Hvorfor identitetsstyring er nøglen til at stoppe APT-cyberangreb

Dark Reading News Desk interviewede Adam Meyers, leder af modfjendtlige operationer for CrowdStrike ved Black Hat USA 2023. Se News Desk-klippet på YouTube (udskrift nedenfor).

Dark Reading, Becky Bracken: Hej alle sammen, og velkommen tilbage til Dark Reading News Desk, der kommer til jer live fra Black Hat 2023. Jeg er Becky Bracken, redaktør hos Dark Reading, og jeg er her for at byde velkommen til Adam Meyers, leder af modfjendtlige operationer med CrowdStrike, til Dark Reading News Desk.

Tak, fordi du sluttede dig til os, Adam. Jeg sætter pris på det. Sidste år var alle meget fokuserede på APT-grupper i Rusland, hvad de var gør i Ukraine, og hvordan cybersikkerhedssamfundet kunne samles og hjælpe dem. Der ser ud til at have været et ret betydeligt skift i jorden siden da. Kan du give os en opdatering af, hvad der sker i Rusland nu versus for måske et år siden?

Adam Meyers: Så jeg tror selvfølgelig, at der er stor bekymring over det. Jeg tror bestemt, at vi så, at de forstyrrelser, der generelt efter konflikten startede, ikke forsvinder. Men mens (vi var fokuseret), du ved, på, hvad der foregik med russerne, har kineserne etableret en massiv dataindsamlingsindsats omkring det.

DR: Brugte de (den kinesiske regering i tilknyttede APT-grupper) den russiske invasion som dækning, mens alle kiggede herover? Gjorde de det før det?

ER: Det er et godt spørgsmål. Jeg tror, ​​det lykkedes, at det gav den slags dækning, fordi alle er så fokuserede på, hvad der skete i Rusland og Ukraine. Så det distraherede fra det konstante trommeslag af alle, der råbte Kina eller gjorde ting, at de var der.

DR: Så vi kender Ruslands motiver. Hvad med Kinesiske APT-grupper? Hvad er deres motiver? Hvad prøver de at gøre?

ER: Så det er en massiv indsamlingsplatform. Kina har en række forskellige store programmer. De har ting som femårsplanerne dikteret af den kinesiske regering med aggressive udviklingskrav. De har "Lavet i Kina 2025” initiativ, de har Belt og Road Initiative. Og så de har bygget alle disse forskellige programmer for at vækste økonomien for at udvikle økonomien i Kina.

Nogle af de vigtigste ting, som de har målrettet, er omkring ting som sundhedspleje. Det er første gang, at kineserne har at gøre med en stigende middelklasse, og derfor er forebyggende sundhedsproblemer (er en prioritet), diabetes, kræftbehandlinger, alt det. Og de henter meget af det fra Vesten. De (kineserne) vil bygge det der. De ønsker at have indenlandsk-ækvivalente produkter, så de kan servicere deres eget marked og derefter vokse det til det omkringliggende område, den bredere Asien-Stillehavsregion. Og ved at gøre det opbygger de yderligere indflydelse. De bygger disse bånd til disse lande, hvor de kan begynde at skubbe kinesiske produkter og handelsløsninger og kinesiske programmer... Så når de kommer til at skubbe til et emne – et Taiwan eller noget – som de ikke bryder sig om i FN, de kan sige "Hej, du burde virkelig stemme på denne måde. Det ville vi sætte pris på."

DR: Så det er virkelig en intelligensindsamling og en vinding af intellektuel ejendom for dem. Og hvad skal vi så se i de næste par år? Vil de operationalisere denne efterretning?

ER: Det sker lige nu, hvis man ser på, hvad de har lavet med AI. Se på, hvad de har lavet med sundhedspleje og diverse chipfremstilling, hvor de henter de fleste af deres chips eksternt. Det ønsker de ikke at gøre.

De tror, ​​at folk ser dem som verdens værksted, og det vil virkelig gerne blive en innovatør. Og den måde, de søger at gøre det på, er ved at udnytte Kinesiske APT-grupper og springe (konkurrerende nationer) gennem cyberoperationer, cyberspionage, (stjæle) det, der i øjeblikket er state-of-the-art, og så kan de forsøge at replikere og innovere oven i købet.

DR: Interessant. OK, så flytter vi fra Kina, nu går vi over til Nordkorea, og de er i branchen - deres APT-grupper er pengeskabere, ikke? Det er, hvad de søger at gøre.

ER: Ja. Så der er tre stykker af det. For det første tjener de helt sikkert det diplomatiske, militære og politiske efterretningsindsamlingsproces, men det gør de også intellektuel ejendomsret.

De lancerede et program kaldet National Economic Development Strategy, eller NEDS. Og med det er der seks kerneområder, der fokuserer på ting som energi, minedrift, landbrug, tunge maskiner, alt sammen ting, der er forbundet med den nordkoreanske økonomi.

De skal hæve omkostningerne og livsstilen for den gennemsnitlige nordkoreanske borger. Kun 30 % af befolkningen har pålidelig strøm, så ting som vedvarende energi og måder at få energi på (er den slags data Nordkoreanske APT-grupper leder efter).

Og så indtægtsgenerering. De blev afskåret fra det internationale SWIFT-system og internationale finansøkonomier. Og så nu skal de finde måder at generere indtægter på. De har noget, der hedder det tredje kontor, som genererer indtægter med regimet og også til familien.

Og så de (Third Office) gør en masse ting, ting som stoffer, menneskehandel og også cyberkriminalitet. Så Nordkoreanske APT-grupper været meget effektiv til at målrette mod traditionelle finanser såvel som kryptovalutavirksomheder. Og det har vi set - en af ​​tingene i vores rapport, der lige udkom i går, viser, at den næstmest målrettede vertikal sidste år var økonomi, som erstattede telekommunikation. Så det gør en indflydelse.

DR: De tjener tonsvis af penge. Lad os dreje rundt, som jeg formoder er den anden store søjle i APT-handlingen, er i Iran. Hvad sker der blandt Iranske APT-grupper?

ER: Så vi har i mange tilfælde set falske personaer til at målrette deres (iranske) fjender - for at gå efter Israel og USA, en slags vestlige lande. APT grupper støttet af Iran opret disse falske personas og implementer ransomware, men det er ikke rigtig ransomware, fordi de er ligeglade med at indsamle pengene nødvendigvis. De (Iranske APT-grupper) vil bare forårsage den forstyrrelse og derefter indsamle følsomme oplysninger. Alt dette får folk til at miste troen på eller troen på politiske organisationer eller de virksomheder, som de retter sig mod. Så det er virkelig en forstyrrende kampagne, der forklæder sig som ransomware for Iranske trusselsaktører.

DR: Det må være så vanskeligt at forsøge at tildele motivation til mange af disse angreb. Hvordan gør du det? Jeg mener, hvordan ved du, at det bare er en front for disruption og ikke en pengeskabende operation?

ER: Det er et godt spørgsmål, men det er faktisk ikke så svært, for hvis man ser på, hvad der rent faktisk sker, ikke? - hvad sker der - hvis de er kriminelle, og de er økonomisk motiverede, vil de foretage betalinger. Det er målet, ikke?

Hvis de ikke ser ud til at være ligeglade med at tjene penge, f.eks NotPetya det er for eksempel ret indlysende for os. Vi vil målrette infrastrukturen, og så ser vi på selve motivet.

DR: Og generelt, blandt APT-grupper, hvad er nogle af angrebene du jour? Hvad stoler de egentlig på lige nu?

ER: Så vi har set en masse APT grupper går efter netværkstypeapparater. Der har været mange flere angreb mod enheder, der er udsat for forskellige cloud-systemer og netværksapparater, ting som typisk ikke har moderne slutpunktsikkerhedsstakke på sig.

Og det er ikke kun APT-grupper. Vi ser dette enormt med ransomware-grupper. Så 80 % af angrebene bruger legitime legitimationsoplysninger for at komme ind. De lever af landet og bevæger sig sideværts derfra. Og hvis de så kan, vil de i mange tilfælde forsøge at implementere ransomware til en hypervisor, der ikke understøtter dit DVR-værktøj, og så kan de låse alle de servere, der kører på det. hypervisor og sætte organisationen ud af drift.

DR: Desværre er vi ude af tiden. Jeg vil rigtig gerne diskutere dette meget længere, men kan du lige hurtigt give os dine forudsigelser? Hvad skal vi se på i APT-rummet, tror du, om 12 måneder?

ER: Pladsen har været ret konsekvent. Jeg tror, ​​vi vil se dem (APT-grupper) fortsætte med at udvikle sårbarhedslandskabet.

Hvis man for eksempel ser på Kina, skal enhver sårbarhedsforskning reelt gå gennem Ministeriet for Statssikkerhed. Fokus på efterretningsindsamling der. Det er det primære motiv i nogle tilfælde; der er også forstyrrelse.

Og så, som en forudsigelse, er det, alle skal tænke på identitetsstyring, på grund af de trusler, vi ser. Disse brud involverer identitet. Vi har noget, der kaldes "breakout time", som måler, hvor lang tid det tager for en skuespiller at bevæge sig fra første fodfæste ind i deres miljø til et andet system. Den hurtigste (breakout-tid), vi så, var syv minutter. Så disse skuespillere bevæger sig hurtigere. Den største takeaway er, at de (APT-grupper) bruger legitime legitimationsoplysninger og kommer ind som en legitim bruger. Og for at beskytte mod det, er det vigtigt at beskytte identiteten. Ikke kun endepunkter.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks