Warum Identitätsmanagement der Schlüssel zum Stoppen von APT-Cyberangriffen ist

Dark Reading News Desk interviewte Adam Meyers, Leiter der Abwehroperationen bei CrowdStrike bei Black Hat USA 2023. Schauen Sie sich den News Desk-Clip an YouTube (Transkript unten).

Dunkle Lektüre, Becky Bracken: Hallo zusammen, und willkommen zurück am Dark Reading News Desk, der Sie live von Black Hat 2023 erwartet. Ich bin Becky Bracken, Redakteurin bei Dark Reading, und ich bin hier, um Adam Meyers, Leiter der Abteilung für die Abwehr von Gegnern bei CrowdStrike, zu begrüßen. zum Dark Reading News Desk.

Danke, dass du dabei bist, Adam. Ich schätze es. Letztes Jahr waren alle sehr konzentriert APT-Gruppen in Russland, was sie waren in der Ukraine tunund wie die Cybersicherheitsgemeinschaft sich zusammenschließen und ihnen helfen könnte. Seitdem scheint sich der Boden ziemlich stark verändert zu haben. Können Sie uns einen Überblick darüber geben, was derzeit in Russland im Vergleich zu vielleicht einem Jahr passiert?

Adam Meyers: Daher denke ich, dass es darüber natürlich große Bedenken gibt. Sicherlich denke ich, dass wir gesehen haben, dass die Störungen, die im Allgemeinen nach Beginn des Konflikts auftraten, nicht verschwinden. Aber während (wir uns darauf konzentrierten) wissen Sie, was mit den Russen los war, haben die Chinesen eine etabliert enormer Datenerfassungsaufwand darum herum.

DR: Haben sie (die chinesische Regierung und assoziierte APT-Gruppen) die russische Invasion als Deckung genutzt, während alle hierher schauten? Haben sie das vorher gemacht?

AM: Das ist eine gute Frage. Ich denke, es hat geklappt, dass es diese Art von Deckung bot, weil sich alle so sehr auf das konzentrierten, was in Russland und der Ukraine geschah. Es lenkte also vom stetigen Trommeln aller ab, die „China“ riefen oder Dinge taten, die darauf hindeuteten, dass sie dort waren.

DR: Wir kennen also die Beweggründe Russlands. Wie wäre es mit Chinesische APT-Gruppen? Was sind ihre Beweggründe? Was versuchen sie zu tun?

AM: Es ist also riesig Sammelplattform. China verfügt über eine Reihe unterschiedlicher Großprogramme. Sie haben Dinge wie die von der chinesischen Regierung diktierten Fünfjahrespläne mit aggressiven Entwicklungsforderungen. Sie haben die „Hergestellt in China 2025„Initiative, sie haben die Gürtel und Straßen Initiative. Und so haben sie all diese verschiedenen Programme entwickelt, um die Wirtschaft in China wachsen zu lassen.

Einige der wichtigsten Ziele, auf die sie abzielen, betreffen Dinge wie das Gesundheitswesen. Es ist das erste Mal, dass die Chinesen es mit einer wachsenden Mittelschicht zu tun haben, und daher haben Fragen der Gesundheitsvorsorge, Diabetes, Krebsbehandlungen und all das Priorität. Und sie beziehen viel davon aus dem Westen. Sie (die Chinesen) wollen es dort bauen. Sie möchten Produkte haben, die dem Inland entsprechen, damit sie ihren eigenen Markt bedienen und diesen dann in die umliegende Region, den weiteren asiatisch-pazifischen Raum, ausweiten können. Und dadurch bauen sie zusätzlichen Einfluss auf. Sie bauen diese Verbindungen zu diesen Ländern auf, wo sie beginnen können, chinesische Produkte und Handelslösungen sowie chinesische Programme voranzutreiben … Wenn es also hart auf ein Thema ankommt – ein Taiwan oder so –, das ihnen bei den Vereinten Nationen nicht gefällt, können sie kann sagen: „Hey, du solltest wirklich so abstimmen. Wir würden uns darüber freuen.“

DR: Es ist also wirklich ein Nachrichtensammlung und ein Gewinn an geistigem Eigentum für Sie. Und was werden wir in den nächsten Jahren sehen? Werden sie diese Informationen operationalisieren?

AM: Das passiert gerade jetzt, wenn man sich anschaut, was sie mit KI gemacht haben. Schauen Sie sich an, was sie im Gesundheitswesen und in der Chipherstellung gemacht haben, wo sie die meisten ihrer Chips extern beziehen. Das wollen sie nicht.

Sie denken, dass die Leute sie als die Werkstatt der Welt betrachten und dass sie wirklich ein Innovator werden wollen. Und das wollen sie durch Hebelwirkung erreichen Chinesische APT-Gruppen und das Überholen (konkurrierender Nationen) durch Cyberoperationen, Cyberspionage, (Stehlen) dessen, was derzeit auf dem neuesten Stand der Technik ist, und dann können sie versuchen, darüber hinaus zu reproduzieren und Innovationen zu entwickeln.

DR: Interessant. Okay, wir verlassen China und gehen jetzt nach Nordkorea, und die sind im Geschäft – ihre APT-Gruppen sind Geldverdiener, oder? Das ist es, was sie tun wollen.

AM: Ja. Es gibt also drei Teile davon. Erstens dienen sie zweifellos der Diplomatie, dem Militär und der Politik Prozess der Informationserhebung, aber das tun sie auch geistiges Eigentum.

Sie starteten ein Programm namens National Economic Development Strategy (NEDS). Und damit gibt es sechs Kernbereiche, die sich auf Dinge wie Energie, Bergbau, Landwirtschaft, Schwermaschinen konzentrieren, alles Dinge, die mit der nordkoreanischen Wirtschaft verbunden sind.

Sie müssen die Kosten und den Lebensstil des durchschnittlichen nordkoreanischen Bürgers erhöhen. Nur 30 % der Bevölkerung verfügen über eine zuverlässige Stromversorgung, daher sind Dinge wie erneuerbare Energien und Möglichkeiten zur Energiegewinnung die Art von Daten Nordkoreanische APT-Gruppen sind auf der Suche nach).

Und dann Umsatzgenerierung. Sie wurden vom internationalen SWIFT-System und den internationalen Finanzwirtschaften abgeschnitten. Und jetzt müssen sie Wege finden, Einnahmen zu generieren. Sie haben ein sogenanntes Drittes Amt, das Einnahmen mit dem Regime und auch für die Familie generiert.

Und so begehen sie (das Dritte Amt) viele Dinge, Dinge wie Drogenhandel, Menschenhandel und auch Cyberkriminalität. Also Nordkoreanische APT-Gruppen war sehr effektiv bei der Ausrichtung auf traditionelle Finanz- und Kryptowährungsunternehmen. Und das haben wir gesehen – eines der Dinge in unserem Bericht, der gestern veröffentlicht wurde, zeigt, dass der Finanzsektor im letzten Jahr die am zweithäufigsten anvisierte Branche war, die die Telekommunikation ablöste. Es zeigt also Wirkung.

DR: Sie verdienen jede Menge Geld. Lassen Sie uns einen Blick darauf werfen, was meiner Meinung nach die andere wichtige Säule der APT-Aktion im Iran ist. Was ist da los? Iranische APT-Gruppen?

AM: Wir haben also in vielen Fällen gefälschte Personas gesehen, um ihre (iranischen) Feinde ins Visier zu nehmen – um Israel und die Vereinigten Staaten, quasi westliche Länder, anzugreifen. APT-Gruppen Mit Unterstützung des Iran erstellen sie diese gefälschten Personas und setzen Ransomware ein, aber es handelt sich nicht wirklich um Ransomware, weil es ihnen nicht unbedingt darum geht, das Geld einzusammeln. Sie (Iranische APT-Gruppen) wollen einfach nur diese Störung verursachen und dann sensible Informationen sammeln. All dies führt dazu, dass Menschen das Vertrauen in politische Organisationen oder die Unternehmen verlieren, die sie ins Visier nehmen. Es handelt sich also tatsächlich um eine störende Kampagne, die als Ransomware getarnt wird Iranische Bedrohungsakteure.

DR: Es muss sehr schwierig sein, die Motivation für viele dieser Angriffe zu bestimmen. Wie machst du das? Ich meine, woher wissen Sie, dass es nur ein Vorwand für Störungen und keine gewinnbringende Operation ist?

AM: Das ist eine tolle Frage, aber eigentlich ist sie gar nicht so schwierig, denn wenn man sich anschaut, was tatsächlich passiert, nicht wahr? – Was sich herausstellt – wenn sie kriminell und finanziell motiviert sind, werden sie Zahlungen leisten. Das ist das Ziel, oder?

Wenn es ihnen scheinbar nicht wirklich darum geht, Geld zu verdienen, z NotPetya Das ist zum Beispiel für uns ziemlich offensichtlich. Wir werden die Infrastruktur ins Visier nehmen und uns dann das Motiv selbst ansehen.

DR: Und was sind im Allgemeinen einige der Angriffe unter APT-Gruppen? du jour? Worauf verlassen sie sich im Moment wirklich?

AM: Wir haben also viel gesehen APT-Gruppen auf der Suche nach Netzwerkgeräten. Es gab viel mehr Angriffe auf Geräte, die verschiedenen Cloud-Systemen und Netzwerk-Appliances ausgesetzt waren, also Dinge, auf denen normalerweise keine modernen Endpunkt-Sicherheitsstacks installiert sind.

Und es sind nicht nur APT-Gruppen. Das sehen wir besonders deutlich bei Ransomware-Gruppen. 80 % der Angriffe nutzen also legitime Zugangsdaten, um einzudringen. Sie leben vom Land und bewegen sich von dort aus seitlich. Und wenn sie es dann können, werden sie in vielen Fällen versuchen, Ransomware auf einem Hypervisor bereitzustellen, der Ihr DVR-Tool nicht unterstützt, und dann können sie alle darauf laufenden Server sperren Hypervisor und die Organisation aus dem Geschäft bringen.

DR: Leider haben wir keine Zeit mehr. Ich würde das wirklich gerne noch viel länger besprechen, aber können Sie uns kurz Ihre Prognosen mitteilen? Was werden wir Ihrer Meinung nach in 12 Monaten im APT-Bereich sehen?

AM: Der Raum war ziemlich konstant. Ich denke, wir werden sehen, wie sie (APT-Gruppen) die Schwachstellenlandschaft weiterentwickeln.

Wenn Sie sich zum Beispiel China ansehen, muss praktisch jede Schwachstellenforschung über das Ministerium für Staatssicherheit erfolgen. Der Schwerpunkt liegt dort auf der Sammlung nachrichtendienstlicher Informationen. Das ist in manchen Fällen das Hauptmotiv; Es gibt auch Störungen.

Und dann, als Vorhersage, muss jeder darüber nachdenken Identity Management, wegen der Bedrohungen, die wir sehen. Diese Verstöße betreffen die Identität. Wir haben die sogenannte „Breakout-Zeit“, die misst, wie lange es dauert, bis ein Akteur von seinem ersten Halt in seiner Umgebung zu einem anderen System übergeht. Die schnellste Zeit (Breakout-Zeit), die wir gesehen haben, betrug sieben Minuten. Diese Akteure bewegen sich also schneller. Der größte Vorteil besteht darin, dass sie (APT-Gruppen) legitime Anmeldeinformationen verwenden und als legitime Benutzer eintreten. Und um sich davor zu schützen, ist der Schutz der Identität von entscheidender Bedeutung. Nicht nur Endpunkte.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
• BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
• Quelle: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks