ฟิชชิงในคลาวด์: เราต้องการเรือที่ใหญ่กว่านี้

ฟิชชิงเป็นหนึ่งในวิธีที่ดีที่สุดในการเข้าถึงองค์กรเป้าหมายมานานแล้ว มันไม่เคยเป็นแบบนี้ ในยุคแรกๆ ของการรักษาความปลอดภัยคอมพิวเตอร์ การใช้ประโยชน์จากรหัสระยะไกล (RCE) เป็นวิธีที่นิยมในการเข้าถึง เนื่องจากไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ อันที่จริงแล้ว หากมีบางสิ่งที่ต้องมีการโต้ตอบกับผู้ใช้ ก็ไม่ถือว่าเป็นภัยคุกคามร้ายแรง แนวปฏิบัติด้านความปลอดภัยที่ดีขึ้นเริ่มเข้ามามีบทบาท และวิธีการเข้าถึง RCE กลายเป็นเรื่องที่ท้าทายมากขึ้น และกลายเป็นว่าการทำให้ผู้ใช้โต้ตอบได้ง่ายกว่าที่เคยคิดไว้

วงจรเดียวกันนี้เริ่มซ้ำรอยกับเป้าหมายในสถานที่ องค์กรต่างๆ ได้เริ่มสร้างความก้าวหน้าในการรักษาความปลอดภัยเครือข่ายภายในของตนจากการใช้การตรวจจับและตอบสนองปลายทาง (EDR) และเทคโนโลยีอื่นๆ ก็พร้อมที่จะตรวจจับมัลแวร์และการเคลื่อนไหวด้านข้างได้ดียิ่งขึ้น แม้ว่าการโจมตีจะยากขึ้น แต่ก็ไม่ได้เป็นกลยุทธ์ที่ไม่ได้ผลสำหรับผู้โจมตี การใช้แรนซัมแวร์และมัลแวร์ในรูปแบบอื่นๆ ยังคงเป็นผลลัพธ์ทั่วไป

เหตุใดโครงสร้างพื้นฐานระบบคลาวด์ของคุณจึงเป็นเป้าหมายสูงสุดสำหรับการโจมตีแบบฟิชชิง

คลาวด์ทำให้นักฟิชเชอร์มีพรมแดนใหม่ในการโจมตี และปรากฎว่าอาจเป็นอันตรายมาก สภาพแวดล้อม SaaS เป็นเป้าหมายที่สุกงอมสำหรับการโจมตีแบบฟิชชิง และสามารถให้ผู้โจมตีเข้าถึงได้มากกว่าอีเมลบางฉบับ เครื่องมือรักษาความปลอดภัยยังคงเติบโตเต็มที่ในสภาพแวดล้อมนี้ ซึ่งทำให้ผู้โจมตีมีหน้าต่างแห่งโอกาส ซึ่งวิธีการต่างๆ เช่น การโจมตีแบบฟิชชิงจะมีประสิทธิภาพมาก

การโจมตีแบบฟิชชิงมุ่งเป้าไปที่นักพัฒนาและซอฟต์แวร์ซัพพลายเชน

ดังที่เราเห็นเมื่อเร็ว ๆ นี้ Dropbox มีเหตุการณ์เกิดขึ้น เนื่องจากการโจมตีแบบฟิชชิ่งกับนักพัฒนาซอฟต์แวร์ พวกเขาถูกหลอกให้ ให้ข้อมูลรับรอง Github ของพวกเขา ถึงผู้โจมตีด้วยอีเมลฟิชชิงและเว็บไซต์ปลอม การพิสูจน์ตัวตนแบบหลายปัจจัย (ม.ป.ป). สิ่งที่ทำให้สิ่งนี้น่ากลัวคือนี่ไม่ใช่เพียงผู้ใช้แบบสุ่มจากฝ่ายขายหรือฝ่ายธุรกิจอื่น แต่เป็นนักพัฒนาที่มีสิทธิ์เข้าถึงข้อมูลจำนวนมากของ Dropbox โชคดีที่ขอบเขตของเหตุการณ์ไม่ส่งผลกระทบต่อข้อมูลที่สำคัญที่สุดของ Dropbox

GitHub และแพลตฟอร์มอื่นๆ ในพื้นที่การผสานรวมอย่างต่อเนื่อง/การปรับใช้อย่างต่อเนื่อง (CI/CD) คือ "มงกุฎเพชร" ใหม่สำหรับหลายบริษัท ด้วยการเข้าถึงที่ถูกต้อง ผู้โจมตีสามารถขโมยทรัพย์สินทางปัญญา รั่วไหลซอร์สโค้ดและข้อมูลอื่น ๆ หรือดำเนินการได้ การโจมตีห่วงโซ่อุปทาน. มันไปไกลกว่านั้น เนื่องจาก GitHub มักจะรวมเข้ากับแพลตฟอร์มอื่น ซึ่งผู้โจมตีอาจสามารถเปลี่ยนแปลงได้ ทั้งหมดนี้สามารถเกิดขึ้นได้โดยไม่ต้องแตะต้องเครือข่ายภายในองค์กรของเหยื่อหรือเครื่องมือรักษาความปลอดภัยอื่นๆ ที่องค์กรต่างๆ ได้รับมา เนื่องจากเป็นซอฟต์แวร์-as-a-service (SaaS)-to-SaaS ทั้งหมด

การรักษาความปลอดภัยในสถานการณ์นี้อาจเป็นเรื่องที่ท้าทาย ผู้ให้บริการ SaaS ทุกรายทำแตกต่างกัน การมองเห็นของลูกค้าเกี่ยวกับสิ่งที่เกิดขึ้นในแพลตฟอร์มเหล่านี้มักจะถูกจำกัด ตัวอย่างเช่น GitHub ให้การเข้าถึง API บันทึกการตรวจสอบภายใต้แผน Enterprise เท่านั้น การได้รับการเปิดเผยเป็นเพียงอุปสรรค์แรกที่ต้องเอาชนะ ต่อไปคือการสร้างเนื้อหาการตรวจจับที่มีประโยชน์รอบตัว ผู้ให้บริการ SaaS อาจแตกต่างกันมากในสิ่งที่พวกเขาทำและข้อมูลที่พวกเขาให้มา จำเป็นต้องมีความเข้าใจในบริบทเกี่ยวกับวิธีการทำงานเพื่อสร้างและบำรุงรักษาการตรวจจับ องค์กรของคุณอาจมีแพลตฟอร์ม SaaS จำนวนมากที่ใช้งานอยู่

คุณจะลดความเสี่ยงที่เกี่ยวข้องกับฟิชชิ่งในคลาวด์ได้อย่างไร

แพลตฟอร์มระบุตัวตน เช่น Okta สามารถช่วยลดความเสี่ยง แต่ไม่สมบูรณ์. การระบุการเข้าสู่ระบบที่ไม่ได้รับอนุญาตเป็นหนึ่งในวิธีที่ดีที่สุดในการค้นพบการโจมตีแบบฟิชชิงและตอบโต้การโจมตีเหล่านั้น สิ่งนี้พูดง่ายกว่าทำ เนื่องจากผู้โจมตีใช้วิธีทั่วไปในการตรวจจับการมีอยู่ของพวกเขา พร็อกซีเซิร์ฟเวอร์หรือ VPN ใช้งานได้ง่าย อย่างน้อยที่สุดก็ดูเหมือนว่ามาจากพื้นที่ทั่วไปเดียวกันกับผู้ใช้ เพื่อเอาชนะประเทศหรือการตรวจจับการเดินทางที่เป็นไปไม่ได้ สามารถใช้โมเดลแมชชีนเลิร์นนิงขั้นสูงเพิ่มเติมได้ แต่สิ่งเหล่านี้ยังไม่ได้รับการยอมรับหรือพิสูจน์อย่างกว้างขวาง

การตรวจจับภัยคุกคามแบบดั้งเดิมก็เริ่มปรับให้เข้ากับโลกของ SaaS เช่นกัน Falco เครื่องมือตรวจจับภัยคุกคามยอดนิยมสำหรับคอนเทนเนอร์และระบบคลาวด์ มีระบบปลั๊กอินที่สามารถรองรับได้เกือบทุกแพลตฟอร์ม ทีม Falco ได้เปิดตัวปลั๊กอินและกฎสำหรับ Okta และ GitHub แล้ว ตัวอย่างเช่น, ปลั๊กอิน GitHub มีกฎที่ทริกเกอร์หากมีการกระทำใด ๆ ที่แสดงสัญญาณของการขุด crypto การใช้การตรวจจับที่สร้างขึ้นตามวัตถุประสงค์เหล่านี้เป็นวิธีที่ดีในการเริ่มต้นนำแพลตฟอร์มเหล่านี้เข้าสู่โปรแกรมตรวจจับภัยคุกคามโดยรวมของคุณ

ฟิชชิ่งอยู่ที่นี่แล้ว

ฟิชชิงและวิศวกรรมสังคมโดยทั่วไปจะไม่ถูกทิ้งไว้เบื้องหลัง เป็นวิธีการโจมตีที่ได้ผลมานานหลายปี และจะคงอยู่ตราบเท่าที่ผู้คนสื่อสารกัน สิ่งสำคัญคือต้องเข้าใจว่าการโจมตีเหล่านี้ไม่จำกัดเฉพาะโครงสร้างพื้นฐานที่คุณเป็นเจ้าของหรือจัดการโดยตรง SaaS มีความเสี่ยงเป็นพิเศษเนื่องจากองค์กรส่วนใหญ่ขาดการมองเห็นสิ่งที่เกิดขึ้นจริงบนแพลตฟอร์มเหล่านั้น ความปลอดภัยของพวกเขาไม่สามารถตัดออกว่าเป็นปัญหาของคนอื่นได้ เนื่องจากมีเพียงอีเมลธรรมดาและเว็บไซต์ปลอมเท่านั้นที่จะเข้าถึงทรัพยากรเหล่านั้นได้