ID管理がAPTサイバー攻撃を阻止する鍵となる理由

Dark Reading News Desk は、Black Hat USA 2023 で CrowdStrike の対敵対作戦責任者である Adam Meyers にインタビューしました。ニュース デスクのクリップをご覧ください。 YouTube （以下転写）。

ダーク・リーディング、ベッキー・ブラッケン: 皆さん、こんにちは。Black Hat 2023 からライブ配信される Dark Reading ニュース デスクへようこそ。私は Dark Reading の編集者である Becky Bracken です。そして、CrowdStrike の敵対者対策の責任者である Adam Meyers を迎えるためにここに来ました。ダークリーディングニュースデスクまで。

ご参加いただきありがとうございます、アダム。 それは有り難いです。 昨年はみんなとても集中していました ロシアのAPTグループ、彼らは何だったのか ウクライナでやっている、そしてサイバーセキュリティコミュニティがどのように結集して彼らを支援できるか。 それ以来、地面にはかなり大きな変化があったようです。 おそらくXNUMX年前と比べて、現在ロシアで何が起こっているかについて最新情報を教えていただけますか?

アダム・マイヤーズ: ですから、当然それについては非常に懸念があると思います。 確かに、紛争が始まった後に一般的に見られる混乱は消えていないことがわかったと思います。 しかし、（私たちがロシア人に何が起こっていたかに集中していた間に）中国側は、 大規模なデータ収集作業 そのあたりで。

DR： 彼ら（関連APTグループの中国政府）は、皆がこちらを見ている間に、ロシアの侵略を隠れ蓑に利用していたのだろうか？ その前から彼らはそんなことをしていたのでしょうか？

AM： それは良い質問です。 誰もがロシアとウクライナで何が起こっているかに非常に注目しているため、この種のカバーを提供することがうまくいったと思います。 そのため、皆が中国を叫んだり、中国がそこにあると何かをしたりする安定したドラムビートから気を紛らわせました。

DR： したがって、私たちはロシアの動機を知っています。 どうですか 中国のAPTグループ? 彼らの動機は何でしょうか？ 彼らは何をしようとしているのでしょうか？

AM： それでそれは大規模です 収集プラットフォーム。 中国にはさまざまな主要プログラムが多数あります。 彼らには、中国政府によって定められた、積極的な開発要求を伴う XNUMX か年計画のようなものがあります。 彼らは「中国製2025」イニシアチブを持っています。 ベルトとロード・イニシアティブ。 そこで彼らは、中国経済を発展させるために経済を成長させるために、さまざまなプログラムを構築してきました。

彼らがターゲットにしている主なものとしては、ヘルスケアなどが挙げられます。 中国人が中産階級の増加に伴い、（優先事項である）予防医療問題、糖尿病、がん治療などすべてに対処するのは初めてのことだ。 そして彼らはその多くを西側から調達しています。 彼ら（中国人）はそこにそれを建設したいと考えています。 彼らは、自社の市場にサービスを提供し、それを周辺地域、より広範なアジア太平洋地域に拡大できるように、国内同等の製品を手に入れたいと考えています。 そしてそうすることで、彼らはさらなる影響力を築き上げます。 彼らはこれらの国々との関係を築き、そこで中国の製品や貿易ソリューション、中国のプログラムを推進し始めることができる…そのため、国連で彼らが気に入らない問題、つまり台湾などについての推進が必要になったとき、彼らはこうするのだ。 「ねえ、あなたは本当にこのように投票するべきです。」と言うことができます。 よろしくお願いいたします。」

DR： それで、それは本当に インテリジェンスコレクション と 知的財産権の獲得 彼らのために。 それでは、今後数年間で何が起こるでしょうか? 彼らはこのインテリジェンスを運用するつもりなのでしょうか？

AM： 彼らがAIを使って何をしてきたかを見てみると、それが今まさに起きています。 彼らがヘルスケアやさまざまなチップ製造で何をしてきたかを見てみましょう。そこではチップのほとんどを外部から調達しています。 彼らはそんなことはしたくないのです。

彼らは人々が自分たちを世界の工場として見ていると考えており、本気でイノベーターになりたいと考えています。 彼らがそれを実現しようとしている方法は、 中国のAPTグループ そして、サイバー作戦やサイバースパイ活動を通じて（競争相手を）飛び越え、現在の最先端のものを（盗み）、その上で複製や革新を試みることができるのです。

DR： 面白い。 さて、中国から北朝鮮に移りますが、彼らはビジネスを行っています。彼らのAPTグループは金儲けですよね？ それが彼らがやろうとしていることなのです。

AM： うん。 ということで、３枚あります。 XNUMXつ目は、彼らは確かに外交、軍事、政治に奉仕しているということだ。 情報収集プロセス、しかし彼らもそうします 知的財産.

