![S3 Ep114: Forebyggelse af cybertrusler – stop dem, før de stopper dig! [Lyd + tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/ns-1200-generic-featured-image-blue-digits.png "S3 Ep114: Forebyggelse af cybertrusler – stop dem, før de stopper dig! [Lyd + tekst]")
STOP skurkerne, FØR DE STOPPER DIG!
Paul Ducklin taler med den verdenskendte cybersikkerhedsekspert Fraser Howard, forskningsdirektør hos SophosLabs, i denne fascinerende episode, optaget under vores seneste Sikkerhed SOS uge 2022.
Når det kommer til at bekæmpe cyberkriminalitet, er Fraser virkelig en "specialist i alt", og han har også evnen til at forklare dette vanskelige og forræderiske emne på almindeligt engelsk.
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
Intro og outro musik af Edith Mudge.
Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.
LÆS TRANSCRIPTET
[ROBOT STEMME: Sophos Security SOS]
PAUL DUCKLIN. Hej allesammen.
Velkommen til Sophos Security SOS-ugen.
Dagens emne er: Forebyggelse af cybertrusler – stop dem, før de stopper dig!
Og vores gæst i dag er ingen ringere end Mr. Fraser Howard, forskningsdirektør hos SophosLabs.
Nu ved de af jer, der har lyttet til SOS Week før, at jeg godt kan lide at beskrive Fraser som en “specialist i alt”, for hans viden er ikke bare bred, den er også utrolig dyb.
Han sætter kryds ved hver celle i regnearket, kan man sige.
Så, Fraser, velkommen tilbage til SOS-ugen.
Jeg ville starte med at fokusere på noget, der går under navnet LOLBIN, som jeg tror er en forkortelse for "living-off-the-land binary", som er jargon for software, der allerede er der, og som kokkene elsker at bruge.
FRASER HOWARD. Præcis det.
AND. Og det store problem i øjeblikket ser ud til at være, at det mest sandsynlige LOLBIN, eller det mest sandsynlige forudinstallerede program, som skurkene vil spise ude på, i mangel af en bedre sætning, ikke er andet end PowerShell, som er indbygget i Windows .
Den er tilgængelig på alle versioner af Windows, så snart du installerer den.
Og det er administrationsmediet i disse dage for selve Windows.
Så hvordan kan du leve uden det?
FRASER. Præcis – ligesom du beskrev, fra angribernes perspektiv, er LOLBINs geniale.
De tager enten deres egen kniv med til kampen, og deres kniv kan se meget anderledes ud end alt andet, der er på systemet...
…eller de bruger en kniv, der tilfældigvis er til stede på systemet i første omgang.
Og det er fordelagtigt for angriberen, af indlysende årsager.
Enhver sikkerhedssoftware vil ikke se, at nogle helt nye, skinnende, ukendte programmer pludselig køres og bruges i en del af angrebet.
Men værktøjer som PowerShell er der allerede - det er når spillene begynder med hensyn til at prøve at finde ud af, "Er det noget godt, eller er det noget dårligt?"
Jeg ville ønske, at der var et enkelt-linje svar på, hvordan vi opdager ondsindet PowerShell versus godartet, men faktisk er det en ret kompleks situation.
Hvad gør PowerShell-processen præcist selv?
I den ene ende af spektret kan du bruge teknologi som for eksempel applikationskontrol.
Og som administrator kunne du vælge: "PowerShell, du skal ikke have lov til at køre i mit miljø."
Det er en slags universalmiddel, hvis du vil, og det ville forhindre PowerShell i at blive misbrugt, men det ville også bryde masser af legitim aktivitet, inklusive kernestyringen af de fleste Windows-maskiner i dag.
AND. Ok så applikationskontrol er Sophos' navn for evnen til at opdage og eventuelt blokere software, der ikke er malware, men som en velinformeret administrator måske ikke ønsker at understøtte i deres miljø?
FRASER. Præcis.
Og det handler ikke kun om administratorer og deres valg af "Hvilken applikation skal mine brugere have lov til at bruge?"
Det handler om grundlæggende.
Hvis du tænker på sikkerhed, hvad er en af de ting, vi har fortalt folk i de sidste 5 eller 10 år?
"Lappe!"
Hvis du er administrator, og du tillader enhver at bruge den applikation, de vil have til deres browser, er det måske 5 til 10 forskellige browsere, som du skal lappe.
Faktisk, for administratorer, lader teknologier som applikationskontrol dem indsnævre trusselsoverfladen.
AND. Men PowerShell ... nogle mennesker siger, "Åh, bare bloker PowerShell. Bloker alle .PS1 filer. Færdigt arbejde."
FRASER. Det er ikke helt så enkelt!
AND. Kunne en sysadmin klare sig uden PowerShell i et moderne Windows-netværk?
FRASER. [PAUSE] Nej.
[LATTER]
Jeg mener, der er politikmuligheder, som de kan vælge kun at tillade, at visse signerede scripts, for eksempel, køres.
Men der er en lang række tips og teknikker, som angriberne kender, som også forsøger at omgå disse mekanismer.
Nogle af de ældre scriptingmotorer... det bedste eksempel er Windows Scripting Host – de fleste ved ikke, at den er der.
Det er ikke den one-stop-shop for admin, som PowerShell er, men WSCRIPT , CSCRIPT...
...disse binære filer, igen, er på hver eneste Windows-boks.
De er meget mere gennemførlige at blokere, og de bliver misbrugt igen af malware.
AND. Så Windows Scripting Host inkluderer ting som JavaScript (kører ikke i din browser, uden for din browser) og gode gamle Visual Basic Script?
FRASER. Der er en lang række af dem.
AND. Nu er Visual Basic-scriptet udgået af Microsoft, er det ikke?
Men det er stadig understøttet og stadig meget udbredt?
FRASER. Det er meget populært blandt Bad Guys, ja.
Og det er ikke kun script-motorer.
Jeg kan ikke huske præcis, hvor mange binære filer der er på nogle af de vigtigste LOLBIN-lister, der er derude.
Med den rigtige kombination af switches, pludselig en binær, som du kan bruge til at administrere f.eks. certifikater lokalt...
…kan faktisk bruges til at downloade ethvert indhold fra en ekstern server og gemme det på disken lokalt.
AND. Er det CERTUTIL.EXE?
FRASER. Ja, CERTUTIL, for eksempel.
AND. For det kan også bruges til at gøre ting som at beregne fil-hash.
FRASER. Det kunne bruges til at downloade for eksempel base64-kodet eksekverbart indhold, gemme det lokalt og afkode det.
Og så kunne det indhold køres - som en måde at komme igennem dine web-gateways, for eksempel.
AND. Og det bliver endnu værre med PowerShell, ikke?
Fordi du kan tage en base64-kodet streng og føre den ind i PowerShell som inputscriptet, og det vil stille og roligt afkode det for dig.
Og du kan endda indsætte en kommandolinjeindstilling, kan du ikke sige, "Hey, hvis brugeren sagde 'tillad ikke scripts at udføre fra kommandolinjen', så ignorere det - det vil jeg gerne tilsidesætte"?
FRASER. Du nævnte .PS1 filer.
Det er en fysisk scriptfil, der muligvis findes på disken.
Faktisk er PowerShell ret dygtig til at gøre tingene filløst, så bare selve kommandolinjen kan indeholde hele PowerShell-kommandoen.
AND. Nu, min forståelse er, at de fleste såkaldte "filløs malware" involverer filer, sandsynligvis en hel del filer i dens drift...
…men der vil være et nøglepunkt, hvor noget du måske opdager *kun eksisterer i hukommelsen*.
Så sikkerhedssoftware, der kun er i stand til at overvåge diskadgang, vil gå glip af.
Hvordan håndterer man den slags situationer, hvor skurkene har fået alt det her semi-mistænkelige ting, og så har de skjult det virkelig farlige med dette filløse, kun hukommelsestrick?
Hvordan håndterer du det?
FRASER. En af de måder, vi håndterer det på, især med hensyn til PowerShell, er, at Microsoft leverer en grænseflade, der giver os indsigt i PowerShells adfærd.
Så AMSI er en grænseflade, som leverandører, sikkerhedsleverandører, kan bruge til at få et indblik i malware.
AND. AMSI er... Anti-Malware scanningsgrænseflade?
FRASER. Præcis.
Det giver os et vindue til PowerShells adfærd på ethvert tidspunkt.
Så da det måske gør tingene filløst... alle traditionelle aflytningpunkter, der leder efter filer på disken, vil de ikke komme i spil.
Men selve PowerShells adfærd vil generere aktivitet, hvis du vil, inden for AMSI-grænsefladen, som giver os mulighed for at genkende og blokere visse typer ondsindet PowerShell-aktivitet.
Den anden ting er, at selvom "filløs" ses som lidt af et vidundermiddel for de onde...
...faktisk er en af de ting, som de fleste angribere er ude efter på et tidspunkt, hvad vi kalder udholdenhed.
OK, de har noget kode kørende på maskinen... men hvad sker der, hvis den maskine genstartes?
Så deres filløse malware vil typisk søge at tilføje et vist niveau af vedholdenhed.
Så de fleste af de filløse angreb, som vi har set, har faktisk interaktion, typisk med Windows-registreringsdatabasen – de bruger registreringsdatabasen som en måde at opnå persistens på.
Typisk placerer de en slags BLOB [binært stort objekt] af data i registreringsdatabasen og ændrer nogle registreringsnøgler, således at når maskinen genstartes, bliver den BLOB afkodet, og ondsindet adfærd fortsætter igen.
Nutidens produkter handler om en lang række teknologier, fra simple, helt igennem til helt ekstraordinært komplekse.
AND. Det hjælper også med at forklare, hvorfor folk tager filer, der er en slags forløbere for malware, men som ikke selv er åbenlyst ondsindede, uploader dem til en onlinetjeneste som f.eks. Virus Total...
…og gå, "Hey, ingen opdager dette. Alle sikkerhedsprodukter er ubrugelige."
Men det betyder ikke, at filen kan springe ud i livet og begynde at gøre dårlige ting uden at blive stoppet...
FRASER. Det er en meget god pointe.
Jeg tror, det er noget, sikkerhedsindustrien har prøvet ... men det faktum, at vi stadig taler om det - vi har sandsynligvis ikke formået at få denne pointe igennem:
Hvad er beskyttelse?
Hvad mener vi egentlig?
Hvad betyder det typisk at beskytte nogen mod en trussel?
De fleste mennesker har en tendens til at tænke på det sådan her... OK, de har en trussel; de vil have en fil, der er "truslen"; og de vil se, om den fil bliver opdaget.
Men det særlige angreb... lad os antage, at det er en bot.
Der kan være 10,000 af disse filer *hver eneste dag*, da de slemme fyre drejer deres håndtag og kasserer en masse forskellige replikaer, der i det væsentlige alle er de samme grundlæggende ting.
Og så det faktum, at 1, eller 10 eller 100 af disse filer bliver opdaget...
…det fortæller dig ikke ret meget om, hvor godt et produkt kan beskytte mod den trussel.
AND. "Bot" betyder software robot?.
I bund og grund er det noget, der sidder på din computer regelmæssigt, ringer hjem eller spørger en tilfældig server?
FRASER. Præcis.
AND. Denne server kan ændre sig fra dag til dag ... og botten vil ofte downloade en liste med instruktioner, såsom "Her er en liste over e-mail-adresser til spam."
Dernæst kunne det være, "Her er en liste over filtypenavne, jeg vil have dig til at kryptere", eller det kunne være "Tænd for keylogger"?
FRASER. Præcis.
AND. Eller "Tag et skærmbillede lige nu, de er i bankappen".
Det er i bund og grund en aktiv bagdør...
FRASER. Det *er* en bagdør, ja.
Og vi talte om bagdøre for 20 år siden... Jeg kan huske, at jeg lavede kundepræsentationer for 20 år siden, hvor jeg talte om bagdøre.
AND. "Bagåbning", hvis du husker...
FRASER. Ja, ja!
Vi forsøgte at overbevise kunderne om, at mange af bagdørene derude faktisk var vigtigere end datidens højprofilerede malware.
Det, du ikke ønsker at blive inficeret med, er bagdørene, som giver en eller anden miscreant mulighed for at styre din maskine og lave dårlige ting, såsom at se dit filsystem igennem eller ændre data på dit system.
Det er en langt mere skræmmende trussel end for eksempel en selvreplikerende orm, der bare spreder sig fra computer til computer.
Det kan få pressen, og det kan forårsage problemer i og i sig selv...
…men faktisk er nogen, der har adgang til dit system, nok en meget større trussel.
AND. Og tænker tilbage på Back Orifice i... hvad var det i 1999? 2000?
Det er velkendt, at den lyttede på port 13337, ikke?
FRASER. Du har en god hukommelse [griner]... ja, "elite"!
AND. Og så snart folk begyndte at komme ind på DSL-forbindelser derhjemme og have en hjemmerouter, var Back Orifice ubrugelig, fordi indgående forbindelser ikke virkede.
Og så tænkte folk: "Åh, jamen, bagdøre er afhængige af indgående netværksforbindelser - jeg er som standard beskyttet af min internetudbyder, så jeg behøver ikke bekymre mig om det."
Men nutidens zombier, nutidens bots – de ringer hjem ved hjælp af en slags krypteret eller hemmelighedsfuld kanal, og de *downloader* instruktionerne...
FRASER. Og fordi det er på HTTPS, skjuler de dybest set denne netværksaktivitet blandt de million-og-en andre webpakker, der går ud hvert minut på de fleste hjemmeforbindelser.
AND. Så det er endnu en grund til, at du vil have dybdeforsvar eller lagdelt beskyttelse?
FRASER. Ja.
AND. Det er klart, nye filer – du vil undersøge dem; du vil ikke gå glip af malware, som du kunne have opdaget.
Men filen kan være uskyldig i øjeblikket, og den kan vise sig at være useriøs, efter at den er indlæst; efter at det har manipuleret sig selv i hukommelsen; efter det er blevet kaldt ud og downloadet ting...
FRASER. Og så, for at vende tilbage til det oprindelige punkt: Hvordan vi måler sikkerhedsprodukter i dag er mere kompleks, end den nogensinde har været.
AND. Fordi nogle mennesker stadig har den idé, at hvis du virkelig vil teste et produkt, får du bare en kæmpe spand fuld af malware, alt i filer...
FRASER. Almindeligvis kaldet "en zoologisk have".
AND. …og du sætter det på en server isoleret et eller andet sted.
Så scanner du den med en statisk scanner, og du finder ud af, hvor mange den registrerer, og den fortæller dig, hvordan produktet opfører sig.
"Virus Total"-tilgangen.
Men det: [A] vil have en tendens til at undervurdere gode produkter, og [B] kan overvurdere dårlige produkter.
FRASER. Eller produkter, der udelukkende er specialiseret i at detektere filer, med det formål primært at se godt ud i den slags zoo-baserede tests.
Det oversættes ikke til et produkt i den virkelige verden, der rent faktisk vil give gode niveauer af beskyttelse!
I virkeligheden blokerer vi filer... selvfølgelig gør vi det – filen er stadig en meget vigtig valuta, hvis du vil, hvad angår beskyttelse.
Men der er masser af andre ting, for eksempel som AMSI-grænsefladen, der lader os blokere ondsindet PowerShell-aktivitet, og et programs adfærd i sig selv.
Så inden for vores produkt ser adfærdsmotoren på adfærden af processer, netværk, trafik, registreringsaktivitet...
…og det kombinerede billede lader os spotte potentielt ondsindet adfærd med det formål at blokere ikke nødvendigvis en bestemt familie, eller endda en bestemt slags trussel, men blot *ondsindet aktivitet*.
Hvis der er visse typer adfærd, som vi kan fastslå, er direkte ondsindede, vil vi ofte forsøge at blokere det.
Vi kan blokere en bestemt type ondsindet adfærd i dag, og så en trusselsfamilie, der endnu ikke er blevet skrevet – om tre måneder kan den bruge den samme adfærd, og vi vil proaktivt opdage det.
Så det er den hellige gral af det, vi gør: proaktiv beskyttelse.
Evnen for os til at skrive noget i dag, som i fremtiden med succes vil blokere for ondsindet adfærd.
AND. Jeg formoder, at et godt eksempel på det, for at gå tilbage til det, vi nævnte før, er CERTUTIL.EXE – det certifikatvalideringsværktøj.
Du bruger det måske i dine egne scripts, i dine egne sysadministrationsværktøjer, men alligevel er der nogle adfærd, som du ikke ville forvente, selvom det program kan laves til at gøre disse ting.
De ville skille sig ud.
FRASER. De ville skille sig ud, præcis.
AND. Så du kan ikke sige, "Programmet er dårligt", men på et tidspunkt i dets adfærd kan du sige, "Aha, nu er det gået for vidt!"
FRASER. Og det berører et andet interessant aspekt af nutidens landskab.
Historisk set EVIL.EXE løber; vi kan finde filen; vi kan opdage ondsindet adfærd; vi renser det fra dit system.
Du talte om LOLBIN'er... når vi opdager, at PowerShell gør noget ondsindet, fjerner vi naturligvis ikke POWERSHELL.EXE fra det system.
AND. "Åh, jeg fandt, at Windows gjorde noget dårligt - tør hele systemet!"
[LATTER]
FRASER. Vi blokerer grundlæggende for den proces; vi stopper den proces med at gøre, hvad den var ved at gøre; og vi afslutter det.
Men PowerShell eksisterer stadig på det fysiske system.
Faktisk er dagens angribere også meget forskellige fra gårsdagens angribere.
Dagens angribere handler om at have et mål; have et formål.
Den gamle model var mere spray-and-pray, hvis du vil.
Hvis nogen blokerer angrebet... uheld, giver de op – der er ingen menneskelig tilstedeværelse der.
Hvis angrebet virker, bliver data stjålet, en maskine bliver kompromitteret, hvad end den tilfældigvis er, men hvis angrebet blev blokeret, sker der intet andet på systemet.
I dagens angreb er der faktisk meget mere et menneskeligt element.
Så typisk i mange angreb, vi ser i dag – dette er karakteriseret ved mange af ransomware-angrebene, hvor skurkene specifikt forsøger at målrette bestemte organisationer med deres ransomware-kreationer...
…når noget er blokeret, prøver de igen, og de bliver ved med at prøve igen.
Mens vi blokerer ting og blokerer forskellige typer ondsindet adfærd, er der noget bag kulisserne; en *person* bag kulisserne; en trusselgruppe bag kulisserne, der prøver igen.
AND. Så for 10 eller 15 år siden var det: "Åh, vi fandt denne helt nye, hidtil ukendte Word-malware. Vi har slettet filen og ryddet op i den, og vi har skrevet den i loggen”.
Og alle går ind i mødet og krydser det af, og klapper hinanden på skulderen: “Fantastisk! Færdigt arbejde! Klar til næste måned."
FRASER. Nu er det meget anderledes.
AND. I dag, *det var ikke angrebet*.
FRASER. Nej!
AND. Det var bare en forløber, et "Jeg spekulerer på, hvilket mærke af røgdetektorer de bruger?" en slags test.
FRASER. Præcis.
AND. Og de har ikke planer om at bruge den malware.
De prøver bare at gætte præcis hvilken beskyttelse du har?
Hvad er tændt; hvilke mapper er inkluderet; hvilke mapper er udelukket fra din scanning; hvilke ambient-indstillinger har du?
FRASER. Og det vi taler om i dag er aktive modstandere.
Aktive modstandere... de får masser af presse.
Det er konceptet for hele MITER ATT&CK-rammen – det er i bund og grund en bibel, en ordbog, om du vil, af kombinationer af taktik.
Taktikken er vertikalerne; de horisontale er teknikkerne.
Jeg tror, der er 14 taktikker, men jeg ved ikke, hvor mange teknikker ... hundredvis?
AND. Det kan være lidt svimlende, det der MITER-gitter!
FRASER. Det er i det væsentlige en ordbog over de forskellige typer ting, de forskellige typer teknik, som i det væsentlige kunne bruges på et system på godt og ondt.
Men det er i det væsentlige tilpasset angribere og aktive modstandere.
Hvis du vil, er det en taksonomi af, hvad en aktiv modstander kan gøre, når han er på systemet.
AND. Jo, fordi i gamle dage (du og jeg vil huske det, fordi vi begge brugte tid på at skrive omfattende malware-beskrivelser, den slags ting, der var nødvendige for 15 eller 20 år siden – du talte om EVIL.EXE) ...
…fordi de fleste trusler dengang var vira, med andre ord spredte de sig selv, og de var selvstændige.
Engang havde vi det...
FRASER. …du kunne dokumentere, A-til-Z, præcis, hvad det gjorde på systemet.
AND. Så en masse malware dengang, hvis man ser på, hvordan de gemte sig; hvordan de gik i hukommelsen; polymorfi; alle de ting – mange af dem var meget mere komplicerede at analysere de ting i dag.
Men når man først vidste, hvordan det fungerede, vidste man, hvordan hver generation muligvis ville se ud, og man kunne skrive en komplet beskrivelse.
FRASER. Ja.
AND. Nu kan du bare ikke gøre det.
"Nå, denne malware downloader noget anden malware."
Hvilken malware?
"Jeg ved ikke."
FRASER. Overvej for eksempel en simpel læsser: den kører; den forbinder med jævne mellemrum.
Angriberen har evnen til at skyde i en eller anden form for kodet BLOB – lad os for eksempel antage, at det er en DLL, et dynamisk linkbibliotek, et modul... i det væsentlige noget eksekverbar kode.
Så, "Hvad gør den trussel?"
Nå, det afhænger nøjagtigt og fuldstændigt af, hvad angriberen sender ned ad ledningen.
AND. Og det kan ændre sig dag for dag.
Det kan ændre sig efter kilde-IP: "Er du i Tyskland? Er du i Sverige? Er du i Storbritannien?”
FRASER. Åh, ja, det ser vi ret tit.
AND. Den kunne også sige: "Hej, du har allerede forbindelse, så vi giver dig mad NOTEPAD eller en uskyldig fil næste gang."
FRASER. Ja.
Angriberne vil typisk have teknikker, de bruger til at prøve at få øje på, hvornår det er os [dvs. SophosLabs], der prøver at køre deres skabelse.
Så de fodrer os ikke, hvad der kunne være den ultimative nyttelast.
De ønsker ikke, at vi skal se nyttelasten – de ønsker kun, at ofrene skal se den nyttelast.
Nogle gange går tingene bare stille ud; nogle gange løber de bare CALC eller NOTEPAD, eller noget åbenlyst fjollet; nogle gange får vi måske en uhøflig besked dukker op.
Men typisk vil de forsøge at holde den ultimative nyttelast tilbage og reservere den til deres ofre.
AND. Og det betyder også...
…Jeg brugte glat ordet "polymorfi" tidligere; det var meget almindeligt i vira dengang, hvor hver gang virussen kopierede sig selv til en ny fil, ville den dybest set permutere sin kode, ofte på en meget kompliceret måde, endda omskrive sin egen algoritme.
Men du kunne få den motor, der gjorde det.
FRASER. Ja.
AND. Nu holder skurkerne det for sig selv.
FRASER. Det er på en server et andet sted.
AND. Og de drejer håndtaget i baggrunden.
FRASER. Ja.
AND. Og du nævnte også læssere - folk har måske hørt om ting som BuerLoader, BazaarLoader, de er en slags velkendte "mærkenavne"...
..i nogle tilfælde er der bander af skurke, og det er alt, de gør.
De skriver ikke den malware, der kommer næste gang.
De siger bare: "Hvad vil du have, vi skal indlæse? Giv os URL'en, og vi injicerer den for dig."
FRASER. De originale bot-operatører fra 15 eller 20 år siden – hvordan tjente de penge?
De kompromitterede netværk af maskiner – det er i bund og grund hvad en botnet er, masser af maskiner under deres kommando - og så kunne de i princippet leje det "netværk ud".
Det kunne være for distribueret lammelsesangreb – få alle disse inficerede maskiner til at ramme én webserver for eksempel, og tag den webserver ud.
Det kan være ret almindeligt for spam, som du allerede har nævnt.
Og så den naturlige udvikling af det, på en eller anden måde, er nutidens læsser.
Hvis nogen har et system inficeret med en loader, og den loader ringer hjem, har du i det væsentlige en bot.
Du har evnen til at køre ting på den maskine...
…så, ligesom du siger, behøver disse cyberkriminelle ikke at bekymre sig om, hvad den ultimative nyttelast er.
Er det ransomware?
Er det datatyveri?
De har et køretøj ... og ransomware er næsten den endelige udbetaling.
"Vi har gjort alt, hvad vi ønskede at gøre." (Eller vi fejlede i alt det andet, vi håbede på at gøre.)
"Lad os bare prøve ransomware..."
AND. "Vi har logget alle adgangskoder nu, der er ikke flere at hente." [griner]
FRASER. Der er ingen andre steder at tage hen!
AND. "Vi har stjålet alle data."
FRASER. Præcis... den sidste udbetaling er ransomware!
På det tidspunkt er brugeren klar over, og administratorerne klar over, at der er datatab.
Så dagens loader er næsten en forlængelse af, en udvikling af, gårsdagens bot.
AND. Fraser, jeg er bevidst om tid...
Så givet at du har malet et billede, der klart kræver fuldtidsarbejde, fuldtidsforståelse – du er en ekspertforsker, du har gjort dette i årevis.
Ikke alle kan opgive deres daglige job inden for IT eller systemadministration for at have *en anden* dagjob for at være som dig i organisationen.
Hvis du skulle give tre enkle tips til, hvad du bør gøre (eller hvad du ikke bør gøre) i dag for at håndtere, hvad der er en mere kompliceret, mere fragmenteret måde at angribe fra skurkene - en, der giver os mange flere fly, som vi skal forsvare...
… hvad ville de tre ting være?
FRASER. Det er et svært spørgsmål.
Jeg tror den første skal være: at have bevidsthed og synlighed i din organisation.
Det lyder simpelt, men vi ser ret ofte angreb, hvor udgangspunktet for et angreb var en ubeskyttet boks.
Så du har en organisation...
…de har en vidunderlig it-politik; de har produkter installeret på tværs af netværket, korrekt konfigureret; de har måske et hold af mennesker, der holder øje med alle de små sensorer og alle de data, der kommer tilbage fra disse produkter.
Men de har en domænecontroller, der var ubeskyttet, og det lykkedes de onde at komme ind på.
Og så, inden for hele MITER ATT&CK-rammerne, er der én teknik kaldet lateral bevægelse...
…når angrebene er på en kasse, vil de fortsætte med at forsøge at bevæge sig derfra på tværs af organisationen.
Og den første form for fodfæste giver dem et punkt, hvorfra de kan gøre det.
Så synlighed er det første punkt.
AND. Du skal også vide, hvad du ikke ved!
FRASER. Ja – at have synlighed i alle enheder på dit netværk.
Nummer to er: konfiguration.
Dette er lidt af en tornet en, fordi ingen kan lide at tale om politikker og konfiguration – det er ærlig talt ret kedeligt.
AND. Det er dog lidt vigtigt!
FRASER. Helt afgørende.
AND. "Hvis du ikke kan måle det, kan du ikke klare det," som det gamle ordsprog siger.
FRASER. Jeg tror min ene anbefaling til det ville være: hvis det overhovedet er muligt, brug de anbefalede standardindstillinger.
Så snart du afviger fra anbefalede standardindstillinger, slår du typisk enten ting fra (dårlige!), eller også udelukker du visse ting.
AND. Ja.
FRASER. For eksempel at ekskludere en bestemt mappe.
Nu kan det være helt acceptabelt - du har måske et brugerdefineret program i det, et brugerdefineret databaseprogram, hvor du siger, "Jeg vil ikke scanne filer i denne særlige mappe."
Det er ikke helt så godt, hvis du udelukker for eksempel Windows-mappen!
AND. "Udelukke C:*.* og alle undermapper." [griner]
FRASER. Det er.
AND. Du tilføjer en, du tilføjer en anden, og så går du ikke og anmelder den...
...du ender, hvor du stort set har alle døre og alle vinduer stående åbne.
FRASER. Det er lidt ligesom en firewall.
Du blokerer alt; du prikker et par huller: fint.
Du bliver ved med at stikke huller i de næste tre år, og før du ved, hvor du er...
…du har schweizisk ost som din firewall.
[LATTER]
Det kommer ikke til at virke!
Så, konfiguration er virkelig vigtig, og hold dig, hvis det overhovedet er muligt, til standardindstillingerne.
AND. Ja.
FRASER. Hold dig til standardindstillinger, fordi ... de anbefalede standardindstillinger - de anbefales af en grund!
Inden for vores egne produkter, for eksempel, når du afviger fra standardindstillinger, vil du ret ofte få en rød bjælke, der advarer om, at du dybest set deaktiverer beskyttelse.
AND. Hvis du skal off-piste, så sørg for, at du virkelig ville!
FRASER. Sørg for god udsyn.
Og jeg gætter på, at det tredje punkt altså er: anerkend det krævede færdighedssæt.
AND. Vær ikke bange for at ringe efter hjælp?
FRASER. Ja: Vær ikke bange for at ringe efter hjælp!
Sikkerhed er kompleks.
Vi kan godt lide at tænke på, at det er enkelt: "Hvilke tre ting kan vi gøre? Hvilke simple ting kan vi gøre?"
Faktisk er virkeligheden, at nutidens sikkerhed er meget kompliceret.
Produkter kan forsøge at pakke det sammen på en ret simpel måde og give gode niveauer af beskyttelse og gode niveauer af synlighed i forskellige typer adfærd, der sker i et netværk.
Men hvis du ikke har de færdigheder, eller ressourcerne for den sags skyld, til at arbejde gennem de begivenheder, der kommer ind og rammer dit dashboard...
…find nogen, der gør det!
For eksempel kan brug af en administreret tjeneste gøre en enorm forskel for din sikkerhed, og det kan bare fjerne den hovedpine.
AND. Det er ikke en indrømmelse af nederlag, vel?
Du siger ikke, "Åh, jeg kan ikke gøre det selv."
FRASER. Vi taler 24 x 7 x 365.
Så for nogen at gøre det internt er en massiv opgave.
Og vi taler også om komplekse data – og vi talte om aktive modstandere og den slags angreb.
Vi ved, at de onde, selv når vi blokerer ting, vil fortsætte med at prøve igen: de vil ændre tingene.
Et godt team, der ser på disse data, vil genkende den type adfærd, og de vil ikke kun vide, at noget bliver blokeret, de mennesker vil også tænke, "OK, der er nogen, der gentagne gange forsøger at komme ind ad den dør."
Det er en ganske nyttig indikator for dem, og de vil tage affære, og de vil løse angrebet.
[PAUSE]
Tre ret gode råd der!
AND. Fremragende, Fraser!
Mange tak, og tak fordi du deler din erfaring og din ekspertise med os.
Tusind tak til alle, der lytter.
Og nu er det kun for mig at sige: "Indtil næste gang, vær sikker."
[MORSE KODE]
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminalitet
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- fraser howard
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- podcast
- Sikkerhedsledelse
- Sikkerhed SOS uge
- sophoslabs
- SOS uge
- trussel forebyggelse
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep94: Denne form for krypto (grafi) og den anden form for krypto (valuta!) [Audio + Tekst] PlatoBlockchain Data Intelligence. Lodret søgning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "S3 Ep94: Denne slags krypto (grafi) og den anden form for krypto (valuta!) [Lyd + Tekst]")
