Phishing od dawna jest jednym z najlepszych sposobów uzyskania dostępu do atakowanej organizacji. Kiedyś tak nie było. We wczesnych latach bezpieczeństwa komputerowego preferowaną metodą uzyskiwania dostępu był zdalny kod exploita (RCE), ponieważ nie wymagał on interakcji ze strony użytkownika. W rzeczywistości, jeśli coś wymagało interakcji użytkownika, nie było uważane za poważne zagrożenie. Zaczęły obowiązywać lepsze praktyki bezpieczeństwa, a metoda dostępu RCE stała się znacznie trudniejsza. Okazało się, że nakłonienie użytkowników do interakcji było łatwiejsze niż kiedykolwiek sobie wyobrażaliśmy.
Ten sam cykl zaczął się powtarzać w przypadku lokalnych celów. Organizacje zaczęły czynić postępy w zabezpieczaniu swoich sieci wewnętrznych przed wykorzystaniem wykrywania i reagowania na punkty końcowe (EDR), a inne technologie są lepiej przygotowane do wykrywania złośliwego oprogramowania i ruchu bocznego. Chociaż ataki stają się coraz trudniejsze, nie jest to jeszcze nieskuteczna strategia dla atakującego. Wdrażanie oprogramowania ransomware i innych form złośliwego oprogramowania jest nadal częstym skutkiem.
Dlaczego Twoja infrastruktura chmurowa jest głównym celem ataków typu phishing
Chmura dała phisherom zupełnie nowe możliwości ataków i okazuje się, że może być bardzo niebezpieczna. Środowiska SaaS są dojrzałymi celami ataków phishingowych i mogą dać atakującemu znacznie więcej niż dostęp do niektórych wiadomości e-mail. Narzędzia bezpieczeństwa wciąż dojrzewają w tym środowisku, co daje atakującym okazję, w której metody takie jak ataki typu phishing mogą być bardzo skuteczne.
Ataki typu phishing wymierzone w programistów i łańcuch dostaw oprogramowania
Jak widzieliśmy ostatnio, Dropbox miał incydent z powodu ataku phishingowego na jego twórców. Zostali oszukani podając swoje dane uwierzytelniające Github atakującemu za pomocą wiadomości e-mail typu phishing i fałszywej strony internetowej uwierzytelnianie wieloczynnikowe (MSZ). Przerażające jest to, że nie był to przypadkowy użytkownik ze sprzedaży lub innej funkcji biznesowej, ale programiści z dostępem do wielu danych Dropbox. Na szczęście wydaje się, że zakres incydentu nie ma wpływu na najważniejsze dane Dropbox.
GitHub i inne platformy w obszarze ciągłej integracji/ciągłego wdrażania (CI/CD) to nowe „klejnoty koronne” dla wielu firm. Przy odpowiednim dostępie osoby atakujące mogą ukraść własność intelektualną, ujawnić kod źródłowy i inne dane lub zachować się ataki w łańcuchu dostaw. Idzie jeszcze dalej, ponieważ GitHub często integruje się z innymi platformami, które atakujący może być w stanie obrócić. Wszystko to może się zdarzyć bez ingerencji w lokalną sieć ofiary lub wiele innych narzędzi bezpieczeństwa, które nabyły organizacje, ponieważ jest to oprogramowanie jako usługa (SaaS) do SaaS.
Bezpieczeństwo w tym scenariuszu może być wyzwaniem. Każdy dostawca SaaS robi to inaczej. Wgląd klienta w to, co dzieje się na tych platformach, jest często ograniczony. Na przykład GitHub zapewnia dostęp do interfejsu Audit Log API tylko w ramach swojego planu Enterprise. Uzyskanie widoczności to tylko pierwsza przeszkoda do pokonania, następną byłoby stworzenie wokół niej przydatnych treści do wykrywania. Dostawcy SaaS mogą się różnić pod względem tego, co robią i dostarczanych danych. Kontekstowe zrozumienie sposobu ich działania będzie wymagane do dokonywania i utrzymywania wykryć. Twoja organizacja może mieć w użyciu wiele takich platform SaaS.
Jak ograniczasz ryzyko związane z phishingiem w chmurze?
Platformy tożsamości, takie jak Okta, mogą pomóc ograniczyć ryzyko, ale nie do końca. Identyfikacja nieautoryzowanych logowań jest z pewnością jednym z najlepszych sposobów wykrywania ataków phishingowych i reagowania na nie. Łatwiej to powiedzieć niż zrobić, ponieważ osoby atakujące przyłapały się na powszechnych sposobach wykrywania ich obecności. Serwery proxy lub sieci VPN można łatwo wykorzystać, aby przynajmniej wyglądały, jakby pochodziły z tego samego ogólnego obszaru co użytkownik, w celu pokonania wykrycia kraju lub niemożliwej podróży. Można zastosować bardziej zaawansowane modele uczenia maszynowego, ale nie są one jeszcze powszechnie przyjęte ani sprawdzone.
Tradycyjne wykrywanie zagrożeń również zaczyna dostosowywać się do świata SaaS. Falco, popularne narzędzie do wykrywania zagrożeń dla kontenerów i chmury, ma system wtyczek, który może obsługiwać prawie każdą platformę. Zespół Falco wydał już wtyczki i reguły m.in. dla Okta i GitHub. Na przykład, wtyczkę GitHub ma regułę, która uruchamia się, jeśli jakiekolwiek zatwierdzenia wykazują oznaki koparki kryptowalut. Wykorzystanie tych specjalnie opracowanych mechanizmów wykrywania to dobry sposób na rozpoczęcie włączania tych platform do ogólnego programu wykrywania zagrożeń.
Wyłudzanie informacji zostanie z nami
Phishing i ogólnie socjotechnika nigdy nie zostaną pominięte. Jest to skuteczna metoda ataku od lat i będzie tak długo, jak długo ludzie będą się komunikować. Bardzo ważne jest, aby zrozumieć, że ataki te nie ograniczają się do infrastruktury, którą posiadasz lub bezpośrednio zarządzasz. SaaS jest szczególnie zagrożony ze względu na brak wglądu większości organizacji w to, co faktycznie dzieje się na tych platformach. Ich bezpieczeństwa nie można traktować jako problemu kogoś innego, ponieważ wystarczy zwykły e-mail i fałszywa strona internetowa, aby uzyskać dostęp do tych zasobów.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
