Phishing har lenge vært en av de beste måtene å få tilgang til en målorganisasjon på. Det pleide ikke å være slik. I de tidlige dagene av datasikkerhet var fjernkodeutnyttelse (RCE) den foretrukne metoden for å få tilgang, siden det ikke krevde noen interaksjon fra brukeren. Faktisk, hvis noe krevde brukerinteraksjon, ble det ikke ansett som en alvorlig trussel. Bedre sikkerhetspraksis begynte å ta tak, og RCE-tilgangsmetoden ble mye mer utfordrende. Og det viste seg at det var enklere å få brukere til å samhandle enn noen gang hadde forestilt seg.
Den samme syklusen har begynt å gjenta seg med lokale mål. Organisasjoner har begynt å gjøre fremskritt for å sikre sine interne nettverk mot bruk av endepunktdeteksjon og -respons (EDR), og andre teknologier er bedre rustet til å oppdage skadelig programvare og sideveis bevegelse. Selv om angrep blir vanskeligere, er det på ingen måte en ineffektiv strategi for en angriper ennå. Utplassering av løsepengevare og andre former for skadelig programvare er fortsatt et vanlig resultat.
Hvorfor skyinfrastrukturen din er et toppmål for phishing-angrep
Skyen har gitt phishere en helt ny grense å angripe, og det viser seg at det kan være veldig farlig. SaaS-miljøer er modne mål for phishing-angrep og kan gi angriperen mye mer enn tilgang til enkelte e-poster. Sikkerhetsverktøy modnes fortsatt i dette miljøet, noe som gir angripere et mulighetsvindu der metoder som phishing-angrep kan være svært effektive.
Phishing-angrep rettet mot utviklere og programvareforsyningskjeden
Som vi så nylig, Dropbox hadde en hendelse på grunn av et phishing-angrep mot utviklerne. De ble lurt inn gi Github-legitimasjonen deres til en angriper av en phishing-e-post og falsk nettside, til tross multifaktorautentisering (MFA). Det som gjør dette skummelt er at dette ikke bare var en tilfeldig bruker fra salg eller en annen forretningsfunksjon, det var utviklere med tilgang til mye Dropbox-data. Heldigvis ser ikke omfanget av hendelsen ut til å påvirke Dropboxs mest kritiske data.
GitHub, og andre plattformer i området for kontinuerlig integrasjon/kontinuerlig distribusjon (CI/CD), er de nye "kronjuvelene" for mange selskaper. Med riktig tilgang kan angripere stjele åndsverk, lekke kildekode og andre data, eller oppførsel forsyningskjedeangrep. Det går enda lenger, siden GitHub ofte integreres med andre plattformer, som angriperen kan være i stand til å pivotere. Alt dette kan skje uten å berøre offerets lokale nettverk, eller mange av de andre sikkerhetsverktøyene som organisasjoner har anskaffet, siden alt er programvare-som-en-tjeneste (SaaS)-til-SaaS.
Sikkerhet i dette scenariet kan være en utfordring. Hver SaaS-leverandør gjør det annerledes. En kundes innsyn i hva som skjer i disse plattformene er ofte begrenset. GitHub, for eksempel, gir bare tilgang til Audit Log API under Enterprise-planen. Å få synlighet er bare det første hinderet å overvinne, det neste ville være å lage nyttig gjenkjenningsinnhold rundt det. SaaS-leverandører kan være ganske forskjellige i hva de gjør og dataene de gir. Kontekstuell forståelse av hvordan de fungerer vil være nødvendig for å gjøre og vedlikeholde deteksjonene. Organisasjonen din kan ha mange slike SaaS-plattformer i bruk.
Hvordan reduserer du risiko forbundet med phishing i skyen?
Identitetsplattformer, som Okta, kan bidra til å redusere risikoen, men ikke helt. Å identifisere uautoriserte pålogginger er absolutt en av de beste måtene å oppdage phishing-angrep og svare på dem. Dette er lettere sagt enn gjort, ettersom angripere har fanget opp de vanlige måtene å oppdage deres tilstedeværelse på. Proxy-servere eller VPN-er brukes lett til i det minste å se ut til å komme fra samme generelle område som brukeren for å beseire land- eller umulige reisedeteksjoner. Mer avanserte maskinlæringsmodeller kan brukes, men disse er ennå ikke bredt tatt i bruk eller bevist.
Tradisjonell trusseldeteksjon begynner også å tilpasse seg SaaS-verdenen. Falco, et populært trusseldeteksjonsverktøy for containere og sky, har et plugin-system som kan støtte nesten alle plattformer. Falco-teamet har allerede gitt ut plug-ins og regler for blant annet Okta og GitHub. For eksempel, GitHub-plugin-modulen har en regel som utløser hvis noen forpliktelser viser tegn til en kryptogruvearbeider. Å utnytte disse spesialbygde deteksjonene er en god måte å komme i gang med å bringe disse plattformene inn i det totale trusseldeteksjonsprogrammet ditt.
Phishing er kommet for å bli
Phishing, og sosial ingeniørkunst generelt, vil aldri bli etterlatt. Det har vært en effektiv angrepsmetode i årevis, og vil være det så lenge folk kommuniserer. Det er viktig å forstå at disse angrepene ikke er begrenset til infrastrukturen du eier eller administrerer direkte. SaaS er spesielt utsatt på grunn av mangelen på synlighet de fleste organisasjoner har til hva som faktisk skjer på disse plattformene. Sikkerheten deres kan ikke avskrives som andres problem, siden en enkel e-post og falsk nettside er alt som skal til for å få tilgang til disse ressursene.
