Mengapa Manajemen Identitas Adalah Kunci Menghentikan Serangan Siber APT

Diterbitkan Ulang Oleh Plato

Followers: 0

Mengapa Manajemen Identitas Menjadi Kunci untuk Menghentikan Serangan Siber APT PlatoBlockchain Data Intelligence. Pencarian Vertikal. Ai.

Dark Reading News Desk mewawancarai Adam Meyers, kepala operasi kontra musuh untuk CrowdStrike di Black Hat USA 2023. Lihat klip News Desk di Youtube (transkrip di bawah).

Bacaan Gelap, Becky Bracken: Hai semuanya, dan selamat datang kembali di Dark Reading News Desk yang hadir langsung dari Black Hat 2023. Saya Becky Bracken, editor Dark Reading, dan saya di sini untuk menyambut Adam Meyers, kepala operasi kontra musuh di CrowdStrike, ke Meja Berita Bacaan Gelap.

Terima kasih telah bergabung dengan kami, Adam. Saya menghargainya. Tahun lalu, semua orang sangat fokus Grup APT di Rusia, siapa mereka lakukan di Ukraina, dan bagaimana komunitas keamanan siber dapat bersatu dan membantu mereka. Tampaknya telah terjadi pergeseran yang cukup besar sejak saat itu. Bisakah Anda memberi kami informasi terkini tentang apa yang terjadi di Rusia saat ini dibandingkan mungkin setahun yang lalu?

Adam Meyer: Jadi menurut saya ada banyak kekhawatiran tentang hal itu, tentu saja. Tentu saja saya pikir kita melihat bahwa gangguan yang umumnya terjadi setelah konflik dimulai tidak kunjung hilang. Namun sementara (kami fokus), Anda tahu, pada apa yang terjadi dengan Rusia, Tiongkok telah menetapkan a upaya pengumpulan data secara besar-besaran sekitar itu.

dr: Apakah mereka (pemerintah Tiongkok di kelompok APT terkait) menggunakan invasi Rusia sebagai kedok sementara semua orang melihat ke sini? Apakah mereka melakukan hal itu sebelumnya?

SAYA: Itu pertanyaan yang bagus. Saya pikir cara ini berhasil memberikan perlindungan seperti itu karena semua orang begitu fokus pada apa yang terjadi di Rusia dan Ukraina. Jadi hal ini mengalihkan perhatian dari hentakan keras semua orang yang menyerukan Tiongkok atau melakukan hal-hal yang mereka lakukan di sana.

dr: Jadi kita tahu motivasi Rusia. Bagaimana dengan Kelompok APT Tiongkok? Apa motivasi mereka? Apa yang mereka coba lakukan?

SAYA: Jadi ini sangat besar platform pengumpulan. Tiongkok mempunyai sejumlah program besar yang berbeda. Mereka mempunyai hal-hal seperti Rencana Lima Tahun yang ditentukan oleh Pemerintah Tiongkok dengan tuntutan pembangunan yang agresif. Mereka memiliki “Buatan China 2025” Inisiatif, mereka punya Sabuk dan Inisiatif Jalan. Jadi mereka telah membangun semua program yang berbeda ini untuk menumbuhkan perekonomian guna mengembangkan perekonomian di Tiongkok.

Beberapa hal utama yang mereka targetkan adalah seputar hal-hal seperti layanan kesehatan. Ini adalah pertama kalinya masyarakat Tiongkok menghadapi peningkatan kelas menengah sehingga masalah layanan kesehatan preventif (adalah prioritas), diabetes, pengobatan kanker, dan sebagainya. Dan mereka banyak memperolehnya dari Barat. Mereka (China) ingin membangunnya di sana. Mereka ingin memiliki produk yang setara dengan produk dalam negeri sehingga mereka dapat melayani pasar mereka sendiri dan kemudian mengembangkannya ke wilayah sekitarnya, kawasan Asia Pasifik yang lebih luas. Dan dengan melakukan hal itu, mereka membangun pengaruh tambahan. Mereka membangun hubungan ini dengan negara-negara di mana mereka dapat mulai mendorong produk-produk Tiongkok dan solusi perdagangan serta program-program Tiongkok… Sehingga ketika ada desakan untuk mendorong suatu isu – Taiwan atau semacamnya – yang tidak mereka sukai di PBB, mereka akan melakukan hal yang sama. dapat mengatakan “Hei, kamu harus memilih dengan cara ini. Kami akan sangat menghargainya.”

dr: Jadi itu benar-benar sebuah pengumpulan intelijen dan keuntungan kekayaan intelektual untuk mereka. Jadi apa yang akan kita lihat dalam beberapa tahun ke depan? Apakah mereka akan mengoperasionalkan intelijen ini?

SAYA: Hal ini sedang terjadi saat ini, jika Anda melihat apa yang telah mereka lakukan dengan AI. Lihatlah apa yang telah mereka lakukan dengan layanan kesehatan dan berbagai manufaktur chip, di mana mereka mendapatkan sebagian besar chip mereka dari luar. Mereka tidak ingin melakukan itu.

Mereka mengira masyarakat melihat mereka sebagai bengkel dunia, dan sangat ingin menjadi inovator. Dan cara yang ingin mereka lakukan adalah dengan memanfaatkan Kelompok APT Tiongkok dan melompati (negara-negara pesaing) melalui operasi siber, spionase siber, (mencuri) apa yang saat ini merupakan teknologi tercanggih, dan kemudian mereka dapat mencoba meniru dan berinovasi lebih dari itu.

dr: Menarik. Baiklah, jika kita pindah dari Tiongkok, sekarang kita pergi ke Korea Utara, dan mereka menjalankan bisnis ini — kelompok APT mereka adalah penghasil uang, bukan? Itulah yang ingin mereka lakukan.

SAYA: Ya. Jadi ada tiga potong. Pertama, mereka tentu saja melayani bidang diplomatik, militer, dan politik proses pengumpulan intelijen, tapi mereka juga melakukannya kekayaan intelektual.

Mereka meluncurkan program yang disebut Strategi Pembangunan Ekonomi Nasional, atau NEDS. Dan dengan itu, ada enam bidang inti yang fokus pada hal-hal seperti energi, pertambangan, pertanian, alat berat, semua hal yang berhubungan dengan perekonomian Korea Utara.

Mereka perlu menaikkan biaya dan gaya hidup rata-rata warga Korea Utara. Hanya 30% populasi yang memiliki listrik yang dapat diandalkan, sehingga hal-hal seperti energi terbarukan dan cara mendapatkan energi (adalah jenis data yang dapat diandalkan). Kelompok APT Korea Utara mencari).

Dan kemudian menghasilkan pendapatan. Mereka terputus dari sistem SWIFT Internasional dan perekonomian keuangan internasional. Jadi sekarang mereka harus menemukan cara untuk menghasilkan pendapatan. Mereka mempunyai sesuatu yang disebut Kantor Ketiga, yang menghasilkan pendapatan bagi rezim dan juga bagi keluarga.

Jadi mereka (Kantor Ketiga) melakukan banyak hal, seperti narkoba, perdagangan manusia, dan juga kejahatan dunia maya. Jadi Kelompok APT Korea Utara sangat efektif dalam menargetkan perusahaan keuangan tradisional dan mata uang kripto. Dan kita telah melihatnya — salah satu hal dalam laporan kami yang baru dirilis kemarin menunjukkan bahwa sektor kedua yang paling ditargetkan pada tahun lalu adalah keuangan, yang menggantikan telekomunikasi. Jadi ini memberikan dampak.

dr: Mereka menghasilkan banyak uang. Mari kita lihat, yang menurut saya merupakan pilar utama aksi APT lainnya adalah di Iran. Apa yang terjadi di antara kelompok APT Iran?

SAYA: Jadi kita telah melihat, dalam banyak kasus, orang-orang palsu yang menargetkan musuh-musuh mereka (Iran) – untuk menyerang Israel dan Amerika Serikat, semacam negara-negara Barat. kelompok APT yang didukung oleh Iran membuat persona palsu ini dan menyebarkan ransomware, tapi ini sebenarnya bukan ransomware karena mereka tidak terlalu peduli dengan pengumpulan uang. Mereka (kelompok APT Iran) hanya ingin menyebabkan gangguan tersebut dan kemudian mengumpulkan informasi sensitif. Semua ini membuat masyarakat kehilangan kepercayaan atau kepercayaan terhadap organisasi politik atau perusahaan yang mereka targetkan. Jadi ini benar-benar kampanye disruptif yang menyamar sebagai ransomware Aktor ancaman Iran.

dr: Pasti sangat sulit untuk mencoba memberikan motivasi atas banyak serangan ini. Bagaimana kamu melakukannya? Maksud saya, bagaimana Anda tahu bahwa ini hanya kedok gangguan dan bukan operasi yang menghasilkan uang?

SAYA: Itu pertanyaan yang bagus, tapi sebenarnya tidak terlalu sulit karena jika dilihat dari apa yang sebenarnya terjadi, bukan? — apa yang terjadi — jika mereka kriminal, dan mereka mempunyai motivasi finansial, mereka akan melakukan pembayaran. Itu tujuannya, bukan?

Jika mereka tampaknya tidak terlalu peduli untuk menghasilkan uang, misalnya NotPetya misalnya, hal itu cukup jelas bagi kami. Kita akan menyasar infrastruktur, lalu kita lihat motifnya.

dr: Dan secara umum, di kalangan kelompok APT, apa sajakah serangan yang terjadi du jour? Apa yang sebenarnya mereka andalkan saat ini?

SAYA: Jadi kita telah melihat banyak hal kelompok APT mengejar peralatan tipe jaringan. Ada lebih banyak serangan terhadap perangkat yang terekspos pada berbagai sistem cloud dan peralatan jaringan, hal-hal yang biasanya tidak memiliki tumpukan keamanan titik akhir modern.

Dan ini bukan hanya kelompok APT. Kami sangat melihat hal ini pada kelompok ransomware. Jadi, 80% penyerang menggunakan kredensial yang sah untuk masuk. Mereka tinggal di luar wilayah tersebut dan bergerak ke samping dari sana. Dan jika mereka bisa, dalam banyak kasus, mereka akan mencoba menyebarkan ransomware ke hypervisor yang tidak mendukung alat DVR Anda, dan kemudian mereka dapat mengunci semua server yang berjalan pada hypervisor tersebut. hypervisor dan membuat organisasi tersebut gulung tikar.

dr: Sayangnya, kita kehabisan waktu. Saya benar-benar ingin membahas hal ini lebih lama lagi, tetapi bisakah Anda segera memberikan prediksi Anda kepada kami? Menurut Anda, apa yang akan kita lihat di ruang APT 12 bulan dari sekarang?

SAYA: Ruangnya cukup konsisten. Saya pikir kita akan melihat mereka (kelompok APT) terus mengembangkan lanskap kerentanan.

Jika Anda melihat Tiongkok, misalnya, penelitian kerentanan apa pun harus melalui Kementerian Keamanan Negara. Fokus pada pengumpulan intelijen di sana. Itulah motif utama dalam beberapa kasus; ada gangguan juga.

Dan kemudian, sebagai prediksi, hal yang perlu dipikirkan semua orang adalah manajemen identitas, karena ancaman yang kami lihat. Pelanggaran ini melibatkan identitas. Kita mempunyai sesuatu yang disebut “waktu breakout”, yang mengukur berapa lama waktu yang dibutuhkan seorang aktor untuk berpindah dari pijakan awal ke lingkungannya ke sistem lain. Waktu tercepat (waktu breakout) yang kami lihat adalah tujuh menit. Jadi para aktor ini bergerak lebih cepat. Kesimpulan terbesarnya adalah mereka (grup APT) menggunakan kredensial yang sah, masuk sebagai pengguna yang sah. Dan untuk melindungi diri dari hal tersebut, melindungi identitas sangatlah penting. Bukan hanya titik akhir.