Os cibercriminosos de elite preferem ataques LotL porque são incrivelmente difíceis de detectar. Em vez de implantar malware óbvio, os invasores usam as mesmas ferramentas confiáveis nas quais uma equipe de TI confia diariamente, como o PowerShell, WMI (Instrumentação de Gerenciamento do Windows) e vários utilitários integrados em quase todos os computadores.
Quando os invasores usam ferramentas de sistema legítimas, o software de segurança tradicional pensa que tudo está normal e os deixa passar sem controle.
Isso pode manter as ameaças ocultas por meses, enquanto o invasor rouba dados silenciosamente ou planta backdoors. O aprendizado de máquina (ML) está mudando o jogo ao perceber quando o comportamento de alguém não corresponde às suas credenciais, mesmo quando tudo parece legítimo.
Entendendo os ataques LotL
Os ataques LotL são ataques cibernéticos que usam ferramentas e utilitários legítimos e pré-instalados do sistema para realizar atividades maliciosas, em vez de implantar malware personalizado ou ferramentas de ataque externas.
Os invasores normalmente exploram esses utilitários diários do sistema:
- PowerShell: O shell de linha de comando da Microsoft é usado para automação e gerenciamento do sistema.
- WMI: Este serviço interno do Windows é para coleta de informações do sistema.
- Ferramentas de administração do sistema: Isso inclui utilitários de rede, gerenciadores de arquivos e ferramentas de configuração em todos os sistemas.
Por que os ataques LotL são bem-sucedidos
Esses ataques são bem-sucedidos porque exploram o desafio de distinguir entre atividades administrativas legítimas e uso mal-intencionado das mesmas ferramentas.
Os invasores usam PowerShell, WMI e outros utilitários de sistema padrão para realizar reconhecimento e mover-se lateralmente para exfiltrar dados.
Os sistemas de monitoramento de segurança veem o que parece ser uma manutenção de TI de rotina. Esse disfarce perfeito permite que ameaças sofisticadas operem sem serem detectadas por longos períodos enquanto atingem seus objetivos por meio de recursos confiáveis e pré-instalados do sistema.
Como você distingue entre um administrador de TI legítimo executando um script do PowerShell para atualizar o software e um invasor usando o mesmo script para roubar senhas? Eles parecem idênticos às ferramentas de segurança tradicionais, pois apresentam a mesma ferramenta, atividade básica e níveis de acesso.
As limitações dos métodos tradicionais de detecção
A segurança tradicional baseada em assinatura é ótima para capturar criminosos que usam os mesmos métodos de antes, mas é completamente impotente quando confrontada com alguém usando ferramentas legítimas e criatividade.
Quando um invasor inicia o PowerShell ou o WMI, não há assinatura maliciosa para detectar — esses são os mesmos utilitários confiáveis que sua equipe de TI usa dezenas de vezes por dia.
As regras estáticas enfrentam o mesmo problema. Você não pode banir o PowerShell da sua rede sem prejudicar suas operações de TI.
Seria como tentar impedir assaltos a bancos, proibindo todos os seguranças de portar chaves.
Os sistemas baseados em regras tentam preencher essa lacuna sinalizando atividades potencialmente suspeitas, mas geralmente criam fadiga de alerta com falsos positivos excessivos enquanto ainda perdem ataques sofisticados.
Como o ML aprimora a detecção de LotL
Você pode conhecer seus colegas de trabalho bem o suficiente para perceber quando alguém está agindo de forma estranha, mesmo que esteja fazendo tarefas rotineiras de trabalho.
Alguém que trabalha em um horário incomum ou em uma área onde não costuma trabalhar se destaca. Seu cérebro capta esses padrões.
O ML faz algo semelhante, mas com maior atenção aos detalhes. Ele observa a execução de cada processo, argumento de linha de comando, conexão de rede e acesso a arquivos em toda a sua infraestrutura.
Ele aprende como é o normal para cada usuário, sistema e ferramenta.
Digamos que o PowerShell execute um comando codificado em base64, seja executado em um momento incomum, seja disparado por um processo pai estranho e comece imediatamente a fazer conexões de rede com domínios suspeitos.
Cada elemento pode ser explicado, mas a combinação cria um padrão que não é o trabalho diário de TI.
Um sistema de ML treinado em dados suficientes pode detectar essas combinações sutis que passariam despercebidas pelas ferramentas de segurança tradicionais e analistas experientes.
A mágica acontece quando diferentes abordagens de ML trabalham juntas. Os modelos de aprendizado supervisionado são como ter um mentor que já viu milhares de ataques antes – eles podem identificar técnicas que reconhecem do treinamento.
O aprendizado não supervisionado é mais como ter um recém-chegado incrivelmente observador que percebes coisas incomuns, mesmo que não possam explicar exatamente o porquê.
As organizações devem adotar abordagens de detecção orientadas por ML para se manterem à frente da evolução das táticas de LotL.
A mentalidade de violação assumida complementa essas capacidades técnicas, reconhecendo que ameaças avançadas provavelmente alcançará o compromisso inicial, tornando a detecção e resposta rápidas críticas para limitar os danos.
Principais recursos e fontes de dados para detecção de LotL baseada em ML
A eficácia da detecção baseada em ML depende da coleta de dados abrangente que captura todo o contexto das atividades do sistema.
Pense nisso como ter câmeras de segurança que não apenas registram quem entra no prédio, mas também rastreiam seus padrões de caminhada, com quem falam, quanto tempo permanecem em cada cômodo e se seu comportamento corresponde ao propósito declarado de estar lá.
A telemetria de endpoint ajuda a fornecer a camada de dados básica. Os eventos de criação de processos podem revelar quais ferramentas os hackers usaram e o contexto completo, incluindo argumentos de linha de comando, relacionamentos de processo pai-filho, tempo de execução e condições ambientais.
Essa visibilidade granular permite que os modelos de ML distingam entre tarefas administrativas rotineiras e atividades potencialmente maliciosas usando as mesmas ferramentas.
A análise de argumentos de linha de comando pode ser particularmente valiosa, pois os invasores geralmente usam parâmetros específicos ou técnicas de ofuscação que se desviam dos padrões administrativos típicos.
O rastreamento de genealogia do processo revela cadeias de execução que podem indicar movimento lateral ou tentativas de escalonamento de privilégios.
A análise de tráfego de rede correlaciona o uso da ferramenta do sistema com comunicações externas, ajudando a identificar tentativas de exfiltração de dados ou comunicações de comando e controle que a segurança de perímetro tradicional pode perder.
A integração da Análise de Comportamento de Usuário e Entidade adiciona contexto crucial considerando as funções do usuário, padrões de acesso típicos e linhas de base de comportamento histórico.
A integração com feeds de inteligência de ameaças aumenta a precisão da detecção incorporando indicadores maliciosos conhecidos e técnicas de ataque emergentes, ajudando os modelos de ML a reconhecer ameaças e reduzindo as taxas de falsos positivos por meio da compreensão contextual de atividades comerciais legítimas.
Desafios do ML na detecção de LotL
Apesar de suas vantagens significativas, os sistemas de detecção baseados em ML apresentam vários desafios operacionais e de implementação que as organizações devem enfrentar com cuidado.
Taxas de falsos positivos
As taxas de falsos positivos representam uma preocupação primária, principalmente durante as fases iniciais de implantação, quando os modelos estabelecem padrões comportamentais de linha de base.
Atividades administrativas legítimas, mas incomuns, podem disparar alertas, potencialmente sobrecarregando as equipes de operações de segurança com eventos benignos que exigem investigação e disposição.
Desvio do modelo
O desvio do modelo constitui outra consideração crítica à medida que as metodologias de ataque e os ambientes organizacionais evoluem continuamente.
Os modelos de ML exigem treinamento regular com dados atuais para manter a eficácia e a precisão da detecção.
Técnicas de evasão adversária
Essas técnicas representam um desafio contínuo. Agentes de ameaças sofisticados adaptam suas táticas para contornar os padrões de detecção que os sistemas de ML aprenderam a reconhecer por meio de ciclos de treinamento anteriores.
Complexidade inerente do sistema de ML
Os sistemas de ML exigem conhecimento especializado para implementação, manutenção e gerenciamento contínuos eficazes.
As organizações devem investir substancialmente no treinamento da equipe de segurança para interpretar corretamente os alertas gerados por ML, entender os processos de tomada de decisão do modelo e manter o desempenho ideal do sistema ao longo do tempo.
A supervisão humana continua sendo essencial porque os sistemas automatizados podem perder informações contextuais que os analistas de segurança experientes reconheceriam como significativas ou benignas.
Melhores estratégias para implementar a detecção de LotL baseada em ML
A implementação bem-sucedida do ML requer uma base de coleta de dados abrangente e de alta qualidade em todos os endpoints críticos e segmentos de rede.
As organizações devem priorizar o registro extensivo de eventos de criação de processos, argumentos detalhados de linha de comando, padrões de conexão de rede e atividades do sistema de arquivos para fornecer aos modelos de ML informações contextuais suficientes para uma análise comportamental precisa. Outras práticas recomendadas para detecção de LoTL baseada em ML incluem:
Pré-processamento de dados e engenharia de recursos
Esses fatores críticos de sucesso afetam diretamente a eficácia do modelo e a precisão da detecção.
OrgAs análises selecionam cuidadosamente indicadores comportamentais que fornecem diferenciação significativa entre atividades administrativas legítimas e uso de ferramentas maliciosas.
Esse processo de seleção requer uma compreensão profunda dos padrões operacionais normais e das metodologias de ataque padrão.
Arquiteturas de detecção híbridas
As arquiteturas de detecção híbridas que combinam recursos de ML com regras habilmente elaboradas e inteligência de ameaças atual criam sistemas de detecção mais robustos e confiáveis do que qualquer abordagem única implementada isoladamente.
Essa metodologia integrada aproveita os pontos fortes do reconhecimento de padrões de ML, incorporando experiência humana e indicadores de ameaças estabelecidos de fontes do setor.
Treinamento contínuo da equipe e avaliação do modelo
A avaliação regular, o monitoramento do desempenho e o ajuste sistemático do modelo de ML garantem uma eficácia sustentada à medida que os padrões de uso legítimos e as técnicas de ataque evoluem.
As organizações devem estabelecer procedimentos abrangentes para investigação de alertas e resposta a incidentes, ao mesmo tempo em que fornecem às equipes de segurança treinamento especializado para interpretar as descobertas geradas por ML de forma eficaz e manter o desempenho ideal do sistema por meio de ciclos operacionais contínuos.
Inovações na detecção de LotL
Os avanços na IA explicável abordam uma das principais limitações das ferramentas de segurança baseadas em ML, fornecendo insights mais claros sobre a geração de alertas específicos.
Essa transparência ajuda os analistas de segurança a entender as decisões do modelo e cria confiança nos recursos de detecção automatizada.
O desenvolvimento de ferramentas de código aberto e o compartilhamento da comunidade estão acelerando a inovação nas técnicas de detecção de LotL.
Os esforços colaborativos permitem que as organizações se beneficiem de metodologias compartilhadas de inteligência e detecção de ameaças, melhorando os recursos defensivos gerais em todos os setores.
Fortaleça as defesas contra o LotL com detecção baseada em ML
Os ataques LotL representam um desafio fundamental para as abordagens tradicionais de segurança cibernética, mas o ML oferece uma solução promissora por meio de análise comportamental e detecção de anomalias.
Os sistemas baseados em ML podem identificar ameaças sofisticadas que ignoram as medidas de segurança convencionais, concentrando-se em como os agentes mal-intencionados usam ferramentas legítimas.
O sucesso requer compromisso com o aprendizado contínuo, melhoria de modelos e estratégias de segurança adaptáveis.
À medida que os invasores se tornam mais sofisticados, os recursos defensivos devem evoluir de acordo, tornando o ML benéfico e essencial para as operações modernas de segurança cibernética.