חיים מהבלוג הארץ

מהן התקפות חיים מחוץ לאדמה וכיצד ניתן לעצור אותן?

טכניקות פריצה לחיות מחוץ לאדמה (LOTL) הן לא בדיוק חדשות, אבל א ייעוץ אחרון מארה"ב ובעלות בריתה "חמש עיניים" הדגישו את האיום החמור שהם מהווים לממשלות וארגונים ברחבי העולם.

המטרה העיקרית של טכניקות LOTL היא לעזור להאקרים להתפשר על מערכות IT ולבצע פעילות סייבר זדונית נגד ארגונים מבלי להיתפס על ידי כלי ניטור אבטחה. אז, עם זה בחשבון, אילו שיטות עבודה מומלצות יכולים ארגונים לאמץ כדי לזהות ולהפחית מתקפות LOTL?

מה אומר היועץ

הייעוץ האחרון של Five Eyes הוצא על ידי סוכנויות ממשלתיות אמריקאיות, כולל הסוכנות לאבטחת סייבר ותשתיות (CISA), ה-NSA וה-FBI, בשיתוף עם שותפים בינלאומיים כמו המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) והמרכז הקנדי לסייבר אבטחה (CCS). הוא מזהיר כי אסטרטגיות LOTL עזרו להאקרים בחסות המדינה הסינית להשיק התקפות סייבר הרסניות על ספקי תשתית קריטית (CNI) בארה"ב.

קבוצת הפריצה הסינית, Volt Typhoon, השתמשה ב-LOTL כדי להישאר מוסתרת בתוך רשתות IT קריטיות במגזרי CNI כגון תקשורת, אנרגיה, תחבורה ומים ושפכים. נראה שהמוטיבציה שלו היא מיקום מראש במקרה של סכסוך פוטנציאלי עם ארה"ב ובעלות בריתה.

"הקבוצה מסתמכת גם על חשבונות תקפים וממנפת אבטחה תפעולית חזקה, שבשילוב זה מאפשרת התמדה בלתי נתגלתה לטווח ארוך", נכתב. "למעשה, סוכנויות הכותבים בארה"ב ראו לאחרונה אינדיקציות של שחקני וולט טייפון השומרים על גישה ודריסת רגל בתוך כמה סביבות IT של קורבנות במשך חמש שנים לפחות."

צלילה עמוקה לתוך LOTL

בעת ביצוע התקפות LOTL, פושעי סייבר בדרך כלל ממנפים כלים מקוריים שכבר מותקנים במחשבים שנפגעו. זה מאפשר להם לבצע פעילות זדונית נגד ארגונים מבלי שצוותי האבטחה שלהם יגלו ויתערבו.

פושעי סייבר לרוב מוצאים את הגישה הזו פשוטה וחשקנית יותר מהורדת כלים או יישומים חדשים למערכת שנפרצה, לדברי מייקל קלארק, מנהל מחקר איומים ב-Sysdig.

"הכלים הממונפים על ידי התוקפים נחשבים גם הם מהימנים במקרים רבים מכיוון שהם עשויים ליישם חתימת קוד", הוא אומר ל-ISMS.online. "אם הכלי נמצא בשימוש נפוץ בסביבת הקורבן, השימוש בו עשוי להשתלב עם כל השימושים הלגיטימיים."

קנט הרפסו, אנליסט סייבר בכיר ב-Logpoint, מסביר ל-ISMS.online כי פושעי סייבר המשגרים מתקפות LOTL מונעים מהרצון לקדם את מטרותיהם המרושעות באמצעות קבצים בינאריים לגיטימיים, מובנים וחתומים שכבר קיימים במערכות המחשב של היעד. הוא מזהיר שהם יכולים לעשות זאת בכל שלב של שרשרת הרג הסייבר, כולל גילוי, התמדה, תנועה לרוחב או פיקוד ושליטה.

ישנם מספר גורמים שהופכים את התקפות LOTL למסוכנות ביותר עבור ארגונים. ראשית, מכיוון שהם משתמשים ביישומים וכלים לגיטימיים המשמשים ארגונים, הרפסו מזהירה שמערכות אנטי-וירוס וזיהוי פריצות קונבנציונליות לא יזהו אותם.

"זה הופך אותם לכלי בעל ערך וחמקן עבור שחקנים זדוניים להתחמק מגילוי", הוא מסביר.

שנית, אסטרטגיות LOTL מאפשרות להאקרים לבצע פעילויות דיגיטליות זדוניות נגד הקורבנות שלהם מבלי להשאיר עקבות. שיטה זו היא "רב-תכליתית להפליא", ומעניקה להם מספר דרכים להפעלת התקפות. אלה כוללים ביצוע קוד והיכולת להוריד, להעלות או להעתיק קבצים.

חשיפת התקפות LOTL

למרות שיכול להיות קשה לארגונים לזהות התקפות LOTL, הם יכולים לאמץ שיטות עבודה מומלצות שונות כדי לחזק את הגנת הסייבר.

ג'ייק מור, יועץ אבטחת סייבר עולמי ב-ESET, ממליץ לעסקים לאבטח את המערכות שלהם על ידי הטמעת בקרות ניהול מחמירות, ביצוע שוטף של עדכוני תוכנה ותיקונים ומעקב אחר פעילות הרשת בזמן אמת.

הוא אומר ל-ISMS.online שבדיקות אבטחה מבוססות התנהגות יכולות גם להוות טכניקת הפחתה מועילה נגד התקפות LOTL, על ידי הדגשת כל פעילות דיגיטלית לא סדירה שעלולה לרמוז כאשר פושע סייבר משתמש לרעה בכלי לגיטימי כמו רישום של מחשב.

הוא גם מעודד מעסיקים להכשיר את הצוות באיתור והפחתת איומי אבטחה מקוונים, שכן התקפות LOTL מתחילות לרוב באמצעות טקטיקות של הנדסה חברתית כגון מיילים דיוג.

שון רייט, ראש אבטחת יישומים ב-Featurespace, מודה שהפחתת התקפות LOTL אינה קלה, אך אומר שתוכניות ניהול תיקונים ופגיעות, פתרונות ניטור והתראות חריגות יכולות לספק שכבה נוספת של הגנת סייבר.

Harpsoe של Logpoint מצביע על היתרונות של בניית רשת ניתנת להגנה ומופרדת כחלק מאסטרטגיית אבטחה פסיבית. צעדים פשוטים כמו מחיקת חשבונות, שירותים או יציאות שאינם בשימוש, הטמעת אימות דו-גורמי, הגבלת זכויות אדמין והפרדת רשת יכולים גם לעזור לארגונים למזער את משטח ההתקפה של רשתות ומערכות ה-IT שלהם, הוא מוסיף.

יוסי רחמן, מנהל חקר אבטחה בסמפריס, אומר שהשלב הראשון בהתמודדות עם מתקפות LOTL הוא ביסוס תהליך לזיהוי אי-סדרים במערכת המצביעים על פעילות חשודה.

"הקדישו תשומת לב מיוחדת לתהליכים ולנהגים של נקודות קצה. גם לפקח באופן רציף על ביצוע תהליכים, במיוחד עבור LOLBin נפוצים (Living off the Land Binaries) כמו PowerShell, WMIC ו-certutil", הוא אומר ל-ISMS.online. "בדוק את הזמין לציבור ומתוחזק ברציפות פרויקט LOLLabs לרשימה של קבצים בינאריים נפוצים (לרעה).

הוא מוסיף כי ניטור פעילות שורת הפקודה, כמו גם שימוש במערכות זיהוי ותגובה של זהות, כלי ניטור רשת וניתוח התנהגותי, יכולים גם לסייע לעסקים לזהות התנהגות חשודה שמרמזת על מתרחשת מתקפת LOTL.

קלי אינדה, מומחית טכנולוגית ואנליסטית אבטחה ב- Increditools, מדגישה את החשיבות של שיתוף מידע בהתמודדות עם סוגיה גלובלית זו.

"שיתוף הפעולה הבינלאומי בתיעוד ספרי המשחקים המתפתחים של יריבי המדינה הוא בעל ערך רב להעלאת הגנה בכל מקום שבו קבוצות כאלה עשויות להפנות את עיניהן", היא אומרת ל-ISMS.online. "יחד, נוכל לחזק את המגן שלנו אפילו נגד האיומים החמקניים ביותר".

טכניקות פריצה של LOTL מהוות איום משמעותי על ארגונים ברחבי העולם, בין אם נעשה בהם שימוש על ידי מדינות לאום או קבוצות פריצה כלכליות. למרות שהתקפות אלו מטעות בתכנון, עסקים יכולים להתמודד איתם על ידי שיפור היגיינת סייבר וביצוע שיטות עבודה מומלצות בתעשייה.

מְחַבֵּר

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.

הצג את כל הפוסטים של ניקולס פירן

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף