De ce managementul identității este cheia pentru oprirea atacurilor cibernetice APT

Republicat de Platon

Urmaritori: 0

De ce managementul identității este cheia pentru oprirea atacurilor cibernetice APT PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Dark Reading News Desk l-a intervievat pe Adam Meyers, șeful operațiunilor contra adversarului pentru CrowdStrike la Black Hat USA 2023. Consultați clipul News Desk pe YouTube (transcriere mai jos).

Lectură întunecată, Becky Bracken: Bună tuturor și bine ați revenit la biroul de știri Dark Reading, care vă vine în direct de la Black Hat 2023. Sunt Becky Bracken, o editor la Dark Reading și sunt aici să-i urez bun venit lui Adam Meyers, șeful operațiunilor contra adversarelor cu CrowdStrike, la Biroul de știri Dark Reading.

Mulțumim că ni ești alături, Adam. Apreciez asta. Anul trecut, toată lumea a fost foarte concentrată Grupuri APT din Rusia, ce au fost fac in Ucraina, și modul în care comunitatea de securitate cibernetică s-ar putea reuni și să-i ajute. Se pare că a existat o schimbare destul de considerabilă în pământ de atunci. Ne puteți oferi o actualizare a ceea ce se întâmplă în Rusia acum față de acum un an?

Adam Meyers: Așa că cred că există multă îngrijorare în legătură cu asta, desigur. Cu siguranță cred că am văzut că perturbările care în general după începutul conflictului nu dispar. Dar în timp ce (ne-am concentrat), știți, despre ce se întâmpla cu rușii, chinezii au stabilit un efort masiv de colectare a datelor în jurul asta.

DR: Au folosit ei (guvernul chinez la grupurile asociate APT) invazia rusă ca acoperire în timp ce toată lumea privea aici? Au făcut asta înainte de asta?

A.M: Asta e o intrebare buna. Cred că s-a dat seama că a oferit acest tip de acoperire pentru că toată lumea este atât de concentrată pe ceea ce se întâmplă în Rusia și Ucraina. Așa că a distras atenția de la ritmul constant al tobei de la toți care strigau China sau făceau lucruri pe care erau acolo.

DR: Deci știm motivațiile Rusiei. Ce ziceti Grupuri APT chineze? Care sunt motivațiile lor? Ce încearcă ei să facă?

A.M: Deci este un masiv platforma de colectare. China are o serie de programe majore diferite. Au lucruri precum planurile cincinale dictate de guvernul chinez cu cerințe agresive de dezvoltare. Ei au „Fabricat în China 2025” inițiativă, au Centura și inițiativa rutieră. Și așa au construit toate aceste programe diferite pentru a crește economia pentru a dezvolta economia în China.

Unele dintre lucrurile majore pe care le-au vizat sunt legate de aspecte precum asistența medicală. Este pentru prima dată când chinezii se confruntă cu o clasă de mijloc în creștere și astfel problemele de îngrijire a sănătății preventive (sunt o prioritate), diabetul, tratamentele pentru cancer, toate astea. Și își aprovizionează o mulțime din Occident. Ei (chinezii) vor să o construiască acolo. Ei doresc să aibă produse echivalente interne, astfel încât să își poată deservi propria piață și apoi să le dezvolte în zona înconjurătoare, regiunea mai largă Asia Pacific. Și făcând asta, ei construiesc o influență suplimentară. Ei construiesc aceste legături cu aceste țări în care pot începe să impulsioneze produsele și soluțiile comerciale chinezești și programele chinezești... Astfel încât, atunci când vine vorba de o chestiune – Taiwan sau ceva de genul acesta – care nu le place la Națiunile Unite, ei poate spune „Hei, chiar ar trebui să votați așa. Am aprecia.”

DR: Deci este într-adevăr un colectarea de informații si un câștig de proprietate intelectuală pentru ei. Și ce vom vedea în următorii câțiva ani? Vor operaționaliza aceste informații?

A.M: Asta se întâmplă chiar acum, dacă te uiți la ce au făcut ei cu AI. Uitați-vă la ceea ce au făcut cu asistența medicală și cu diverse producții de cipuri, de unde își aprovizionează majoritatea cipurilor din exterior. Ei nu vor să facă asta.

Ei cred că oamenii îi văd ca atelierul mondial și își dorește cu adevărat să devină un inovator. Și modul în care caută să facă acest lucru este prin pârghie Grupuri APT chineze și sărituri (națiuni concurente) prin operațiuni cibernetice, spionaj cibernetic, (furt) ceea ce este în prezent de ultimă generație, iar apoi pot încerca să reproducă și să inoveze pe deasupra.

DR: Interesant. Bine, așa că ne mutăm din China, acum mergem în Coreea de Nord, iar ei sunt în afaceri - grupurile lor APT fac bani, nu? Asta caută să facă.

A.M: Da. Deci sunt trei bucăți din el. Unul, cu siguranță deservesc cei diplomati, militari și politici procesul de colectare a informațiilor, dar o fac și ei de proprietate intelectuală.

Ei au lansat un program numit Strategia Națională de Dezvoltare Economică sau NEDS. Și cu asta, există șase domenii de bază care se concentrează pe lucruri precum energie, minerit, agricultura, mașini grele, toate lucrurile care sunt asociate cu economia nord-coreeană.

Trebuie să mărească costurile și stilul de viață al cetățeanului obișnuit din Coreea de Nord. Doar 30% din populație are energie fiabilă, așa că lucruri precum energia regenerabilă și modalitățile de a obține energie (sunt genul de date Grupuri APT nord-coreene cauta).

Și apoi generarea de venituri. Au fost tăiați de sistemul SWIFT internațional și de economiile financiare internaționale. Și așa că acum trebuie să găsească modalități de a genera venituri. Au ceva numit Third Office, care generează venituri cu regimul și, de asemenea, pentru familie.

Și astfel ei (Third Office) fac o mulțime de lucruri, cum ar fi droguri, trafic de persoane și, de asemenea, criminalitatea cibernetică. Asa de Grupuri APT nord-coreene a fost foarte eficient în a viza companiile financiare tradiționale, precum și companiile de criptomonede. Și am văzut asta – unul dintre lucrurile din raportul nostru care tocmai a apărut ieri arată că a doua cea mai vizată verticală anul trecut a fost sectorul financiar, care a înlocuit telecomunicațiile. Deci are un impact.

DR: Ei fac tone de bani. Să ne întoarcem, care cred că este celălalt pilon major al acțiunii APT, este în Iran. Ce se întâmplă printre grupurile APT iraniene?

A.M: Așa că am văzut, în multe cazuri, persoane false pentru a-și ținti dușmanii (iranieni) - pentru a merge după Israel și Statele Unite, un fel de țări occidentale. grupuri APT susținut de Iran, creează aceste persoane false și implementează ransomware, dar nu este cu adevărat ransomware, deoarece nu le pasă de colectarea banilor în mod necesar. Ei (grupurile APT iraniene) doresc doar să provoace acea întrerupere și apoi să colecteze informații sensibile. Toate acestea îi fac pe oameni să-și piardă încrederea sau credința în organizațiile politice sau companiile pe care le vizează. Deci este într-adevăr o campanie disruptivă mascată în ransomware pentru Actori iranieni ai amenințărilor.

DR: Trebuie să fie atât de dificil să încerci să atribui o motivație pentru multe dintre aceste atacuri. Cum faci asta? Adică, de unde știi că este doar un front pentru perturbări și nu o operațiune de a face bani?

A.M: Este o întrebare grozavă, dar de fapt nu este atât de dificilă pentru că dacă te uiți la ceea ce se întâmplă de fapt, nu? — ceea ce se întâmplă — dacă sunt criminali și sunt motivați financiar, vor face plăți. Acesta este obiectivul, nu?

Dacă parcă nu le pasă să facă bani, de exemplu NotPetya de exemplu, asta este destul de evident pentru noi. Vom viza infrastructura și apoi ne uităm la motivul în sine.

DR: Și în general, printre grupurile APT, care sunt unele dintre atacuri du jour? Pe ce se bazează cu adevărat acum?

A.M: Deci am văzut multe grupuri APT merg după aparate de tip rețea. Au existat mult mai multe atacuri împotriva dispozitivelor expuse la diferite sisteme cloud și dispozitive de rețea, lucruri care nu au de obicei stive moderne de securitate pentru punctele terminale.

Și nu sunt doar grupurile APT. Vedem acest lucru extraordinar cu grupurile de ransomware. Deci 80% dintre atacuri folosesc acreditări legitime pentru a intra. Ei trăiesc din pământ și se deplasează lateral de acolo. Și apoi, dacă pot, în multe cazuri, vor încerca să implementeze ransomware la un hypervisor care nu acceptă instrumentul dvs. DVR și apoi vor putea bloca toate serverele care rulează pe acesta. hypervisor și a scos organizația din funcțiune.

DR: Din păcate, nu avem timp. Mi-ar plăcea să discut asta mult mai mult timp, dar ne puteți oferi rapid previziunile voastre? La ce ne vom uita în spațiul APT, crezi, peste 12 luni?

A.M: Spațiul a fost destul de consistent. Cred că îi vom vedea (grupurile APT) continuă să evolueze peisajul vulnerabilității.

Dacă te uiți la China, de exemplu, efectiv orice cercetare a vulnerabilităților trebuie să treacă prin Ministerul Securității de Stat. Accentul pe colectarea de informații acolo. Acesta este motivul principal în unele cazuri; există și întreruperi.

Și apoi, ca predicție, lucrul la care trebuie să se gândească toată lumea este gestionarea identității, din cauza amenințărilor pe care le vedem. Aceste încălcări implică identitate. Avem ceva numit „timp de erupție”, care măsoară cât de mult îi ia unui actor să treacă de la punctul inițial în mediul său într-un alt sistem. Cel mai rapid (timp de erupție) pe care l-am văzut a fost de șapte minute. Deci acești actori se mișcă mai repede. Cea mai mare concluzie este ei (grupurile APT) folosesc acreditări legitime, care vin ca utilizator legitim. Și pentru a vă proteja împotriva acestui lucru, protejarea identității este esențială. Nu doar puncte finale.