Hvorfor identitetshåndtering er nøkkelen til å stoppe APT-cyberangrep

Dark Reading News Desk intervjuet Adam Meyers, leder for motmotstanderoperasjoner for CrowdStrike på Black Hat USA 2023. Sjekk ut News Desk-klippet på YouTube (utskrift nedenfor).

Dark Reading, Becky Bracken: Hei alle sammen, og velkommen tilbake til Dark Reading News Desk som kommer til dere live fra Black Hat 2023. Jeg heter Becky Bracken, redaktør i Dark Reading, og jeg er her for å ønske Adam Meyers velkommen, leder for motmotstanderoperasjoner med CrowdStrike, til Dark Reading News Desk.

Takk for at du ble med oss, Adam. Jeg setter pris på det. I fjor var alle veldig fokusert på APT-grupper i Russland, hva de var gjør i Ukraina, og hvordan nettsikkerhetssamfunnet kunne samle seg og hjelpe dem. Det ser ut til å ha vært et ganske betydelig skifte i bakken siden den gang. Kan du gi oss en oppdatering om hva som skjer i Russland nå kontra kanskje et år siden?

Adam Meyers: Så jeg tror det er mye bekymring for det, selvfølgelig. Jeg tror absolutt vi så at forstyrrelsene som generelt etter at konflikten startet, ikke forsvinner. Men mens (vi var fokusert), vet du, på hva som foregikk med russerne, har kineserne etablert en massiv datainnsamling rundt det.

DR: Brukte de (den kinesiske regjeringen ved tilknyttede APT-grupper) den russiske invasjonen som dekning mens alle så over her? Gjorde de det før det?

ER: Det er et godt spørsmål. Jeg tror det fungerte at det ga den slags dekning fordi alle er så fokusert på det som skjedde i Russland og Ukraina. Så det distraherte fra den jevne trommeslagingen til alle som ropte ut Kina eller gjorde ting at de var der.

DR: Så vi kjenner Russlands motivasjoner. Hva med Kinesiske APT-grupper? Hva er deres motivasjoner? Hva prøver de å gjøre?

ER: Så det er en massiv innsamlingsplattform. Kina har en rekke forskjellige store programmer. De har ting som femårsplanene diktert av den kinesiske regjeringen med aggressive utviklingskrav. De har "Laget i Kina 2025” initiativ, de har Belt og Road Initiative. Og så de har bygget alle disse forskjellige programmene for å øke økonomien for å utvikle økonomien i Kina.

Noen av de viktigste tingene de har målrettet seg mot, er rundt ting som helsetjenester. Det er første gang kineserne har å gjøre med en økende middelklasse, og derfor er forebyggende helseproblemer (prioritert), diabetes, kreftbehandlinger, alt dette. Og de henter mye av det fra Vesten. De (kineserne) vil bygge det der. De ønsker å ha innenlandsekvivalente produkter slik at de kan betjene sitt eget marked og deretter vokse det inn i området rundt, den bredere Asia-Stillehavsregionen. Og gjennom å gjøre det bygger de ytterligere innflytelse. De bygger disse båndene til disse landene hvor de kan begynne å presse kinesiske produkter og handelsløsninger og kinesiske programmer ... Så når press kommer for å skyve på en sak - en Taiwan eller noe - som de ikke liker i FN, de kan si «Hei, du burde virkelig stemme på denne måten. Vi vil sette pris på det.»

DR: Så det er virkelig en etterretningssamling og en åndsverksgevinst for dem. Og hva kommer vi til å se de neste årene? Kommer de til å operasjonalisere denne etterretningen?

ER: Det skjer akkurat nå, hvis du ser på hva de har gjort med AI. Se på hva de har gjort med helsevesenet og diverse brikkeproduksjon, hvor de henter mesteparten av brikkene sine eksternt. Det vil de ikke gjøre.

De tror at folk ser på dem som verdens verksted, og det ønsker virkelig å bli en innovatør. Og måten de ønsker å gjøre det på er ved å utnytte Kinesiske APT-grupper og hoppe (konkurrerende nasjoner) gjennom cyberoperasjoner, cyberspionasje, (stjele) det som for tiden er toppmoderne, og så kan de prøve å replikere og innovere på toppen av det.

DR: Interessant. OK, så flytte fra Kina, nå går vi over til Nord-Korea, og de er i bransjen - deres APT-grupper er pengeskapere, ikke sant? Det er det de er ute etter å gjøre.

ER: Ja. Så det er tre deler av den. For det første tjener de absolutt det diplomatiske, militære og politiske etterretningsinnhentingsprosess, men det gjør de også intellektuell eiendom.

De lanserte et program kalt National Economic Development Strategy, eller NEDS. Og med det er det seks kjerneområder som fokuserer på ting som energi, gruvedrift, landbruk, tunge maskiner, alt som er assosiert med den nordkoreanske økonomien.

