[資安人文章分享]就怕不知不覺！企業組織如何防禦「寄生攻擊」

無論是近期美國政府點名的中國國家駭客伏特颱風或微軟證實長期隱匿於台灣各行業的「亞麻颱風」駭客組織，都採用了使用一系列「寄生攻擊（Living-off-the-Land ）」技術進行大規模網路間諜活動。 
 
這些被稱為「寄生攻擊」，又稱為「離地攻擊」的策略，攻擊者在受害者環境中引入新工具或惡意軟體時，這些活動可能會在網路上留下異常的痕跡、訊號或數據流量，從而引起安全警報。

這種雜訊 (noise on network) 增加了被安全防禦系統偵測到的風險，因此可能會提醒防禦者有未授權的人正在進行可疑活動。為了迫使攻擊者在網路上產生更多雜訊，資安管理人員必須重新思考網路佈署，讓在網路上移動變得不是那麼容易，以便早期偵測寄生攻擊的跡象。
 

確保身份、限制行動

採取的方法是利用強大的存取控制並監控特權行為分析，以便安全團隊可以分析來自既有工具的網路流量和存取請求。專家認為，零信任與強大的特權訪問控制，如最小權限原則，使攻擊者更難在網路中移動。
 
迫使攻擊者在網路上產生更多訊號和漣漪的技術可以讓IT防禦者有機會在攻擊早期或部署惡意軟體或勒索軟體前，就檢測到未經授權的訪問。
 
另一種方法是考慮雲端存取安全代理(CASB)和安全存取邊緣(SASE)技術，以瞭解誰(或什麼)正在連接哪些資源和系統，這可以突顯出異常或可疑的網路流量。

CASB解決方案旨在為採用雲服務和應用程序的組織提供安全性和可見性。它們作為終端用戶和雲端服務提供商之間的中間人，提供一系列安全控制，包括資料外洩預防(DLP)、訪問控制、加密和威脅檢測。SASE是一種安全框架，它將網路安全功能，如安全Web閘道器、防火牆即服務和零信任網路訪問與廣域網路(WAN)功能，如SD-WAN相結合。

此外，專家認為資安管理者需要關注攻擊面管理。當太多的身份可以從太多的端點使用內建或部署工具和流程時，攻擊者容易從中取得入侵點。

攻擊活動本質上屬於行為異常。網路流量檢查可以幫助發現其他可疑點，即使流量本身是加密的。

基於證據的方法

組織應該採取基於證據的方法來確定他們使用遙測源的優先級，以判斷是否有合法工具被濫用。
 
對於大多數組織來說，一直且全面追蹤每個儲存的日誌來源是不切實際的，應該善用像LOLBAS這類型開源工具列表以及MITRE ATT&CK的資源目錄。LOLBAS已經追蹤了數百個關鍵程式的潛在惡意應用。
 
另外，許多威脅行為者最近使用的LotL技術之一是安裝合法的遠端監控和管理(RMM)軟體。攻擊者喜歡RMM工具，因為它們受信任、數位簽名並且不會觸發防毒或EDR警報。而且大多數RMM供應商都有功能齊全的免費試用選項，非常容易取得。
 
但安全團隊的優勢在於所有RMM工具的行為都非常可預測，包括數位簽名、修改的登記選像、查詢的域名以及要相關的程序。
 
如果只授權使用一個RMM供應商並且始終以相同的方式安裝它，就可以輕鬆區分授權安裝和威脅行為者冒用安裝行為。
 
藉由所有端點事件，安全團隊可以找到環境中正常使用的模式，然後構建自定義警報查詢以檢測異常的使用模式。也有機會限制攻擊者青睞的內建工具的濫用，例如更改用於打開腳本文件的默認程式(文件擴展名.js、.jse、.vbs、.vbe、.wsh等)。 這將有助於避免終端用戶被誘騙運行惡意腳本。
 

關注服務帳號的異常

專家表示， 經常被忽略的領域就是服務帳號或老舊的測試帳號。這些帳號多半不受監管、保護薄弱，是網路攻擊的首要目標。組織需要減少對這些帳號建立連接的憑證依賴，並定期盤點帳號的數量、權限以及身分驗證機制。
 
需要注意的是，這些帳號通常不可互動，因此組織對用戶的多重身份驗證(MFA)機制並不適用。但是與任何身份驗證一樣，服務帳號應該有不同強度的身份驗證。專家推薦選擇一種強大的機制，並確保安全團隊記錄並回應任何來自服務帳戶的登錄紀錄。

關鍵在檢測和回應的速度

安全依賴於穩定性和一致性，但在現實商業環境中，我們無法控制。專家建議透過減少與MFA不相容的系統建置而產生的安全債。

在許多的調查案例中，最有效的方法就是資安人員積極回應SecOps分析師的警告，當分析師發現可疑現象，第一時間就進行處理。
 
原文連結：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10956