Waarom identiteitsbeheer de sleutel is tot het stoppen van APT-cyberaanvallen

Dark Reading News Desk interviewde Adam Meyers, hoofd van de Counter Adversary Operations voor CrowdStrike op Black Hat USA 2023. Bekijk het News Desk-fragment op YouTube (transcriptie hieronder).

Donker lezen, Becky Bracken: Hallo allemaal, en welkom terug bij de Dark Reading News Desk die live naar je toe komt vanaf Black Hat 2023. Ik ben Becky Bracken, een redacteur bij Dark Reading, en ik ben hier om Adam Meyers, hoofd van de Counter Adversary Operations bij CrowdStrike, te verwelkomen. naar de Dark Reading News Desk.

Bedankt dat je bij ons bent gekomen, Adam. Dat kan ik waarderen. Vorig jaar was iedereen erg gefocust APT-groepen in Rusland, wat ze waren doen in Oekraïneen hoe de cyberbeveiligingsgemeenschap zich kan scharen en hen kan helpen. Er lijkt sindsdien een behoorlijk grote verschuiving in de grond te hebben plaatsgevonden. Kunt u ons een update geven van wat er nu in Rusland gebeurt, vergeleken met misschien een jaar geleden?

Adam Meyers: Dus ik denk dat daar natuurlijk veel zorgen over bestaan. Ik denk zeker dat we hebben gezien dat de verstoringen die doorgaans na het begin van het conflict ontstonden, niet verdwijnen. Maar terwijl we ons concentreerden op wat er met de Russen aan de hand was, hebben de Chinezen een enorme inspanningen op het gebied van gegevensverzameling daaromheen.

DR: Gebruikten zij (de Chinese regering en geassocieerde APT-groepen) de Russische invasie als dekmantel terwijl iedereen hiernaar keek? Deden ze dat voorheen ook?

AM: Dat is een goede vraag. Ik denk dat het gelukt is dat het dat soort dekking bood, omdat iedereen zo gefocust is op wat er in Rusland en Oekraïne gebeurt. Het leidde dus af van het constante tromgeroffel van iedereen die China riep of dingen deed terwijl ze daar waren.

DR: We kennen dus de motivaties van Rusland. Hoe zit het met Chinese APT-groepen? Wat zijn hun motivaties? Wat proberen ze te doen?

AM: Het is dus een enorme verzamelplatform. China heeft een aantal verschillende grote programma's. Ze hebben zaken als de vijfjarenplannen, gedicteerd door de Chinese regering met agressieve ontwikkelingseisen. Ze hebben de “Gemaakt in China 2025'initiatief, ze hebben de Belt en Road Initiative. En dus hebben ze al deze verschillende programma's opgezet om de economie te laten groeien en de economie in China te ontwikkelen.

Enkele van de belangrijkste zaken waarop zij zich richten, hebben betrekking op zaken als gezondheidszorg. Het is de eerste keer dat de Chinezen te maken hebben met een groeiende middenklasse en daarom zijn preventieve gezondheidszorgkwesties (een prioriteit), diabetes, kankerbehandelingen, dat alles. En ze halen veel daarvan uit het Westen. Zij (de Chinezen) willen het daar bouwen. Ze willen binnenlandse gelijkwaardige producten hebben, zodat ze hun eigen markt kunnen bedienen en die vervolgens kunnen laten groeien naar het omliggende gebied, de bredere regio Azië-Pacific. En daardoor bouwen ze extra invloed op. Ze bouwen deze banden op met deze landen, waar ze Chinese producten en handelsoplossingen en Chinese programma's kunnen gaan pushen... kan zeggen: “Hé, je moet echt zo stemmen. Wij zouden het op prijs stellen.”

DR: Het is dus echt een verzameling van inlichtingen en een winst op intellectueel eigendom voor hen. En wat gaan we de komende jaren zien? Gaan ze deze intelligentie operationeel maken?

AM: Dat gebeurt nu, als je kijkt naar wat ze met AI hebben gedaan. Kijk eens wat ze hebben gedaan met de gezondheidszorg en de verschillende chipproductie, waarbij ze de meeste chips extern betrekken. Dat willen ze niet doen.

Ze denken dat mensen hen zien als de werkplaats van de wereld, en ze willen heel graag een vernieuwer worden. En de manier waarop ze dat willen doen is door gebruik te maken van middelen Chinese APT-groepen en het overhaasten van (concurrerende landen) via cyberoperaties, cyberspionage, (stelen) van wat momenteel state-of-the-art is, en dan kunnen ze proberen het te repliceren en bovendien te innoveren.

DR: Interessant. Oké, dus als we vanuit China vertrekken, gaan we nu naar Noord-Korea, en zij zitten in de business – hun APT-groepen zijn geldmakers, toch? Dat is wat ze willen doen.

AM: Ja. Er zijn dus drie stukken ervan. Ten eerste dienen ze zeker de diplomatieke, militaire en politieke kant proces voor het verzamelen van inlichtingen, maar dat doen ze ook intellectueel eigendom.

Ze lanceerden een programma genaamd de Nationale Economische Ontwikkelingsstrategie, of NEDS. En daarmee zijn er zes kerngebieden die zich richten op zaken als energie, mijnbouw, landbouw, zware machines, allemaal zaken die verband houden met de Noord-Koreaanse economie.

Ze moeten de kosten en de levensstijl van de gemiddelde Noord-Koreaanse burger verhogen. Slechts 30% van de bevolking beschikt over betrouwbare stroom, dus zaken als duurzame energie en manieren om aan energie te komen (zijn het soort gegevens dat Noord-Koreaanse APT-groepen zoekt).

En dan het genereren van inkomsten. Ze raakten afgesneden van het internationale SWIFT-systeem en de internationale financiële economieën. En dus moeten ze nu manieren vinden om inkomsten te genereren. Ze hebben iets dat het Derde Bureau heet, dat inkomsten genereert voor het regime en ook voor het gezin.

En dus doen zij (het Derde Bureau) veel dingen, zaken als drugs, mensenhandel en ook cybercriminaliteit. Dus Noord-Koreaanse APT-groepen zeer effectief geweest in het targeten van zowel traditionele financiële als cryptocurrency-bedrijven. En dat hebben we gezien. Een van de dingen in ons rapport dat gisteren uitkwam, laat zien dat de op een na meest gerichte branche vorig jaar de financiële dienstverlening was, die de telecomsector verving. Het maakt dus impact.

DR: Ze verdienen tonnen geld. Laten we ons omdraaien, wat naar mijn mening de andere belangrijke pijler van de APT-actie is, in Iran. Wat gaat er tussen Iraanse APT-groepen?

AM: We hebben dus in veel gevallen nep-persona's gezien die zich op hun (Iraanse) vijanden richtten – om achter Israël en de Verenigde Staten aan te gaan, een soort westerse landen. APT-groepen Gesteund door Iran creëren ze deze nep-persona's en zetten ze ransomware in, maar het is niet echt ransomware, omdat ze er niet per se om geven om het geld te innen. Zij (Iraanse APT-groepen) willen alleen maar die verstoring veroorzaken en vervolgens gevoelige informatie verzamelen. Dit alles zorgt ervoor dat mensen het geloof verliezen in politieke organisaties of de bedrijven waarop ze zich richten. Het is dus echt een ontwrichtende campagne die zich voordoet als ransomware Iraanse dreigingsactoren.

DR: Het moet zo lastig zijn om de motivatie voor veel van deze aanvallen vast te stellen. Hoe doe je dat? Ik bedoel, hoe weet je dat het slechts een dekmantel voor ontwrichting is en geen geldverdienende operatie?

AM: Dat is een geweldige vraag, maar eigenlijk is het niet zo moeilijk, want als je kijkt naar wat er feitelijk gebeurt, toch? – wat er gebeurt – als ze crimineel zijn en financieel gemotiveerd zijn, gaan ze betalingen doen. Dat is het doel, toch?

Als ze er niet echt om geven om geld te verdienen, bijvoorbeeld NotPetya Dat is voor ons bijvoorbeeld vrij duidelijk. We richten ons op de infrastructuur, en dan kijken we naar het motief zelf.

DR: En wat zijn in het algemeen, onder APT-groepen, enkele van de aanvallen? du jour? Waar vertrouwen ze nu echt op?

AM: We hebben er dus veel gezien APT-groepen op zoek gaan naar apparaten van het netwerktype. Er zijn veel meer aanvallen geweest op apparaten die zijn blootgesteld aan verschillende cloudsystemen en netwerkapparatuur, dingen die doorgaans niet over moderne eindpuntbeveiligingsstacks beschikken.

En het zijn niet alleen APT-groepen. Dit zien we enorm bij ransomwaregroepen. Bij 80% van de aanvallen wordt dus gebruik gemaakt van legitieme inloggegevens. Ze leven van het land en verplaatsen zich van daaruit zijdelings. En als ze dat kunnen, zullen ze in veel gevallen proberen ransomware te implementeren op een hypervisor die uw DVR-tool niet ondersteunt, en dan kunnen ze alle servers vergrendelen die daarop draaien. hypervisor en de organisatie failliet laten gaan.

DR: Helaas hebben we geen tijd meer. Ik zou hier heel graag nog veel langer over willen praten, maar kunt u ons even snel uw voorspellingen geven? Waar gaan we over twaalf maanden naar kijken in de APT-ruimte, denk je?

AM: De ruimte is behoorlijk consistent geweest. Ik denk dat we zullen zien dat zij (APT-groepen) het kwetsbaarheidslandschap blijven ontwikkelen.

Als je bijvoorbeeld naar China kijkt, moet elk onderzoek naar kwetsbaarheden feitelijk via het Ministerie van Staatsveiligheid lopen. De focus op het verzamelen van inlichtingen daar. Dat is in sommige gevallen het voornaamste motief; er is ook verstoring.

En dan, als voorspelling, is datgene waar iedereen aan moet denken identiteitsbeheer, vanwege de bedreigingen die we zien. Bij deze inbreuken is identiteit betrokken. We hebben zoiets als de ‘breakout-tijd’, die meet hoe lang het duurt voordat een actor van de eerste voet aan de grond in zijn omgeving naar een ander systeem gaat. De snelste (breakout-tijd) die we zagen was zeven minuten. Deze actoren gaan dus sneller. Het grootste voordeel is dat zij (APT-groepen) legitieme inloggegevens gebruiken en binnenkomen als legitieme gebruiker. En om ons daartegen te beschermen is het beschermen van de identiteit van cruciaal belang. Niet alleen eindpunten.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks