Phishing is al lang een van de beste manieren om toegang te krijgen tot een doelorganisatie. Vroeger was het niet zo. In de begindagen van computerbeveiliging was de remote code exploit (RCE) de geprefereerde methode om toegang te krijgen, omdat er geen gebruikersinteractie voor nodig was. Als iets gebruikersinteractie vereiste, werd het zelfs niet als een serieuze bedreiging beschouwd. Betere beveiligingspraktijken begonnen ingang te vinden en de RCE-toegangsmethode werd veel uitdagender. En het bleek dat het makkelijker was dan ooit gedacht om gebruikers tot interactie te krijgen.
Dezelfde cyclus begint zich te herhalen met doelen op locatie. Organisaties zijn begonnen vooruitgang te boeken bij het beveiligen van hun interne netwerken tegen het gebruik van endpoint-detectie en -respons (EDR), en andere technologieën zijn beter uitgerust om malware en laterale bewegingen te detecteren. Hoewel aanvallen moeilijker worden, is het nog geen ineffectieve strategie voor een aanvaller. Het inzetten van ransomware en andere vormen van malware is nog steeds een veelvoorkomende uitkomst.
Waarom uw cloudinfrastructuur een belangrijk doelwit is voor phishingaanvallen
De cloud heeft phishers een geheel nieuwe grens gegeven om aan te vallen, en het blijkt dat het erg gevaarlijk kan zijn. SaaS-omgevingen zijn geschikte doelwitten voor phishing-aanvallen en kunnen de aanvaller veel meer bieden dan toegang tot bepaalde e-mails. Beveiligingstools worden nog steeds volwassen in deze omgeving, wat aanvallers een kans biedt waar methoden zoals phishing-aanvallen zeer effectief kunnen zijn.
Phishing-aanvallen gericht op ontwikkelaars en softwaretoeleveringsketen
Zoals we onlangs zagen, Dropbox had een incident vanwege een phishing-aanval tegen de ontwikkelaars. Ze werden erin geluisd hun Github-referenties geven ondanks een phishing-e-mail en een nepwebsite naar een aanvaller multifactor authenticatie (MFA). Wat dit eng maakt, is dat dit niet zomaar een willekeurige gebruiker van verkoop of een andere zakelijke functie was, maar ontwikkelaars met toegang tot veel Dropbox-gegevens. Gelukkig lijkt de omvang van het incident geen invloed te hebben op de meest kritieke gegevens van Dropbox.
GitHub en andere platforms op het gebied van continue integratie/continue implementatie (CI/CD) zijn voor veel bedrijven de nieuwe "kroonjuwelen". Met de juiste toegang kunnen aanvallers intellectueel eigendom stelen, broncode en andere gegevens lekken of gedrag vertonen aanvallen op de toeleveringsketen. Het gaat zelfs nog verder, aangezien GitHub vaak integreert met andere platforms, die de aanvaller mogelijk kan draaien. Dit alles kan gebeuren zonder ooit het lokale netwerk van het slachtoffer aan te raken, of veel van de andere beveiligingstools die organisaties hebben aangeschaft, aangezien het allemaal software-as-a-service (SaaS)-naar-SaaS is.
Beveiliging in dit scenario kan een uitdaging zijn. Elke SaaS-aanbieder doet het anders. Het zicht van een klant op wat er op deze platforms gebeurt, is vaak beperkt. GitHub geeft bijvoorbeeld alleen toegang tot zijn Audit Log API onder zijn Enterprise-plan. Zichtbaarheid krijgen is slechts de eerste hindernis die moet worden overwonnen, de volgende zou zijn om er bruikbare detectie-inhoud omheen te maken. SaaS-providers kunnen behoorlijk verschillen in wat ze doen en de gegevens die ze verstrekken. Contextueel begrip van hoe ze werken is vereist om de detecties te maken en te onderhouden. Mogelijk heeft uw organisatie veel van dergelijke SaaS-platforms in gebruik.
Hoe beperkt u de risico's die gepaard gaan met phishing in de cloud?
Identiteitsplatforms, zoals Okta, kunnen helpen het risico te verkleinen, maar niet helemaal. Het identificeren van ongeautoriseerde aanmeldingen is zeker een van de beste manieren om phishing-aanvallen te ontdekken en erop te reageren. Dit is gemakkelijker gezegd dan gedaan, aangezien aanvallers de gebruikelijke manieren hebben ontdekt om hun aanwezigheid te detecteren. Proxyservers of VPN's worden gemakkelijk gebruikt om op zijn minst uit hetzelfde algemene gebied te komen als de gebruiker om detecties van landen of onmogelijke reizen te omzeilen. Er kunnen meer geavanceerde machine learning-modellen worden toegepast, maar deze zijn nog niet algemeen aanvaard of bewezen.
Traditionele bedreigingsdetectie begint zich ook aan te passen aan de SaaS-wereld. Falco, een populaire tool voor het detecteren van bedreigingen voor containers en de cloud, heeft een plug-insysteem dat vrijwel elk platform kan ondersteunen. Het Falco-team heeft al plug-ins en regels vrijgegeven voor onder meer Okta en GitHub. Bijvoorbeeld, de GitHub-plug-in heeft een regel die activeert als een commit tekenen van een cryptominer vertoont. Het leveren van deze speciaal gebouwde detecties is een goede manier om aan de slag te gaan met het opnemen van deze platforms in uw algemene programma voor het detecteren van bedreigingen.
Phishing is een blijvertje
Phishing, en social engineering in het algemeen, zal nooit achterblijven. Het is al jaren een effectieve aanvalsmethode en zal dat blijven zolang mensen communiceren. Het is van cruciaal belang om te begrijpen dat deze aanvallen niet beperkt zijn tot de infrastructuur die u bezit of rechtstreeks beheert. SaaS loopt vooral risico vanwege het gebrek aan zichtbaarheid dat de meeste organisaties hebben voor wat er daadwerkelijk op die platforms gebeurt. Hun beveiliging kan niet worden afgeschreven als het probleem van iemand anders, aangezien een eenvoudige e-mail en een nepwebsite voldoende zijn om toegang te krijgen tot die bronnen.
