[资安人文章分享]就怕不知不觉！企业组织如何防御「寄生攻击」

无论是近期美国政府点名的中国国家骇客伏特台风或微软证实长期隐匿于台湾各行业的「亚麻台风」骇客组织，都采用了使用一系列「寄生攻击（Living-off-the-Land ）」技术进行大规模网路间谍活动。 
 
这些被称为「寄生攻击」，又称为「离地攻击」的策略，攻击者在受害者环境中引入新工具或恶意软体时，这些活动可能会在网路上留下异常的痕迹、讯号或数据流量，从而引起安全警报。

这种杂讯 (noise on network) 增加了被安全防御系统侦测到的风险，因此可能会提醒防御者有未授权的人正在进行可疑活动。为了迫使攻击者在网路上产生更多杂讯，信息安全管理人员必须重新思考网路布署，让在网路上移动变得不是那么容易，以便早期侦测寄生攻击的迹象。
 

确保身份、限制行动

采取的方法是利用强大的存取控制并监控特权行为分析，以便安全团队可以分析来自既有工具的网路流量和存取请求。专家认为，零信任与强大的特权访问控制，如最小权限原则，使攻击者更难在网路中移动。
 
迫使攻击者在网路上产生更多讯号和涟漪的技术可以让IT防御者有机会在攻击早期或部署恶意软体或勒索软体前，就检测到未经授权的访问。
 
另一种方法是考虑云端存取安全代理(CASB)和安全存取边缘(SASE)技术，以了解谁(或什么)正在连接哪些资源和系统，这可以突显出异常或可疑的网路流量。

CASB解决方案旨在为采用云服务和应用程序的组织提供安全性和可见性。它们作为终端用户和云端服务提供商之间的中间人，提供一系列安全控制，包括资料外泄预防(DLP)、访问控制、加密和威胁检测。SASE是一种安全框架，它将网路安全功能，如安全Web闸道器、防火墙即服务和零信任网路访问与广域网路(WAN)功能，如SD-WAN相结合。

此外，专家认为信息安全管理者需要关注攻击面管理。当太多的身份可以从太多的端点使用内建或部署工具和流程时，攻击者容易从中取得入侵点。

攻击活动本质上属于行为异常。网路流量检查可以帮助发现其他可疑点，即使流量本身是加密的。

基于证据的方法

组织应该采取基于证据的方法来确定他们使用遥测源的优先级，以判断是否有合法工具被滥用。
 
对于大多数组织来说，一直且全面追踪每个储存的日志来源是不切实际的，应该善用像LOLBAS这类型开源工具列表以及MITRE ATT&CK的资源目录。LOLBAS已经追踪了数百个关键程式的潜在恶意应用。
 
另外，许多威胁行为者最近使用的LotL技术之一是安装合法的远端监控和管理(RMM)软体。攻击者喜欢RMM工具，因为它们受信任、数位签名并且不会触发防毒或EDR警报。而且大多数RMM供应商都有功能齐全的免费试用选项，非常容易取得。
 
但安全团队的优势在于所有RMM工具的行为都非常可预测，包括数位签名、修改的登记选像、查询的域名以及要相关的程序。
 
如果只授权使用一个RMM供应商并且始终以相同的方式安装它，就可以轻松区分授权安装和威胁行为者冒用安装行为。
 
藉由所有端点事件，安全团队可以找到环境中正常使用的模式，然后构建自定义警报查询以检测异常的使用模式。也有机会限制攻击者青睐的内建工具的滥用，例如更改用于打开脚本文件的默认程式(文件扩展名.js、.jse、.vbs、.vbe、.wsh等)。 这将有助于避免终端用户被诱骗运行恶意脚本。
 

关注服务帐号的异常

专家表示， 经常被忽略的领域就是服务帐号或老旧的测试帐号。这些帐号多半不受监管、保护薄弱，是网路攻击的首要目标。组织需要减少对这些帐号建立连接的凭证依赖，并定期盘点帐号的数量、权限以及身分验证机制。
 
需要注意的是，这些帐号通常不可互动，因此组织对用户的多重身份验证(MFA)机制并不适用。但是与任何身份验证一样，服务帐号应该有不同强度的身份验证。专家推荐选择一种强大的机制，并确保安全团队记录并回应任何来自服务帐户的登录纪录。

关键在检测和回应的速度

安全依赖于稳定性和一致性，但在现实商业环境中，我们无法控制。专家建议透过减少与MFA不相容的系统建置而产生的安全债。

在许多的调查案例中，最有效的方法就是资安人员积极回应SecOps分析师的警告，当分析师发现可疑现象，第一时间就进行处理。
 
原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10956