Por qué la gestión de identidades es la clave para detener los ciberataques de APT

Por qué la gestión de identidades es la clave para detener los ciberataques de APT

Marca de tiempo: 14 de septiembre de 2023 6:48 p.m.
Por qué la gestión de identidades es la clave para detener los ciberataques de APT PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

Dark Reading News Desk entrevistó a Adam Meyers, jefe de operaciones contra adversarios de CrowdStrike en Black Hat USA 2023. Vea el clip de News Desk en YouTube (transcripción a continuación).

Lectura oscura, Becky Bracken: Hola a todos, y bienvenidos de nuevo al Dark Reading News Desk que llega en vivo desde Black Hat 2023. Soy Becky Bracken, editora de Dark Reading, y estoy aquí para darle la bienvenida a Adam Meyers, jefe de operaciones contra adversarios de CrowdStrike. al mostrador de noticias Dark Reading.

Gracias por acompañarnos, Adán. Te lo agradezco. El año pasado, todo el mundo estaba muy concentrado en Grupos APT en Rusia, que eran haciendo en Ucraniay cómo la comunidad de ciberseguridad podría unirse y ayudarlos. Desde entonces parece haber habido un cambio bastante considerable en el terreno. ¿Puede darnos una actualización de lo que está sucediendo en Rusia ahora en comparación con hace un año?

Adán Meyers: Así que creo que hay mucha preocupación al respecto, por supuesto. Ciertamente creo que hemos visto que las perturbaciones que generalmente se produjeron después de que comenzó el conflicto no van a desaparecer. Pero mientras (estábamos centrados), ya sabes, en lo que estaba pasando con los rusos, los chinos han establecido una esfuerzo masivo de recopilación de datos Alrededor de eso.

DR: ¿Estaban ellos (el gobierno chino y los grupos asociados de la APT) utilizando la invasión rusa como cobertura mientras todos miraban hacia aquí? ¿Estaban haciendo eso antes de eso?

A.M: Buena pregunta. Creo que resultó que proporcionó ese tipo de cobertura porque todos están muy concentrados en lo que estaba sucediendo en Rusia y Ucrania. Así que distrajo del constante tamborileo de todos llamando a China o haciendo cosas que estaban allí.

DR: De modo que conocemos las motivaciones de Rusia. Qué pasa Grupos APT chinos? ¿Cuáles son sus motivaciones? ¿Qué están tratando de hacer?

A.M: Entonces es un enorme plataforma de recogida. China tiene varios programas importantes diferentes. Tienen cosas como los Planes Quinquenales dictados por el Gobierno chino con agresivas exigencias de desarrollo. Tienen el “Hecho en China 2025“Iniciativa, tienen la Cinturón y Iniciativa de la Ruta. Y por eso han creado todos estos programas diferentes para hacer crecer la economía y desarrollar la economía en China.

Algunas de las principales cosas a las que se han centrado tienen que ver con aspectos como la atención sanitaria. Es la primera vez que los chinos se enfrentan a una clase media cada vez mayor y, por tanto, los problemas de atención sanitaria preventiva (son una prioridad), la diabetes, los tratamientos contra el cáncer, todo eso. Y obtienen mucho de eso de Occidente. Ellos (los chinos) quieren construirlo allí. Quieren tener productos equivalentes a nivel nacional para poder atender su propio mercado y luego expandirlo al área circundante, la región más amplia de Asia Pacífico. Y al hacerlo, generan influencia adicional. Construyen estos vínculos con estos países donde pueden comenzar a impulsar los productos chinos, las soluciones comerciales y los programas chinos... De modo que cuando llegue el momento de presionar sobre un tema (un Taiwán o algo así) que no les guste en las Naciones Unidas, puede decir “Oye, realmente deberías votar de esta manera”. Lo apreciaríamos."

DR: Entonces es realmente un la recolección de inteligencia y una ganancia de propiedad intelectual para ellos. ¿Y entonces qué vamos a ver en los próximos años? ¿Van a poner en práctica esta inteligencia?

A.M: Eso está sucediendo ahora mismo, si nos fijamos en lo que han estado haciendo con la IA. Mire lo que han estado haciendo con la atención médica y la fabricación de diversos chips, de donde obtienen la mayoría de sus chips externamente. No quieren hacer eso.

Piensan que la gente los ve como el taller del mundo y realmente quieren convertirse en innovadores. Y la forma en que buscan hacerlo es aprovechando Grupos APT chinos y dar un salto adelante (naciones competidoras) a través de operaciones cibernéticas, espionaje cibernético, (robar) lo que actualmente es lo último en tecnología, y luego pueden intentar replicar e innovar además de eso.

DR: Interesante. Bien, pasando de China, ahora pasamos a Corea del Norte, y ellos están en el negocio; sus grupos APT son generadores de dinero, ¿verdad? Eso es lo que buscan hacer.

A.M: Sí. Entonces hay tres piezas. Primero, ciertamente sirven a los sectores diplomático, militar y político. proceso de recopilación de inteligencia, pero también lo hacen la propiedad intelectual.

Lanzaron un programa llamado Estrategia Nacional de Desarrollo Económico, o NEDS. Y con eso, hay seis áreas centrales que se centran en cosas como energía, minería, agricultura, maquinaria pesada, todas las cosas asociadas con la economía de Corea del Norte.

Necesitan aumentar el costo y el estilo de vida del ciudadano norcoreano promedio. Sólo el 30% de la población tiene energía confiable, por lo que cosas como la energía renovable y las formas de obtener energía (son el tipo de datos Grupos APT de Corea del Norte estan buscando).

Y luego la generación de ingresos. Quedaron aislados del sistema internacional SWIFT y de las economías financieras internacionales. Y ahora tienen que encontrar formas de generar ingresos. Tienen algo que llaman Tercera Oficina, que genera ingresos para el régimen y también para la familia.

Y entonces ellos (la Tercera Oficina) hacen muchas cosas, como drogas, trata de personas y también delitos cibernéticos. Entonces Grupos APT de Corea del Norte Ha sido muy eficaz para apuntar a las empresas financieras tradicionales y a las empresas de criptomonedas. Y lo hemos visto: una de las cosas en nuestro informe que acaba de publicarse ayer muestra que el segundo sector vertical más objetivo el año pasado fue el financiero, que reemplazó a las telecomunicaciones. Entonces está teniendo un impacto.

DR: Están ganando toneladas de dinero. Demos un giro, que supongo que es el otro pilar importante de la acción de la APT, en Irán. ¿Qué está pasando entre Grupos APT iraníes?

A.M: Así que hemos visto, en muchos casos, personajes falsos que atacan a sus enemigos (iraníes), para perseguir a Israel y Estados Unidos, una especie de países occidentales. grupos APT respaldados por Irán crean estas personas falsas e implementan ransomware, pero en realidad no es ransomware porque no les importa necesariamente recolectar el dinero. Ellos (Grupos APT iraníes) solo quieren causar esa interrupción y luego recopilar información confidencial. Todo esto hace que la gente pierda la fe o la creencia en las organizaciones políticas o en las empresas a las que se dirigen. Así que es realmente una campaña disruptiva disfrazada de ransomware para Actores de amenazas iraníes.

DR: Debe ser muy complicado intentar asignar la motivación a muchos de estos ataques. ¿Cómo haces eso? Quiero decir, ¿cómo sabes que es sólo una fachada para la disrupción y no una operación para hacer dinero?

A.M: Esa es una gran pregunta, pero en realidad no es tan difícil porque si miras lo que realmente sucede, ¿verdad? - lo que sucede - si son criminales y tienen motivación financiera, harán pagos. Ese es el objetivo, ¿verdad?

Si realmente no parece importarles ganar dinero, como NotPetya por ejemplo, eso es bastante obvio para nosotros. Nos centraremos en la infraestructura y luego analizaremos el motivo en sí.

DR: Y en general, entre los grupos de la APT, ¿cuáles son algunos de los ataques? del día? ¿En qué confían realmente en este momento?

A.M: Así que hemos visto muchos grupos APT persiguiendo electrodomésticos de tipo red. Ha habido muchos más ataques contra dispositivos expuestos a varios sistemas de nube y dispositivos de red, cosas que normalmente no cuentan con pilas de seguridad modernas para terminales.

Y no se trata sólo de los grupos APT. Esto lo vemos tremendamente con los grupos de ransomware. Entonces, el 80% de los ataques utilizan credenciales legítimas para ingresar. Viven de la tierra y se mueven lateralmente desde allí. Y luego, si pueden, en muchos casos, intentarán implementar ransomware en un hipervisor que no es compatible con su herramienta DVR, y luego pueden bloquear todos los servidores que se ejecutan en ese Hipervisor y dejar a la organización fuera del negocio.

DR: Desafortunadamente, se nos acabó el tiempo. Realmente me gustaría discutir esto por mucho más tiempo, pero ¿podrías darnos rápidamente tus predicciones? ¿Qué crees que veremos en el espacio APT dentro de 12 meses?

A.M: El espacio ha sido bastante consistente. Creo que los veremos (los grupos APT) continuar evolucionando el panorama de la vulnerabilidad.

Si nos fijamos en China, por ejemplo, cualquier investigación sobre vulnerabilidades debe pasar por el Ministerio de Seguridad del Estado. Allí se centra la atención en la recopilación de inteligencia. Ese es el motivo principal en algunos casos; también hay interrupciones.

Y luego, como predicción, en lo que todo el mundo debería pensar es en de gestión de identidades, debido a las amenazas que estamos viendo. Estas violaciones involucran la identidad. Tenemos algo llamado “tiempo de ruptura”, que mide cuánto tiempo le toma a un actor pasar de su punto de apoyo inicial a su entorno y a otro sistema. El más rápido (tiempo de fuga) que vimos fue de siete minutos. Entonces estos actores se están moviendo más rápido. La conclusión más importante es que ellos (los grupos APT) están utilizando credenciales legítimas y se presentan como usuarios legítimos. Y para protegerse contra eso, proteger la identidad es fundamental. No sólo puntos finales.

Sello de tiempo:

Mas de Lectura oscura