Фишинг долгое время был одним из лучших способов получить доступ к целевой организации. Раньше такого не было. На заре компьютерной безопасности предпочтительным методом получения доступа был эксплойт удаленного кода (RCE), поскольку он не требовал взаимодействия с пользователем. На самом деле, если что-то требовало взаимодействия с пользователем, это не считалось серьезной угрозой. Начали внедряться более совершенные методы обеспечения безопасности, и метод доступа RCE стал намного сложнее. И оказалось, что заставить пользователей взаимодействовать было проще, чем когда-либо предполагалось.
Тот же цикл начал повторяться с локальными целями. Организации начали добиваться успехов в защите своих внутренних сетей от использования обнаружения и реагирования на конечных точках (EDR), а другие технологии лучше оснащены для обнаружения вредоносных программ и бокового перемещения. Хотя атаки становятся все более сложными, это ни в коем случае не является неэффективной стратегией для злоумышленника. Развертывание программ-вымогателей и других форм вредоносных программ по-прежнему является распространенным результатом.
Почему ваша облачная инфраструктура является основной целью фишинговых атак
Облако дало фишерам совершенно новый рубеж для атаки, и оказалось, что оно может быть очень опасным. Среды SaaS являются готовыми целями для фишинговых атак и могут дать злоумышленнику гораздо больше, чем доступ к некоторым электронным письмам. Инструменты безопасности все еще совершенствуются в этой среде, что дает злоумышленникам окно возможностей, когда такие методы, как фишинговые атаки, могут быть очень эффективными.
Фишинговые атаки, нацеленные на разработчиков и цепочку поставок программного обеспечения
Как мы видели недавно, В Dropbox произошел инцидент из-за фишинговой атаки на его разработчиков. Они были обмануты в предоставление своих учетных данных Github злоумышленнику с помощью фишингового письма и поддельного веб-сайта, несмотря многофакторная аутентификация (МИД). Страшно то, что это был не просто случайный пользователь из отдела продаж или другой бизнес-службы, это были разработчики с доступом к большому количеству данных Dropbox. К счастью, масштаб инцидента, похоже, не затронул наиболее важные данные Dropbox.
GitHub и другие платформы в сфере непрерывной интеграции/непрерывного развертывания (CI/CD) являются новыми «жемчужинами короны» для многих компаний. Имея соответствующий доступ, злоумышленники могут украсть интеллектуальную собственность, слить исходный код и другие данные или провести атаки на цепочку поставок. Дело идет еще дальше, поскольку GitHub часто интегрируется с другими платформами, которые злоумышленник может использовать. Все это может произойти, даже не затрагивая локальную сеть жертвы или многие другие инструменты безопасности, которые приобрели организации, поскольку все это — от программного обеспечения как услуги (SaaS) к SaaS.
Безопасность в этом сценарии может быть проблемой. Каждый провайдер SaaS делает это по-своему. Видимость клиента в том, что происходит на этих платформах, часто ограничена. GitHub, например, предоставляет доступ к своему API журнала аудита только в рамках плана Enterprise. Получение видимости — это только первое препятствие, которое нужно преодолеть, следующим будет создание вокруг него полезного контента для обнаружения. Поставщики SaaS могут сильно различаться в том, что они делают, и в данных, которые они предоставляют. Контекстное понимание того, как они работают, потребуется для создания и поддержания обнаружений. В вашей организации может использоваться множество таких платформ SaaS.
Как снизить риски, связанные с фишингом в облаке?
Платформы идентификации, такие как Okta, могут помочь снизить риск, но не полностью. Выявление несанкционированных входов в систему, безусловно, является одним из лучших способов обнаружения фишинговых атак и реагирования на них. Это легче сказать, чем сделать, так как злоумышленники усвоили распространенные способы обнаружения своего присутствия. Прокси-серверы или виртуальные частные сети легко использовать, чтобы, по крайней мере, казалось, что они происходят из той же общей области, что и пользователь, чтобы обойти обнаружение страны или невозможного путешествия. Могут применяться более продвинутые модели машинного обучения, но они еще не получили широкого распространения или апробации.
Традиционное обнаружение угроз также начинает адаптироваться к миру SaaS. Falco, популярный инструмент обнаружения угроз для контейнеров и облака, имеет подключаемую систему, которая может поддерживать практически любую платформу. Команда Falco уже выпустила плагины и правила для Okta и GitHub, в том числе. Например, плагин GitHub имеет правило, которое срабатывает, если какие-либо коммиты показывают признаки крипто-майнинга. Использование этих специально созданных средств обнаружения — хороший способ начать внедрение этих платформ в вашу общую программу обнаружения угроз.
Фишинг никуда не исчезнет
Фишинг и социальная инженерия в целом никогда не останутся без внимания. Это был эффективный метод атаки в течение многих лет, и он будет таковым до тех пор, пока люди общаются. Крайне важно понимать, что эти атаки не ограничиваются инфраструктурой, которой вы владеете или управляете напрямую. SaaS особенно подвержен риску из-за отсутствия у большинства организаций информации о том, что на самом деле происходит на этих платформах. Их безопасность нельзя списывать на чью-то проблему, поскольку для доступа к этим ресурсам достаточно простого электронного письма и поддельного веб-сайта.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
