Tietojenkalastelu on pitkään ollut yksi parhaista tavoista päästä kohdeorganisaatioon. Ei se ennen ollut näin. Tietoturvan alkuaikoina Remote Code Exploit (RCE) oli suosituin tapa päästä käsiksi, koska se ei vaatinut käyttäjän toimia. Itse asiassa, jos jokin vaati käyttäjän toimia, sitä ei pidetty vakavana uhkana. Paremmat suojauskäytännöt alkoivat tunkeutua ja RCE-käyttömenetelmä muuttui paljon haastavammaksi. Ja kävi ilmi, että käyttäjien saaminen vuorovaikutukseen oli helpompaa kuin koskaan kuvitellaan.
Sama sykli on alkanut toistaa itseään paikan päällä olevien kohteiden kanssa. Organisaatiot ovat alkaneet suojata sisäisiä verkkojaan endpoint detection and response (EDR) -käytöltä, ja muilla teknologioilla on paremmat valmiudet havaita haittaohjelmat ja sivuttaisliikkeet. Vaikka hyökkäykset ovat yhä vaikeampia, se ei ole vielä suinkaan tehoton strategia hyökkääjälle. Kiristysohjelmien ja muiden haittaohjelmien käyttöönotto on edelleen yleinen tulos.
Miksi pilviinfrastruktuurisi on tietojenkalasteluhyökkäysten tärkein kohde
Pilvi on antanut phishers aivan uuden rajan hyökätä, ja käy ilmi, että se voi olla erittäin vaarallista. SaaS-ympäristöt ovat kypsiä kohteita phishing-hyökkäyksille ja voivat tarjota hyökkääjälle paljon muutakin kuin pääsyn joihinkin sähköposteihin. Suojaustyökalut ovat vielä kypsymässä tässä ympäristössä, mikä tarjoaa hyökkääjille mahdollisuuden, jossa menetelmät, kuten tietojenkalasteluhyökkäykset, voivat olla erittäin tehokkaita.
Phishing-hyökkäykset kohdistetaan kehittäjiin ja ohjelmistojen toimitusketjuun
Kuten äskettäin näimme, Dropboxilla oli tapaus sen kehittäjiä vastaan tehdyn phishing-hyökkäyksen vuoksi. Heidät huijattiin antamalla Github-tunnuksensa hyökkääjälle tietojenkalastelusähköpostilla ja väärennetyllä verkkosivustolla huolimatta monitekijäinen todennus (MFA). Pelottaa tästä on, että tämä ei ollut vain satunnainen käyttäjä myynnistä tai muusta liiketoiminnasta, vaan kehittäjät, joilla oli pääsy paljon Dropbox-tietoihin. Onneksi tapauksen laajuus ei näytä vaikuttavan Dropboxin kriittisimpiin tietoihin.
GitHub ja muut jatkuvan integroinnin/jatkuvan käyttöönoton (CI/CD) tilan alustat ovat uusia "kruununjalokiviä" monille yrityksille. Oikeilla käyttöoikeuksilla hyökkääjät voivat varastaa immateriaaliomaisuutta, vuotaa lähdekoodia ja muita tietoja tai toimia toimitusketjun hyökkäykset. Se menee vielä pidemmälle, koska GitHub integroituu usein muihin alustoihin, joita hyökkääjä saattaa pystyä kääntämään. Kaikki tämä voi tapahtua koskematta uhrin paikalliseen verkkoon tai moniin muihin organisaatioiden hankkimiin tietoturvatyökaluihin, koska kaikki on ohjelmistosta palveluna (SaaS) - SaaS:ksi.
Turvallisuus voi tässä tilanteessa olla haaste. Jokainen SaaS-palveluntarjoaja tekee sen eri tavalla. Asiakkaan näkyvyys näillä alustoilla tapahtuvaan on usein rajallinen. Esimerkiksi GitHub antaa pääsyn Audit Log API:han vain sen yrityssuunnitelman mukaisesti. Näkyvyyden saaminen on vasta ensimmäinen este, joka on voitettava, ja seuraava on hyödyllisen tunnistussisällön tekeminen sen ympärille. SaaS-palveluntarjoajat voivat olla hyvin erilaisia toimintansa ja tarjoamiensa tietojen suhteen. Ilmaisujen tekeminen ja ylläpitäminen edellyttää kontekstuaalista ymmärrystä niiden toiminnasta. Organisaatiollasi voi olla käytössä useita tällaisia SaaS-alustoja.
Kuinka pienennät pilvessä tapahtuvaan tietojenkalasteluun liittyviä riskejä?
Identiteettialustat, kuten Okta, voivat auttaa vähentämään riskejä, mutta ei kokonaan. Luvattomien kirjautumisten tunnistaminen on varmasti yksi parhaista tavoista löytää phishing-hyökkäykset ja vastata niihin. Tämä on helpommin sanottu kuin tehty, sillä hyökkääjät ovat saaneet kiinni yleisistä tavoista havaita läsnäolonsa. Välityspalvelimia tai VPN:itä voidaan helposti käyttää ainakin näyttämään olevan samalta yleiseltä alueelta kuin käyttäjä, jotta maa- tai mahdoton matkustustunnistukset voidaan kumota. Kehittyneempiä koneoppimismalleja voidaan soveltaa, mutta niitä ei ole vielä laajalti otettu käyttöön tai todistettu.
Perinteinen uhkien havaitseminen alkaa myös mukautua SaaS-maailmaan. Falco, suosittu konttien ja pilven uhkien havaitsemistyökalu, sisältää laajennusjärjestelmän, joka tukee lähes mitä tahansa alustaa. Falcon tiimi on jo julkaissut laajennuksia ja sääntöjä mm. Oktalle ja GitHubille. Esimerkiksi, GitHub-laajennus on sääntö, joka laukeaa, jos missä tahansa sitoumuksessa näkyy merkkejä kryptokaivostyöstä. Näiden tarkoitukseen suunniteltujen havainnointien hyödyntäminen on hyvä tapa aloittaa näiden alustojen tuominen yleiseen uhkien havaitsemisohjelmaasi.
Tietojenkalastelu on täällä jäädäkseen
Tietojenkalastelu ja sosiaalinen manipulointi yleensä eivät jää koskaan jälkeen. Se on ollut tehokas hyökkäysmenetelmä vuosia, ja tulee olemaan niin kauan kuin ihmiset kommunikoivat. On tärkeää ymmärtää, että nämä hyökkäykset eivät rajoitu omistamaasi tai suoraan hallitsemaasi infrastruktuuriin. SaaS on erityisen vaarassa, koska useimmat organisaatiot eivät näe, mitä näillä alustoilla todella tapahtuu. Niiden turvallisuutta ei voida kirjata jonkun muun ongelmaksi, sillä pelkkä sähköposti ja väärennetty verkkosivusto riittää pääsyyn näihin resursseihin.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