彼らは国家経済開発戦略 (NEDS) と呼ばれるプログラムを立ち上げました。 それに伴い、エネルギー、鉱業、農業、重機など、北朝鮮経済に関連するあらゆるものに焦点を当てた XNUMX つの中核分野が存在します。

彼らは費用と平均的な北朝鮮国民のライフスタイルを引き上げる必要がある。 安定した電力を利用できるのは人口の 30% だけなので、再生可能エネルギーやエネルギーの入手方法などはデータの一種です 北朝鮮のAPTグループ 探しています）。

そして収益の創出です。 彼らは国際SWIFTシステムや国際金融経済から切り離されました。 そこで今、彼らは収益を生み出す方法を見つけなければなりません。 彼らにはサードオフィスと呼ばれるものがあり、政権と家族のために収入を生み出します。

それで彼ら（第三局）は、麻薬、人身売買、そしてサイバー犯罪など、多くのことを行っています。 それで 北朝鮮のAPTグループ 従来の金融企業だけでなく、仮想通貨企業もターゲットにするのに非常に効果的でした。 昨日発表されたばかりのレポートの XNUMX つは、昨年 XNUMX 番目にターゲットにされた業界が金融業界であり、通信業界に取って代わられたことを示しています。 それで影響が出ているんです。

DR： 彼らは大金を稼いでいます。 私が思うに、APT 活動のもう XNUMX つの主要な柱はイランです。 何が起こっているのか イランのAPTグループ?

AM： そのため、多くの場合、彼ら（イラン）の敵をターゲットにする、つまりイスラエルと米国、一種の西側諸国を狙う偽のペルソナを私たちは見てきました。 APTグループ イランの支援を受けた彼らは、これらの偽のペルソナを作成し、ランサムウェアを展開しますが、彼らは必ずしもお金を集めることに関心がないため、実際にはランサムウェアではありません。 彼らは （イランのAPTグループ）混乱を引き起こしてから機密情報を収集したいだけです。 これらすべてにより、人々は政治組織や彼らがターゲットにしている企業に対する信頼や信念を失うことになります。 つまり、これは実際には、ランサムウェアを装った破壊的なキャンペーンです。 イランの脅威アクター。

DR： これらの攻撃の多くに動機を割り当てるのは非常に難しいに違いありません。 どうやってそれを行うのですか？ つまり、これが単に混乱のための前線であり、金儲けの目的ではないことをどうやって知ることができるのでしょうか?

AM： 素晴らしい質問ですが、実際に何が起こっているかを見てみると、実際にはそれほど難しいことではありませんよね? —何が起こったのか—彼らが犯罪者であり、金銭的動機がある場合、彼らは支払いを行うでしょう。 それが目的ですよね？

彼らが本当にお金を稼ぐことを気にしていないようであれば、 NotPetya たとえば、それは私たちにとって非常に明白です。 インフラストラクチャをターゲットにしてから、その動機自体を見ていきます。

DR： 一般的に、APT グループの中で行われる攻撃にはどのようなものがありますか? 今はやりの? 彼らは今、本当に何を頼りにしているのでしょうか？

AM： それで私たちはたくさんのことを見てきました APTグループ ネットワーク型アプライアンスを追求しています。 さまざまなクラウド システムやネットワーク アプライアンスに公開されているデバイス（通常は最新のエンドポイント セキュリティ スタックが搭載されていないもの）に対する攻撃がさらに多くなっています。

それは APT グループだけではありません。 これはランサムウェア グループで顕著に見られます。 したがって、攻撃の 80% は、正規の資格情報を使用して侵入しています。彼らは陸上に生息し、そこから横方向に移動します。 そして、可能であれば、多くの場合、DVR ツールをサポートしていないハイパーバイザーにランサムウェアを展開しようとし、その上で実行されているすべてのサーバーをロックすることができます。 ハイパーバイザー そして組織を廃業に追い込む。

DR： 残念ながら時間がありません。 本当はもっと長く議論したいのですが、簡単に予想を教えていただけますか？ 今から 12 か月後、私たちは APT 分野で何を注目していると思いますか?

AM： スペースはかなり安定しています。 彼ら (APT グループ) が脆弱性の状況を進化させ続けるのを見ることになると思います。

たとえば中国を見ると、事実上、あらゆる脆弱性研究は国家安全省を通過しなければなりません。 そこでは情報収集に重点が置かれている。 場合によっては、それが主な動機です。 混乱もあります。

そして、予測として、誰もが考慮する必要があるのは、 アイデンティティ管理、私たちが目にしている脅威のためです。 これらの侵害にはアイデンティティが関係します。 「ブレークアウト タイム」と呼ばれるものがあり、アクターが最初の足場から環境内の別のシステムに移動するのにかかる時間を測定します。 私たちが確認した最速のもの（ブレークアウトタイム）は XNUMX 分でした。 したがって、これらの俳優はより速く動いています。 最大のポイントは、彼ら (APT グループ) が正規の認証情報を使用し、正規のユーザーとして入ってくることです。 そして、それを防ぐためには、アイデンティティを保護することが重要です。 エンドポイントだけではありません。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks