Nätfiske har länge varit ett av de bästa sätten att få tillgång till en målorganisation. Det brukade inte vara så här. Under de första dagarna av datorsäkerhet var fjärrkodsexploateringen (RCE) den föredragna metoden för att få åtkomst, eftersom det inte krävde någon användarinteraktion. Faktum är att om något krävde användarinteraktion ansågs det inte vara ett allvarligt hot. Bättre säkerhetsrutiner började få fäste, och RCE-metoden för åtkomst blev mycket mer utmanande. Och det visade sig att det var lättare än någonsin att få användare att interagera.
Samma cykel har börjat upprepa sig med mål på plats. Organisationer har börjat göra framsteg när det gäller att säkra sina interna nätverk mot att använda endpoint detection and response (EDR), och andra tekniker är bättre rustade för att upptäcka skadlig programvara och sidorörelser. Även om attacker blir svårare, är det inte på något sätt en ineffektiv strategi för en angripare ännu. Att distribuera ransomware och andra former av skadlig programvara är fortfarande ett vanligt resultat.
Varför din molninfrastruktur är ett främsta mål för nätfiskeattacker
Molnet har gett nätfiskare en helt ny gräns att attackera, och det visar sig att det kan vara mycket farligt. SaaS-miljöer är mogna mål för nätfiskeattacker och kan ge angriparen mycket mer än tillgång till vissa e-postmeddelanden. Säkerhetsverktyg håller fortfarande på att mogna i den här miljön, vilket erbjuder angripare ett fönster där metoder som nätfiskeattacker kan vara mycket effektiva.
Nätfiskeattacker som riktar sig till utvecklare och mjukvaruförsörjningskedjan
Som vi såg nyligen, Dropbox hade en incident på grund av en nätfiskeattack mot dess utvecklare. De blev lurade ge sina Github-uppgifter till en angripare av ett nätfiske-e-postmeddelande och en falsk webbplats, trots multifaktor-autentisering (MFA). Det som gör det här läskigt är att detta inte bara var en slumpmässig användare från försäljning eller en annan affärsfunktion, det var utvecklare med tillgång till mycket Dropbox-data. Tack och lov verkar omfattningen av incidenten inte påverka Dropbox mest kritiska data.
GitHub och andra plattformar inom området för kontinuerlig integration/kontinuerlig distribution (CI/CD), är de nya "kronjuvelerna" för många företag. Med rätt åtkomst kan angripare stjäla immateriell egendom, läcka källkod och annan data eller uppträda attacker i leveranskedjan. Det går ännu längre, eftersom GitHub ofta integrerar med andra plattformar, som angriparen kanske kan pivotera. Allt detta kan hända utan att någonsin vidröra offrets lokala nätverk, eller många av de andra säkerhetsverktygen som organisationer har skaffat, eftersom allt är mjukvara-som-en-tjänst (SaaS)-till-SaaS.
Säkerhet i detta scenario kan vara en utmaning. Varje SaaS-leverantör gör det på olika sätt. En kunds insyn i vad som händer i dessa plattformar är ofta begränsad. GitHub, till exempel, ger bara åtkomst till sin Audit Log API under sin Enterprise-plan. Att få synlighet är bara det första hindret att övervinna, nästa skulle vara att skapa användbart detekteringsinnehåll runt det. SaaS-leverantörer kan vara ganska olika i vad de gör och vilken data de tillhandahåller. Kontextuell förståelse av hur de fungerar kommer att krävas för att göra och underhålla upptäckterna. Din organisation kan ha många sådana SaaS-plattformar i bruk.
Hur minskar du risker förknippade med nätfiske i molnet?
Identitetsplattformar, som Okta, kan hjälpa till att minska risken, men inte helt. Att identifiera obehöriga inloggningar är verkligen ett av de bästa sätten att upptäcka nätfiskeattacker och svara på dem. Detta är lättare sagt än gjort, eftersom angripare har kommit på de vanliga sätten att upptäcka deras närvaro. Proxyservrar eller VPN: er är lätt att använda för att åtminstone verka komma från samma allmänna område som användaren för att besegra land eller omöjliga resor upptäckter. Mer avancerade maskininlärningsmodeller kan användas, men dessa är ännu inte allmänt antagna eller bevisade.
Traditionell hotdetektering börjar också anpassa sig till SaaS-världen. Falco, ett populärt verktyg för upptäckt av hot för containrar och moln, har ett plug-in-system som kan stödja nästan vilken plattform som helst. Falco-teamet har redan släppt plug-ins och regler för bland annat Okta och GitHub. Till exempel, GitHub-plugin har en regel som utlöser om några commits visar tecken på en kryptominer. Att utnyttja dessa specialbyggda upptäckter är ett bra sätt att komma igång med att införa dessa plattformar i ditt övergripande hotdetekteringsprogram.
Nätfiske är här för att stanna
Nätfiske, och social ingenjörskonst i allmänhet, kommer aldrig att ligga bakom. Det har varit en effektiv attackmetod i flera år och kommer att vara det så länge som människor kommunicerar. Det är viktigt att förstå att dessa attacker inte är begränsade till den infrastruktur du äger eller hanterar direkt. SaaS är särskilt utsatt på grund av bristen på synlighet de flesta organisationer har för vad som faktiskt händer på dessa plattformar. Deras säkerhet kan inte avskrivas som någon annans problem, eftersom ett enkelt e-postmeddelande och en falsk webbplats är allt som krävs för att få tillgång till dessa resurser.
