Lühidalt: Ründajad kasutavad pahavara asemel legaalseid süsteemitööriistu, et jääda märkamatuks – infoturbejuhid peavad suunama oma tuvastusloogika käitumisanomaaliatele ja juurdepääsukontrollile.
Ründajad kasutavad küberrünnete läbiviimiseks üha enam süsteemiomaseid IT-tööriistu, näiteks SSH-d või PowerShelli, et varjuda legitiimse süsteemitegevuse taha. See on infoturbejuhtidele (CISO) väljakutseks, kuna traditsioonilised turbekontrollid selliseid ründeid tihti ei tuvasta.
Living-off-the-Land-ründed tuginevad juba installitud süsteemitööriistadele, mitte spetsiaalsele pahavarale. SSH, PowerShell, WinRM ja muud sarnased haldustööriistad annavad ründajatele legitiimse juurdepääsu süsteemidele, ilma et see kahtlust ärataks. Sellised tegevused paistavad võrgus ja logides tavaliste hooldus- või haldustoimingutena.
See strateegia annab ründajatele märkimisväärseid eeliseid: nad väldivad lõpp-punkti tuvastust (endpoint detection), hoiduvad signatuuripõhisest pahavaratõrjest kõrvale ja jätavad maha minimaalselt kohtuekspertiisi jälgi. Samal ajal kaotab see ka ühe olulise tuvastustunnuse – ootamatud protsessid või kahtlase tarkvara – ründe alla sattunud süsteemis.
Infoturbejuhtide jaoks tähendab see, et pelgalt perimeetri- ja signatuuripõhisest kaitsest jääb väheks. Kõigi süsteemitegevuste, eeskätt PowerShelli käivituste, SSH-ühenduste ja WinRM-i kasutuse nähtavus muutub tuvastamise eelduseks. Käitumispõhine anomaaliate tuvastamine aitab selliste tööriistade ebatavalisi kasutusmustreid välja selgitada. Samavõrra otsustava tähtsusega on kiire tõkestamine: kahtlase haldustööriista kasutuse avastamisel tuleb suuta sessioonid koheselt lõpetada ja mõjutatud kontod isoleerida.
Allikas: www.computerweekly.com · Avaldatud 7. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.