Ψάρεμα στο σύννεφο: Θα χρειαστούμε ένα μεγαλύτερο σκάφος

Το ηλεκτρονικό ψάρεμα είναι από καιρό ένας από τους καλύτερους τρόπους για να αποκτήσετε πρόσβαση σε έναν οργανισμό-στόχο. Δεν ήταν κάποτε έτσι. Στις πρώτες μέρες της ασφάλειας των υπολογιστών, η απομακρυσμένη εκμετάλλευση κώδικα (RCE) ήταν η προτιμώμενη μέθοδος απόκτησης πρόσβασης, καθώς δεν απαιτούσε αλληλεπίδραση με τον χρήστη. Στην πραγματικότητα, αν κάτι απαιτούσε αλληλεπίδραση με τον χρήστη, δεν θεωρούνταν σοβαρή απειλή. Άρχισαν να εφαρμόζονται καλύτερες πρακτικές ασφάλειας και η μέθοδος πρόσβασης RCE έγινε πολύ πιο δύσκολη. Και αποδείχθηκε ότι η αλληλεπίδραση των χρηστών ήταν ευκολότερη από ποτέ.

Ο ίδιος κύκλος έχει αρχίσει να επαναλαμβάνεται με στόχους εντός των εγκαταστάσεων. Οι οργανισμοί έχουν αρχίσει να κάνουν προόδους στην ασφάλεια των εσωτερικών τους δικτύων από τη χρήση εντοπισμού και απόκρισης τελικού σημείου (EDR), ενώ άλλες τεχνολογίες είναι καλύτερα εξοπλισμένες για τον εντοπισμό κακόβουλου λογισμικού και πλευρικής κίνησης. Ενώ οι επιθέσεις γίνονται όλο και πιο δύσκολες, δεν είναι σε καμία περίπτωση μια αναποτελεσματική στρατηγική για έναν επιτιθέμενο. Η ανάπτυξη ransomware και άλλων μορφών κακόβουλου λογισμικού εξακολουθεί να είναι ένα κοινό αποτέλεσμα.

Γιατί η υποδομή σας στο Cloud είναι κορυφαίος στόχος για επιθέσεις phishing

Το σύννεφο έχει δώσει στους phishers ένα εντελώς νέο όριο για να επιτεθούν, και αποδεικνύεται ότι μπορεί να είναι πολύ επικίνδυνο. Τα περιβάλλοντα SaaS είναι ώριμοι στόχοι για επιθέσεις phishing και μπορούν να δώσουν στον εισβολέα πολλά περισσότερα από την πρόσβαση σε ορισμένα μηνύματα ηλεκτρονικού ταχυδρομείου. Τα εργαλεία ασφαλείας εξακολουθούν να ωριμάζουν σε αυτό το περιβάλλον, το οποίο προσφέρει στους εισβολείς ένα παράθυρο ευκαιρίας όπου μέθοδοι όπως οι επιθέσεις phishing μπορούν να είναι πολύ αποτελεσματικές.

Επιθέσεις phishing που στοχεύουν προγραμματιστές και αλυσίδα εφοδιασμού λογισμικού

Όπως είδαμε πρόσφατα, Το Dropbox είχε ένα περιστατικό λόγω επίθεσης phishing κατά των προγραμματιστών του. Τους ξεγέλασαν δίνοντας τα διαπιστευτήριά τους Github σε έναν εισβολέα μέσω email ηλεκτρονικού ψαρέματος και ψεύτικου ιστότοπου, παρά επαλήθευση πολλών παραγόντων (MFA). Αυτό που το κάνει τρομακτικό είναι ότι δεν ήταν απλώς ένας τυχαίος χρήστης από πωλήσεις ή άλλη επιχειρηματική λειτουργία, ήταν προγραμματιστές με πρόσβαση σε πολλά δεδομένα του Dropbox. Ευτυχώς, το εύρος του περιστατικού δεν φαίνεται να επηρεάζει τα πιο κρίσιμα δεδομένα του Dropbox.

Το GitHub και άλλες πλατφόρμες στον χώρο συνεχούς ενοποίησης/συνεχούς ανάπτυξης (CI/CD), είναι τα νέα «στολίδια» για πολλές εταιρείες. Με τη σωστή πρόσβαση, οι εισβολείς μπορούν να κλέψουν πνευματική ιδιοκτησία, να διαρρεύσουν τον πηγαίο κώδικα και άλλα δεδομένα ή να συμπεριφέρονται επιθέσεις στην εφοδιαστική αλυσίδα. Πηγαίνει ακόμη πιο μακριά, καθώς το GitHub συχνά ενσωματώνεται με άλλες πλατφόρμες, τις οποίες ο εισβολέας μπορεί να μπορεί να περιστρέψει. Όλα αυτά μπορούν να συμβούν χωρίς να αγγίξετε ποτέ το δίκτυο on-prem του θύματος ή πολλά από τα άλλα εργαλεία ασφαλείας που έχουν αποκτήσει οι οργανισμοί, καθώς είναι όλα από λογισμικό ως υπηρεσία (SaaS)-to-SaaS.

