Zakaj je upravljanje identitete ključ do zaustavitve kibernetskih napadov APT

Dark Reading News Desk je opravil intervju z Adamom Meyersom, vodjo protinapadnih operacij za CrowdStrike na Black Hat USA 2023. Oglejte si posnetek News Deska na YouTube (prepis spodaj).

Dark Reading, Becky Bracken: Pozdravljeni vsi in dobrodošli nazaj na novice Dark Reading, ki prihajajo v živo z Black Hat 2023. Sem Becky Bracken, urednica pri Dark Reading, in tukaj sem, da pozdravim Adama Meyersa, vodjo protinapadnih operacij pri CrowdStrike, na Red Reading News Desk.

Hvala, da si se nam pridružil, Adam. Cenim to. Lansko leto so bili vsi zelo osredotočeni na Skupine APT v Rusiji, kaj so bili početje v Ukrajiniin kako bi se skupnost za kibernetsko varnost lahko zbrala in jim pomagala. Zdi se, da je od takrat prišlo do precejšnjega premika v tleh. Nam lahko poveste, kaj se zdaj dogaja v Rusiji v primerjavi z morda letom nazaj?

Adam Meyers: Zato mislim, da je glede tega seveda veliko skrbi. Vsekakor mislim, da smo videli, da motnje, ki so na splošno po začetku konflikta, ne izginejo. Toda medtem (smo bili osredotočeni), veste, na to, kar se je dogajalo z Rusi, so Kitajci vzpostavili a ogromen napor pri zbiranju podatkov okoli tega.

DR: Ali so (kitajska vlada in povezane skupine APT) uporabili rusko invazijo kot krinko, medtem ko so vsi gledali sem? So to počeli pred tem?

AM: To je dobro vprašanje. Mislim, da se je izkazalo, da je zagotovil takšno kritje, ker so vsi tako osredotočeni na dogajanje v Rusiji in Ukrajini. Tako je odvrnilo od enakomernega bobnenja vseh, ki so klicali Kitajsko ali počeli stvari, ki so bile tam.

DR: Torej poznamo motive Rusije. Kaj pa o Kitajske skupine APT? Kakšni so njihovi motivi? Kaj poskušajo storiti?

AM: Torej je masivno zbirna platforma. Kitajska ima številne različne velike programe. Imajo stvari, kot so petletni načrti, ki jih narekuje kitajska vlada z agresivnimi razvojnimi zahtevami. Imajo "Izdelano na Kitajskem 2025” pobudo, imajo Belt in cestna pobuda. In tako so zgradili vse te različne programe, da bi povečali gospodarstvo in razvili gospodarstvo na Kitajskem.

Nekatere glavne stvari, na katere so se osredotočili, so okoli stvari, kot je zdravstvo. To je prvič, da se Kitajci soočajo z naraščajočim srednjim razredom, zato so vprašanja preventivnega zdravstvenega varstva (prednostna), diabetes, zdravljenje raka, vse to. In veliko tega pridobivajo z Zahoda. Tam (Kitajci) ga želijo zgraditi. Želijo imeti izdelke, ki so enakovredni domačim, da bi lahko servisirali svoj trg in ga nato širili v okolico, širšo azijsko-pacifiško regijo. In s tem gradijo dodaten vpliv. Gradijo te vezi s temi državami, kjer lahko začnejo spodbujati kitajske izdelke in trgovinske rešitve ter kitajske programe ... Tako da, ko pride do pritiska na vprašanje - Tajvan ali kaj podobnega -, ki jim v Združenih narodih ni všeč, lahko reče: "Hej, res bi moral glasovati tako. Cenili bi to.”

DR: Torej je res an zbiranje obveščevalnih podatkov in pridobitev intelektualne lastnine za njih. In kaj bomo torej videli v naslednjih nekaj letih? Ali bodo to inteligenco operacionalizirali?

AM: To se dogaja prav zdaj, če pogledate, kaj so počeli z AI. Poglejte, kaj počnejo z zdravstvom in različnimi proizvodnjami čipov, kjer večino svojih čipov nabavijo od zunaj. Tega nočejo storiti.

Mislijo, da jih ljudje vidijo kot svetovno delavnico, in resnično želijo postati inovatorji. In način, kako to želijo doseči, je z vzvodom Kitajske skupine APT in preskok (konkurenčnih držav) prek kibernetskih operacij, kibernetskega vohunjenja, (kraje) tistega, kar je trenutno najsodobnejše, nato pa lahko poleg tega poskušajo posnemati in uvajati inovacije.

DR: zanimivo V redu, selitev s Kitajske, zdaj gremo v Severno Korejo in oni so v poslu – njihove skupine APT ustvarjajo denar, kajne? To želijo storiti.

AM: ja Torej so trije kosi. Prvič, zagotovo služijo diplomatskemu, vojaškemu in političnemu postopek zbiranja obveščevalnih podatkov, ampak tudi delajo intelektualne lastnine.

Zagnali so program, imenovan Nacionalna strategija gospodarskega razvoja ali NEDS. In s tem je šest ključnih področij, ki se osredotočajo na stvari, kot so energija, rudarstvo, kmetijstvo, težki stroji, vse stvari, ki so povezane s severnokorejskim gospodarstvom.

