Почему управление идентификацией является ключом к предотвращению кибератак APT

Почему управление идентификацией является ключом к предотвращению кибератак APT

Отметка времени: 14 сентября 2023 г., 6:48
Почему управление идентификацией является ключом к предотвращению кибератак APT PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.

Служба новостей Dark Reading взяла интервью у Адама Мейерса, руководителя операций по борьбе с противником CrowdStrike на Black Hat USA 2023. Посмотрите клип News Desk на YouTube (расшифровка ниже).

Мрачное чтение, Бекки Брекен: Привет всем и добро пожаловать обратно в отдел новостей Dark Reading, который приедет к вам в прямом эфире с Black Hat 2023. Я Бекки Бракен, редактор Dark Reading, и я здесь, чтобы поприветствовать Адама Мейерса, руководителя отдела противодействия противникам в CrowdStrike. в отдел новостей Темного чтения.

Спасибо, что присоединились к нам, Адам. Я ценю это. В прошлом году все были очень сосредоточены на APT-группы в России, какие они были делаю в Украинеи как сообщество кибербезопасности могло бы сплотиться и помочь им. Кажется, с тех пор в мире произошел довольно значительный сдвиг. Можете ли вы дать нам обновленную информацию о том, что происходит в России сейчас по сравнению, может быть, год назад?

Адам Мейерс: Поэтому я думаю, что это, конечно, вызывает большую озабоченность. Конечно, я думаю, мы увидели, что нарушения, которые обычно возникали после начала конфликта, не исчезают. Но пока (мы были сосредоточены) на том, что происходит с русскими, китайцы установили масштабные усилия по сбору данных вокруг этого.

DR: Были ли они (китайское правительство и ассоциированные группы APT) использовали российское вторжение в качестве прикрытия, пока все смотрели сюда? Они делали это до этого?

AM: Это хороший вопрос. Я думаю, что это сработало, потому что все были настолько сосредоточены на том, что происходило в России и Украине. Таким образом, это отвлекало от постоянного барабанного боя, когда все кричали о Китае или делали что-то, что они там были.

DR: Итак, мы знаем мотивы России. Как насчет Китайские APT-группы? Каковы их мотивы? Что они пытаются сделать?

AM: Так что это массовое Платформа для сбора. У Китая есть ряд различных крупных программ. У них есть такие вещи, как пятилетние планы, продиктованные китайским правительством, с агрессивными требованиями развития. У них есть «Сделано в Китае 2025инициатива, у них есть Пояс и инициатива дорожного. И поэтому они разработали все эти различные программы для развития экономики Китая.

Некоторые из основных целей, на которые они нацелены, связаны с такими вещами, как здравоохранение. Впервые китайцы имеют дело с растущим средним классом, поэтому вопросы профилактического здравоохранения (являются приоритетом), диабет, лечение рака и все такое. И большую часть этого они получают с Запада. Они (китайцы) хотят его там построить. Они хотят иметь продукцию, эквивалентную отечественному производству, чтобы иметь возможность обслуживать свой собственный рынок, а затем расширять его на прилегающие территории, в более широкий Азиатско-Тихоокеанский регион. И тем самым они создают дополнительное влияние. Они строят эти связи с этими странами, где они могут начать продвигать китайскую продукцию, торговые решения и китайские программы… Чтобы, когда дело дойдет до решения проблемы – Тайваня или чего-то еще – что им не нравится в Организации Объединенных Наций, они можете сказать: «Эй, тебе действительно следует проголосовать таким образом. Мы были бы признательны за это».

DR: Так что это действительно сбор разведывательной и прибыль от интеллектуальной собственности для них. И что же мы увидим в ближайшие несколько лет? Собираются ли они использовать эту информацию?

AM: Это происходит прямо сейчас, если вы посмотрите на то, что они делают с ИИ. Посмотрите, что они делают со здравоохранением и производством различных чипов, где они поставляют большую часть своих чипов внешним поставщикам. Они не хотят этого делать.

Они думают, что люди видят в них мировую мастерскую, и очень хотят стать новаторами. И способ, которым они хотят это сделать, заключается в использовании Китайские APT-группы и обгонять (конкурирующие страны) с помощью киберопераций, кибершпионажа, (кражи) того, что в настоящее время является самым современным, а затем они могут попытаться воспроизвести и внедрить инновации вдобавок к этому.

DR: Интересный. Итак, переезжая из Китая, теперь мы переезжаем в Северную Корею, и они занимаются этим бизнесом — их группы APT приносят прибыль, верно? Это то, что они хотят сделать.

AM: Ага. Итак, есть три части. Во-первых, они, безусловно, служат дипломатическим, военным и политическим процесс сбора разведданных, но они также делают интеллектуальная собственность.

Они запустили программу под названием «Национальная стратегия экономического развития» (NEDS). При этом есть шесть основных областей, которые сосредоточены на таких вещах, как энергетика, горнодобывающая промышленность, сельское хозяйство, тяжелое машиностроение и все то, что связано с экономикой Северной Кореи.

Им необходимо повысить стоимость и образ жизни среднего гражданина Северной Кореи. Только 30% населения имеет надежную электроэнергию, поэтому такие вещи, как возобновляемая энергия и способы получения энергии (являются такими данными Северокорейские APT-группы ищем).

А потом получение дохода. Они были отрезаны от международной системы SWIFT и международной финансовой экономики. И поэтому теперь им приходится искать способы получения дохода. У них есть нечто под названием «Третий офис», который приносит доходы режиму, а также семье.

И поэтому они (Третий офис) делают много вещей, таких как наркотики, торговля людьми, а также киберпреступность. Так Северокорейские APT-группы был очень эффективен при нацеливании на традиционные финансовые компании, а также на криптовалютные компании. И мы это видели: одна из вещей в нашем отчете, который только что вышел вчера, показывает, что второй наиболее целевой вертикалью в прошлом году были финансовые отрасли, которые заменили телекоммуникации. Так что это оказывает влияние.

DR: Они зарабатывают кучу денег. Давайте развернёмся, что, как я полагаю, является ещё одним важным столпом действий APT, находится в Иране. Что происходит среди Иранские APT-группы?

AM: Итак, во многих случаях мы видели фальшивых личностей, нацеленных на своих (иранских) врагов – чтобы преследовать Израиль и Соединенные Штаты, своего рода западные страны. APT-группы при поддержке Ирана создают этих фальшивых личностей и используют программы-вымогатели, но на самом деле это не программы-вымогатели, потому что они не заботятся о обязательном сборе денег. Они (Иранские APT-группы) просто хотят вызвать этот сбой, а затем собрать конфиденциальную информацию. Все это заставляет людей терять веру или уверенность в политических организациях или компаниях, на которые они нацелены. Так что на самом деле это разрушительная кампания, маскирующаяся под программу-вымогатель Иранские субъекты угроз.

DR: Должно быть, очень сложно попытаться определить мотивацию многих из этих нападений. Как ты это делаешь? Я имею в виду, откуда вы знаете, что это всего лишь прикрытие для подрыва, а не операция по зарабатыванию денег?

AM: Это отличный вопрос, но на самом деле он не так уж и сложен, потому что, если вы посмотрите, что происходит на самом деле, не так ли? — что выясняется — если они преступники и имеют финансовую мотивацию, они будут платить. Это цель, верно?

Если кажется, что они действительно не заботятся о зарабатывании денег, например NotPetya например, для нас это довольно очевидно. Мы будем ориентироваться на инфраструктуру, а затем посмотрим на сам мотив.

DR: И вообще, какие атаки среди APT-групп дежурные? На что они действительно рассчитывают сейчас?

AM: Итак, мы видели много APT-группы гоняюсь за техникой сетевого типа. Было совершено гораздо больше атак на устройства, подключенные к различным облачным системам и сетевым устройствам, которые обычно не имеют современных стеков безопасности конечных точек.

И это не только группы APT. Мы наблюдаем это на примере групп, занимающихся вымогательством. Таким образом, 80% атак используют законные учетные данные для проникновения. Они живут за счет земли и движутся оттуда в сторону. А затем, если они смогут, во многих случаях они попытаются развернуть программу-вымогатель на гипервизор, который не поддерживает ваш инструмент DVR, а затем они смогут заблокировать все серверы, работающие на этом компьютере. гипервизор и вывести организацию из бизнеса.

DR: К сожалению, у нас нет времени. Мне бы очень хотелось обсудить это подольше, но не могли бы вы вкратце изложить нам свои прогнозы? Как вы думаете, что мы будем наблюдать в сфере APT через 12 месяцев?

AM: Пространство было довольно последовательным. Я думаю, мы увидим, что они (группы APT) продолжат развивать ландшафт уязвимостей.

Если вы посмотрите, например, на Китай, то фактически любое исследование уязвимости должно проходить через Министерство государственной безопасности. Там сосредоточено внимание на сборе разведданных. В некоторых случаях это основной мотив; есть и сбои.

И затем, как прогноз, всем нужно подумать о том, управление идентификацией, из-за угроз, которые мы видим. Эти нарушения связаны с идентификацией личности. У нас есть так называемое «время прорыва», которое измеряет, сколько времени требуется актору, чтобы перейти от первоначальной точки опоры в свою среду в другую систему. Самый быстрый результат (время отрыва), который мы видели, составлял семь минут. Таким образом, эти актеры движутся быстрее. Самый важный вывод: они (группы APT) используют законные учетные данные, входя в систему как законный пользователь. И чтобы защититься от этого, защита личности имеет решающее значение. Не только конечные точки.

Отметка времени:

Больше от Темное чтение