Γιατί η Διαχείριση ταυτότητας είναι το κλειδί για τον τερματισμό των κυβερνοεπιθέσεων APT

Το Dark Reading News Desk πήρε συνέντευξη από τον Adam Meyers, επικεφαλής των επιχειρήσεων αντιμετώπισης αντιπάλου για το CrowdStrike στο Black Hat USA 2023. Δείτε το απόσπασμα του News Desk στο YouTube (μεταγραφή παρακάτω).

Dark Reading, Becky Bracken: Γεια σε όλους και καλώς ήρθατε πίσω στο Dark Reading News Desk που θα σας έρθει ζωντανά από το Black Hat 2023. Είμαι η Becky Bracken, συντάκτρια στο Dark Reading και είμαι εδώ για να καλωσορίσω τον Adam Meyers, επικεφαλής των επιχειρήσεων αντιμετώπισης αντιπάλου με το CrowdStrike, στο Dark Reading News Desk.

Ευχαριστούμε που ήρθες μαζί μας, Adam. Το εκτιμώ. Πέρυσι, όλοι ήταν πολύ συγκεντρωμένοι Ομάδες APT στη Ρωσία, τι ήταν κάνει στην Ουκρανία, και πώς η κοινότητα της κυβερνοασφάλειας θα μπορούσε να συσπειρωθεί και να τους βοηθήσει. Φαίνεται ότι υπήρξε μια αρκετά σημαντική μετατόπιση στο έδαφος από τότε. Μπορείτε να μας ενημερώσετε για το τι συμβαίνει στη Ρωσία τώρα σε σχέση με ίσως πριν από ένα χρόνο;

Adam Meyers: Οπότε νομίζω ότι υπάρχει μεγάλη ανησυχία για αυτό, φυσικά. Σίγουρα πιστεύω ότι είδαμε ότι οι αναταραχές που γενικά μετά την έναρξη της σύγκρουσης δεν υποχωρούν. Αλλά ενώ (είμασταν συγκεντρωμένοι), ξέρετε, στο τι συνέβαινε με τους Ρώσους, οι Κινέζοι έχουν καθιερώσει ένα μαζική προσπάθεια συλλογής δεδομένων γύρω από αυτό.

Δρ: Χρησιμοποιούσαν (η κινεζική κυβέρνηση σε συνδεδεμένες ομάδες APT) τη ρωσική εισβολή ως κάλυψη ενώ όλοι κοιτούσαν εδώ; Το έκαναν πριν από αυτό;

ΕΙΜΑΙ: Αυτή είναι μια καλή ερώτηση. Νομίζω ότι λειτούργησε ότι παρείχε αυτό το είδος κάλυψης επειδή όλοι είναι τόσο συγκεντρωμένοι σε αυτό που συνέβαινε στη Ρωσία και την Ουκρανία. Έτσι αποσπάστηκε η προσοχή από τη σταθερή τυμπανοκρουσία όλων που φώναζαν την Κίνα ή έκαναν πράγματα που ήταν εκεί.

Δρ: Γνωρίζουμε λοιπόν τα κίνητρα της Ρωσίας. Τι θα έλεγες Κινεζικές ομάδες APT? Ποια είναι τα κίνητρά τους; Τι προσπαθούν να κάνουν;

ΕΙΜΑΙ: Άρα είναι μια τεράστια πλατφόρμα συλλογής. Η Κίνα έχει μια σειρά από διαφορετικά μεγάλα προγράμματα. Έχουν πράγματα όπως τα πενταετή σχέδια που υπαγορεύονται από την κινεζική κυβέρνηση με επιθετικές αναπτυξιακές απαιτήσεις. Έχουν το «Κατασκευάζεται στην Κίνα 2025πρωτοβουλία, έχουν το Ζώνη και Οδική Πρωτοβουλία. Και έτσι έχουν δημιουργήσει όλα αυτά τα διαφορετικά προγράμματα προκειμένου να αναπτύξουν την οικονομία και να αναπτύξουν την οικονομία στην Κίνα.

Μερικά από τα σημαντικότερα πράγματα που έχουν στοχεύσει αφορούν θέματα όπως η υγειονομική περίθαλψη. Είναι η πρώτη φορά που οι Κινέζοι αντιμετωπίζουν μια αυξανόμενη μεσαία τάξη και έτσι ζητήματα προληπτικής υγειονομικής περίθαλψης (είναι προτεραιότητα), διαβήτης, θεραπείες καρκίνου, όλα αυτά. Και προμηθεύονται πολλά από αυτά από τη Δύση. Εκεί θέλουν (οι Κινέζοι) να το χτίσουν. Θέλουν να έχουν προϊόντα ισοδύναμα στην εγχώρια αγορά, ώστε να μπορούν να εξυπηρετούν τη δική τους αγορά και στη συνέχεια να την αναπτύξουν στη γύρω περιοχή, στην ευρύτερη περιοχή της Ασίας-Ειρηνικού. Και κάνοντας αυτό, χτίζουν πρόσθετη επιρροή. Οικοδομούν αυτούς τους δεσμούς με αυτές τις χώρες όπου μπορούν να αρχίσουν να προωθούν κινεζικά προϊόντα και εμπορικές λύσεις και κινεζικά προγράμματα… Έτσι, όταν η ώθηση έρχεται να ωθήσει σε ένα ζήτημα — μια Ταϊβάν ή κάτι τέτοιο — που δεν τους αρέσει στα Ηνωμένα Έθνη, μπορεί να πει «Γεια, πρέπει πραγματικά να ψηφίσεις με αυτόν τον τρόπο. Θα το εκτιμούσαμε.”

Δρ: Άρα είναι πραγματικά ένα συλλογή πληροφοριών και ένα κέρδος πνευματικής ιδιοκτησίας για αυτούς. Και τι θα δούμε λοιπόν τα επόμενα χρόνια; Πρόκειται να θέσουν σε λειτουργία αυτή τη νοημοσύνη;

ΕΙΜΑΙ: Αυτό συμβαίνει αυτή τη στιγμή, αν κοιτάξετε τι έκαναν με την τεχνητή νοημοσύνη. Κοιτάξτε τι κάνουν με την υγειονομική περίθαλψη και διάφορες κατασκευές τσιπ, όπου προμηθεύονται τα περισσότερα από τα τσιπ τους εξωτερικά. Δεν θέλουν να το κάνουν αυτό.

Πιστεύουν ότι ο κόσμος τους βλέπει ως το εργαστήριο του κόσμου και θέλει πραγματικά να γίνει καινοτόμος. Και ο τρόπος που επιδιώκουν να το κάνουν αυτό είναι μέσω της μόχλευσης Κινεζικές ομάδες APT και άλματα (ανταγωνιζόμενα έθνη) μέσω επιχειρήσεων στον κυβερνοχώρο, κατασκοπείας στον κυβερνοχώρο, (κλοπής) ό,τι είναι επί του παρόντος τελευταίας τεχνολογίας, και στη συνέχεια μπορούν να προσπαθήσουν να αναπαράγουν και να καινοτομήσουν πάνω από αυτό.

Δρ: Ενδιαφέρων. Εντάξει, μετακομίζοντας από την Κίνα, τώρα πάμε στη Βόρεια Κορέα, και αυτοί ασχολούνται με την επιχείρηση — οι ομάδες APT τους είναι κερδοσκοπικοί, σωστά; Αυτό ψάχνουν να κάνουν.

ΕΙΜΑΙ: Ναι. Άρα υπάρχουν τρία κομμάτια. Πρώτον, σίγουρα υπηρετούν τη διπλωματική, στρατιωτική και πολιτική διαδικασία συλλογής πληροφοριών, αλλά το κάνουν επίσης πνευματικής ιδιοκτησίας.

Ξεκίνησαν ένα πρόγραμμα που ονομάζεται Εθνική Στρατηγική Οικονομικής Ανάπτυξης ή NEDS. Και μαζί με αυτό, υπάρχουν έξι βασικοί τομείς που επικεντρώνονται σε πράγματα όπως η ενέργεια, η εξόρυξη, η γεωργία, τα βαριά μηχανήματα, όλα τα πράγματα που σχετίζονται με την οικονομία της Βόρειας Κορέας.

