מדוע ניהול זהויות הוא המפתח לעצירת מתקפות סייבר של APT

Dark Reading News Desk ראיין את אדם מאיירס, ראש פעולות נגד יריב עבור CrowdStrike ב-Black Hat USA 2023. בדוק את הקליפ של News Desk ב YouTube (תמליל למטה).

קריאה אפלה, בקי ברקן: היי לכולם, וברוכים הבאים לדסק החדשות של Dark Reading שמגיע אליכם בשידור חי מ-Black Hat 2023. אני בקי ברקן, עורכת ב-Dark Reading, ואני כאן כדי לקבל את פני אדם מאיירס, ראש פעולות נגד יריבים ב-CrowdStrike, לדסק החדשות Dark Reading.

תודה שהצטרפת אלינו, אדם. אני מעריך את זה. בשנה שעברה, כולם היו מאוד ממוקדים קבוצות APT ברוסיה, מה הם היו עושה באוקראינה, וכיצד קהילת אבטחת הסייבר יכולה להתגייס ולעזור להם. נראה כי חלה תזוזה די ניכרת בקרקע מאז. אתה יכול לתת לנו עדכון על מה שקורה ברוסיה עכשיו לעומת אולי לפני שנה?

אדם מאיירס: אז אני חושב שיש הרבה דאגה לגבי זה, כמובן. אני בהחלט חושב שראינו שהשיבושים שבדרך כלל לאחר שהסכסוך התחיל לא נעלמים. אבל בעוד (היינו מרוכזים), אתה יודע, במה שקורה עם הרוסים, הסינים הקימו א מאמצים מסיביים לאיסוף נתונים סביב זה.

ד"ר: האם הם (הממשלה הסינית בקבוצות APT קשורות) השתמשו בפלישה הרוסית ככיסוי בזמן שכולם הסתכלו כאן? הם עשו את זה לפני זה?

AM you זו שאלה טובה. אני חושב שזה הסתדר שזה סיפק כיסוי כזה כי כולם כל כך מרוכזים במה שקורה ברוסיה ובאוקראינה. אז זה הסיח את דעתו ממהלומות התופים היציבות של כל מי שקורא לסין או עושה דברים שהם היו שם.

ד"ר: אז אנחנו יודעים את המניעים של רוסיה. מה לגבי קבוצות APT סיניות? מה המניעים שלהם? מה הם מנסים לעשות?

AM you אז זה מאסיבי פלטפורמת איסוף. לסין יש מספר תוכניות מרכזיות שונות. יש להם דברים כמו תוכניות החומש שהוכתבו על ידי ממשלת סין עם דרישות פיתוח אגרסיביות. יש להם את "תוצרת סין 2025יוזמה, יש להם את חגורה ויוזמה. וכך הם בנו את כל התכניות השונות הללו כדי להצמיח את הכלכלה כדי לפתח את הכלכלה בסין.

כמה מהדברים העיקריים שהם מכוונים אליהם הם סביב דברים כמו שירותי בריאות. זו הפעם הראשונה שהסינים מתמודדים עם מעמד ביניים הולך וגדל ולכן בעיות בריאות מונעות (בעדיפות), סוכרת, טיפולי סרטן, כל זה. והם מוצאים הרבה מזה מהמערב. הם (הסינים) רוצים לבנות את זה שם. הם רוצים שיהיו להם מוצרים מקבילים למשק כדי שיוכלו לשרת את השוק שלהם ואז להצמיח אותו לאזור שמסביב, לאזור הרחב יותר של אסיה פסיפיק. ובאמצעות זה, הם בונים השפעה נוספת. הם בונים את הקשרים האלה למדינות האלה שבהן הם יכולים להתחיל לדחוף מוצרים סיניים ופתרונות מסחר ותוכניות סיניות... כך שכאשר דחיפה באה לדחוף נושא - טייוואן או משהו כזה - שהם לא אוהבים באו"ם, הם יכול לומר "היי, אתה באמת צריך להצביע ככה. נעריך זאת."

ד"ר: אז זה באמת א אוסף מודיעין ו רווח בקניין רוחני בשבילם. אז מה אנחנו הולכים לראות בשנים הקרובות? האם הם מתכוונים להפעיל את המודיעין הזה?

AM you זה קורה עכשיו, אם אתה מסתכל על מה שהם עשו עם AI. תראה מה הם עשו עם שירותי בריאות וייצור שבבים שונים, שם הם מוצאים את רוב השבבים שלהם באופן חיצוני. הם לא רוצים לעשות את זה.

הם חושבים שאנשים רואים בהם את הסדנה של העולם, וזה באמת רוצה להפוך לחדשן. והדרך שבה הם מחפשים לעשות זאת היא על ידי מינוף קבוצות APT סיניות וקפיצת מדרגה (מדינות מתחרות) באמצעות פעולות סייבר, ריגול סייבר, (גניבה) של מה שכרגע מתקדם, ואז הם יכולים לנסות לשכפל ולחדש נוסף על כך.

ד"ר: מעניין. אוקיי, אז עוברים מסין, עכשיו אנחנו עוברים לצפון קוריאה, והם בעניינים - קבוצות ה-APT שלהם עושות כסף, נכון? זה מה שהם מחפשים לעשות.

AM you כֵּן. אז יש שלושה חלקים ממנו. האחד, הם בהחלט משרתים את הדיפלומטיים, הצבאיים והפוליטיים תהליך איסוף מודיעין, אבל הם גם כן קניין רוחני.

הם השיקו תוכנית בשם אסטרטגיית הפיתוח הכלכלי הלאומי, או NEDS. ועם זה, יש שישה תחומי ליבה שמתמקדים בדברים כמו אנרגיה, כרייה, חקלאות, מכונות כבדות, הכל דברים שקשורים לכלכלה הצפון קוריאנית.

הם צריכים להעלות את העלות ואת אורח החיים של האזרח הצפון קוריאני הממוצע. רק ל-30% מהאוכלוסייה יש חשמל אמין, אז דברים כמו אנרגיה מתחדשת ודרכים להשיג אנרגיה (הם סוג הנתונים קבוצות APT צפון קוריאניות מחפשים).

ואז ייצור הכנסות. הם נותקו ממערכת SWIFT הבינלאומית ומכלכלות פיננסיות בינלאומיות. אז עכשיו הם צריכים למצוא דרכים לייצר הכנסות. יש להם משהו שנקרא המשרד השלישי, שמייצר הכנסות עם המשטר וגם למשפחה.

וכך הם (המשרד השלישי) עושים הרבה דברים, דברים כמו סמים, סחר בבני אדם, וגם פשעי סייבר. כך קבוצות APT צפון קוריאניות היה יעיל מאוד במיקוד לחברות פיננסיות מסורתיות כמו גם לחברות קריפטו. וראינו את זה - אחד הדברים בדו"ח שלנו שיצא אתמול מראה שהענף השני הכי ממוקד בשנה שעברה היה פיננסי, שהחליף את הטלקום. אז זה משפיע.

ד"ר: הם מרוויחים טונות של כסף. בואו נסתובב סביב, שלדעתי הוא העמוד העיקרי השני של פעולת APT, הוא באיראן. מה קורה ביניהם קבוצות APT איראניות?

AM you אז ראינו, במקרים רבים, פרסונות מזויפות כדי למקד את אויביהם (האירניים) - לרדוף אחרי ישראל וארצות הברית, סוג של מדינות מערביות. קבוצות APT בגיבוי של איראן יוצרים את הפרסונות המזויפות האלה ופורסים תוכנות כופר, אבל זה לא באמת תוכנת כופר כי לא אכפת להם לאסוף את הכסף בהכרח. הם (קבוצות APT איראניות) רק רוצה לגרום להפרעה הזו ואז לאסוף מידע רגיש. כל זה גורם לאנשים לאבד אמון, או אמונה, בארגונים פוליטיים או בחברות שאליהן הם מכוונים. אז זה באמת קמפיין משבש שמתחזה לתוכנת כופר שחקני איומים איראנים.

ד"ר: זה בטח כל כך מסובך לנסות להקצות מוטיבציה להרבה מההתקפות האלה. איך אתה עושה את זה? כלומר, איך אתה יודע שזו רק חזית להפרעה ולא מבצע שמכניס כסף?

AM you זו שאלה מצוינת, אבל למעשה זה לא כל כך קשה כי אם אתה מסתכל על מה שקורה בפועל, נכון? - מה קורה - אם הם פליליים, והם בעלי מוטיבציה כלכלית, הם ישלמו תשלומים. זו המטרה, נכון?

אם נראה שלא באמת אכפת להם להרוויח כסף, כמו NotPetya למשל, זה די ברור לנו. אנחנו נתמקד בתשתיות, ואז נבחן את המניע עצמו.

ד"ר: ובאופן כללי, בקרב קבוצות APT, מהן חלק מההתקפות du jour? על מה הם באמת מסתמכים עכשיו?

AM you אז ראינו הרבה קבוצות APT הולך אחרי מכשירים מסוג רשת. היו הרבה יותר התקפות נגד מכשירים שנחשפו למגוון מערכות ענן ומכשירי רשת, דברים שבדרך כלל אין עליהם ערימות אבטחה מודרניות של נקודות קצה.

וזה לא רק קבוצות APT. אנו רואים זאת בצורה עצומה עם קבוצות של תוכנות כופר. אז 80% מההתקפות משתמשות באישורים לגיטימיים כדי להיכנס. הם חיים מהאדמה ועוברים משם לרוחב. ואז אם הם יכולים, במקרים רבים, הם ינסו לפרוס תוכנת כופר ל-hypervisor שאינו תומך בכלי ה-DVR שלך, ואז הם יכולים לנעול את כל השרתים שפועלים על זה hypervisor ולהוציא את הארגון מהעסק.

ד"ר: למרבה הצער, נגמר לנו הזמן. אני באמת רוצה לדון בזה הרבה יותר זמן, אבל האם תוכל לתת לנו במהירות את התחזיות שלך? מה אנחנו הולכים להסתכל על מרחב APT, אתה חושב, בעוד 12 חודשים מהיום?

AM you החלל היה די עקבי. אני חושב שנראה אותם (קבוצות APT) ממשיכות לפתח את נוף הפגיעות.

אם אתה מסתכל על סין, למשל, למעשה כל מחקר פגיעות צריך לעבור דרך המשרד לביטחון המדינה. ההתמקדות באיסוף מודיעין שם. זה המניע העיקרי במקרים מסוימים; יש גם הפרעה.

ואז, כתחזית, הדבר שכולם צריכים לחשוב עליו הוא ניהול זהות, בגלל האיומים שאנו רואים. הפרות אלו כרוכות בזהות. יש לנו משהו שנקרא "זמן הפריצה", שמודד כמה זמן לוקח לשחקן לעבור מדריסת רגל ראשונית לתוך הסביבה שלו למערכת אחרת. המהיר ביותר (זמן פריצה) שראינו היה שבע דקות. אז השחקנים האלה זזים מהר יותר. הטקטיקה הגדולה ביותר היא שהם (קבוצות APT) משתמשים באישורים לגיטימיים, נכנסים כמשתמש לגיטימי. וכדי להגן מפני זה, הגנה על זהות היא קריטית. לא רק נקודות קצה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks