フィッシングは、長い間、標的の組織にアクセスするための最良の方法の XNUMX つでした。 以前はこのようではありませんでした。 コンピューター セキュリティの黎明期には、リモート コード エクスプロイト (RCE) は、ユーザーの操作を必要としないため、アクセスを取得する方法として好まれていました。 実際、ユーザーの操作が必要な場合、それは重大な脅威とは見なされませんでした。 より優れたセキュリティ プラクティスが定着し始め、RCE によるアクセス方法はより困難になりました。 そして、ユーザーに対話させることは、想像以上に簡単であることが判明しました。
オンプレミスのターゲットでも同じサイクルが繰り返され始めています。 組織は、エンドポイントの検出と対応 (EDR) を使用して内部ネットワークを保護するための進歩を遂げ始めており、他のテクノロジはマルウェアやラテラル ムーブメントをより適切に検出できるようになっています。 攻撃はますます難しくなっていますが、攻撃者にとってまだ効果のない戦略というわけではありません。 ランサムウェアやその他の形式のマルウェアを展開することは、依然として一般的な結果です。
クラウド インフラストラクチャがフィッシング攻撃の最大の標的である理由
クラウドはフィッシャーに攻撃のまったく新しいフロンティアを与え、非常に危険であることが判明しました. SaaS 環境はフィッシング攻撃の格好の標的であり、攻撃者に一部の電子メールへのアクセス以上のものを与える可能性があります。 この環境では、セキュリティ ツールはまだ成熟しており、フィッシング攻撃などの方法が非常に効果的である機会が攻撃者に提供されます。
開発者やソフトウェア サプライ チェーンを狙ったフィッシング攻撃
最近見たように、 Dropbox にインシデントが発生しました 開発者に対するフィッシング攻撃が原因です。 彼らはだまされた Github資格証明を与える にもかかわらず、フィッシングメールや偽の Web サイトによって攻撃者に 多要素認証 (MFA)。 これを怖がらせているのは、これが単なる販売部門や別のビジネス部門の無作為のユーザーではなく、大量の Dropbox データにアクセスできる開発者だったということです。 ありがたいことに、インシデントの範囲は Dropbox の最も重要なデータに影響を与えないようです。
GitHub、および継続的インテグレーション/継続的デプロイ (CI/CD) スペースのその他のプラットフォームは、多くの企業にとって新しい「王冠」です。 適切なアクセス権があれば、攻撃者は知的財産を盗んだり、ソース コードやその他のデータを漏洩したり、 サプライチェーン攻撃. GitHub は他のプラットフォームと統合されることが多く、攻撃者がピボットできる可能性があるため、さらに先へ進みます。 これらはすべて、被害者のオンプレミス ネットワークや、組織が取得した他の多くのセキュリティ ツールに触れることなく発生する可能性があります。
このシナリオでのセキュリティは課題になる可能性があります。 すべての SaaS プロバイダーは、その方法が異なります。 多くの場合、これらのプラットフォームで何が起こっているかについての顧客の可視性は限られています。 たとえば、GitHub は、エンタープライズ プランでのみ監査ログ API へのアクセスを許可します。 可視性を得ることは克服すべき最初のハードルにすぎません。次は、その周りに有用な検出コンテンツを作成することです。 SaaS プロバイダーは、その機能と提供するデータが大きく異なる可能性があります。 検出を行い、維持するには、それらがどのように機能するかを文脈的に理解する必要があります。 あなたの組織では、そのような SaaS プラットフォームを多数使用している場合があります。
クラウドでのフィッシングに関連するリスクをどのように軽減しますか?
Okta などの ID プラットフォームは、リスクを軽減するのに役立ちます。 しかし、完全ではありません. 未承認のログインを特定することは、フィッシング攻撃を発見して対応する最善の方法の XNUMX つです。 これは言うは易く行うは難しです。なぜなら、攻撃者は自身の存在を検出する一般的な方法に気付いているからです。 プロキシ サーバーまたは VPN は、国または不可能な旅行の検出を無効にするために、少なくともユーザーと同じ一般的な地域から来ているように見せるために簡単に使用されます。 より高度な機械学習モデルを適用できますが、これらはまだ広く採用されておらず、証明されていません。
従来の脅威検出も、SaaS の世界に適応し始めています。 コンテナとクラウド向けの人気のある脅威検出ツールである Falco には、ほぼすべてのプラットフォームをサポートできるプラグイン システムがあります。 Falco チームは、Okta や GitHub などのプラグインとルールをすでにリリースしています。 例えば、 GitHub プラグイン コミットが暗号マイナーの兆候を示した場合にトリガーされるルールがあります。 これらの専用の検出を活用することは、これらのプラットフォームを全体的な脅威検出プログラムに組み込むための良い方法です。
フィッシングは定着している
フィッシングやソーシャル エンジニアリング全般が後を絶たれることはありません。 これは何年にもわたって効果的な攻撃方法であり、人々が通信する限り続くでしょう. これらの攻撃は、所有または直接管理しているインフラストラクチャに限定されないことを理解することが重要です。 SaaS は、ほとんどの組織がこれらのプラットフォームで実際に何が起こっているかを把握できていないため、特に危険にさらされています。 それらのリソースにアクセスするには、単純な電子メールと偽の Web サイトだけが必要なため、彼らのセキュリティは他人の問題として片付けることはできません。