De må øke kostnadene og livsstilen til den gjennomsnittlige nordkoreanske borgeren. Bare 30 % av befolkningen har pålitelig strøm, så ting som fornybar energi og måter å få energi på (er den typen data Nordkoreanske APT-grupper ser etter).

Og så inntektsgenerering. De ble avskåret fra det internasjonale SWIFT-systemet og internasjonale finansøkonomier. Og nå må de finne måter å generere inntekter på. De har noe som heter det tredje kontoret, som genererer inntekter med regimet og også til familien.

Og så de (tredje kontor) gjør mange ting, ting som narkotika, menneskehandel, og også nettkriminalitet. Så Nordkoreanske APT-grupper vært veldig effektiv til å målrette mot tradisjonell finans så vel som kryptovalutaselskaper. Og vi har sett det - en av tingene i rapporten vår som nettopp kom ut i går viser at den nest mest målrettede vertikalen i fjor var økonomi, som erstattet telekom. Så det gjør inntrykk.

DR: De tjener tonnevis med penger. La oss snurre rundt, som jeg antar er den andre hovedpilaren for APT-handling, er i Iran. Hva skjer blant Iranske APT-grupper?

ER: Så vi har i mange tilfeller sett falske personas for å målrette sine (iranske) fiender – for å gå etter Israel og USA, en slags vestlige land. APT-grupper støttet av Iran opprette disse falske personas og distribuere løsepengevare, men det er egentlig ikke løsepengevare fordi de ikke bryr seg om å samle inn pengene nødvendigvis. De (Iranske APT-grupper) vil bare forårsake den forstyrrelsen og deretter samle inn sensitiv informasjon. Alt dette får folk til å miste troen eller troen på politiske organisasjoner eller selskapene de retter seg mot. Så det er virkelig en forstyrrende kampanje som utgir seg for å være løsepengevare for Iranske trusselaktører.

DR: Det må være så vanskelig å prøve å tildele motivasjon for mange av disse angrepene. Hvordan gjør du det? Jeg mener, hvordan vet du at det bare er en front for forstyrrelser og ikke en operasjon som tjener penger?

ER: Det er et flott spørsmål, men det er faktisk ikke så vanskelig, for hvis du ser på hva som faktisk skjer, ikke sant? – hva skjer – hvis de er kriminelle, og de er økonomisk motiverte, kommer de til å betale. Det er målet, ikke sant?

Hvis de egentlig ikke ser ut til å bry seg om å tjene penger, som IkkePetya for eksempel, det er ganske åpenbart for oss. Vi retter oss mot infrastruktur, og så ser vi på selve motivet.

DR: Og generelt, blant APT-grupper, hva er noen av angrepene du jour? Hva stoler de egentlig på akkurat nå?

ER: Så vi har sett mye av APT-grupper går etter nettverksutstyr. Det har vært mange flere angrep mot enheter utsatt for ulike skysystemer og nettverksenheter, ting som vanligvis ikke har moderne endepunktsikkerhetsstabler på seg.

Og det er ikke bare APT-grupper. Vi ser dette enormt med løsepengevaregrupper. Så 80 % av angrepene bruker legitim legitimasjon for å komme inn. De lever av landet og beveger seg sideveis derfra. Og hvis de kan, i mange tilfeller, vil de prøve å distribuere løsepengevare til en hypervisor som ikke støtter DVR-verktøyet ditt, og så kan de låse alle serverne som kjører på det hypervisor og sette organisasjonen ut av drift.

DR: Dessverre er vi ute av tid. Jeg vil gjerne diskutere dette mye lenger, men kan du bare raskt gi oss dine spådommer? Hva skal vi se på i APT-området, tror du, om 12 måneder?

ER: Plassen har vært ganske konsekvent. Jeg tror vi vil se dem (APT-grupper) fortsette å utvikle sårbarhetslandskapet.

Hvis du ser på Kina, for eksempel, må i praksis all sårbarhetsforskning gå gjennom departementet for statssikkerhet. Fokuset på etterretningsinnhenting der. Det er det primære motivet i noen tilfeller; det er forstyrrelser også.

Og så, som en spådom, er tingen alle trenger å tenke på identitetshåndtering, på grunn av truslene vi ser. Disse bruddene involverer identitet. Vi har noe som kalles "breakout time", som måler hvor lang tid det tar for en skuespiller å bevege seg fra første fotfeste inn i miljøet sitt til et annet system. Den raskeste (breakout-tiden) vi så var syv minutter. Så disse skuespillerne beveger seg raskere. Den største takeawayen er at de (APT-grupper) bruker legitim legitimasjon, og kommer inn som en legitim bruker. Og for å beskytte mot det, er det viktig å beskytte identiteten. Ikke bare endepunkter.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks