Por que o gerenciamento de identidades é a chave para impedir ataques cibernéticos de APT

Por que o gerenciamento de identidades é a chave para impedir ataques cibernéticos de APT

Carimbo de data / hora: 14 de setembro de 2023, 6:48
Por que o gerenciamento de identidades é a chave para impedir ataques cibernéticos do APT PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Dark Reading News Desk entrevistou Adam Meyers, chefe de operações contra adversários da CrowdStrike na Black Hat USA 2023. Confira o clipe do News Desk em YouTube (transcrição abaixo).

Leitura sombria, Becky Bracken: Olá a todos, bem-vindos de volta ao Dark Reading News Desk, chegando até vocês ao vivo do Black Hat 2023. Sou Becky Bracken, editora da Dark Reading, e estou aqui para dar as boas-vindas a Adam Meyers, chefe de operações contra adversários da CrowdStrike, para o Dark Reading News Desk.

Obrigado por se juntar a nós, Adam. Eu agradeço. No ano passado, todos estavam muito focados em Grupos de APT na Rússia, o que eles eram fazendo na Ucrâniae como a comunidade de segurança cibernética poderia se unir e ajudá-los. Parece ter havido uma mudança bastante considerável no terreno desde então. Você pode nos dar uma atualização do que está acontecendo na Rússia agora, em comparação com talvez um ano atrás?

Adam Meyers: Então eu acho que há muita preocupação com isso, é claro. Certamente penso que vimos que as perturbações que geralmente ocorrem após o início do conflito não vão desaparecer. Mas enquanto (estávamos focados), você sabe, no que estava acontecendo com os russos, os chineses estabeleceram uma esforço massivo de coleta de dados em torno disso.

DR: Estariam eles (o governo chinês e os grupos associados da APT) a usar a invasão russa como cobertura enquanto todos olhavam para cá? Eles estavam fazendo isso antes disso?

SOU: Esta é uma boa pergunta. Acho que deu certo fornecer esse tipo de cobertura porque todos estão muito concentrados no que estava acontecendo na Rússia e na Ucrânia. Por isso, distraiu-se da batida constante de todos chamando a China ou fazendo coisas que eles estavam lá.

DR: Portanto, conhecemos as motivações da Rússia. A respeito Grupos APT chineses? Quais são suas motivações? o que eles estão tentando fazer?

SOU: Então é um enorme plataforma de coleta. A China tem vários programas importantes diferentes. Têm coisas como os Planos Quinquenais ditados pelo Governo Chinês com exigências agressivas de desenvolvimento. Eles têm o “Made in China 2025” iniciativa, eles têm a Cinto e Iniciativa Estrada. E então eles construíram todos esses programas diferentes para fazer crescer a economia e desenvolver a economia na China.

Algumas das principais coisas que eles visaram são em torno de coisas como saúde. É a primeira vez que os chineses lidam com uma classe média crescente e, portanto, questões de cuidados de saúde preventivos (são uma prioridade), diabetes, tratamentos de cancro, tudo isso. E eles estão adquirindo muito disso no Ocidente. Eles (os chineses) querem construí-lo lá. Eles querem ter produtos equivalentes a nível nacional para que possam servir o seu próprio mercado e depois expandi-los para a área circundante, a região mais ampla da Ásia-Pacífico. E ao fazer isso, eles constroem influência adicional. Eles constroem esses laços com esses países onde podem começar a promover produtos chineses, soluções comerciais e programas chineses... Para que, quando a pressão chegar a uma questão - Taiwan ou algo assim - que eles não gostem nas Nações Unidas, eles pode dizer “Ei, você realmente deveria votar desta forma. Nós agradeceríamos.”

DR: Então é realmente um coleção de inteligência e um ganho de propriedade intelectual para eles. E então o que veremos nos próximos anos? Eles vão operacionalizar essa inteligência?

SOU: Isso está acontecendo agora, se você observar o que eles estão fazendo com a IA. Veja o que eles têm feito com a área de saúde e com a fabricação de diversos chips, onde adquirem a maior parte de seus chips externamente. Eles não querem fazer isso.

Eles acham que as pessoas os veem como a oficina do mundo e que realmente querem se tornar inovadores. E a forma como eles pretendem fazer isso é aproveitando Grupos APT chineses e ultrapassar (nações concorrentes) através de operações cibernéticas, espionagem cibernética, (roubar) o que é atualmente o que há de mais moderno, e então eles podem tentar replicar e inovar além disso.

DR: Interessante. OK, então, saindo da China, agora vamos para a Coreia do Norte, e eles estão no negócio – seus grupos APT são ganhadores de dinheiro, certo? Isso é o que eles estão procurando fazer.

SOU: Sim. Então são três pedaços disso. Primeiro, eles certamente atendem aos interesses diplomáticos, militares e políticos. processo de coleta de inteligência, mas eles também fazem propriedade intelectual.

