Факты
August 7

Сквозь шум: Установление базовых линий обнаружения LOTL

Одной из основных выявленных проблем является отсутствие базовых параметров безопасности в организациях, что приводит к выполнению LOLBin без обнаружения аномальной активности. Кроме того, организациям часто не удаётся корректно настроить инструменты обнаружения, что приводит к огромному количеству оповещений, которыми трудно управлять и на которые трудно реагировать. Это усугубляется автоматизированными системами, выполняющими действия с высокими привилегиями, которые могут завалить аналитиков событиями журнала, если их не классифицировать должным образом.

Проблемы с распознаванием вредоносной активности

📌 Даже организациям со зрелыми передовыми практиками бывает трудно отличить вредоносную активность LOTL от легитимного поведения:

📌 LOLBins обычно используются ИТ-администраторами и поэтому являются доверительными, что может приводить к заблуждению безопасности для всех пользователей.

📌 Существует ошибочное представление о том, что легитимные инструменты ИТ-администрирования безопасны априори, что приводит к политикам "разрешения", которые расширяют возможности атаки.

📌 Исключения для таких инструментов, как PsExec, из-за их регулярного использования администраторами могут быть использованы злоумышленниками для скрытого распространения.

Разрозненные операции и ненастроенные системы EDR

📌 Информация складывается из опыта redteam и групп реагирования на инциденты в отношении специалистов по сетевой безопасности:

📌 Обособленная работа от других ИТ-команд препятствует формированию поведенческих пользовательских признаков, устранению уязвимостей и расследования аномального поведения.

📌 Использование ненастроенных систем обнаружения и EDR и индикаторов компрометации (IOCs), которые могут приводить к отсутствию оповещений о действиях злоумышленников для предотвращения обнаружения.

Конфигурации системы регистрации событий и политики внесения в разрешённые списки

📌 Недостатки в конфигурациях систем регистрации событий и политиках управления списками разрешений ещё больше усложняют обнаружение действий LOTL:

📌 Конфигурации систем регистрации событий по умолчанию часто не позволяют фиксировать все соответствующие действия, и журналы из многих приложений требуют дополнительной обработки.

📌 Политика списков разрешений для диапазонов IP-адресов, принадлежащих хостинг-провайдерам и облачным провайдерам, может непреднамеренно обеспечить «прикрытие для злоумышленников».

Защита устройств macOS

Несмотря на то, что устройства macOS изначально считаются безопасности, они также требуют настройки:

📌 В macOS отсутствуют стандартизированные рекомендации по повышению надёжности системы, что приводит к развёртываниям с настройками по умолчанию, которые могут быть небезопасными.

📌 Презумпция безопасности macOS может привести к отмене приоритетов стандартных мер безопасности и внесение приложений в списки разрешённых.

📌 В средах со смешанными операционными системами низкая представленность устройств macOS может привести к недостаточному вниманию к их безопасности, что делает их более уязвимыми для вторжений.