Dlaczego zarządzanie tożsamością jest kluczem do powstrzymania cyberataków APT

Dark Reading News Desk przeprowadził wywiad z Adamem Meyersem, szefem operacji przeciwstawnych w CrowdStrike na Black Hat USA 2023. Obejrzyj klip News Desk na stronie YouTube (transkrypcja poniżej).

Mroczne czytanie, Becky Bracken: Witam wszystkich i witam ponownie w Dark Reading News Desk, które będzie dla Was transmitowane na żywo z Black Hat 2023. Nazywam się Becky Bracken, redaktorka w Dark Reading i jestem tutaj, aby powitać Adama Meyersa, szefa operacji przeciwdziałania przeciwnikowi w CrowdStrike, do redakcji Dark Reading News Desk.

Dziękujemy, że do nas dołączyłeś, Adamie. Doceniam to. W zeszłym roku wszyscy byli bardzo skupieni Grupy APT w Rosji, jakie one były robi na Ukrainieoraz w jaki sposób społeczność zajmująca się cyberbezpieczeństwem może się zjednoczyć i pomóc im. Wydaje się, że od tego czasu nastąpiły dość znaczne zmiany w terenie. Czy może nam pan przekazać aktualne informacje na temat tego, co dzieje się w Rosji obecnie w porównaniu z sytuacją sprzed roku?

Adam Meyers: Myślę więc, że oczywiście jest w związku z tym wiele obaw. Z pewnością myślę, że widzieliśmy, że zakłócenia, które na ogół pojawiły się po rozpoczęciu konfliktu, nie ustępują. Ale podczas gdy (byliśmy skupieni), no wiecie, na tym, co działo się z Rosjanami, Chińczycy ustalili ogromny wysiłek związany ze zbieraniem danych wokół tego.

DR: Czy oni (chiński rząd i powiązane grupy APT) wykorzystywali rosyjską inwazję jako przykrywkę, podczas gdy wszyscy tu patrzyli? Czy robili to wcześniej?

RANO: To dobre pytanie. Myślę, że udało się zapewnić tego rodzaju przykrywkę, ponieważ wszyscy byli bardzo skupieni na tym, co działo się w Rosji i na Ukrainie. Odwracało to więc uwagę od ciągłego bębnienia, kiedy wszyscy nawoływali do Chin lub robili różne rzeczy, które tam byli.

DR: Znamy więc motywacje Rosji. Co powiesz na Chińskie grupy APT? Jakie są ich motywacje? Co oni próbują zrobić?

RANO: Jest to więc masa platforma zbierająca. Chiny mają wiele różnych głównych programów. Mają takie rzeczy jak plany pięcioletnie podyktowane przez chiński rząd z agresywnymi żądaniami rozwoju. Mają „Wykonane w Chinach 2025” inicjatywę, mają Inicjatywa pasa i drogi. Dlatego zbudowali wszystkie te różne programy, aby rozwijać gospodarkę i rozwijać gospodarkę w Chinach.

Niektóre z głównych zagadnień, na które się skupili, dotyczą takich kwestii, jak opieka zdrowotna. Po raz pierwszy Chińczycy mają do czynienia z rosnącą klasą średnią, a zatem problemami związanymi z profilaktyką zdrowotną (są priorytetem), cukrzycą, leczeniem raka i tym wszystkim. A dużo tego pozyskują z Zachodu. Oni (Chińczycy) chcą go tam zbudować. Chcą mieć produkty równoważne na rynku krajowym, aby móc obsługiwać własny rynek, a następnie rozwijać je na otaczającym obszarze, szerszym regionie Azji i Pacyfiku. Robiąc to, budują dodatkowy wpływ. Budują te więzi z tymi krajami, gdzie mogą zacząć promować chińskie produkty i rozwiązania handlowe oraz chińskie programy… Tak więc, gdy dochodzi do nacisku w jakiejś kwestii – Tajwanu czy czymś takim – co im się nie podoba w Organizacji Narodów Zjednoczonych, oni może powiedzieć: „Hej, naprawdę powinieneś głosować w ten sposób. Bylibyśmy wdzięczni.”

