Ataques LoTL: como detectar e defender
12.04.2023
VoltarSIEM – Gerenciamento de eventos e informações de segurança
Qualquer ferramenta de proteção contra ameaças externas funciona para reconhecer ataques cibernéticos. Por exemplo, um cracker pode usar um e-mail de phishing para obter acesso a um sistema alvo. Neste caso, um sistema de segurança de e-mail ajudará. Se o e-mail contiver um script, um antivírus o detectará. O script também pode conter um link para um endereço IP externo malicioso - isto requer um firewall. E para ser capaz de ligar tais pequenos eventos em um único incidente e identificar um ataque real, é necessário um SIEM, sistema de gerenciamento de eventos e informações de segurança.
No caso de um ataque LotL (Living off the Land), as ferramentas de análise comportamental, em minha opinião, são menos eficazes porque, ao contrário de um ataque DDoS ou Bruteforce, um ataque LotL pode consistir de algumas ações únicas, que usam softwares legítimos e ou funções disponíveis no sistema operacional para executar as ações maliciosas. Por exemplo, o envio de um único e-mail ou uma única requisição que direcione a um IP malicioso. Estas ações são muitas vezes estatisticamente invisíveis se comparadas ao comportamento padrão do usuário e passam desapercebidas.
Sem dúvida nenhuma, a ferramenta mais poderosa para garantir um alto nível de segurança, disponível no arsenal de uma empresa, é a ordem, a organização. Se a infraestrutura está bem organizada, se há regras claras de como todos os elementos interagem, se as regras de comportamento são amplamente difundidas e observadas e se há sistemas para detectar desvios dos padrões básicos - é muito mais difícil para um intruso passar despercebido.