Wprowadzenie Proactive Hardening and Attack Surface Reduction (PHASR)

Napastnicy często uzyskują początkowy dostęp za pomocą przejętych danych uwierzytelniających lub niezarządzanych urządzeń, w zasadzie „logując się”, a nie „włamując się”. Po dostaniu się do środka, opierając się na ustandaryzowanych metodach, priorytetowo traktują działania ukryte, stosując taktykę Living off the Land (LOTL), która maskuje złośliwe działania jako normalne operacje systemowe. Aby proaktywnie identyfikować i zamykać punkty wejścia ataku, skutecznie zwalczając ataki Living off the Land (LOTL), Bitdefender udostępnił 12 maja Proactive Hardening and Attack Surface Reduction (PHASR).

W tym artykule szczegółowo opisujemy funkcjonalność PHASR i jego rolę w ograniczaniu skutków ataków typu LOTL.

Przegląd PHASR

PHASR to rewolucyjna technologia, która proaktywnie analizuje zachowanie użytkowników i aplikacji, porównując je ze znanymi metodami działań cyberzagrożeń, aby nie tylko wykrywać, ale także zapobiegać złośliwym działaniom. W przeciwieństwie do statycznych systemów opartych na zasadach, które wymagają ciągłych ręcznych aktualizacji, PHASR aktywnie blokuje podejrzane działania, zatrzymując ataki, zanim się rozpoczną.

PHASR uczy się i dostosowuje do Twojego środowiska w fazie nauki trwającej od 20 do 60 dni, w zależności od monitorowanej aplikacji. Jednak dla klientów GravityZone EDR i XDR nauka jest przyspieszona, co umożliwia natychmiastowe użycie PHASR.

Podczas fazy uczenia się PHASR nie tylko tworzy, ale także stale dostosowuje unikalne profile behawioralne dla każdej kombinacji maszyna-użytkownik, ustanawiając dynamiczną linię bazową normalnej aktywności w celu precyzyjnego wykrywania zagrożeń. Dzięki algorytmom samouczącym się PHASR stale dostosowuje się do nowych zachowań użytkowników. Na przykład uprzywilejowany użytkownik będzie miał jeden profil do swoich regularnych czynności na stacji roboczej i inny oddzielny profil do zadań administracyjnych serwera.

PHASR oferuje elastyczność dzięki dwóm trybom operacyjnym: Autopilot, do automatycznego zarządzania ograniczeniami lub tryb Direct Control, dostarczający zespołom ds. bezpieczeństwa wykonalne zalecenia dotyczące szczegółowego przeglądu i precyzyjnego wykonania. Dzięki temu możesz określić, który tryb operacyjny jest przypisany do monitorowanych typów aktywności opisanych poniżej.

PHASR monitoruje procesy w ramach pięciu głównych typów aktywności, z których każdy reprezentuje typowe wektory ataków:

Binaria Living off the Land – Narzędzia, takie jak PowerShell.exe, WMIC.exe i Ftp.exe, są wstępnie zainstalowane w systemie operacyjnym w celach administracyjnych i operacyjnych. Atakujący nadużywają tych narzędzi do wykonywania złośliwych działań i mieszają je z normalną aktywnością systemu, umożliwiając ukryte przemieszczanie się i eksfiltrację danych.

Narzędzia do manipulacji – Narzędzia takie jak procexp.exe, vmmap.exe i LiveKd.exe to narzędzia służące do modyfikowania aplikacji oprogramowania. Atakujący wykorzystują te narzędzia do omijania kontroli bezpieczeństwa, co umożliwia im wyłączenie środków bezpieczeństwa.

Narzędzia pirackie – Narzędzia pirackie, takie jak keygeny i cracki, służą do ominięcia licencji i aktywacji oprogramowania.

Miners – Narzędzia takie jak PhoenixMiner, XMRig i CCMiner wykorzystują zasoby systemowe do generowania kryptowaluty. Atakujący nadużywają tych narzędzi do cryptojackingu poprzez nieautoryzowaną instalację w systemie ofiary, umożliwiając nieautoryzowane wykorzystanie zasobów i zysk finansowy.