Πρέπει να αυξήσουν το κόστος και τον τρόπο ζωής του μέσου Βορειοκορεάτη πολίτη. Μόνο το 30% του πληθυσμού έχει αξιόπιστη ενέργεια, επομένως πράγματα όπως η ανανεώσιμη ενέργεια και οι τρόποι λήψης ενέργειας (είναι το είδος των δεδομένων Ομάδες APT της Βόρειας Κορέας αναζητούν).

Και μετά δημιουργία εσόδων. Αποκόπηκαν από το διεθνές σύστημα SWIFT και τις διεθνείς χρηματοοικονομικές οικονομίες. Και έτσι τώρα πρέπει να βρουν τρόπους να παράγουν έσοδα. Έχουν κάτι που λέγεται Τρίτο Γραφείο, το οποίο παράγει έσοδα με το καθεστώς αλλά και για την οικογένεια.

Και έτσι (το Τρίτο Γραφείο) κάνουν πολλά πράγματα, όπως τα ναρκωτικά, η εμπορία ανθρώπων και επίσης το έγκλημα στον κυβερνοχώρο. Έτσι Ομάδες APT της Βόρειας Κορέας ήταν πολύ αποτελεσματική στη στόχευση παραδοσιακών οικονομικών καθώς και εταιρειών κρυπτονομισμάτων. Και το είδαμε - ένα από τα πράγματα στην έκθεσή μας που μόλις κυκλοφόρησε χθες δείχνει ότι ο δεύτερος πιο στοχευμένος κλάδος πέρυσι ήταν τα οικονομικά, τα οποία αντικατέστησαν τις τηλεπικοινωνίες. Άρα έχει αντίκτυπο.

Δρ: Βγάζουν τόνους λεφτά. Ας περιστραφούμε, που υποθέτω ότι είναι ο άλλος σημαντικός πυλώνας της δράσης APT, βρίσκεται στο Ιράν. Τι συμβαίνει ανάμεσα Ιρανικές ομάδες APT?

ΕΙΜΑΙ: Έτσι, έχουμε δει, σε πολλές περιπτώσεις, ψεύτικες προσωπικότητες να στοχεύουν τους (Ιρανούς) εχθρούς τους - να κυνηγούν το Ισραήλ και τις Ηνωμένες Πολιτείες, κάπως δυτικές χώρες. Ομάδες APT με την υποστήριξη του Ιράν δημιουργούν αυτά τα ψεύτικα πρόσωπα και αναπτύσσουν ransomware, αλλά δεν είναι στην πραγματικότητα ransomware επειδή δεν τους ενδιαφέρει να συλλέξουν απαραίτητα τα χρήματα. αυτοί (Ιρανικές ομάδες APT) απλώς θέλουν να προκαλέσουν αυτήν τη διακοπή και στη συνέχεια να συλλέξουν ευαίσθητες πληροφορίες. Όλα αυτά κάνουν τους ανθρώπους να χάνουν την πίστη ή την πίστη τους στους πολιτικούς οργανισμούς ή τις εταιρείες που στοχεύουν. Επομένως, είναι πραγματικά μια ανατρεπτική καμπάνια που μεταμφιέζεται σε ransomware Ιρανοί παράγοντες απειλών.

Δρ: Πρέπει να είναι τόσο δύσκολο να προσπαθήσεις να δώσεις κίνητρο για πολλές από αυτές τις επιθέσεις. Πώς το κάνεις αυτό; Εννοώ, πώς ξέρετε ότι είναι απλώς ένα μέτωπο για αναστάτωση και όχι μια επιχείρηση που βγάζει χρήματα;

ΕΙΜΑΙ: Αυτή είναι μια υπέροχη ερώτηση, αλλά στην πραγματικότητα δεν είναι τόσο δύσκολη γιατί αν κοιτάξετε τι συμβαίνει στην πραγματικότητα, σωστά; — τι συμβαίνει — εάν είναι εγκληματίες και έχουν οικονομικά κίνητρα, θα κάνουν πληρωμές. Αυτός είναι ο στόχος, σωστά;

Αν δεν τους ενδιαφέρει πραγματικά να βγάλουν χρήματα, όπως ΌχιPetya για παράδειγμα, αυτό είναι αρκετά προφανές για εμάς. Θα στοχεύσουμε τις υποδομές και μετά θα εξετάσουμε το ίδιο το κίνητρο.

Δρ: Και γενικά, μεταξύ των ομάδων APT, ποιες είναι μερικές από τις επιθέσεις du jour? Σε τι βασίζονται πραγματικά αυτή τη στιγμή;

ΕΙΜΑΙ: Έτσι έχουμε δει πολλά Ομάδες APT ακολουθώντας συσκευές τύπου δικτύου. Υπήρξαν πολλές περισσότερες επιθέσεις εναντίον συσκευών που εκτίθενται σε διάφορα συστήματα cloud και συσκευές δικτύου, πράγματα που συνήθως δεν έχουν σύγχρονες στοίβες ασφαλείας τελικού σημείου επάνω τους.

Και δεν είναι μόνο οι ομάδες APT. Το βλέπουμε τρομερά αυτό με τις ομάδες ransomware. Έτσι, το 80% των επιθέσεων χρησιμοποιούν νόμιμα διαπιστευτήρια για να μπουν μέσα. Ζουν από τη γη και μετακινούνται πλευρικά από εκεί. Και στη συνέχεια, αν μπορούν, σε πολλές περιπτώσεις, θα προσπαθήσουν να αναπτύξουν ransomware σε έναν hypervisor που δεν υποστηρίζει το εργαλείο DVR και, στη συνέχεια, μπορούν να κλειδώσουν όλους τους διακομιστές που εκτελούνται σε αυτό hypervisor και να θέσει εκτός λειτουργίας τον οργανισμό.

Δρ: Δυστυχώς δεν έχουμε χρόνο. Θα ήθελα πραγματικά να το συζητήσουμε για πολύ περισσότερο, αλλά μπορείτε να μας δώσετε γρήγορα τις προβλέψεις σας; Τι θα εξετάσουμε στο χώρο του APT, πιστεύετε, σε 12 μήνες από τώρα;

ΕΙΜΑΙ: Ο χώρος ήταν αρκετά συνεπής. Νομίζω ότι θα τους δούμε (ομάδες APT) να συνεχίσουν να εξελίσσουν το τοπίο ευπάθειας.

Αν κοιτάξετε την Κίνα, για παράδειγμα, ουσιαστικά οποιαδήποτε έρευνα ευπάθειας πρέπει να περάσει από το Υπουργείο Κρατικής Ασφάλειας. Η εστίαση στη συλλογή πληροφοριών εκεί. Αυτό είναι το πρωταρχικό κίνητρο σε ορισμένες περιπτώσεις. υπάρχει και αναστάτωση.

Και μετά, ως πρόβλεψη, αυτό που πρέπει να σκεφτούν όλοι είναι διαχείριση ταυτότητας, λόγω των απειλών που βλέπουμε. Αυτές οι παραβιάσεις περιλαμβάνουν ταυτότητα. Έχουμε κάτι που λέγεται «χρόνος διάσπασης», ο οποίος μετρά πόσο χρόνο χρειάζεται για έναν ηθοποιό να μεταβεί από το αρχικό βήμα στο περιβάλλον του σε ένα άλλο σύστημα. Το πιο γρήγορο (χρόνος διάσπασης) που είδαμε ήταν επτά λεπτά. Αυτοί οι ηθοποιοί λοιπόν κινούνται πιο γρήγορα. Το μεγαλύτερο πλεονέκτημα είναι ότι (ομάδες APT) χρησιμοποιούν νόμιμα διαπιστευτήρια, έρχονται ως νόμιμος χρήστης. Και για να προστατευθούμε από αυτό, η προστασία της ταυτότητας είναι κρίσιμης σημασίας. Όχι μόνο τελικά σημεία.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks