Az adathalászat régóta az egyik legjobb módja a célszervezethez való hozzáférésnek. Régen nem így volt. A számítógépes biztonság korai napjaiban a távoli kódexploit (RCE) volt a preferált hozzáférési mód, mivel nem igényelt felhasználói beavatkozást. Valójában, ha valami felhasználói beavatkozást igényelt, azt nem tekintették komoly fenyegetésnek. A jobb biztonsági gyakorlatok elkezdtek érvényesülni, és az RCE hozzáférési módszer sokkal nagyobb kihívást jelent. És kiderült, hogy könnyebb volt rávenni a felhasználókat az interakcióra, mint valaha gondoltuk.
Ugyanez a ciklus kezdett megismétlődni a helyszíni célokkal. A szervezetek előrelépéseket tettek belső hálózataik védelmében a végpontészlelés és válaszadás (EDR) használatával szemben, más technológiák pedig jobban fel vannak szerelve a rosszindulatú programok és az oldalirányú mozgások észlelésére. Noha a támadások egyre nehezebbek, ez még korántsem hatástalan stratégia egy támadó számára. A zsarolóprogramok és a rosszindulatú programok egyéb formáinak telepítése továbbra is gyakori eredmény.
Miért az Ön felhő-infrastruktúrája az adathalász támadások legfőbb célpontja?
A felhő teljesen új támadási határt adott az adathalászoknak, és kiderül, hogy nagyon veszélyes lehet. A SaaS-környezetek érett célpontok az adathalász támadásokhoz, és sokkal többet tudnak adni a támadónak, mint bizonyos e-mailekhez való hozzáférést. A biztonsági eszközök még fejlődnek ebben a környezetben, amely lehetőséget kínál a támadóknak, ahol az olyan módszerek, mint az adathalász támadások, nagyon hatékonyak lehetnek.
Az adathalász támadások a fejlesztőket és a szoftver-ellátási láncot célozzák
Ahogy a közelmúltban láttuk, A Dropboxnál történt egy incidens fejlesztői elleni adathalász támadás miatt. Becsapták őket átadják a Github hitelesítő adatait egy adathalász e-mail és hamis webhely által a támadónak, ennek ellenére többtényezős hitelesítés (MFA). Az teszi ezt ijesztővé, hogy ez nem csak egy véletlenszerű felhasználó volt az értékesítésből vagy más üzleti funkcióból, hanem fejlesztők, akik sok Dropbox adathoz fértek hozzá. Szerencsére úgy tűnik, hogy az incidens hatóköre nem befolyásolja a Dropbox legkritikusabb adatait.
A GitHub és a folyamatos integráció/folyamatos üzembe helyezés (CI/CD) más platformjai sok vállalat új „koronaékszerei”. A megfelelő hozzáféréssel a támadók szellemi tulajdont lophatnak, forráskódot és egyéb adatokat szivárogtathatnak ki, vagy ellátási lánc támadások. Még messzebbre megy, mivel a GitHub gyakran integrálódik más platformokkal, amelyeket a támadó képes elforgatni. Mindez megtörténhet anélkül, hogy megérintené az áldozat helyszíni hálózatát, vagy sok más biztonsági eszközt, amelyet a szervezetek szereztek be, mivel mindez szoftver-szolgáltatásként (SaaS) a SaaS-ba.
A biztonság ebben a forgatókönyvben kihívást jelenthet. Minden SaaS-szolgáltató másként csinálja. Az ügyfelek rálátása arra, hogy mi történik ezeken a platformokon, gyakran korlátozott. A GitHub például csak az Audit Log API-hoz ad hozzáférést a vállalati tervében. A láthatóság elérése csak az első leküzdendő akadály, a következő az lenne, hogy hasznos észlelési tartalmat készítsünk körülötte. A SaaS-szolgáltatók tevékenységükben és az általuk szolgáltatott adatokban meglehetősen eltérőek lehetnek. Az észlelések végrehajtásához és fenntartásához a működésük kontextus szerinti megértése szükséges. Lehetséges, hogy szervezete sok ilyen SaaS-platformot használ.
Hogyan csökkentheti a felhőben történő adathalászattal kapcsolatos kockázatokat?
Az identitás platformok, mint például az Okta, segíthetnek csökkenteni a kockázatot, de nem teljesen. A jogosulatlan bejelentkezések azonosítása minden bizonnyal az egyik legjobb módja az adathalász támadások felfedezésének és az azokra való reagálásnak. Ezt könnyebb mondani, mint megtenni, mivel a támadók rájöttek a jelenlétük észlelésének általános módjaira. A proxyszerverek vagy VPN-ek könnyen használhatók úgy, hogy legalább úgy tűnjenek, hogy ugyanarról az általános területről származnak, mint a felhasználó, hogy legyőzzék az ország vagy a lehetetlen utazási észleléseket. Alkalmazhatók fejlettebb gépi tanulási modellek is, de ezek még nem terjedtek el vagy nem bizonyított.
A hagyományos fenyegetésészlelés is kezd alkalmazkodni a SaaS világához. A Falco, a konténerek és felhők számára népszerű fenyegetésészlelő eszköz, olyan beépülő rendszerrel rendelkezik, amely szinte bármilyen platformot támogat. A Falco csapata már kiadott bővítményeket és szabályokat többek között az Okta és a GitHub számára. Például, a GitHub beépülő modul van egy szabálya, amely akkor aktiválódik, ha bármely commit crypto bányász jeleit mutatja. Ezeknek a célra kialakított észleléseknek a kihasználása jó módja annak, hogy elkezdhesse ezeket a platformokat az átfogó fenyegetésészlelési programba.
Az adathalászat itt marad
Az adathalászat és általában a social engineering soha nem marad el. Évek óta hatékony támadási módszer, és az is lesz, amíg az emberek kommunikálnak. Nagyon fontos megérteni, hogy ezek a támadások nem korlátozódnak az Ön tulajdonában lévő vagy közvetlenül kezelt infrastruktúrára. A SaaS különösen veszélyeztetett, mivel a legtöbb szervezet számára nem látható, hogy mi történik valójában ezeken a platformokon. Biztonságukat nem lehet valaki más problémájaként leírni, mivel egy egyszerű e-mail és egy hamis webhely elég ahhoz, hogy hozzáférjen ezekhez az erőforrásokhoz.
