很多剛接手資安維運的工程師會認為,只要安裝了強大的防毒軟體或 EDR(端點偵測與回應),只要能偵測到惡意程式碼(Malware)並將其攔截,系統就是安全的。但現實情況是,現代的攻擊者已經不再依賴傳統的惡意軟體,而是轉向一種稱為 Living off the Land(利用環境既有工具)的攻擊手法。
什麼是 Living off the Land
Living off the Land(簡稱 LotL)是指攻擊者進入系統後,不下載外部的攻擊工具,而是直接使用作業系統內建的合法管理工具來執行惡意操作。例如 Windows 內建的 PowerShell、WMIC、netsh、Certutil 或 MSBuild。
對 IT 管理員來說,這些是日常維運必備的工具;但對攻擊者來說,這些工具可以用來下載惡意指令、修改網路設定、繞過安全檢查或竊取憑證。因為這些工具本身具有數位簽章且被系統信任,傳統的防毒軟體很難將其判定為惡意軟體,這導致大量的攻擊行為在監控系統中看起來就像是正常的系統管理操作。
偵測與回應的效能瓶頸
目前的資安防禦邏輯大多集中在偵測與回應(Detect and Respond)。然而,當攻擊者利用合法工具在幾分鐘內完成橫向移動時,依賴人工分析警報的反應速度往往太慢。
根據數據顯示,在大量的高風險資安事件中,絕大多數都涉及了對合法工具的濫用。這揭示了一個核心問題:安全風險不再僅僅是外部的惡意軟體,而是內部過度的權限授予(Over-entitlement)。如果一個普通員工的電腦上可以隨意執行 PowerShell 或遠端管理工具,而該職位其實完全不需要這些功能,那麼這就成了攻擊者可以利用的攻擊面(Attack Surface)。
從偵測轉向動態縮減攻擊面
面對 LotL 攻擊,單靠更新補丁(Patching)是沒用的,因為你無法補丁一個系統內建的合法功能。目前的趨勢是轉向動態攻擊面縮減(Dynamic Attack Surface Reduction, DASR)。
DASR 的核心邏輯是:如果某個用戶或設備在日常工作中不需要某項工具,就應該將該工具禁用或限制其執行權限。這樣一來,即便攻擊者成功入侵該設備,他們也找不到可以利用的工具來進一步擴張攻擊範圍。
實作縮減攻擊面的工程路徑
要有效縮減攻擊面而又不影響業務運作,不能採取一刀切的禁令,而需要經過行為分析的過程。
首先是行為學習階段。透過監控端點在一段時間內(例如 30 天)的實際使用習慣,建立每台設備與每個用戶的行為基準。這能區分出哪些工具是業務必需,哪些是冗餘的風險。
其次是量化風險評分。將發現的風險分類,例如 LotL 二進位檔、遠端管理工具、篡改工具、挖礦程式或盜版軟體,並計算出暴露分數。
接著是執行縮減。針對不需要的工具實施限制。為了避免影響生產力,應建立一套簡單的申請機制,讓用戶在真正需要時能快速申請臨時權限。
最後是成效審查。量化縮減後的攻擊面百分比,並確認是否在過程中發現了未經授權的影子 IT(Shadow IT)軟體。
對維運團隊的實質影響
對於 SOC(資安監控中心)與 IT 管理員來說,縮減攻擊面能直接降低警報噪音。當大量不需要的合法工具被禁用後,系統產生的可疑但合法的行為警報會大幅減少,讓維運人員能專注於真正的威脅,而非在數千條 PowerShell 紀錄中大海撈針。
總結來說,現代資安的勝負不在於你能偵測到多少攻擊,而是在於攻擊者進入系統後,能找到多少可利用的工具。縮減攻擊面將防禦線從偵測後端移到了預防前端,這才是對抗 LotL 攻擊最有效率的方式。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。