријете где су ствари кренуле наопако, шта је требало учинити боље итд. На овај начин ћете сазнати више и стећи драгоцене увиде, што значи да ћете моћи да попуните празнине у својој безбедносној стратегији како бисте спречили будуће ЛотЛ нападе.

САВЕТ

Сигурност је главна тема у овом водичу, па нећемо имати бољу прилику да вам кажемо о изврсном предлогу. Ако желите да појачате сигурност на својим рачунарима или мрежама, можда ћете желети да набавите Ауслогицс Анти-Малваре. Помоћу овог првокласног услужног програма можете побољшати своје тренутно подешавање безбедности, које можда није довољно динамично да би се носило са вишеструким претњама.

У борби против злонамерних програма, побољшања су увек добродошла. Никада не можете знати када нешто пређе вашу тренутну безбедносну апликацију или је можда ни не користите. Такође не можете са сигурношћу рећи да ваш рачунар тренутно није угрожен или заражен. У сваком случају, било би добро да преузмете и покренете препоручену апликацију како бисте себи пружили веће шансе (него раније) да останете безбедни.