Living off The Land: Le raccomandazioni della CISA per la mitigazione
Negli ultimi anni, gli attacchi che sfruttano strumenti legittimamente installati nei sistemi target, chiamati tecniche di attacco Living Off The Land (LOTL), sono diventati sempre più diffusi tra i cybercriminali. La Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato nuove linee guida per aiutare gli enti critici a mitigare queste minacce.
Cosa sono le tecniche LOTL?
Le tecniche di attacco Living Off The Land sfruttano strumenti e processi legittimi per condurre azioni malevole in modo discreto all’interno dei sistemi target. Questi strumenti sono spesso nativi del sistema operativo stesso o sono applicazioni installate regolarmente nei sistemi, come PowerShell, Windows Management Instrumentation (WMI), e altri binari legittimi. Grazie a questi metodi, gli aggressori possono mescolarsi alle normali attività di sistema e aggirare le misure di sicurezza convenzionali.
Raccomandazioni della CISA per mitigare gli attacchi LOTL
Per contrastare queste minacce, la CISA ha pubblicato raccomandazioni che includono best practice e strategie di detection per aiutare le organizzazioni a identificare e neutralizzare attività malevole:
Implementare log dettagliati
Le organizzazioni dovrebbero implementare logging dettagliati e centralizzarne i risultati in un unico posto. Questa pratica consente di effettuare analisi del comportamento, rilevare anomalie e condurre hunting proattivo.
Stabilire e mantenere baselines
Stabilire baselines delle attività di rete, utenti, amministratori ed applicazioni è fondamentale per identificare potenziali outlier che possano indicare attività malevole.
Utilizzare l’automazione
Per aumentare l’efficienza nelle attività di hunting, è raccomandabile utilizzare automazione per rivedere continuamente tutti i logs e confrontare le attuali azioni con baselines stabilite in precedenza.
Ridurre il rumore degli alert
Regolare gli strumenti di monitoraggio ed i meccanismi di allerta per distinguere tra azioni amministrative tipiche e potenziali comportamenti dannosi è essenziale per concentrarsi sugli avvisi che più probabilmente indicano attività sospette.
Oltre alle strategie di detection, le linee guida della CISA evidenziano l’importanza delle pratiche di hardening per ridurre l’attack surface:
- Applicare le indicazioni di vendor security hardening;
- Implementare allowlisting delle applicazioni;
- Migliorare la segmentazione e il monitoraggio della rete;
- Implementare controlli di autenticazione e autorizzazione.
Le tecniche di attacco Living Off The Land rappresentano una sfida significativa per le organizzazioni che cercano di proteggere i propri sistemi da cybercriminali sempre più sofisticati. Seguire le raccomandazioni della Cybersecurity and Infrastructure Security Agency può aiutare gli enti critici a rafforzare le loro difese contro questo tipo di attacchi e migliorare il loro cybersecurity posture complessivo.
Fonte: https://cybersecuritynews.com/cisa-lotl-attack-techniques/
