Phishing har længe været en af de bedste måder at få adgang til en målorganisation på. Sådan plejede det ikke at være. I computersikkerhedens tidlige dage var remote code exploit (RCE) den foretrukne metode til at få adgang, da det ikke krævede brugerinteraktion. Faktisk, hvis noget krævede brugerinteraktion, blev det ikke betragtet som en alvorlig trussel. Bedre sikkerhedspraksis begyndte at tage fat, og RCE-metoden til adgang blev meget mere udfordrende. Og det viste sig, at det var nemmere at få brugerne til at interagere, end man nogensinde havde forestillet sig.
Den samme cyklus er begyndt at gentage sig selv med mål på stedet. Organisationer er begyndt at gøre fremskridt med at sikre deres interne netværk mod brug af endpoint detection and response (EDR), og andre teknologier er bedre rustet til at detektere malware og sidebevægelser. Selvom angreb bliver sværere, er det på ingen måde en ineffektiv strategi for en angriber endnu. Implementering af ransomware og andre former for malware er stadig et almindeligt resultat.
Hvorfor din cloud-infrastruktur er et topmål for phishing-angreb
Skyen har givet phishere en helt ny grænse at angribe, og det viser sig, at det kan være meget farligt. SaaS-miljøer er modne mål for phishing-angreb og kan give angriberen meget mere end adgang til nogle e-mails. Sikkerhedsværktøjer modnes stadig i dette miljø, som tilbyder angribere et vindue af muligheder, hvor metoder som phishing-angreb kan være meget effektive.
Phishing-angreb rettet mod udviklere og softwareforsyningskæde
Som vi så for nylig, Dropbox havde en hændelse på grund af et phishing-angreb mod dets udviklere. De blev snydt til give deres Github-legitimationsoplysninger til en angriber af en phishing-e-mail og falsk hjemmeside, på trods af multifaktorgodkendelse (MFA). Det, der gør dette skræmmende, er, at dette ikke kun var en tilfældig bruger fra salg eller en anden forretningsfunktion, det var udviklere med adgang til en masse Dropbox-data. Heldigvis ser omfanget af hændelsen ikke ud til at påvirke Dropboxs mest kritiske data.
GitHub og andre platforme i området for kontinuerlig integration/kontinuerlig deployering (CI/CD) er de nye "kronjuveler" for mange virksomheder. Med den rette adgang kan angribere stjæle intellektuel ejendom, lække kildekode og andre data eller adfærd forsyningskædeangreb. Det går endnu længere, da GitHub ofte integrerer med andre platforme, som angriberen kan være i stand til at pivotere. Alt dette kan ske uden nogensinde at røre offerets lokale netværk eller mange af de andre sikkerhedsværktøjer, som organisationer har anskaffet, da det hele er software-as-a-service (SaaS)-til-SaaS.
Sikkerhed i dette scenarie kan være en udfordring. Hver SaaS-udbyder gør det anderledes. En kundes synlighed i, hvad der sker på disse platforme, er ofte begrænset. GitHub, for eksempel, giver kun adgang til sin Audit Log API under sin Enterprise-plan. At få synlighed er kun den første forhindring, der skal overvindes, den næste ville være at lave nyttigt detektionsindhold omkring det. SaaS-udbydere kan være meget forskellige i, hvad de gør, og de data, de leverer. Kontekstuel forståelse af, hvordan de fungerer, vil være påkrævet for at foretage og vedligeholde detekteringerne. Din organisation kan have mange sådanne SaaS-platforme i brug.
Hvordan mindsker du risici forbundet med phishing i skyen?
Identitetsplatforme, såsom Okta, kan hjælpe med at mindske risikoen, men ikke helt. At identificere uautoriserede logins er bestemt en af de bedste måder at opdage phishing-angreb på og reagere på. Dette er lettere sagt end gjort, da angribere har fanget de almindelige måder at opdage deres tilstedeværelse på. Proxyservere eller VPN'er bruges nemt til i det mindste at se ud til at komme fra det samme generelle område som brugeren for at besejre land- eller umulige rejsedetekteringer. Mere avancerede maskinlæringsmodeller kan anvendes, men disse er endnu ikke bredt vedtaget eller bevist.
Traditionel trusselsdetektion begynder også at tilpasse sig SaaS-verdenen. Falco, et populært trusselsdetektionsværktøj til containere og cloud, har et plug-in-system, der kan understøtte næsten enhver platform. Falco-teamet har allerede udgivet plug-ins og regler til blandt andet Okta og GitHub. For eksempel, GitHub plug-in har en regel, der udløser, hvis nogen forpligtelser viser tegn på en kryptominer. Udnyttelse af disse specialbyggede detektioner er en god måde at komme i gang med at bringe disse platforme ind i dit overordnede trusselsdetektionsprogram.
Phishing er kommet for at blive
Phishing og social engineering generelt vil aldrig blive efterladt. Det har været en effektiv angrebsmetode i årevis, og vil være det, så længe folk kommunikerer. Det er afgørende at forstå, at disse angreb ikke er begrænset til den infrastruktur, du ejer eller administrerer direkte. SaaS er især udsat på grund af den manglende synlighed, de fleste organisationer har til, hvad der faktisk sker på disse platforme. Deres sikkerhed kan ikke afskrives som en andens problem, da en simpel e-mail og falsk hjemmeside er alt, der skal til for at få adgang til disse ressourcer.