Η ασφάλεια σε αυτό το σενάριο μπορεί να είναι μια πρόκληση. Κάθε πάροχος SaaS το κάνει διαφορετικά. Η ορατότητα ενός πελάτη για το τι συμβαίνει σε αυτές τις πλατφόρμες είναι συχνά περιορισμένη. Το GitHub, για παράδειγμα, παρέχει πρόσβαση μόνο στο Audit Log API στο πλαίσιο του Enterprise του σχεδίου. Η ορατότητα είναι μόνο το πρώτο εμπόδιο που πρέπει να ξεπεραστεί, το επόμενο θα ήταν να δημιουργήσετε χρήσιμο περιεχόμενο ανίχνευσης γύρω από αυτό. Οι πάροχοι SaaS μπορεί να είναι αρκετά διαφορετικοί ως προς το τι κάνουν και τα δεδομένα που παρέχουν. Απαιτείται κατανόηση των συμφραζομένων του τρόπου λειτουργίας τους για να γίνουν και να διατηρηθούν οι ανιχνεύσεις. Ο οργανισμός σας μπορεί να έχει πολλές τέτοιες πλατφόρμες SaaS σε χρήση.

Πώς μετριάζετε τους κινδύνους που σχετίζονται με το ηλεκτρονικό ψάρεμα στο Cloud;

Οι πλατφόρμες ταυτότητας, όπως η Okta, μπορούν να βοηθήσουν στον μετριασμό του κινδύνου, αλλά όχι εντελώς. Ο εντοπισμός μη εξουσιοδοτημένων συνδέσεων είναι σίγουρα ένας από τους καλύτερους τρόπους για να ανακαλύψετε επιθέσεις phishing και να απαντήσετε σε αυτές. Αυτό είναι πιο εύκολο να ειπωθεί παρά να γίνει, καθώς οι επιτιθέμενοι έχουν πιάσει τους κοινούς τρόπους ανίχνευσης της παρουσίας τους. Οι διακομιστές μεσολάβησης ή τα VPN χρησιμοποιούνται εύκολα για να φαίνονται τουλάχιστον ότι προέρχονται από την ίδια γενική περιοχή με τον χρήστη, προκειμένου να νικηθούν οι ανιχνεύσεις ταξιδιών σε χώρα ή αδύνατον. Μπορούν να εφαρμοστούν πιο προηγμένα μοντέλα μηχανικής εκμάθησης, αλλά αυτά δεν έχουν ακόμη υιοθετηθεί ή αποδειχθεί ευρέως.

Η παραδοσιακή ανίχνευση απειλών αρχίζει να προσαρμόζεται και στον κόσμο του SaaS. Το Falco, ένα δημοφιλές εργαλείο ανίχνευσης απειλών για κοντέινερ και σύννεφο, διαθέτει ένα σύστημα plug-in που μπορεί να υποστηρίξει σχεδόν οποιαδήποτε πλατφόρμα. Η ομάδα της Falco έχει ήδη κυκλοφορήσει πρόσθετα και κανόνες για το Okta και το GitHub, μεταξύ άλλων. Για παράδειγμα, την προσθήκη GitHub έχει έναν κανόνα που ενεργοποιεί εάν τυχόν δεσμεύσεις εμφανίζουν σημάδια εξόρυξης κρυπτονομισμάτων. Η αξιοποίηση αυτών των στοχευμένων ανιχνεύσεων είναι ένας καλός τρόπος για να ξεκινήσετε να εισάγετε αυτές τις πλατφόρμες στο συνολικό σας πρόγραμμα ανίχνευσης απειλών.

Το phishing είναι εδώ για να μείνει

Το phishing και η κοινωνική μηχανική γενικά, δεν θα μείνουν ποτέ πίσω. Είναι μια αποτελεσματική μέθοδος επίθεσης εδώ και χρόνια, και θα είναι για όσο διάστημα οι άνθρωποι επικοινωνούν. Είναι σημαντικό να κατανοήσουμε ότι αυτές οι επιθέσεις δεν περιορίζονται στην υποδομή που κατέχετε ή διαχειρίζεστε άμεσα. Το SaaS κινδυνεύει ιδιαίτερα λόγω της έλλειψης ορατότητας που έχουν οι περισσότεροι οργανισμοί για το τι πραγματικά συμβαίνει σε αυτές τις πλατφόρμες. Η ασφάλειά τους δεν μπορεί να διαγραφεί ως πρόβλημα κάποιου άλλου, καθώς ένα απλό email και ψεύτικο ιστότοπο είναι το μόνο που χρειάζεται για να αποκτήσετε πρόσβαση σε αυτούς τους πόρους.