Фішинг вже давно є одним із найкращих способів отримати доступ до цільової організації. Колись так не було. На початку розвитку комп’ютерної безпеки використання віддаленого коду (RCE) було кращим методом отримання доступу, оскільки не вимагало взаємодії з користувачем. Фактично, якщо щось вимагало взаємодії з користувачем, це не вважалося серйозною загрозою. Почали застосовуватися кращі методи безпеки, і метод доступу RCE став набагато складнішим. І виявилося, що змусити користувачів взаємодіяти було простіше, ніж можна було собі уявити.
Той самий цикл почав повторюватися з локальними цілями. Організації почали досягати успіхів у захисті своїх внутрішніх мереж від використання виявлення та реагування на кінцеві точки (EDR), а інші технології краще обладнані для виявлення зловмисного програмного забезпечення та бокового руху. Хоча атаки стають дедалі складнішими, це ще не неефективна стратегія для зловмисника. Розгортання програм-вимагачів та інших форм шкідливого програмного забезпечення все ще є поширеним результатом.
Чому ваша хмарна інфраструктура є головною мішенню для фішингових атак
Хмара надала фішерам абсолютно новий кордон для атаки, і виявилося, що це може бути дуже небезпечно. Середовища SaaS є готовими цілями для фішингових атак і можуть надати зловмиснику набагато більше, ніж доступ до деяких електронних листів. Інструменти безпеки все ще розвиваються в цьому середовищі, що пропонує зловмисникам вікно можливостей, коли такі методи, як фішингові атаки, можуть бути дуже ефективними.
Фішингові атаки, націлені на розробників і ланцюг постачання програмного забезпечення
Як ми бачили нещодавно, У Dropbox стався інцидент через фішингову атаку на його розробників. Їх обдурили надавши свої облікові дані Github до зловмисника за допомогою фішингової електронної пошти та підробленого веб-сайту, незважаючи на те багатофакторна аутентифікація (МЗС). Це лякає те, що це був не просто випадковий користувач із відділу продажів чи іншої бізнес-служби, це були розробники, які мали доступ до великої кількості даних Dropbox. На щастя, масштаб інциденту, здається, не вплинув на найважливіші дані Dropbox.
GitHub та інші платформи в просторі безперервної інтеграції/безперервного розгортання (CI/CD) є новими «перлинами» для багатьох компаній. Маючи правильний доступ, зловмисники можуть викрасти інтелектуальну власність, витік вихідного коду та інших даних або поведінку атаки ланцюга поставок. Це йде ще далі, оскільки GitHub часто інтегрується з іншими платформами, які зловмисник може змінити. Все це може статися, навіть не торкаючись локальної мережі жертви або багатьох інших інструментів безпеки, які придбали організації, оскільки все це програмне забезпечення як послуга (SaaS) до SaaS.
Безпека в цьому випадку може бути проблемою. Кожен постачальник SaaS робить це по-різному. Бачимість клієнта щодо того, що відбувається на цих платформах, часто обмежена. GitHub, наприклад, надає доступ лише до свого API журналу аудиту за своїм планом Enterprise. Отримання видимості – це лише перша перешкода, яку потрібно подолати, наступною буде створення корисного вмісту для виявлення навколо неї. Провайдери SaaS можуть дуже відрізнятися тим, що вони роблять, і даними, які вони надають. Контекстне розуміння того, як вони працюють, потрібне для створення та підтримки виявлень. У вашій організації може використовуватися багато таких платформ SaaS.
Як зменшити ризики, пов’язані з фішингом у хмарі?
Платформи ідентифікації, такі як Okta, можуть допомогти зменшити ризик, але не повністю. Виявлення несанкціонованих входів, безперечно, є одним із найкращих способів виявити фішингові атаки та реагувати на них. Це легше сказати, ніж зробити, оскільки зловмисники опанували загальні способи виявлення їх присутності. Проксі-сервери або VPN легко використовувати, щоб принаймні здаватися, що вони походять із того самого регіону, що й користувач, щоб запобігти виявленню країн або неможливих подорожей. Можна застосувати більш просунуті моделі машинного навчання, але вони ще не набули широкого поширення та не перевірені.
Традиційне виявлення загроз також починає адаптуватися до світу SaaS. Falco, популярний інструмент виявлення загроз для контейнерів і хмар, має систему плагінів, яка підтримує майже будь-яку платформу. Команда Falco вже випустила плагіни та правила для Okta та GitHub, зокрема. Наприклад, плагін GitHub має правило, яке запускає, якщо будь-які коміти виявляють ознаки майнера криптовалюти. Використання цих спеціально розроблених засобів виявлення — це хороший спосіб розпочати впровадження цих платформ у вашу загальну програму виявлення загроз.
Фішинг тут і залишиться
Фішинг і соціальна інженерія в цілому ніколи не залишаться позаду. Це був ефективний метод атаки протягом багатьох років, і буде таким, доки люди спілкуватимуться. Важливо розуміти, що ці атаки не обмежуються інфраструктурою, якою ви володієте або керуєте безпосередньо. SaaS особливо піддається ризику через відсутність у більшості організацій інформації про те, що насправді відбувається на цих платформах. Їхню безпеку не можна списувати на чиюсь проблему, оскільки для отримання доступу до цих ресурсів достатньо простої електронної пошти та підробленого веб-сайту.
