Киберсигурността е игра на котка и мишка, в която нападатели и защитници водят непрекъсната битка на ума. Атакуващите използват редица тактики за избягване, за да не бъдат хванати, докато защитниците постоянно анализират и деконструират тези методи, за да предвидят по-добре и да осуетят маневрите на атакуващите.
Нека разгледаме някои от основните тактики за избягване, които нападателите използват, за да избегнат защитниците и техническите мерки за сигурност.
Криптирани услуги: Известно е, че доставчиците на криптографски услуги в тъмната мрежа предлагат криптографски услуги и услуги за замаскиране на кода, като преконфигурират известен зловреден софтуер с различен набор от сигнатури. Тъй като традиционните антивирусни филтри са базирани на сигнатури, те не могат да открият подправения зловреден софтуер, тъй като той има нова сигнатура.
Избягване на идентификатора на устройството: Някои системи за сигурност проверяват идентификатора на устройството, от което потребителят се опитва да получи достъп до определена система. Ако има несъответствие с идентификатора, IP адреса или геолокацията му, се задейства аларма. За да преодолеят това препятствие, заплахите използват софтуер за подправяне на устройства, който помага да се премине проверката на идентификатора на устройството. Дори и да не разполагат с такъв софтуер, човек може лесно да използва услуги за подправяне на устройства от тъмната мрежа.
Избягване на базата на времето: Нападателите имат възможност да създават зловреден софтуер, който забавя изпълнението си или остава неактивен, като реагира на средата, в която се намира. Тази тактика, базирана на времето, има за цел да заблуди пясъчните кутии и други среди за анализ на зловреден софтуер, като създаде впечатление, че анализираният файл е безвреден. Например, ако зловредният софтуер се внедрява на виртуална машина, което може да означава среда на пясъчна кутия, той може да бъде проектиран така, че да спре действията си или да премине в неактивно състояние. Друга техника за заобикаляне на правилата е „протакането“, при което зловредният софтуер извършва безобидно действие, маскирано като незловредна дейност: в действителност той забавя изпълнението на зловредния код, докато проверките на зловредния софтуер в пясъчната кутия приключат.
Избягване на засичане на аномалии с помощта на изкуствен интелект: Въпреки че полиморфизмът от страна на сървъра е започнал преди ерата на ИИ, ИИ може да бъде използван за синтезиране на нови мутации на зловреден софтуер в безпрецедентен мащаб. Такъв полиморфен зловреден софтуер, подсилен от ИИ, може динамично да мутира и да избягва откриването му от усъвършенствани инструменти за сигурност като EDR (откриване и реагиране на крайни точки). Освен това LLM може да се използва и за разработване на методи, които помагат на зловредния трафик да се смеси с приемливия трафик.
Подсказващо инжектиране: ИИ може да бъде внедрен за анализ на проби от зловреден софтуер и за наблюдение на аномалии. Какво става обаче, ако нападателите вмъкнат подкана в кода на зловредния софтуер, за да избегнат откриването? Този сценарий беше демонстриран чрез инжектиране на подкана в модела на ИИ на VirusTotal.
Злоупотреба с доверието в облачните приложения: Атакуващите все по-често използват популярни облачни услуги (като Google Drive, Office 365, Dropbox), за да прикрият или замаскират зловредния си трафик, което затруднява откриването на зловредните им действия от инструментите за мрежова сигурност. Освен това приложенията за обмен на съобщения и сътрудничество, като Telegram, Slack и Trello, се използват за смесване на комуникациите за управление и контрол в рамките на нормалния трафик.
HTML контрабандата е техника, при която недоброжелателите „вкарват“ зловредни скриптове във внимателно подготвени HTML прикачени файлове. Когато жертвата отвори HTML файла, браузърът динамично реконструира и сглобява отново зловредния полезен товар и го прехвърля в хост операционната система, като ефективно заобикаля откриването от решенията за сигурност.
Заплахите винаги развиват своите тактики, за да предотвратят откриването на фишинг страници и уебсайтове от потребителите и инструментите за сигурност. Ето някои от най-добрите методи:
По-долу са дадени препоръки и ефективни стратегии за организациите за идентифициране и противодействие на тактиките за избягване:
1. Намаляване на повърхността на атаката: Прилагане на нулево доверие, използване на мрежова сегментация, изолиране на критични активи, ограничаване на привилегирования достъп, редовно обновяване на системите и софтуера, внедряване на гранулирани ограничения за наемателите и действията, използване на превенция на загубата на данни (DLP), преглед на конфигурациите и неправилните конфигурации.
2. Проактивно търсене на заплахи: Операционализиране на екипите по сигурността и инструментите за проактивно търсене на заплахи сред потребителите, мрежите, крайните точки и облачните услуги. Внедряване на архитектура, базирана на облака, като например Secure Access Service Edge (SASE) за откриване на заплахи и анализиране на мрежовия трафик в инфраструктурата и работните натоварвания, без да се налага внедряване на агенти.
3. Създаване на множество точки на спиране: Създайте многобройни точки на задушаване и защита по веригата на заплахите, като използвате различни техники на няколко етапа на атаката. Вместо да усложнявате прекомерно инфраструктурата за сигурност, изберете платформено базиран подход или унифициран интерфейс, способен да инспектира целия мрежов трафик и всеки пакет, за да идентифицира злонамерено съдържание.
4. Обучение по фишинг: Осигурете обучение за повишаване на осведомеността за сигурността. Обучавайте потребителите да разпознават, блокират и докладват опити за фишинг и социално инженерство. Като повишат способността на служителите да разпознават фишинг уловките, организациите могат да смекчат началния етап на многоетапните атаки.
Неумолими в методите си, нападателите ще продължат да използват тактики за избягване на традиционните мерки за сигурност. Но чрез възприемане на най-добрите практики за намаляване на повърхността на атаките, проактивно търсене на заплахи, създаване на множество точки на прекъсване и наблюдение на цялата ИТ инфраструктура без ръчна намеса, организациите ще могат да реагират бързо на уклончивите заплахи.
Автор: Етай Маор, главен стратег по сигурността и основател на Лабораторията за изследване на киберзаплахите (CTRL) в Cato Networks. Преди това е бил главен директор по сигурността в IntSights и е заемал висши позиции в областта на сигурността в IBM и Лабораториите за изследване на киберзаплахите на RSA Security. Адюнкт-професор в Бостънския колеж, той има бакалавърска степен по компютърни науки и магистърска степен по антитероризъм и кибертероризъм от Университета Райхман (IDC Herzliya), Тел Авив.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.