Narzędzia zdalnego administrowania – Często używane do legalnego zarządzania systemami, umożliwiają zdalne zarządzanie systemami komputerowymi. Atakujący używają tych narzędzi, aby uzyskać nieautoryzowany dostęp, wdrażać złośliwe oprogramowanie i ułatwiać zdalną kontrolę i kradzież danych.

Interfejs PHASR

Panel PHASR, znajdujący się w platformie GravityZone w obszarze Monitoring > Panel ASM, zapewnia scentralizowany widok powierzchni ataku, umożliwiając szybką ocenę ryzyka i ustalenie priorytetów działań łagodzących. umożliwia przeglądanie z różnych perspektyw szczegółowych informacji o kluczowych wskaźnikach, takich jak narażenie powierzchni ataku, najważniejsze zalecenia według wpływu i wykryte incydenty dla monitorowanych kategorii wektorów ataku.

Rekomendacja PHASR znajdująca się w Platformie GravityZone w obszarze Zarządzanie ryzykiem zapewnia scentralizowany widok powierzchni ataku, umożliwiając szybką ocenę ryzyka i ustalenie priorytetów działań łagodzących. Pozwala nie tylko podjąć działania, ale także wyświetlić szczegółowe informacje o kluczowych wskaźnikach, takich jak wynik redukcji powierzchni ataku, typ docelowej aktywności, monitorowane reguły, profile behawioralne i działania już podjęte.

W przypadku zespołów wymagających szczegółowej kontroli, PHASR wyświetla monitorowane reguły bezpośrednio w GravityZone. Pozwala to na bezpośrednią kontrolę rekomendacji generowanych przez PHASR dla Twojego konkretnego środowiska i wymagań bezpieczeństwa, zapewniając optymalną ochronę. Możesz uzyskać dostęp do monitorowanych reguł PHASR (ponad 300 reguł) używanych w trybie Direct Control bezpośrednio z GravityZone w sekcji monitorowanych reguł PHASR, aby uzyskać pełną kontrolę nad regułami. Inną opcją jest kliknięcie nazwy reguły w sekcji rekomendacji PHASR, aby edytować kontekstową regułę.

PHASR w akcji

Wyobraź sobie pracownika, który potrzebuje tymczasowego dostępu do programu PowerShell do określonego zadania. Administrator przyznaje ten dostęp, ale zapomina go później cofnąć. PHASR wykryje brak aktywności użytkownika w programie PowerShell i zaleci cofnięcie dostępu, prewencyjnie eliminując potencjalny wektor ataku. Dla administratorów bezpośrednie blokowanie programu PowerShell nie jest opcją; możesz chcieć zablokować określone działania w jego obrębie.

PHASR zapewnia szczegółowe strategie blokowania, w tym standardowe blokowanie aplikacji, które ogranicza całe aplikacje, takie jak Process Explorer i PowerShell, oraz blokowanie na poziomie akcji, które koncentruje się na określonych złośliwych zachowaniach w aplikacjach, takich jak używanie PowerShell do pobierania. PHASR wykorzystuje wyuczone profile zachowań, aby informować o tych decyzjach blokowania, zapewniając, że legalna aktywność użytkownika nie zostanie zakłócona. W zależności od wybranego trybu działania, PHASR automatycznie zastosuje restrykcyjne zasady lub zapewni priorytetową listę zaleceń do ręcznego przeglądu i działania. Zapewniając zarówno zautomatyzowane, jak i ręczne opcje, PHASR oferuje elastyczność i szczegółową kontrolę, skutecznie zmniejszając powierzchnie ataku poprzez identyfikację anomalii charakterystycznych dla Twojego środowiska.

Technologia PHASR – kluczowe wnioski

PHASR znacząco zwiększa proaktywne bezpieczeństwo, przechodząc od reaktywnej do proaktywnej obrony, dzięki redukcji powierzchni ataku i proaktywnego zapobiegania atakom Living off the Land (LOTL) i ukierunkowanym. Poprzez analizę behawioralną i blokowanie na poziomie działań PHASR umożliwia Twojemu zespołowi ds. bezpieczeństwa skuteczne łagodzenie ryzyka przy minimalnych zakłóceniach, ostatecznie zmniejszając zmęczenie alertami poprzez skupienie się na anomaliach i minimalizowanie niepotrzebnych powiadomień.

Aby uzyskać bardziej szczegółowe informacje techniczne na temat możliwości PHASR, to sprawdź tę stronę.