Lažno predstavljanje je že dolgo eden najboljših načinov za dostop do ciljne organizacije. Včasih ni bilo tako. V zgodnjih dneh računalniške varnosti je bil izkoriščanje oddaljene kode (RCE) najprimernejši način pridobivanja dostopa, saj ni zahteval nobene interakcije uporabnika. Pravzaprav, če je nekaj zahtevalo interakcijo uporabnika, to ni veljalo za resno grožnjo. Začele so se uveljavljati boljše varnostne prakse in metoda dostopa RCE je postala veliko bolj zahtevna. In izkazalo se je, da je bilo pridobiti uporabnike za interakcijo lažje, kot ste si kdajkoli predstavljali.
Isti cikel se je začel ponavljati s cilji na mestu uporabe. Organizacije so začele napredovati pri varovanju svojih notranjih omrežij pred uporabo zaznavanja in odzivanja končne točke (EDR), druge tehnologije pa so bolje opremljene za odkrivanje zlonamerne programske opreme in bočnega gibanja. Medtem ko napadi postajajo vse težji, to nikakor še ni neučinkovita strategija za napadalca. Uvajanje izsiljevalske programske opreme in drugih oblik zlonamerne programske opreme je še vedno pogost rezultat.
Zakaj je vaša infrastruktura v oblaku glavna tarča napadov z lažnim predstavljanjem
Oblak je lažnim predstavljanjem dal povsem novo mejo za napad in izkazalo se je, da je lahko zelo nevaren. Okolja SaaS so zrele tarče za lažno predstavljanje in lahko napadalcu dajo veliko več kot dostop do nekaterih e-poštnih sporočil. Varnostna orodja v tem okolju še vedno zorijo, kar napadalcem ponuja okno priložnosti, kjer so lahko metode, kot so lažno predstavljanje, zelo učinkovite.
Napadi z lažnim predstavljanjem, ki ciljajo na razvijalce in dobavno verigo programske opreme
Kot smo nedavno videli, Dropbox je imel incident zaradi phishing napada na njegove razvijalce. Bili so prevarani dajo svoje poverilnice za Github napadalcu z lažnim e-poštnim sporočilom in lažnim spletnim mestom, kljub večfaktorska overitev (MZZ). Kar naredi to strašljivo je, da to ni bil le naključni uporabnik iz prodaje ali druge poslovne funkcije, temveč razvijalci z dostopom do številnih podatkov Dropboxa. Na srečo se zdi, da obseg incidenta ne vpliva na najbolj kritične podatke Dropboxa.
GitHub in druge platforme v prostoru stalne integracije/stalne uvedbe (CI/CD) so novi "dragulji v kroni" za mnoga podjetja. S pravim dostopom lahko napadalci ukradejo intelektualno lastnino, razkrijejo izvorno kodo in druge podatke ali ravnajo napadi dobavne verige. Gre še dlje, saj se GitHub pogosto integrira z drugimi platformami, ki jih lahko napadalec spremeni. Vse to se lahko zgodi, ne da bi se kdaj dotaknili žrtvinega lokalnega omrežja ali številnih drugih varnostnih orodij, ki so jih pridobile organizacije, saj je vsa programska oprema kot storitev (SaaS)-to-SaaS.
Varnost v tem primeru je lahko izziv. Vsak ponudnik SaaS to počne drugače. Strankov vpogled v dogajanje na teh platformah je pogosto omejen. GitHub na primer omogoča samo dostop do svojega API-ja Audit Log v okviru svojega načrta Enterprise. Pridobivanje vidnosti je le prva ovira, ki jo je treba premagati, naslednja bi bila okoli nje ustvariti uporabno vsebino za odkrivanje. Ponudniki SaaS se lahko precej razlikujejo glede tega, kar počnejo, in podatkov, ki jih zagotavljajo. Za ustvarjanje in vzdrževanje zaznav bo potrebno kontekstualno razumevanje njihovega delovanja. Vaša organizacija ima morda v uporabi veliko takih platform SaaS.
Kako ublažite tveganja, povezana z lažnim predstavljanjem v oblaku?
Identitetne platforme, kot je Okta, lahko pomagajo zmanjšati tveganje, vendar ne popolnoma. Prepoznavanje nepooblaščenih prijav je zagotovo eden najboljših načinov za odkrivanje lažnih napadov in odziv nanje. To je lažje reči kot narediti, saj so napadalci ujeli običajne načine zaznavanja njihove prisotnosti. Proxy strežnike ali VPN-je je enostavno uporabiti, da se vsaj zdi, da prihajajo z istega splošnega območja kot uporabnik, da bi preprečili zaznavanje držav ali nemogočih potovanj. Uporabiti je mogoče naprednejše modele strojnega učenja, vendar še niso široko sprejeti ali dokazani.
Tradicionalno odkrivanje groženj se prav tako začenja prilagajati svetu SaaS. Falco, priljubljeno orodje za odkrivanje groženj za vsebnike in oblak, ima vtični sistem, ki lahko podpira skoraj vsako platformo. Ekipa Falco je med drugim že izdala vtičnike in pravila za Okta in GitHub. na primer vtičnik GitHub ima pravilo, ki sproži, če katera koli potrditev kaže znake kripto rudarja. Izkoriščanje teh namensko izdelanih zaznav je dober način za začetek uvajanja teh platform v vaš splošni program za odkrivanje groženj.
Lažno predstavljanje je tu, da ostane
Lažno predstavljanje in družbeni inženiring na splošno ne bosta nikoli zaostala. Že leta je učinkovita metoda napada in bo tako dolgo, dokler bodo ljudje komunicirali. Bistveno je razumeti, da ti napadi niso omejeni na infrastrukturo, ki jo imate v lasti ali neposredno upravljate. SaaS je še posebej ogrožen zaradi pomanjkanja prepoznavnosti večine organizacij o tem, kaj se dejansko dogaja na teh platformah. Njihove varnosti ni mogoče odpisati kot težavo nekoga drugega, saj sta za dostop do teh virov dovolj preprosta e-pošta in lažna spletna stran.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
