Kimlik Yönetimi Neden APT Siber Saldırılarını Durdurmanın Anahtarıdır?

Dark Reading Haber Masası, Black Hat USA 2023'te CrowdStrike'ın karşı düşman operasyonları başkanı Adam Meyers ile röportaj yaptı. Haber Masası klibine göz atın YouTube (transkript aşağıdadır).

Karanlık Okuma, Becky Bracken: Herkese merhaba, Black Hat 2023'ten canlı olarak sizlere gelecek olan Dark Reading Haber Masası'na tekrar hoş geldiniz. Ben Becky Bracken, Dark Reading'in editörüyüm ve CrowdStrike'ın karşı düşman operasyonları başkanı Adam Meyers'e hoş geldiniz demek için buradayım. Dark Reading Haber Masasına.

Bize katıldığınız için teşekkürler Adam. Bunu takdir ediyorum. Geçen sene herkes buna çok odaklanmıştı. Rusya'daki APT grupları, onlar neydi Ukrayna'da yapıyorve siber güvenlik topluluğunun bir araya gelip onlara nasıl yardım edebileceği. O zamandan bu yana zeminde oldukça büyük bir değişim olmuş gibi görünüyor. Bize Rusya'da şu anda ve belki bir yıl önce neler olduğuna dair güncel bilgiler verebilir misiniz?

Adam Meyers: Bu yüzden elbette bu konuda çok fazla endişe olduğunu düşünüyorum. Elbette çatışma başladıktan sonra genellikle yaşanan aksaklıkların ortadan kalkmadığını gördüğümüzü düşünüyorum. Ancak (biz odaklanmıştık) biliyorsunuz, Ruslarda olup bitenlere bakarken, Çinliler bir büyük veri toplama çabası bunun etrafında.

doktor: Herkes buraya bakarken onlar (ilgili APT gruplarındaki Çin hükümeti) Rus işgalini kılıf olarak mı kullanıyorlardı? Ondan önce bunu yapıyorlar mıydı?

AM: Bu iyi bir soru. Herkesin Rusya ve Ukrayna'da olup bitenlere çok odaklanmış olması nedeniyle bu tür bir koruma sağladığının işe yaradığını düşünüyorum. Bu yüzden herkesin Çin'e seslenmesi ya da orada oldukları şeyleri yapmasının istikrarlı davul sesinden dikkati dağıttı.

doktor: Yani Rusya'nın motivasyonlarını biliyoruz. Ne dersin Çinli APT grupları? Motivasyonları neler? Ne yapmaya çalışıyorlar?

AM: Yani bu devasa bir toplama platformu. Çin'in bir dizi farklı ana programı vardır. Çin Hükümeti tarafından agresif kalkınma talepleriyle dikte edilen Beş Yıllık Planlar gibi şeyleri var. Onlar “Çin'de yapılan 2025” inisiyatifine sahipler Kemer ve Yol Girişimi. Ve böylece Çin'deki ekonomiyi geliştirmek ve ekonomiyi büyütmek için tüm bu farklı programları oluşturdular.

Hedefledikleri başlıca şeylerden bazıları sağlık gibi şeylerle ilgilidir. Çinliler ilk kez artan orta sınıfla ve dolayısıyla önleyici sağlık sorunları (öncelikli), diyabet, kanser tedavileri ve bunların hepsiyle uğraşıyor. Ve bunların çoğunu Batı'dan alıyorlar. Onlar (Çinliler) orayı inşa etmek istiyorlar. Kendi pazarlarına hizmet verebilmek ve daha sonra bunu çevredeki bölgeye, daha geniş Asya Pasifik bölgesine yayabilmek için yerli eşdeğer ürünlere sahip olmak istiyorlar. Ve bunu yaparak ek etki yaratırlar. Çin ürünlerini, ticaret çözümlerini ve Çin programlarını zorlamaya başlayabilecekleri bu ülkelerle bu bağları kuruyorlar… Böylece, Birleşmiş Milletler'de hoşlanmadıkları bir konu - Tayvan ya da başka bir şey - konusunda baskıya gelindiğinde, onlar “Hey, gerçekten bu şekilde oy vermelisiniz. Bunu takdir ederiz.”

doktor: Yani bu gerçekten bir istihbarat toplama ve bir fikri mülkiyet kazancı onlar için. Peki önümüzdeki birkaç yıl içinde ne göreceğiz? Bu istihbaratı operasyonel hale getirecekler mi?

AM: Yapay zeka ile neler yaptıklarına bakarsanız, şu anda bu oluyor. Çiplerinin çoğunu dışarıdan temin ettikleri sağlık hizmetleri ve çeşitli çip üretimi alanlarında neler yaptıklarına bir bakın. Bunu yapmak istemiyorlar.

İnsanların kendilerini dünyanın atölyesi olarak gördüklerini sanıyorlar ve gerçekten de yenilikçi olmak istiyorlar. Ve bunu yapmak istedikleri yol, Çinli APT grupları ve siber operasyonlar, siber casusluk, şu anda en son teknolojiyi (çalma) kullanarak bir sıçrama (rakip ülkeler) yapabilirler ve ardından bunun üzerine kopyalamayı ve yenilik yapmayı deneyebilirler.

doktor: İlginç. Tamam, Çin'den hareket ederek şimdi Kuzey Kore'ye geçiyoruz ve onlar bu işin içindeler; APT grupları para kazanıyor, değil mi? Yapmaya çalıştıkları şey bu.

AM: Evet. Yani üç parçası var. Birincisi, kesinlikle diplomatik, askeri ve siyasi hizmetlerde bulunuyorlar. istihbarat toplama süreci, ama aynı zamanda yapıyorlar fikri mülkiyet.

Ulusal Ekonomik Kalkınma Stratejisi veya NEDS adı verilen bir program başlattılar. Ve bununla birlikte enerji, madencilik, tarım, ağır makineler ve Kuzey Kore ekonomisiyle ilgili her şeye odaklanan altı temel alan var.

Ortalama Kuzey Kore vatandaşının maliyetini ve yaşam tarzını artırmaları gerekiyor. Nüfusun yalnızca %30'u güvenilir güce sahip, dolayısıyla yenilenebilir enerji ve enerji elde etme yolları gibi şeyler (bu tür verilerdir) Kuzey Kore APT grupları arıyoruz).

Ve sonra gelir yaratma. Uluslararası SWIFT sisteminden ve uluslararası finans ekonomilerinden koptular. Artık gelir elde etmenin yollarını bulmaları gerekiyor. Rejime ve aynı zamanda aileye gelir sağlayan Üçüncü Ofis adında bir şeyleri var.

Ve böylece onlar (Üçüncü Ofis) uyuşturucu, insan kaçakçılığı ve ayrıca siber suçlar gibi birçok şey yapıyorlar. Bu yüzden Kuzey Kore APT grupları geleneksel finans şirketlerinin yanı sıra kripto para şirketlerini de hedeflemede çok etkili oldu. Ve şunu gördük; dün ortaya çıkan raporumuzdaki şeylerden biri, geçen yıl en çok hedeflenen ikinci sektörün telekomun yerini alan finans olduğunu gösteriyor. Yani etki yaratıyor.

doktor: Tonlarca para kazanıyorlar. APT eyleminin diğer önemli ayağının da İran olduğunu tahmin ediyorum. Arada neler oluyor İranlı APT grupları?

AM: Pek çok durumda, İsrail ve ABD gibi Batılı ülkelerin peşine düşmek için (İranlı) düşmanlarını hedef alan sahte kişiler gördük. APT grupları İran tarafından desteklenen şirketler bu sahte kişileri yaratıyor ve fidye yazılımı dağıtıyor, ancak bu aslında fidye yazılımı değil çünkü parayı toplamayı umursamıyorlar. Onlar (İranlı APT grupları) sadece bu kesintiye neden olmak ve ardından hassas bilgileri toplamak istiyorum. Bütün bunlar, insanların hedefledikleri siyasi örgütlere veya şirketlere olan inançlarını veya inançlarını kaybetmelerine neden oluyor. Yani bu gerçekten de fidye yazılımı kılığına giren yıkıcı bir kampanya. İranlı tehdit aktörleri.

doktor: Bu saldırıların çoğuna motivasyon atamaya çalışmak çok zor olmalı. Bunu nasıl yaptın? Yani, bunun para kazanma amaçlı bir operasyon değil de, sadece düzeni bozmak için kullanılan bir paravan olduğunu nereden biliyorsun?

AM: Bu harika bir soru ama aslında o kadar da zor değil çünkü gerçekte ne olduğuna bakarsanız, değil mi? - ortaya çıkan şey - eğer suçlularsa ve mali motivasyonları varsa, ödeme yapacaklar. Amaç bu, değil mi?

Eğer gerçekten para kazanmayı umursamıyorlarsa NotPetya örneğin, bu bizim için oldukça açık. Altyapıyı hedefleyeceğiz ve ardından gerekçenin kendisine bakacağız.

doktor: Ve genel olarak APT grupları arasında saldırılardan bazıları nelerdir? du jour? Şu anda gerçekten neye güveniyorlar?

AM: Yani çok şey gördük APT grupları ağ tipi cihazların peşindeyim. Çeşitli bulut sistemlerine ve ağ aygıtlarına maruz kalan, genellikle modern uç nokta güvenlik yığınlarına sahip olmayan cihazlara karşı çok daha fazla saldırı gerçekleşti.

Ve bu sadece APT grupları değil. Bunu fidye yazılımı gruplarında muazzam bir şekilde görüyoruz. Yani saldırıların %80'i içeri girmek için meşru kimlik bilgilerini kullanıyor. Karadan geçiniyorlar ve oradan yanal olarak hareket ediyorlar. Ve eğer yapabilirlerse, çoğu durumda, DVR aracınızı desteklemeyen bir hipervizöre fidye yazılımı dağıtmaya çalışacaklar ve ardından o üzerinde çalışan tüm sunucuları kilitleyebilecekler. hiper yönetici ve organizasyonu iflasa sürükleyin.

doktor: Ne yazık ki zamanımız doldu. Bu konuyu daha uzun süre tartışmayı çok isterdim ama bize hızlıca tahminlerinizi iletebilir misiniz? Sizce bundan 12 ay sonra APT alanında neye bakacağız?

AM: Alan oldukça tutarlıydı. Sanırım onların (APT gruplarının) güvenlik açığı ortamını geliştirmeye devam ettiğini göreceğiz.

Örneğin Çin'e bakarsanız, herhangi bir güvenlik açığı araştırmasının Devlet Güvenlik Bakanlığı'ndan geçmesi gerekiyor. Orada istihbarat toplamaya odaklanılıyor. Bazı durumlarda temel sebep budur; bir de bozulma var.

Ve sonra, bir tahmin olarak herkesin düşünmesi gereken şey şu: kimlik yönetimi, gördüğümüz tehditler nedeniyle. Bu ihlaller kimlik içerir. Bir aktörün ilk dayanak noktasından kendi ortamına ve başka bir sisteme geçmesinin ne kadar sürdüğünü ölçen "kırılma süresi" adı verilen bir şeyimiz var. Gördüğümüz en hızlısı (kırılma süresi) yedi dakikaydı. Yani bu aktörler daha hızlı hareket ediyor. En büyük çıkarım şu ki, onlar (APT grupları) meşru kimlik bilgileri kullanıyor ve meşru bir kullanıcı olarak geliyorlar. Buna karşı korunmak için kimliğin korunması kritik öneme sahiptir. Yalnızca uç noktalar değil.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks