Факты
August 4

Выживание в цифровых джунглях: Введение в LOTL и LOLbins

Документ, озаглавленный "Joint Guidance: Identifying and Mitigating LOTL Techniques", содержит рекомендации о том, как организации могут лучше защитить себя от методов известных как Living Off The Land (LOTL). Эти методы предполагают, что атакующие используют легитимные инструменты и программное обеспечение, присутствующие в среде объекта, для осуществления вредоносных действий, что усложняет обнаружение. Этот подход направлен на сокращение таких легитимных инструментов операционной системы и приложений для нецелевого применения.

Руководство основано на практических результатах, оценках red team, отраслевых практиках и практиках по реагированию на инциденты. Также подчёркивается важность создания и поддержания инфраструктуры, которая собирает и систематизирует данные, помогающие правозащитникам выявлять методы LOTL, адаптированные к ландшафту рисков каждой организации и её ресурсным возможностям.

Ключевые моменты

📌 Руководство составлено крупнейшими агентствами кибербезопасности и национальной безопасности США, Австралии, Канады, Соединённого Королевства и Новой Зеландии и посвящено распространённым методам LOTL и пробелам в возможностях киберзащиты.

📌 LOTL применяется для компрометации и поддержания доступа к критически важной инфраструктуре, путём использования легитимных системных инструментов и процессов, чтобы «вписаться в обычную активность» и избежать обнаружения.

📌 Многим организациям трудно обнаружить вредоносную активность LOTL из-за неадекватных методов обеспечения безопасности и управления сетью, отсутствия общепринятых индикаторов компрометации и сложности отличить вредоносную активность от легитимного поведения.

📌 Рекомендации включают использование детализированного журнала событий, установление базовых показателей активности, использование автоматизации для непрерывного анализа, снижение количества оповещений и использование аналитики поведения пользователей и объектов (UEBA).

📌 Усиление безопасности включают применение рекомендаций поставщика по усилению безопасности, внедрение списка разрешённых приложений, улучшение сегментации сети и мониторинга, а также усиление контроля аутентификации и авторизации.

📌 Производителям программного обеспечения рекомендуется применять принципы secure-by-design, чтобы уменьшить количество уязвимостей, которые позволяют использовать методы LOTL, что включает в себя отключение ненужных протоколов, ограничение доступности сети, ограничение повышенных привилегий, включение по умолчанию защищённого от фишинга MFA, обеспечение защищённости журнала событий, устранение паролей по умолчанию и ограничение динамического выполнения кода.

Вторичные моменты

📌 Направленность на смягчение последствий использования LOTL-методов, когда нецелевым образом применяются легитимные инструменты.

📌 Поставщики должны нести ответственность за настройки своего программного обеспечения по умолчанию и соблюдение принципа наименьших привилегий.

📌 Производителям ПО рекомендуется сокращать количество уязвимостей, которыми можно воспользоваться, и брать на себя ответственность за обеспечение безопасности своих клиентов.

📌 Стратегии сетевой защиты включают мониторинг необычных системных взаимодействий, повышения привилегий и отклонений от обычных административных действий.

📌 Организациям следует создать и поддерживать инфраструктуру для сбора и систематизации данных для обнаружения методов LOTL, адаптированную к их конкретному ландшафту рисков и ресурсным возможностям