Eles lançaram um programa chamado Estratégia Nacional de Desenvolvimento Económico, ou NEDS. E com isso, há seis áreas principais que se concentram em coisas como energia, mineração, agricultura, maquinaria pesada, todas as coisas associadas à economia norte-coreana.

Eles precisam aumentar os custos e o estilo de vida do cidadão norte-coreano médio. Apenas 30% da população tem energia confiável, então coisas como energia renovável e formas de obter energia (são o tipo de dados Grupos APT norte-coreanos estão procurando).

E então a geração de receita. Eles ficaram isolados do sistema SWIFT internacional e das economias financeiras internacionais. E agora eles precisam encontrar maneiras de gerar receita. Eles têm uma coisa chamada Terceiro Gabinete, que gera receitas para o regime e também para a família.

E então eles (Terceiro Escritório) fazem muitas coisas, coisas como drogas, tráfico de pessoas e também crimes cibernéticos. Então Grupos APT norte-coreanos tem sido muito eficaz no direcionamento de empresas financeiras tradicionais, bem como de empresas de criptomoeda. E vimos isso – uma das coisas no nosso relatório que acabou de sair ontem mostra que a segunda indústria mais visada no ano passado foi a financeira, que substituiu as telecomunicações. Então está causando impacto.

DR: Eles estão ganhando muito dinheiro. Vamos girar em torno, que eu acho que é o outro grande pilar da ação da APT, no Irã. O que está acontecendo entre Grupos APT iranianos?

SOU: Portanto, temos visto, em muitos casos, personas falsas visando os seus inimigos (iranianos) – para perseguir Israel e os Estados Unidos, uma espécie de países ocidentais. Grupos APT apoiados pelo Irã criam essas personas falsas e implantam ransomware, mas não é realmente ransomware porque eles não se importam necessariamente em coletar o dinheiro. Eles (Grupos APT iranianos) querem apenas causar essa interrupção e depois coletar informações confidenciais. Tudo isso faz com que as pessoas percam a fé, ou a crença, nas organizações políticas ou nas empresas que visam. Portanto, é realmente uma campanha perturbadora disfarçada de ransomware para Atores de ameaça iranianos.

DR: Deve ser muito complicado tentar atribuir motivação para muitos desses ataques. Como você faz isso? Quero dizer, como você sabe que isso é apenas uma fachada para a disrupção e não uma operação para ganhar dinheiro?

SOU: Essa é uma ótima pergunta, mas na verdade não é tão difícil porque se você olhar o que realmente acontece, certo? - o que acontece - se eles forem criminosos e tiverem motivação financeira, eles farão pagamentos. Esse é o objetivo, certo?

Se eles realmente não parecem se importar em ganhar dinheiro, como NotPetya por exemplo, isso é bastante óbvio para nós. Teremos como alvo a infra-estrutura e depois analisaremos o motivo em si.

DR: E geralmente, entre os grupos APT, quais são alguns dos ataques du jour? Em que eles realmente estão confiando agora?

SOU: Então, vimos muitos Grupos APT indo atrás de dispositivos do tipo rede. Houve muito mais ataques contra dispositivos expostos a vários sistemas de nuvem e dispositivos de rede, coisas que normalmente não possuem pilhas modernas de segurança de endpoint.

E não são apenas grupos APT. Vemos isso tremendamente com grupos de ransomware. Portanto, 80% dos ataques usam credenciais legítimas para entrar. Eles vivem da terra e se movem lateralmente a partir daí. E então, se puderem, em muitos casos, eles tentarão implantar ransomware em um hipervisor que não oferece suporte à sua ferramenta DVR e, então, poderão bloquear todos os servidores que estão sendo executados naquele hipervisor e colocar a organização fora do mercado.

DR: Infelizmente, estamos sem tempo. Eu realmente gostaria de discutir isso por muito mais tempo, mas você pode nos dar rapidamente suas previsões? O que veremos no espaço APT, você acha, daqui a 12 meses?

SOU: O espaço tem sido bastante consistente. Acho que veremos eles (grupos APT) continuarem a evoluir no cenário de vulnerabilidade.

Se olharmos para a China, por exemplo, efectivamente qualquer investigação de vulnerabilidade tem de passar pelo Ministério da Segurança do Estado. O foco na coleta de inteligência lá. Esse é o motivo principal em alguns casos; há perturbações também.

E então, como uma previsão, o que todos precisam pensar é gerenciamento de identidade, por causa das ameaças que estamos vendo. Essas violações envolvem identidade. Temos algo chamado “tempo de ruptura”, que mede quanto tempo leva para um ator passar da posição inicial em seu ambiente para outro sistema. O mais rápido (tempo de fuga) que vimos foi de sete minutos. Portanto, esses atores estão se movendo mais rapidamente. A maior conclusão é que eles (grupos APT) estão usando credenciais legítimas, entrando como usuários legítimos. E para se proteger contra isso, proteger a identidade é fundamental. Não apenas terminais.

Carimbo de hora:

Mais de Leitura escura