Phishing ist seit langem eine der besten Methoden, um Zugang zu einer Zielorganisation zu erhalten. Früher war das nicht so. In den frühen Tagen der Computersicherheit war der Remote Code Exploit (RCE) die bevorzugte Methode, um Zugriff zu erhalten, da er keine Benutzerinteraktion erforderte. Wenn etwas eine Benutzerinteraktion erforderte, wurde es tatsächlich nicht als ernsthafte Bedrohung angesehen. Bessere Sicherheitspraktiken begannen sich durchzusetzen, und die RCE-Zugriffsmethode wurde viel schwieriger. Und es stellte sich heraus, dass es einfacher als je zuvor war, Benutzer zur Interaktion zu bewegen.
Derselbe Zyklus hat begonnen, sich mit lokalen Zielen zu wiederholen. Unternehmen haben damit begonnen, Fortschritte beim Schutz ihrer internen Netzwerke gegen die Verwendung von Endpoint Detection and Response (EDR) zu machen, und andere Technologien sind besser gerüstet, um Malware und Lateral Movement zu erkennen. Obwohl Angriffe immer schwieriger werden, ist dies für einen Angreifer noch lange keine wirkungslose Strategie. Der Einsatz von Ransomware und anderen Formen von Malware ist immer noch eine häufige Folge.
Warum Ihre Cloud-Infrastruktur ein Top-Ziel für Phishing-Angriffe ist
Die Cloud hat Phishern eine ganz neue Angriffsfläche eröffnet, und es stellt sich heraus, dass sie sehr gefährlich sein kann. SaaS-Umgebungen sind reife Ziele für Phishing-Angriffe und können dem Angreifer viel mehr als nur den Zugriff auf einige E-Mails geben. Sicherheitstools werden in diesem Umfeld noch ausgereift, was Angreifern ein Zeitfenster bietet, in dem Methoden wie Phishing-Angriffe sehr effektiv sein können.
Phishing-Angriffe auf Entwickler und die Softwarelieferkette
Wie wir kürzlich gesehen haben, Dropbox hatte einen Vorfall aufgrund eines Phishing-Angriffs auf seine Entwickler. Sie wurden hereingelegt Geben Sie ihre Github-Anmeldeinformationen an an einen Angreifer durch eine Phishing-E-Mail und eine gefälschte Website, trotz Multifaktor-Authentifizierung (MFA). Was das beängstigend macht, ist, dass es sich nicht nur um einen zufälligen Benutzer aus dem Vertrieb oder einer anderen Geschäftsfunktion handelte, sondern um Entwickler mit Zugriff auf viele Dropbox-Daten. Glücklicherweise scheint der Umfang des Vorfalls die kritischsten Daten von Dropbox nicht zu beeinträchtigen.
GitHub und andere Plattformen im Bereich Continuous Integration/Continuous Deployment (CI/CD) sind für viele Unternehmen die neuen „Kronjuwelen“. Mit dem richtigen Zugriff können Angreifer geistiges Eigentum stehlen, Quellcode und andere Daten preisgeben oder sich verhalten Angriffe auf die Lieferkette. Es geht sogar noch weiter, da GitHub oft mit anderen Plattformen integriert ist, die der Angreifer möglicherweise schwenken kann. All dies kann geschehen, ohne jemals das lokale Netzwerk des Opfers oder viele der anderen Sicherheitstools, die Unternehmen erworben haben, zu berühren, da es sich ausschließlich um Software-as-a-Service (SaaS)-to-SaaS handelt.
Sicherheit kann in diesem Szenario eine Herausforderung darstellen. Jeder SaaS-Anbieter macht das anders. Der Einblick eines Kunden in das, was auf diesen Plattformen passiert, ist oft begrenzt. GitHub gewährt beispielsweise nur im Rahmen seines Enterprise-Plans Zugriff auf seine Audit-Log-API. Sichtbarkeit zu erlangen, ist nur die erste Hürde, die es zu überwinden gilt, die nächste wäre, nützliche Erkennungsinhalte darum herum zu erstellen. SaaS-Anbieter können sehr unterschiedlich sein in dem, was sie tun und welche Daten sie bereitstellen. Um die Erkennungen durchführen und aufrechterhalten zu können, ist ein kontextbezogenes Verständnis ihrer Funktionsweise erforderlich. Ihre Organisation hat möglicherweise viele solcher SaaS-Plattformen im Einsatz.
Wie mindern Sie Risiken im Zusammenhang mit Phishing in der Cloud?
Identitätsplattformen wie Okta können helfen, das Risiko zu mindern, aber nicht vollständig. Das Identifizieren nicht autorisierter Anmeldungen ist sicherlich eine der besten Möglichkeiten, Phishing-Angriffe zu entdecken und darauf zu reagieren. Das ist leichter gesagt als getan, da Angreifer sich an die üblichen Methoden zur Erkennung ihrer Anwesenheit gewöhnt haben. Proxy-Server oder VPNs werden leicht verwendet, um zumindest den Anschein zu erwecken, aus demselben allgemeinen Gebiet wie der Benutzer zu stammen, um Länder- oder unmögliche Reiseerkennungen zu umgehen. Fortgeschrittenere Modelle des maschinellen Lernens können angewendet werden, aber diese sind noch nicht weit verbreitet oder erprobt.
Die herkömmliche Bedrohungserkennung beginnt sich auch an die SaaS-Welt anzupassen. Falco, ein beliebtes Tool zur Erkennung von Bedrohungen für Container und die Cloud, verfügt über ein Plug-in-System, das nahezu jede Plattform unterstützen kann. Das Falco-Team hat unter anderem bereits Plug-Ins und Regeln für Okta und GitHub veröffentlicht. Zum Beispiel, das GitHub-Plugin hat eine Regel, die ausgelöst wird, wenn Commits Anzeichen eines Krypto-Miners aufweisen. Die Nutzung dieser speziell entwickelten Erkennungen ist ein guter Einstieg, um diese Plattformen in Ihr allgemeines Bedrohungserkennungsprogramm zu integrieren.
Phishing ist gekommen, um zu bleiben
Phishing und Social Engineering im Allgemeinen werden nie auf der Strecke bleiben. Es ist seit Jahren eine effektive Angriffsmethode und wird es so lange sein, wie Menschen kommunizieren. Es ist wichtig zu verstehen, dass diese Angriffe nicht auf die Infrastruktur beschränkt sind, die Sie besitzen oder direkt verwalten. SaaS ist besonders gefährdet, da die meisten Unternehmen nicht wissen, was tatsächlich auf diesen Plattformen passiert. Ihre Sicherheit kann nicht als Problem eines anderen abgeschrieben werden, da eine einfache E-Mail und eine gefälschte Website ausreichen, um Zugriff auf diese Ressourcen zu erhalten.
