Miks on identiteedihaldus APT küberrünnakute peatamise võti?

Dark Reading News Desk intervjueeris 2023. aasta Black Hat USA CrowdStrike'i vastaste operatsioonide juht Adam Meyersiga. Vaadake News Deski klippi saidil Youtube (üleskirjutus allpool).

Tume lugemine, Becky Bracken: Tere kõigile ja tere tulemast tagasi Dark Reading News Deski, mis tuleb teie juurde Black Hat 2023 otseülekandena. Olen Becky Bracken, Dark Readingi toimetaja, ja tervitan Adam Meyersit, kes on CrowdStrike'i vastaste operatsioonide juht. Dark Reading News Deskile.

Aitäh meiega liitumise eest, Adam. Ma hindan seda. Eelmisel aastal olid kõik väga keskendunud APT rühmad Venemaal, millised need olid Ukrainas tegemasja kuidas küberjulgeoleku kogukond saaks neid kokku võtta ja aidata. Sellest ajast peale tundub, et maapinnas on toimunud päris suur nihe. Kas saate anda meile värskenduse selle kohta, mis toimub Venemaal praegu ja võib-olla aasta tagasi?

Adam Meyers: Nii et ma arvan, et selle pärast on muidugi palju muret. Kindlasti arvan, et nägime, et häired, mis üldiselt pärast konflikti algust olid, ei kao kuhugi. Kuid samal ajal (me olime keskendunud) sellele, mis venelastega toimus, on hiinlased kehtestanud a tohutuid jõupingutusi andmete kogumiseks selle ümber.

DR: Kas nad (Hiina valitsus seotud APT-rühmades) kasutasid Vene sissetungi kattevarjuna, kui kõik siin vaatasid? Kas nad tegid seda enne seda?

OLEN: See on hea küsimus. Ma arvan, et see õnnestus, et see andis sellise katte, sest kõik on nii keskendunud Venemaal ja Ukrainas toimuvale. Seega tõmbas see tähelepanu kõrvale ühtlaselt trummipõrinalt, kui kõik Hiinat välja kutsusid või asju tegid, et nad seal olid.

DR: Nii et me teame Venemaa motiive. Kuidas oleks Hiina APT rühmad? Mis on nende motivatsioon? Mida nad teha üritavad?

OLEN: Nii et see on massiivne kogumisplatvorm. Hiinal on mitmeid erinevaid suuri programme. Neil on selliseid asju nagu Hiina valitsuse dikteeritud viieaastased plaanid agressiivsete arengunõuetega. Neil on "Valmistatud Hiinas 2025” initsiatiiv, on neil Vöö ja teede algatus. Ja nii on nad kõik need erinevad programmid üles ehitanud, et kasvatada majandust ja arendada Hiina majandust.

Mõned peamised asjad, mida nad on sihiks võtnud, on seotud selliste asjadega nagu tervishoid. See on esimene kord, kui hiinlased tegelevad kasvava keskklassiga ja seega ennetavad tervishoiuprobleemid (prioriteetsed), diabeet, vähiravi ja kõik see. Ja nad hangivad palju seda läänest. Nad (hiinlased) tahavad seda sinna ehitada. Nad tahavad omada kodumaiseid samaväärseid tooteid, et saaksid teenindada oma turgu ja seejärel laiendada seda ümbritsevasse piirkonda, Aasia Vaikse ookeani piirkonda. Ja seda tehes loovad nad täiendavat mõju. Nad loovad need sidemed nende riikidega, kus nad saavad hakata peale suruma Hiina tooteid ja kauplemislahendusi ja Hiina programme... Nii et kui tõuge tuleb tõugata teemale – Taiwanile või muule –, mis neile ÜROs ei meeldi, võib öelda: "Hei, sa peaksid tõesti nii hääletama. Oleksime selle eest tänulikud.”

DR: Nii et see on tõesti an luureandmete kogumine ja intellektuaalomandi kasu neile. Ja mida me siis järgmise paari aasta jooksul näeme? Kas nad kavatsevad selle luureandmed kasutusele võtta?

OLEN: See toimub praegu, kui vaadata, mida nad on tehisintellektiga teinud. Vaadake, mida nad on teinud tervishoiu ja mitmesuguste kiipide tootmisega, kus nad hangivad suurema osa oma kiipidest väljastpoolt. Nad ei taha seda teha.

Nad arvavad, et inimesed näevad neid maailma töökojana ja see tahab tõesti saada uuendajaks. Ja viis, kuidas nad seda teha soovivad, on võimendus Hiina APT rühmad ja hüppavad (konkureerivad riigid) läbi küberoperatsioonide, küberspionaaži, (varastades) selle, mis on praegu tipptasemel, ja siis saavad nad proovida selle peale paljundada ja uuendusi teha.

DR: Huvitav. OK, nii et Hiinast kolides läheme nüüd üle Põhja-Koreasse ja nemad tegelevad äriga – nende APT grupid on raha teenijad, eks? Seda nad teha tahavadki.

OLEN: Jah. Nii et sellest on kolm tükki. Esiteks teenivad nad kindlasti diplomaatilist, sõjalist ja poliitilist luureandmete kogumise protsess, aga nad teevad seda ka intellektuaalomandi.

Nad käivitasid programmi nimega National Economic Development Strategy ehk NEDS. Ja sellega on kuus põhivaldkonda, mis keskenduvad sellistele asjadele nagu energia, kaevandamine, põllumajandus, rasketehnika ja kõik asjad, mis on seotud Põhja-Korea majandusega.

Nad peavad tõstma kulusid ja keskmise Põhja-Korea kodaniku elustiili. Ainult 30% elanikkonnast omab usaldusväärset elektrienergiat, nii et sellised asjad nagu taastuvenergia ja energia hankimise viisid (on sellised andmed Põhja-Korea APT rühmad otsivad).

Ja siis tulude genereerimine. Nad lõigati ära rahvusvahelisest SWIFT-süsteemist ja rahvusvahelisest finantsmajandusest. Ja nüüd peavad nad leidma viise tulu teenimiseks. Neil on midagi, mida nimetatakse kolmandaks kontoriks, mis teenib tulu režiimiga ja ka perekonnale.

Ja nii nad (Third Office) teevad palju asju, näiteks narkootikume, inimkaubandust ja ka küberkuritegevust. Niisiis Põhja-Korea APT rühmad on olnud väga tõhus nii traditsiooniliste finants- kui ka krüptovaluutaettevõtete sihtimisel. Ja me oleme seda näinud – üks asi meie eile ilmunud aruandes näitab, et eelmisel aastal sihituim vertikaal oli finantssektor, mis asendas telekommunikatsiooni. Nii et see avaldab mõju.

DR: Nad teenivad tonni raha. Pöörleme ringi, mis minu arvates on APT tegevuse teine ​​​​sammas, asub Iraanis. Mis vahel toimub Iraani APT rühmad?

OLEN: Nii et oleme paljudel juhtudel näinud võltsisikuid, et sihikule võtta oma (Iraani) vaenlasi – minna Iisraeli ja USA järele, omamoodi lääneriikidele. APT rühmad Iraani toetusel loovad need võltsitud isikud ja juurutavad lunavara, kuid see pole tegelikult lunavara, sest nad ei hooli tingimata raha kogumisest. Nad (Iraani APT rühmad) tahavad lihtsalt häireid tekitada ja seejärel tundlikku teavet koguda. Kõik see paneb inimesed kaotama usu poliitilistesse organisatsioonidesse või ettevõtetesse, mille sihtrühmaks nad on. Nii et see on tõesti häiriv kampaania, mis maskeerub lunavaraks Iraani ohus osalejad.

DR: Paljude nende rünnakute jaoks motivatsiooni määramine peab olema nii keeruline. Kuidas sa seda teed? Kuidas sa tead, et see on lihtsalt häire, mitte raha teenimise operatsioon?

OLEN: See on suurepärane küsimus, kuid tegelikult pole see nii keeruline, sest kui vaatate, mis tegelikult juhtub, eks? — Mis saab — kui nad on kurjategijad ja rahaliselt motiveeritud, hakkavad nad makseid tegema. See on eesmärk, eks?

Kui tundub, et nad ei hooli raha teenimisest, näiteks Mitte Petya näiteks on see meile üsna ilmne. Me sihime infrastruktuuri ja siis vaatame motiivi ennast.

DR: Ja üldiselt, millised on APT rühmade seas mõned rünnakud du jour? Millele nad praegu tegelikult toetuvad?

OLEN: Nii et me oleme palju näinud APT rühmad võrgu tüüpi seadmete järele. Erinevate pilvesüsteemide ja võrguseadmetega kokkupuutuvate seadmete vastu on rünnatud palju rohkem – asju, millel pole tavaliselt moodsaid lõpp-punktide turbepakke.

Ja see pole ainult APT rühmad. Näeme seda lunavaragruppide puhul tohutult. Nii et 80% rünnakutest kasutavad sissepääsuks legitiimseid volitusi. Nad elavad maal ja liiguvad sealt külgsuunas. Ja kui nad saavad, proovivad nad paljudel juhtudel juurutada lunavara hüperviisorisse, mis ei toeta teie DVR-tööriista, ja seejärel saavad nad lukustada kõik sellel töötavad serverid. hüpervisor ja pange organisatsiooni tegevuse lõpetama.

DR: Kahjuks on meil aeg otsas. Tahaksin tõesti seda pikemalt arutada, aga kas saate meile oma ennustused kiiresti anda? Mida me teie arvates 12 kuu pärast APT-ruumis vaatame?

OLEN: Ruum on olnud üsna ühtlane. Ma arvan, et me näeme, et nad (APT rühmad) jätkavad haavatavuse maastiku arendamist.

Kui vaadata näiteks Hiinat, siis tegelikult peab igasugune haavatavuse uurimine läbima riikliku julgeolekuministeeriumi. Seal keskendutakse luureandmete kogumisele. See on mõnel juhul peamine motiiv; on ka häireid.

Ja siis ennustusena on asi, millele kõik peavad mõtlema identiteedi haldamineähvarduste tõttu, mida me näeme. Need rikkumised hõlmavad identiteeti. Meil on midagi, mida nimetatakse "väljamurdeajaks", mis mõõdab, kui kaua kulub näitlejal oma keskkonda üleminekuks teise süsteemi. Kiireim (läbimurdeaeg), mida nägime, oli seitse minutit. Nii et need näitlejad liiguvad kiiremini. Nende (APT-rühmade) suurim eelis on see, et nad kasutavad seaduslikke mandaate, sisenedes seadusliku kasutajana. Ja selle eest kaitsmiseks on identiteedi kaitsmine ülioluline. Mitte ainult lõpp-punktid.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks