Des orientations conjointes rédigées par l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), l'Agence nationale de sécurité (NSA), le Bureau fédéral d'enquête (FBI) et d'autres agences, dont le Centre national de cybersécurité du Royaume-Uni (NCSC-UK), ont été publiées le7 février 2024. Ce document fournit des informations sur les techniques courantes de "living off the land" (LOTL) attribuées aux États cybercriminels. Ces techniques ont été particulièrement efficaces et leurs recommandations ne devraient pas passer inaperçues. Les informations suivantes montrent comment la plateforme Vectra AI peut vous aider à mettre en œuvre les recommandations de meilleures pratiques en matière de détection et à servir d'élément clé pour vos stratégies de défense contre les LOTL.
Recommandations de bonnes pratiques LOTL
La recommandation de bonne pratique (n° 1) souligne l'importance d'une journalisation détaillée dans un emplacement hors bande. Cela permet d'atténuer le risque de modification ou d'effacement des journaux par les attaquants. Elle permet également aux défenseurs de procéder à une analyse du comportement, à une détection des anomalies et à une chasse proactive. En outre, il souligne l'importance de conserver des historiques de journaux plus longs, ce qui peut s'avérer utile pour les interventions en cas d'incident.
En mettant l'accent sur le réseau, Vectra Recall offre une visibilité sur le trafic réseau en extrayant les métadonnées de tous les paquets et en les stockant hors bande (dans Vectra cloud) à des fins de recherche et d'analyse. Chaque appareil IP sur le réseau est identifié et suivi. Ces données peuvent être stockées en fonction des préférences en matière d'horizon temporel. Les métadonnées capturées comprennent l'ensemble du trafic interne (est-ouest), le trafic vers l'internet (nord-sud) et le trafic de l'infrastructure virtuelle. Cette visibilité s'étend aux ordinateurs portables, serveurs, imprimantes, appareils BYOD et IoT, ainsi qu'à tous les systèmes d'exploitation et applications, y compris le trafic entre les charges de travail virtuelles dans les centres de données et le site cloud, même les applications SaaS.
En fournissant cette source complète de métadonnées de réseau enrichies par la sécurité, nous visons à donner aux équipes de sécurité les moyens de mener des enquêtes sur les incidents LOTL en veillant à ce que les données des journaux de réseau soient disponibles dans un emplacement hors bande.
Recommandations de bonnes pratiques en matière de détection
Les recommandations de bonnes pratiques (n° 3 et 4) soulignent la nécessité d'établir et de maintenir en permanence des lignes de base, puis de comparer les activités actuelles aux lignes de base comportementales établies et d'alerter sur les anomalies spécifiées. L'accent est mis en particulier sur la nécessité d'accorder une attention particulière aux comptes à privilèges.
Le portefeuille de détection fourni par Vectra AI comprend un ensemble complet de détections. Il convient de noter les capacités de détection axées sur la définition claire du comportement des comptes privilégiés et la mise en évidence des anomalies sur la base de modèles établis. Voici quelques exemples de l'analyse des comptes à privilèges de Vectra :
- Un compte privilégié est utilisé pour accéder à un service privilégié, mais il le fait à partir d'un hôte sur lequel le compte n'a pas été observé, mais où l'hôte (utilisant d'autres comptes) a été vu en train d'accéder au service.
- Un compte est utilisé pour accéder à un service à partir d'un hôte sur lequel le compte ne se trouve pas habituellement et à partir duquel le service n'est pas habituellement accessible et au moins le service (et probablement le compte) a un niveau de privilège élevé OU le niveau de privilège de l'hôte est suspicieusement bas par rapport aux niveaux de privilège du compte et du service.
- Un compte privilégié est utilisé pour accéder à un service privilégié à partir d'un hôte sur lequel le compte a été observé, mais qui n'a pas été vu en train d'accéder au service.
Priorités basées sur l'IA avec Vectra AI
La nature dynamique de l'entreprise moderne peut rendre très difficile l'établissement de lignes de base cohérentes et efficaces en matière de sécurité des réseaux qui permettent de détecter les activités malveillantes des LOTL. Comme le souligne le guide, il est difficile de distinguer une activité LOTL malveillante d'un comportement légitime en raison du volume relativement faible d'activités malveillantes dans de grands volumes de données de journal. Et si les équipes chargées des opérations de sécurité peuvent se concentrer sur la détection de ces types d'événements, elles ont souvent du mal à distinguer un comportement légitime d'un comportement malveillant en raison du nombre considérable d'alertes entrantes et de la complexité de l'environnement.
La meilleure pratique recommandée est d'affiner le bruit des alertes par le biais de la priorité (urgence et gravité) et d'examiner en permanence les détections sur la base des tendances de l'activité (#4). Cela demande beaucoup de temps et d'efforts pour la plupart des équipes. Avec la priorisation pilotée par l'IA de Vectra, nous fournissons cela de manière programmatique :
- Attribution de comportements d'attaque individuels à une entité (hôtes et/ou comptes)
- En combinant ces informations avec d'autres paramètres de notation, notamment l'étendue (nombre de détections associées à une entité), la vitesse (rapidité avec laquelle des événements de détection uniques se produisent) et le profil d'attaque (modèles de comportement d'attaque), on obtient un score d'attaque.
- Lorsqu'elle est configurée, la contribution du client (importance du groupe de comptes) est combinée à la note d'attaque.
- Le résultat est un score d'urgence unique pour l'entité.
Cet algorithme de notation amélioré met en évidence les menaces les plus critiques dans une liste exploitable et hiérarchisée, ce qui permet aux équipes de se concentrer sur ce qui est le plus important.
Renforcer l'autonomie de votre équipe
La détection des activités de LOTL est un défi et nécessite des stratégies de sécurité à multiples facettes, comme nous l'avons souligné plus haut. Il n'existe pas d'approche unique, et chaque entreprise devra évaluer et adapter les recommandations à ses programmes de détection existants. Il est toutefois important de veiller à ce que ces orientations soient examinées et, si possible, mises en œuvre de toute urgence. Avec l'augmentation de ces types d'attaques, la corrélation et l'analyse de ces techniques constitueront un élément important des capacités de détection et de réponse de votre équipe.
Vous souhaitez en savoir plus sur la façon dont Vectra AI peut aider votre équipe dans les stratégies défensives de LOTL ?
Réservez dès aujourd'hui une démonstration de la plateforme avec nos experts.