Perché la gestione delle identità è la chiave per fermare gli attacchi informatici APT

Perché la gestione delle identità è la chiave per fermare gli attacchi informatici APT

Timestamp: 14 settembre 2023 6:48
Perché la gestione delle identità è la chiave per fermare gli attacchi informatici APT PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Dark Reading News Desk ha intervistato Adam Meyers, capo delle operazioni di contro-avversario per CrowdStrike al Black Hat USA 2023. Guarda la clip di News Desk su YouTube (trascrizione sotto).

Lettura oscura, Becky Bracken: Ciao a tutti e bentornati al Dark Reading News Desk in diretta da Black Hat 2023. Sono Becky Bracken, redattrice di Dark Reading, e sono qui per dare il benvenuto ad Adam Meyers, responsabile delle operazioni di contrasto con CrowdStrike, al banco notizie di Dark Reading.

Grazie per esserti unito a noi, Adam. Lo apprezzo. L'anno scorso tutti erano molto concentrati Gruppi APT in Russia, cosa erano facendo in Ucrainae in che modo la comunità della sicurezza informatica potrebbe riunirsi per aiutarli. Sembra che da allora ci sia stato un cambiamento piuttosto considerevole nel terreno. Puoi darci un aggiornamento su ciò che sta accadendo in Russia adesso rispetto forse a un anno fa?

Adam Meyers: Quindi penso che ci sia molta preoccupazione a riguardo, ovviamente. Certamente penso che abbiamo visto che le interruzioni che generalmente si verificano dopo l’inizio del conflitto non stanno scomparendo. Ma mentre (eravamo concentrati), sapete, su quello che stava succedendo con i russi, i cinesi hanno stabilito un enorme sforzo di raccolta dati intorno a quello.

DR: Loro (il governo cinese e i gruppi APT associati) stavano usando l’invasione russa come copertura mentre tutti guardavano da quelle parti? Lo facevano prima?

AM: Questa è una bella domanda. Penso che abbia funzionato fornendo quel tipo di copertura perché tutti erano così concentrati su ciò che stava accadendo in Russia e Ucraina. Quindi ha distratto dal ritmo costante di tutti che gridavano alla Cina o facevano le cose che erano lì.

DR: Conosciamo quindi le motivazioni della Russia. Che dire Gruppi APT cinesi? Quali sono le loro motivazioni? Cosa stanno cercando di fare?

AM: Quindi è enorme piattaforma di raccolta. La Cina ha una serie di diversi programmi importanti. Hanno cose come i piani quinquennali dettati dal governo cinese con richieste di sviluppo aggressive. Hanno il “Made in China 2025”iniziativa, hanno il Cintura e Iniziativa strada. E così hanno costruito tutti questi diversi programmi per far crescere l'economia e sviluppare l'economia in Cina.

Alcune delle cose principali che hanno preso di mira riguardano aspetti come l'assistenza sanitaria. È la prima volta che i cinesi hanno a che fare con una classe media in aumento e quindi con problemi di prevenzione sanitaria (che sono una priorità), diabete, cure contro il cancro, tutto questo. E ne ottengono gran parte dall'Occidente. Loro (i cinesi) vogliono costruirlo lì. Vogliono avere prodotti equivalenti a quelli nazionali in modo da poter servire il proprio mercato e poi espanderlo nell’area circostante, la più ampia regione dell’Asia del Pacifico. E così facendo, creano ulteriore influenza. Costruiscono questi legami con questi paesi dove possono iniziare a promuovere prodotti cinesi, soluzioni commerciali e programmi cinesi... In modo che quando arriva il momento critico su una questione - Taiwan o qualcosa del genere - che non gli piace alle Nazioni Unite, loro può dire “Ehi, dovresti davvero votare in questo modo. Lo apprezzeremmo.”

DR: Quindi è davvero un raccolta di intelligence e guadagno di proprietà intellettuale per loro. E allora cosa vedremo nei prossimi anni? Renderanno operativa questa intelligence?

AM: Questo sta accadendo proprio adesso, se guardi cosa hanno fatto con l'intelligenza artificiale. Guarda cosa hanno fatto con l'assistenza sanitaria e la produzione di vari chip, dove acquistano la maggior parte dei loro chip esternamente. Non vogliono farlo.

Pensano che la gente li veda come l'officina del mondo e voglia davvero diventare un innovatore. E il modo in cui stanno cercando di farlo è sfruttando la leva finanziaria Gruppi APT cinesi e fare un salto di qualità (nazioni concorrenti) attraverso operazioni informatiche, spionaggio informatico, (rubando) ciò che è attualmente all’avanguardia, e poi possono provare a replicarlo e innovarlo.

DR: Interessante. OK, quindi passando dalla Cina, ora passiamo alla Corea del Nord, e loro sono nel business: i loro gruppi APT sono produttori di denaro, giusto? Questo è quello che stanno cercando di fare.

AM: Sì. Quindi ce ne sono tre pezzi. Innanzitutto, sono certamente al servizio del mondo diplomatico, militare e politico processo di raccolta di informazioni, ma lo fanno anche proprietà intellettuale.

Hanno lanciato un programma chiamato Strategia nazionale di sviluppo economico, o NEDS. E con ciò, ci sono sei aree principali che si concentrano su cose come l'energia, l'estrazione mineraria, l'agricoltura, i macchinari pesanti, tutte cose associate all'economia nordcoreana.

Devono aumentare i costi e lo stile di vita del cittadino nordcoreano medio. Solo il 30% della popolazione dispone di energia elettrica affidabile, quindi cose come l'energia rinnovabile e i modi per ottenere energia (sono il tipo di dati Gruppi APT nordcoreani stanno cercando).

E poi la generazione di entrate. Sono stati tagliati fuori dal sistema SWIFT internazionale e dalle economie finanziarie internazionali. E quindi ora devono trovare il modo di generare entrate. Hanno qualcosa chiamato Terzo Ufficio, che genera entrate per il regime e anche per la famiglia.

E così loro (il Terzo Ufficio) fanno molte cose, cose come la droga, il traffico di esseri umani e anche la criminalità informatica. COSÌ Gruppi APT nordcoreani è stato molto efficace nel prendere di mira i settori finanziari tradizionali e le società di criptovaluta. E lo abbiamo visto: uno degli aspetti contenuti nel nostro rapporto pubblicato ieri mostra che il secondo settore verticale più preso di mira lo scorso anno è stato quello finanziario, che ha sostituito le telecomunicazioni. Quindi sta avendo un impatto.

DR: Stanno facendo un sacco di soldi. Facciamo perno su quello che immagino sia l'altro pilastro principale dell'azione dell'APT: l'Iran. Cosa sta succedendo tra Gruppi APT iraniani?

AM: Quindi abbiamo visto, in molti casi, personaggi falsi prendere di mira i loro nemici (iraniani) – per inseguire Israele e gli Stati Uniti, una specie di paesi occidentali. Gruppi APT sostenuti dall'Iran creano questi personaggi falsi e distribuiscono ransomware, ma non è veramente ransomware perché non si preoccupano necessariamente di raccogliere i soldi. Essi (Gruppi APT iraniani) vogliono solo causare tale interruzione e quindi raccogliere informazioni sensibili. Tutto ciò fa sì che le persone perdano fiducia, o fiducia, nelle organizzazioni politiche o nelle aziende che prendono di mira. Quindi è davvero una campagna dirompente mascherata da ransomware Attori della minaccia iraniani.

DR: Deve essere davvero complicato cercare di attribuire la motivazione a molti di questi attacchi. Come si fa a farlo? Voglio dire, come fai a sapere che è solo una facciata di disturbo e non un'operazione per fare soldi?

AM: Questa è un'ottima domanda, ma in realtà non è così difficile perché se guardi cosa succede realmente, giusto? – ciò che accade – se sono criminali e sono motivati ​​​​finanziariamente, effettueranno i pagamenti. Questo è l'obiettivo, giusto?

Se non sembrano davvero preoccupati di fare soldi, tipo NotPetya per esempio, questo è abbastanza ovvio per noi. Prenderemo di mira le infrastrutture e poi esamineremo il motivo stesso.

DR: E in generale, tra i gruppi APT, quali sono alcuni degli attacchi du jour? Su cosa fanno veramente affidamento in questo momento?

AM: Quindi ne abbiamo visti molti Gruppi APT inseguendo apparecchi di tipo rete. Ci sono stati molti più attacchi contro dispositivi esposti a vari sistemi cloud e dispositivi di rete, cose che in genere non dispongono di moderni stack di sicurezza degli endpoint.

E non si tratta solo dei gruppi APT. Lo vediamo in modo straordinario con i gruppi ransomware. Quindi l’80% degli attacchi utilizzano credenziali legittime per entrare. Vivono dei prodotti della terra e si spostano lateralmente da lì. E poi, se possono, in molti casi, proveranno a distribuire il ransomware su un hypervisor che non supporta il tuo strumento DVR, e quindi potranno bloccare tutti i server in esecuzione su quello hypervisor e far fallire l'organizzazione.

DR: Purtroppo non abbiamo più tempo a disposizione. Mi piacerebbe davvero discuterne ancora a lungo, ma puoi darci rapidamente le tue previsioni? Cosa pensi che vedremo nello spazio APT tra 12 mesi?

AM: Lo spazio è stato abbastanza coerente. Penso che li vedremo (i gruppi APT) continuare ad evolvere il panorama delle vulnerabilità.

Se si guarda alla Cina, ad esempio, qualsiasi ricerca sulla vulnerabilità deve passare attraverso il Ministero della Sicurezza di Stato. Lì l'attenzione è concentrata sulla raccolta di informazioni. In alcuni casi questo è il motivo principale; c'è anche un'interruzione.

E poi, come previsione, la cosa a cui tutti devono pensare è gestione dell'identità, a causa delle minacce a cui stiamo assistendo. Queste violazioni coinvolgono l’identità. Abbiamo qualcosa chiamato "tempo di breakout", che misura quanto tempo impiega un attore per passare dal punto d'appoggio iniziale nel proprio ambiente a un altro sistema. Il tempo più veloce (tempo di pausa) che abbiamo visto è stato di sette minuti. Quindi questi attori si stanno muovendo più velocemente. La cosa più importante è che loro (i gruppi APT) utilizzano credenziali legittime, presentandosi come utente legittimo. E per proteggersi da ciò, proteggere l’identità è fondamentale. Non solo endpoint.

Timestamp:

Di più da Lettura oscura