Proaktywne Zabezpieczanie i Redukcja Powierzchni Ataku (PHASR)

Atakujący zawsze preferują działanie w ukryciu, wykorzystując skompromitowane konta i legalne narzędzia, aby wtapiać się w ruch i unikać wykrycia. Ta taktyka, znana jako „Living off the Land” (LOTL), pozwala im wykorzystywać istniejące oprogramowanie i uprawnienia użytkowników, sprawiając, że ich złośliwe działania wyglądają jak normalne operacje systemowe. Zarówno Bitdefender Labs, jak i nasze zespoły MDR obserwują to w niemal każdym poważnym incydencie.

Co sprawia, że tak różnorodni atakujący – od grup ransomware po zaawansowane grupy APT – konsekwentnie polegają na tych technikach? Współcześni cyberprzestępcy opracowali ustandaryzowane scenariusze ataków, które łączą skryty początkowy dostęp (często uzyskany poprzez skompromitowane dane uwierzytelniające lub z niezarządzanych urządzeń) z nadużywaniem istniejących narzędzi obecnych na praktycznie każdym systemie. Te powtarzalne scenariusze umożliwiają skuteczne i powtarzalne ataki. Narzędzia takie jak PowerShell czy Certutil są głęboko osadzone w ekosystemie Windows, używane nie tylko przez administratorów, ale także przez wiele aplikacji innych firm, co oznacza, że ich wyłączenie prawdopodobnie spowodowałoby poważne zakłócenia w działaniu.

Tradycyjne rozwiązania bezpieczeństwa, oparte na statycznych regułach i uniwersalnych politykach, nie są przygotowane na tego typu ataki. Tutaj wkracza PHASR.

Wprowadzenie PHASR: Proaktywne Zabezpieczanie i Redukcja Powierzchni Ataku

PHASR to rewolucyjna technologia, która rozumie, że Twoi użytkownicy są wyjątkowi i wymagają spersonalizowanej ochrony. Analizując sposób, w jaki poszczególne osoby korzystają z systemów i aplikacji, PHASR aktywnie identyfikuje i zamyka niepotrzebne punkty wejścia dla ataków.

PHASR wykorzystuje analizę opartą na sztucznej inteligencji, aby automatycznie generować unikalne profile behawioralne dla każdej kombinacji użytkownika i maszyny. Na przykład uprzywilejowany użytkownik będzie miał jeden profil dla codziennych czynności na stanowisku pracy i osobny profil dla zadań administracyjnych na serwerze. Grupując indywidualne profile behawioralne na podstawie obserwowanej aktywności, a nie stanowisk czy działów, PHASR umożliwia zespołom bezpieczeństwa stosowanie spójnych zasad wśród podobnych użytkowników, zmniejszając złożoność zarządzania i oszczędzając czas.

PHASR identyfikuje potencjalne luki w zabezpieczeniach, porównując skonsolidowane profile behawioralne z typowymi działaniami podmiotów zagrożeń – biblioteką ciągle aktualizowaną dzięki Bitdefender Threat Intelligence (TI) oraz wiedzy naszych zespołów Labs i MDR. Zazwyczaj nie ma żadnego pokrycia między legalnym zachowaniem użytkownika a tymi działaniami atakujących. W takich przypadkach PHASR rekomenduje lub wprowadza zmiany w politykach bezpieczeństwa, aby zapobiec potencjalnemu nadużyciu konta w przypadku jego przejęcia.

PHASR przeprowadza szczegółową analizę, porównując „działania użytkownika” z „taktykami atakujących”. Podczas gdy reguły oparte na procesach dotyczą oczywistych zagrożeń, takich jak koparki kryptowalut, większość wykryć jest zależna od kontekstu i działań. Na przykład WMIC jest dozwolony do sprawdzania informacji systemowych, ale zablokowany w przypadku prób lateralnego przemieszczania się. To blokowanie na poziomie działań, połączone z warstwową analizą zachowań użytkowników i atakujących, umożliwia spersonalizowaną ochronę bez zakłócania działalności biznesowej.

PHASR w Akcji: Przykład

Wyobraź sobie pracownika, który potrzebuje tymczasowego dostępu do PowerShell do konkretnego zadania. Administrator przyznaje ten dostęp, ale później zapomina go cofnąć. PHASR wykryłby brak aktywności użytkownika w PowerShell i zarekomendował cofnięcie dostępu, wyprzedzająco eliminując potencjalny wektor ataku.

Gdy bezpośrednie blokowanie PowerShell nie jest możliwe, PHASR zapewnia szczegółowe zabezpieczenia poprzez blokowanie na poziomie działań. Pozwala to na legalne użycie PowerShell, jednocześnie uniemożliwiając złośliwe działania. Na przykład, nawet jeśli użytkownik często korzysta z PowerShell, PHASR zablokuje tylko wysokiego ryzyka polecenia, takie jak skrypty zaszyfrowane lub zaciemnione, które są typowo kojarzone z podmiotami zagrożeń.

PHASR: Przegląd

PHASR uczy się i dostosowuje do Twojego środowiska podczas fazy nauki trwającej od 20 do 60 dni, w zależności od monitorowanej aplikacji. Jeśli korzystasz z komponentu EDR w GravityZone, PHASR może wykorzystać dane historyczne, aby skrócić czas nauki do zaledwie kilku minut. Po tym okresie PHASR może działać w trybie Autopilot, automatycznie stosując polityki bezpieczeństwa, lub w trybie Direct Control, dostarczając rekomendacje do ręcznego przejrzenia. Monitoruje procesy w pięciu zdefiniowanych typach aktywności:

• Living Off The Land Binaries – narzędzia, takie jak PowerShell.exe, WMIC.exe i Ftp.exe, są preinstalowane w systemie operacyjnym do celów administracyjnych i operacyjnych. Atakujący nadużywają ich, aby wykonywać złośliwe działania, maskując je jako normalną aktywność systemową.

• Tampering Tools – narzędzia, takie jak procexp.exe, vmmap.exe i LiveKd.exe, to programy służące do modyfikowania aplikacji. Są wykorzystywane do omijania zabezpieczeń.

• Piracy Tools – narzędzia piractwa, takie jak generatory kluczy (keygen) i łamaczki (crack), służą do omijania licencji i aktywacji oprogramowania.

• Miners – narzędzia takie jak PhoenixMiner, XMRig i CCMiner, wykorzystują moc obliczeniową komputera do generowania kryptowalut. Są nadużywane do nieautoryzowanego kopania (cryptojacking) poprzez instalację na systemie ofiary.

• Remote Admin Tools – często używane do legalnego zarządzania systemami, umożliwiają zdalny dostęp i kontrolę. Atakujący wykorzystują je do nieautoryzowanego dostępu i wdrażania złośliwego oprogramowania.

Każdy typ aktywności można indywidualnie skonfigurować w PHASR. Możesz wybrać, czy otrzymywać rekomendacje w trybie Direct Control, włączyć automatyczne zarządzanie w trybie Autopilot, czy wykluczyć dany typ z monitorowania. Pamiętaj, że panel PHASR nie będzie wyświetlał żadnych rekomendacji ani informacji dla typów aktywności ustawionych na Autopilot lub wykluczonych z monitorowania.

Panel PHASR jest dostępny w platformie GravityZone w sekcji Monitoring > ASM dashboard w zakładce PHASR i umożliwia przeglądanie szczegółowych informacji na temat:

• Ekspozycja powierzchni ataku – pokazuje aktualny poziom narażenia firmy na ataki, wskazując procent potencjalnie wykorzystywalnych wektorów ataku. Im niższy poziom, tym więcej punktów wejścia zostało zablokowanych.
• Najważniejsze rekomendacje według wpływu – wyświetla kluczowe zalecenia zmniejszające powierzchnię ataku.
• Wykryte incydenty w monitorowanych kategoriach – pokazuje, czy wystąpiły incydenty wywołane przez reguły z monitorowanych kategorii. Wybranie incydentu przekieruje Cię do sekcji Incident w GravityZone.
• Living Off The Land Binaries, Tampering and Hack Tools, Miners i Remote Admin Tools – przedstawia liczbę profili behawioralnych z użyciem i bez użycia tych narzędzi oraz cztery główne rekomendacje, aby zmaksymalizować redukcję powierzchni ataku.

Strona rekomendacji PHASR oferuje szczegółowy widok potencjalnych działań zmniejszających powierzchnię ataku. Ta kompleksowa lista zawiera informacje dla każdej rekomendacji, takie jak: wynik redukcji powierzchni ataku, typ docelowej aktywności, monitorowane reguły, profile behawioralne i podjęte już działania.

Gdy PHASR działa w trybie Direct Control, możesz zdecydować, czy zezwolić, czy zablokować daną akcję. System przeprowadzi Cię przez proces zmiany użytkowników i urządzeń objętych rekomendacją na podstawie przypisanych profili behawioralnych.

Możesz dostosować monitorowane reguły PHASR (ponad 300 reguł) używane w trybie Direct control bezpośrednio w GravityZone (w sekcji PHASR monitored rules) lub klikając nazwę reguły w sekcji PHASR recommendations. Każda reguła zawiera informacje orekomendacjach (ogranicz lub zezwól na dostęp), typie docelowej aktywności, profilach behawioralnych (wszystkie profile powiązane z regułą), ograniczonych profilach behawioralnych (profile, gdzie reguła została zastosowana), oraz podjętej akcji.

PHASR: Unikalne podejście do bezpieczeństwa

W przeciwieństwie do tradycyjnych metod opartych na statycznych zasadach, PHASR dynamicznie adaptuje się do zachowań użytkowników. Dostarcza spersonalizowane rekomendacje, umożliwiając zespołom bezpieczeństwa wdrażanie najskuteczniejszych polityk. Dzięki ciągłej analizie zachowań użytkowników i aplikacji, PHASR pozwala na blokowanie na poziomie pojedynczych akcji – selektywnie ograniczając ryzykowne działania, zamiast całych aplikacji. PHASR ułatwia identyfikację i blokowanie ataków odbiegających od normy.

• Precyzyjny: PHASR umożliwia dokładne, proaktywne dostosowywanie ustawień zabezpieczeń w oparciu o indywidualne zachowania. Zamiast całkowicie zezwalać lub blokować aplikacje, ogranicza jedynie wysokoryzykowne akcje, które odbiegają od typowych wzorców.
• Adaptacyjny: PHASR działa w oparciu o ciągły cykl uczenia. Analizuje działania użytkowników w czasie rzeczywistym, adaptując się do nowych zachowań, równocześnie korzystając z aktualizowanych przez nasz zespół reguł (na podstawie najnowszych taktyk cyberprzestępców).
• Bezinwazyjny: PHASR integruje się z istniejącą infrastrukturą bezpieczeństwa i wymaga minimalnej interwencji zespołu. Zmniejsza powierzchnię ataku bez zakłócania działania firmy, pozwalając skupić się na innych krytycznych zagrożeniach.

Dodatkowe materiały

• Oficjalna strona PHASR: Bitdefender PHASR

• Demo/informacje: Kliknij tutaj

Polecane treści

Aby dowiedzieć się więcej o technologiach warstwy Zapobiegania zachęcamy do zapoznania się z dodatkiem: Pełne szyfrowanie dysku.