DR: Więc to naprawdę jest zbieranie danych wywiadowczych oraz zysk własności intelektualnej dla nich. A co zobaczymy w ciągu najbliższych kilku lat? Czy zamierzają operacjonalizować tę inteligencję?

RANO: To dzieje się właśnie teraz, jeśli spojrzeć na to, co robili ze sztuczną inteligencją. Spójrz, co robili z opieką zdrowotną i produkcją różnych chipów, skąd większość swoich chipów pozyskują zewnętrznie. Nie chcą tego zrobić.

Myślą, że ludzie postrzegają je jako światowy warsztat, a tak naprawdę chcą zostać innowatorem. Chcą to osiągnąć poprzez wykorzystanie dźwigni Chińskie grupy APT oraz przeskakiwanie (konkurujące narody) poprzez operacje cybernetyczne, cyberszpiegostwo (kradzież) tego, co jest obecnie najnowocześniejsze, a następnie mogą próbować powielać to i dodatkowo wprowadzać innowacje.

DR: Ciekawy. OK, więc przenosimy się z Chin, teraz przenosimy się do Korei Północnej, a oni zajmują się tym biznesem – ich grupy APT zarabiają pieniądze, prawda? Właśnie to chcą zrobić.

RANO: Tak. Więc są trzy kawałki. Po pierwsze, z pewnością służą służbie dyplomatycznej, wojskowej i politycznej proces gromadzenia informacji wywiadowczych, ale oni też to robią własność intelektualna.

Uruchomili program zwany Narodową Strategią Rozwoju Gospodarczego, w skrócie NEDS. A zatem istnieje sześć głównych obszarów, które skupiają się na takich kwestiach, jak energia, górnictwo, rolnictwo, ciężkie maszyny i wszystkie rzeczy związane z gospodarką Korei Północnej.

Muszą podnieść koszty i styl życia przeciętnego obywatela Korei Północnej. Tylko 30% populacji ma niezawodne źródło energii, więc takie kwestie jak energia odnawialna i sposoby jej pozyskiwania (są rodzajem danych Północnokoreańskie grupy APT szuka).

A następnie generowanie przychodów. Zostali odcięci od międzynarodowego systemu SWIFT i międzynarodowej gospodarki finansowej. Dlatego teraz muszą znaleźć sposób na generowanie przychodów. Mają coś, co nazywa się Trzecim Biurem, które generuje dochody wraz z reżimem, a także na rzecz rodziny.

I tak oni (Trzecie Biuro) zajmują się wieloma rzeczami, takimi jak narkotyki, handel ludźmi, a także cyberprzestępczość. Więc Północnokoreańskie grupy APT był bardzo skuteczny w atakowaniu tradycyjnych firm finansowych i kryptowalut. I widzieliśmy to — jedna z rzeczy w naszym wczorajszym raporcie pokazuje, że drugą najczęściej ukierunkowaną branżą w zeszłym roku była finanse, która zastąpiła telekomunikację. Więc to robi wrażenie.

DR: Zarabiają mnóstwo pieniędzy. Skupmy się na Iranie, który, jak sądzę, jest drugim głównym filarem działań APT. Co się dzieje wśród irańskie grupy APT?

RANO: W wielu przypadkach widzieliśmy więc fałszywe osoby, które atakowały swoich (irańskich) wrogów – Izrael i Stany Zjednoczone, czyli kraje zachodnie. grupy APT wspierani przez Iran tworzą te fałszywe osoby i wdrażają oprogramowanie ransomware, ale tak naprawdę nie jest to oprogramowanie ransomware, ponieważ niekoniecznie zależy im na zbieraniu pieniędzy. Oni (irańskie grupy APT) po prostu chcę spowodować to zakłócenie, a następnie zebrać poufne informacje. Wszystko to sprawia, że ​​ludzie tracą wiarę w organizacje polityczne lub firmy, na które kierują swoje ataki. Jest to więc naprawdę destrukcyjna kampania udająca oprogramowanie ransomware Irańskie podmioty zagrażające.

DR: Próba przypisania motywacji do wielu z tych ataków musi być niezwykle trudna. Jak to zrobić? To znaczy, skąd wiesz, że to tylko przykrywka do zakłóceń, a nie operacja zarobkowa?

RANO: To świetne pytanie, ale właściwie nie jest takie trudne, bo jeśli spojrzysz na to, co się faktycznie dzieje, prawda? — co się stanie — jeśli są przestępcami i mają motywację finansową, dokonają płatności. Taki jest cel, prawda?

Jeśli nie wydaje się, że naprawdę zależy im na zarabianiu pieniędzy, np NotPetya na przykład jest to dla nas dość oczywiste. Będziemy skupiać się na infrastrukturze, a potem przyjrzymy się samemu motywowi.

DR: I ogólnie, wśród grup APT, jakie są niektóre ataki dnia? Na czym tak naprawdę teraz polegają?

RANO: Więc widzieliśmy wiele grupy APT szukanie urządzeń typu sieciowego. Odnotowano znacznie więcej ataków na urządzenia narażone na działanie różnych systemów chmurowych i urządzeń sieciowych, czyli rzeczy, które zazwyczaj nie mają na sobie nowoczesnych stosów zabezpieczeń punktów końcowych.

I nie chodzi tu tylko o grupy APT. Widzimy to niezwykle w przypadku grup zajmujących się oprogramowaniem ransomware. Tak więc 80% ataków wykorzystuje legalne dane uwierzytelniające, aby dostać się do środka. Żywią się ziemią i stamtąd przemieszczają się bocznie. A potem, jeśli im się to uda, w wielu przypadkach spróbują wdrożyć oprogramowanie ransomware na hiperwizorze, który nie obsługuje twojego narzędzia DVR, a następnie będą mogli zablokować wszystkie działające na nim serwery hiperwizor i wyeliminowanie organizacji z działalności.

DR: Niestety, skończył nam się czas. Naprawdę chciałbym omówić to znacznie dłużej, ale czy możesz po prostu szybko przedstawić nam swoje przewidywania? Jak myślisz, na co będziemy patrzeć w przestrzeni APT za 12 miesięcy?

RANO: Przestrzeń była dość spójna. Myślę, że zobaczymy, jak (grupy APT) będą nadal ewoluować w krajobrazie luk w zabezpieczeniach.

Jeśli spojrzeć na przykład na Chiny, w rzeczywistości wszelkie badania podatności na zagrożenia muszą przejść przez Ministerstwo Bezpieczeństwa Państwowego. Tam skupiono się na gromadzeniu informacji wywiadowczych. W niektórych przypadkach jest to główny motyw; są też zakłócenia.

A następnie, w ramach przewidywania, rzeczą, o której każdy powinien pomyśleć jest zarządzanie tożsamościąze względu na zagrożenia, które widzimy. Naruszenia te dotyczą tożsamości. Mamy coś, co nazywa się „czasem przełamania”, który mierzy, ile czasu zajmuje aktorowi przejście od początkowego punktu zaczepienia do swojego otoczenia do innego systemu. Najszybszy (czas ucieczki), jaki widzieliśmy, wynosił siedem minut. Więc ci aktorzy poruszają się szybciej. Najważniejszym wnioskiem jest to, że oni (grupy APT) używają legalnych danych uwierzytelniających, przychodząc jako legalny użytkownik. Aby się przed tym chronić, ochrona tożsamości ma kluczowe znaczenie. Nie tylko punkty końcowe.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks