Andmepüük on pikka aega olnud üks parimaid viise sihtorganisatsioonile juurdepääsu saamiseks. Varem see nii ei olnud. Arvutiturbe algusaegadel oli kaugkoodi ärakasutamine (RCE) eelistatud viis juurdepääsu saamiseks, kuna see ei nõudnud kasutaja sekkumist. Tegelikult, kui miski nõudis kasutaja sekkumist, ei peetud seda tõsiseks ohuks. Paremad turvatavad hakkasid kehtima ja RCE juurdepääsumeetod muutus palju keerulisemaks. Ja selgus, et kasutajate suhtlemine oli lihtsam kui kunagi varem ette kujutatud.
Sama tsükkel on hakanud korduma kohapealsete sihtmärkidega. Organisatsioonid on hakanud tegema edusamme oma sisevõrkude kaitsmisel lõpp-punkti tuvastamise ja reageerimise (EDR) kasutamise eest ning muud tehnoloogiad on pahavara ja külgsuunalise liikumise tuvastamiseks paremini varustatud. Kuigi rünnakud muutuvad üha keerulisemaks, pole see ründaja jaoks veel sugugi ebatõhus strateegia. Lunavara ja muud tüüpi pahavara juurutamine on endiselt tavaline tulemus.
Miks on teie pilveinfrastruktuur andmepüügirünnakute peamine sihtmärk?
Pilv on andnud andmepüüdjatele rünnakuks täiesti uue piiri ja selgub, et see võib olla väga ohtlik. SaaS-i keskkonnad on andmepüügirünnakute jaoks küpsed sihtmärgid ja võivad anda ründajale palju enamat kui juurdepääsu mõnele meilile. Turvatööriistad on selles keskkonnas endiselt küpsemas, mis pakub ründajatele võimalust, kus sellised meetodid nagu andmepüügirünnakud võivad olla väga tõhusad.
Andmepüügirünnakud, mis sihivad arendajaid ja tarkvara tarneahelat
Nagu hiljuti nägime, Dropboxiga juhtus juhtum selle arendajate vastu suunatud andmepüügirünnaku tõttu. Neid peteti sisse andes oma Githubi volikirjad ründajale andmepüügimeili ja võltsveebisaidi kaudu, hoolimata sellest mitme teguri autentimine (MFA). Selle teeb hirmutavaks see, et see ei olnud lihtsalt juhuslik müügi- või muu ärifunktsiooni kasutaja, vaid arendajad, kellel oli juurdepääs paljudele Dropboxi andmetele. Õnneks ei näi juhtumi ulatus Dropboxi kõige kriitilisemaid andmeid mõjutavat.
GitHub ja muud pideva integreerimise/pideva juurutamise (CI/CD) ruumi platvormid on paljude ettevõtete jaoks uued kroonijuveelid. Õige juurdepääsu korral saavad ründajad varastada intellektuaalomandit, lekitada lähtekoodi ja muid andmeid või käituda tarneahela rünnakud. See läheb veelgi kaugemale, kuna GitHub integreerub sageli teiste platvormidega, mida ründaja võib pöörata. Kõik see võib juhtuda ilma ohvri kohapealset võrku või paljusid muid organisatsioonide soetatud turbetööriistu puudutamata, kuna see kõik on tarkvara kui teenus (SaaS)-to-SaaS.
Turvalisus võib selle stsenaariumi korral olla väljakutse. Iga SaaS-i pakkuja teeb seda erinevalt. Kliendi nähtavus nendel platvormidel toimuvale on sageli piiratud. Näiteks GitHub annab juurdepääsu ainult oma auditilogi API-le oma ettevõtte plaani alusel. Nähtavuse saavutamine on alles esimene takistus, mis tuleb ületada, järgmisena tuleks selle ümber teha kasulikku tuvastamissisu. SaaS-i pakkujad võivad oma tegevuse ja pakutavate andmete poolest olla üsna erinevad. Tuvastamiste tegemiseks ja säilitamiseks on vaja nende toimimise kontekstipõhist mõistmist. Teie organisatsioonil võib olla kasutusel palju selliseid SaaS-i platvorme.
Kuidas maandate pilves andmepüügiga seotud riske?
Identiteediplatvormid, nagu Okta, võivad aidata riski maandada, kuid mitte täielikult. Volitamata sisselogimiste tuvastamine on kindlasti üks parimaid viise andmepüügirünnakute avastamiseks ja neile reageerimiseks. Seda on lihtsam öelda kui teha, kuna ründajad on leidnud oma kohaloleku tuvastamise tavalisi viise. Puhverservereid või VPN-e on lihtne kasutada nii, et vähemalt näib olevat pärit kasutajaga samast üldisest piirkonnast, et vältida riigi või võimatute reisituvastusi. Täiustatud masinõppemudeleid saab rakendada, kuid need pole veel laialdaselt kasutusele võetud ega tõestatud.
Traditsiooniline ohutuvastus hakkab kohanema ka SaaS-maailmaga. Populaarne konteinerite ja pilve jaoks mõeldud ohutuvastustööriist Falco omab pistikprogrammi, mis toetab peaaegu kõiki platvorme. Falco meeskond on juba muu hulgas välja andnud pistikprogrammid ja reeglid Okta ja GitHubi jaoks. Näiteks, GitHubi pistikprogramm on reegel, mis käivitub, kui mis tahes toimepanemisel ilmneb krüptokaevandaja märke. Nende sihtotstarbeliste tuvastuste kasutamine on hea viis alustada nende platvormide toomist oma üldisesse ohutuvastusprogrammi.
Andmepüük on siin, et jääda
Andmepüük ja sotsiaalne manipuleerimine üldiselt ei jää kunagi maha. See on olnud tõhus ründemeetod juba aastaid ja jääb nii kauaks, kuni inimesed suhtlevad. Oluline on mõista, et need rünnakud ei piirdu teile kuuluva või otse hallatava infrastruktuuriga. SaaS on eriti ohus, kuna enamikul organisatsioonidel puudub nähtavus, mis neil platvormidel tegelikult toimub. Nende turvalisust ei saa kellegi teise probleemina maha kanda, kuna nendele ressurssidele juurdepääsu saamiseks piisab lihtsast meilist ja võltsitud veebisaidist.