Zvišati morajo stroške in življenjski slog povprečnega severnokorejskega državljana. Le 30 % prebivalstva ima zanesljivo električno energijo, zato so stvari, kot so obnovljivi viri energije in načini pridobivanja energije (vrsta podatkov Severnokorejske skupine APT iščejo).

In potem ustvarjanje prihodkov. Odrezani so bili od mednarodnega sistema SWIFT in mednarodnih finančnih gospodarstev. In tako morajo zdaj najti načine za ustvarjanje prihodkov. Imajo nekaj, kar se imenuje tretja pisarna, ki ustvarja prihodke z režimom in tudi za družino.

In tako oni (Tretji urad) počnejo veliko stvari, kot so droge, trgovina z ljudmi in tudi kibernetski kriminal. torej Severnokorejske skupine APT je bilo zelo učinkovito pri ciljanju na tradicionalna finančna podjetja in podjetja s kriptovalutami. In to smo videli – ena od stvari v našem poročilu, ki je pravkar izšlo včeraj, kaže, da je bila druga najbolj ciljna panoga lani finance, ki so nadomestile telekomunikacije. Torej vpliva.

DR: Služijo na tone denarja. Obrnimo se okoli, ki je po mojem mnenju drugi glavni steber delovanja APT, v Iranu. Kaj se dogaja med Iranske skupine APT?

AM: Tako smo v mnogih primerih videli lažne osebnosti, s katerimi ciljajo na svoje (iranske) sovražnike - za napad na Izrael in Združene države, neke vrste zahodne države. skupine APT ki jih podpira Iran, ustvarjajo te lažne osebe in nameščajo izsiljevalsko programsko opremo, vendar to v resnici ni izsiljevalska programska oprema, ker jim ni mar za nujno zbiranje denarja. Oni (Iranske skupine APT) samo želijo povzročiti to motnjo in nato zbrati občutljive podatke. Zaradi vsega tega ljudje izgubijo vero ali prepričanje v politične organizacije ali podjetja, na katera ciljajo. Torej gre res za motečo kampanjo, ki se predstavlja kot izsiljevalska programska oprema Iranski akterji grožnje.

DR: Mora biti tako težavno poskušati določiti motivacijo za veliko teh napadov. Kako to storiš? Mislim, kako veš, da je to le paravan za motnje in ne operacija služenja denarja?

AM: To je odlično vprašanje, vendar pravzaprav ni tako težko, ker če pogledate, kaj se dejansko zgodi, kajne? — kaj se izkaže — če so kriminalci in so finančno motivirani, bodo plačali. To je cilj, kajne?

Če se zdi, da jim ni mar za služenje denarja, npr NePetja na primer, to je za nas precej očitno. Ciljali bomo na infrastrukturo, nato pa pogledamo sam motiv.

DR: In na splošno, med skupinami APT, kateri so nekateri napadi du jour? Na kaj se trenutno zanašajo?

AM: Videli smo torej veliko skupine APT iskanje naprav omrežnega tipa. Bilo je veliko več napadov na naprave, ki so izpostavljene različnim sistemom v oblaku in omrežnim napravam, stvarem, ki običajno nimajo sodobnih varnostnih skladov za končne točke.

In ne gre samo za skupine APT. To vidimo izjemno pri skupinah izsiljevalskih programov. Torej 80 % napadov uporablja zakonite poverilnice za vstop. Živijo od zemlje in se od tam selijo stransko. In potem, če lahko, bodo v mnogih primerih poskušali namestiti izsiljevalsko programsko opremo na hipervizor, ki ne podpira vašega orodja DVR, nato pa lahko zaklenejo vse strežnike, ki se izvajajo na tem hipervizor in organizacijo ukiniti.

DR: Na žalost nam zmanjka časa. O tem bi res rad razpravljal dlje, a nam lahko na hitro poveš svoje napovedi? Kaj mislite, kaj bomo gledali v prostoru APT čez 12 mesecev?

AM: Prostor je bil precej skladen. Mislim, da jih bomo videli (skupine APT) še naprej razvijati krajino ranljivosti.

Če na primer pogledate Kitajsko, mora vsaka raziskava o ranljivosti potekati skozi ministrstvo za državno varnost. Tam je poudarek na zbiranju obveščevalnih podatkov. To je v nekaterih primerih glavni motiv; pride tudi do motenj.

In potem, kot napoved, stvar, o kateri morajo vsi razmišljati, je upravljanje identitete, zaradi groženj, ki smo jim priča. Te kršitve vključujejo identiteto. Imamo nekaj, kar se imenuje »čas preboja«, ki meri, koliko časa traja, da se akter premakne iz začetne opore v svoje okolje v drug sistem. Najhitrejši (čas preboja), ki smo ga videli, je bil sedem minut. Ti akterji se torej premikajo hitreje. Največji zaključek je, da oni (skupine APT) uporabljajo zakonite poverilnice in prihajajo kot zakoniti uporabniki. In da bi se zaščitili pred tem, je zaščita identitete kritična. Ne samo končne točke.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks