Чому керування ідентифікацією є ключем до зупинки кібератак APT

Dark Reading News Desk взяв інтерв’ю у Адама Мейєрса, керівника відділу протидії супротивника CrowdStrike на Black Hat USA 2023. Перегляньте ролик News Desk на YouTube (розшифровка нижче).

Темне читання, Беккі Брекен: Усім привіт! Ласкаво просимо знову до служби новин Dark Reading, яка приходить до вас у прямому ефірі з Black Hat 2023. Мене звати Беккі Брекен, редактор Dark Reading, і я тут, щоб привітати Адама Мейерса, керівника відділу протидії противникам CrowdStrike, до відділу новин Dark Reading.

Дякуємо, що приєднався до нас, Адаме. Я ціную це. Минулого року всі були дуже зосереджені на Групи APT в Росії, якими вони були роблять в Україні, і як спільнота кібербезпеки може об’єднатися та допомогти їм. Здається, відтоді відбулися досить значні зміни в землі. Чи можете ви дати нам оновлену інформацію про те, що відбувається в Росії зараз, порівняно з роком раніше?

Адам Мейерс: Тому я думаю, що це, звісно, ​​викликає велике занепокоєння. Звичайно, я вважаю, що ми побачили, що збої, які зазвичай виникають після початку конфлікту, не зникають. Але поки (ми були зосереджені), знаєте, на тому, що відбувається з росіянами, китайці встановили величезні зусилля зі збору даних навколо цього.

ЛІКАР: Чи вони (уряд Китаю та асоційовані групи APT) використовували російське вторгнення як прикриття, поки всі дивилися сюди? Вони робили це до цього?

AM: Це гарне запитання. Я думаю, вийшло, що це забезпечило таке прикриття, тому що всі настільки зосереджені на тому, що відбувається в Росії та Україні. Тож це відволікало увагу від рівного барабанного бою, коли всі закликали Китай або робили те, що вони там були.

ЛІКАР: Отже, ми знаємо мотивацію Росії. А як на рахунок Китайські групи APT? Які у них мотивації? Що вони намагаються зробити?

AM: Отже, це масово колекційна платформа. Китай має низку різних великих програм. У них є такі речі, як п’ятирічні плани, продиктовані китайським урядом з агресивними вимогами розвитку. Вони мають "Зроблено в Китаї 2025” ініціатива, вони мають Пояс та дорога ініціатива. І тому вони розробили всі ці різні програми, щоб розвивати економіку Китаю.

Деякі з основних речей, на які вони націлені, стосуються таких речей, як охорона здоров’я. Це перший випадок, коли китайці мають справу зі зростаючим середнім класом, тому питання профілактики охорони здоров’я (є пріоритетом), діабету, лікування раку тощо. І багато чого вони отримують із Заходу. Вони (китайці) хочуть його там побудувати. Вони хочуть мати продукцію, еквівалентну національним, щоб вони могли обслуговувати власний ринок, а потім розвивати його в навколишньому регіоні, в ширшому Азіатсько-Тихоокеанському регіоні. І завдяки цьому вони створюють додатковий вплив. Вони будують ці зв’язки з цими країнами, де вони можуть почати проштовхувати китайські продукти, торговельні рішення та китайські програми… Так що, коли прийде поштовх до питання — Тайвань чи щось таке — яке їм не подобається в Організації Об’єднаних Націй, вони може сказати: «Гей, ти справді маєш проголосувати таким чином. Ми будемо вдячні».

ЛІКАР: Так що це справді колекція розвідки і отримання інтелектуальної власності для них. І що ж ми побачимо в найближчі кілька років? Чи збираються вони вводити цю розвідку в дію?

AM: Це відбувається прямо зараз, якщо ви подивіться на те, що вони робили з ШІ. Подивіться, що вони робили з охороною здоров’я та різноманітним виробництвом чіпів, де більшість своїх чіпів вони закуповують ззовні. Вони не хочуть цього робити.

Вони думають, що люди сприймають їх як світову майстерню, і вони дійсно хочуть стати новаторами. І спосіб, яким вони прагнуть це зробити, — використання важелів Китайські групи APT і перехід (конкуруючі країни) через кібероперації, кібершпигунство, (викрадення) того, що зараз є найсучаснішим, а потім вони можуть спробувати відтворити та впровадити інновації на додачу до цього.

ЛІКАР: Цікаво. Добре, переходячи з Китаю, тепер ми переходимо до Північної Кореї, і вони в бізнесі — їхні групи APT заробляють гроші, чи не так? Це те, що вони хочуть зробити.

AM: так Отже, це три частини. По-перше, вони безперечно обслуговують дипломатичні, військові та політичні сили процес збору розвідувальних даних, але вони також роблять інтелектуальна власність.

Вони запустили програму під назвою «Стратегія національного економічного розвитку» (NEDS). Крім того, є шість основних напрямків, які зосереджені на таких речах, як енергетика, видобуток корисних копалин, сільське господарство, важке машинобудування, усе, що пов’язано з економікою Північної Кореї.

Їм потрібно підвищити вартість і спосіб життя пересічного громадянина Північної Кореї. Лише 30% населення має надійне електропостачання, тому такі речі, як відновлювані джерела енергії та способи отримання енергії (це тип даних Північнокорейські групи APT шукають).

А потім отримання доходу. Вони були відрізані від міжнародної системи SWIFT і міжнародної фінансової економіки. І тому тепер вони повинні знайти способи отримання прибутку. У них є щось, що називається Третім офісом, який генерує доходи з режимом, а також для сім’ї.

Тому вони (Третій офіс) займаються багатьма речами, наприклад наркотиками, торгівлею людьми, а також кіберзлочинністю. Так Північнокорейські групи APT був дуже ефективним у націленні на традиційні фінансові компанії, а також на криптовалютні компанії. І ми бачили це — одна з речей у нашому звіті, який щойно вийшов учора, показує, що другою найбільш цільовою галуззю минулого року були фінанси, які замінили телекомунікації. Отже, це справляє вплив.

ЛІКАР: Вони заробляють купу грошей. Давайте повернемося навколо Ірану, який, як я вважаю, є іншим основним стовпом діяльності APT. Що відбувається серед Іранські групи APT?

AM: Отже, у багатьох випадках ми бачили фальшивих персон, щоб націлитися на своїх (іранських) ворогів — переслідувати Ізраїль та Сполучені Штати, щось на зразок західних країн. Групи APT за підтримки Ірану створюють ці підроблені персонажі та розгортають програмне забезпечення-вимагач, але насправді це не програмне забезпечення-вимагач, оскільки вони не дбають про обов’язковий збір грошей. Вони (Іранські групи APT) просто хочу спричинити збій, а потім зібрати конфіденційну інформацію. Усе це змушує людей втрачати віру або віру в політичні організації чи компанії, на які вони спрямовані. Тож це справді руйнівна кампанія, яка маскується під програми-вимагачі Іранські суб'єкти загрози.

ЛІКАР: Мабуть, так складно спробувати визначити мотивацію для багатьох із цих атак. Як ти це робиш? Я маю на увазі, звідки ви знаєте, що це лише прикриття для зриву, а не операція для заробляння грошей?

AM: Це чудове запитання, але насправді воно не таке вже й складне, тому що якщо ви подивитесь на те, що насправді відбувається, чи не так? — що виявляється — якщо вони злочинці та мають фінансові мотиви, вони збираються платити. Це мета, чи не так?

Якщо вони насправді не дбають про заробіток грошей, наприклад NotPetya наприклад, для нас це цілком очевидно. Ми зосередимося на інфраструктурі, а потім розглянемо сам мотив.

ЛІКАР: І загалом серед груп APT, які є деякі атаки дня? На що вони насправді зараз розраховують?

AM: Отже, ми бачили багато Групи APT пошук пристроїв мережевого типу. Було значно більше атак на пристрої, піддані впливу різноманітних хмарних систем і мережевих пристроїв, речей, які зазвичай не мають сучасних стеків безпеки кінцевих точок.

І це не лише групи APT. Ми бачимо це надзвичайно з групами програм-вимагачів. Таким чином, 80% атак використовують законні облікові дані, щоб проникнути. Вони живуть за рахунок землі та переміщуються звідти. І тоді, якщо вони зможуть, у багатьох випадках вони спробують розгорнути програмне забезпечення-вимагач на гіпервізор, який не підтримує ваш інструмент DVR, і тоді вони зможуть заблокувати всі сервери, які працюють на цьому гіпервізор і вивести організацію з бізнесу.

ЛІКАР: На жаль, у нас немає часу. Я дійсно хотів би обговорити це довше, але чи можете ви швидко дати нам свої прогнози? Як ви думаєте, на що ми будемо дивитися в просторі APT через 12 місяців?

AM: Простір був досить послідовним. Я думаю, ми побачимо, як вони (групи APT) продовжуватимуть розвивати ландшафт вразливості.

Якщо ви подивитеся на Китай, наприклад, фактично будь-яке дослідження вразливості повинно проходити через Міністерство державної безпеки. Зосереджено увагу на зборі розвідданих. У деяких випадках це основний мотив; також є зрив.

І тоді, як пророкування, те, про що всі повинні подумати управління ідентифікацією, через загрози, які ми бачимо. Ці порушення стосуються ідентичності. У нас є те, що називається «час прориву», який вимірює, скільки часу потрібно акторові, щоб перейти з початкової точки опори в своє середовище в іншу систему. Найшвидший (час прориву), який ми бачили, становив сім хвилин. Тож ці актори рухаються швидше. Найбільший висновок полягає в тому, що вони (групи APT) використовують законні облікові дані, входячи як законний користувач. І щоб захиститися від цього, захист ідентичності має вирішальне значення. Не лише кінцеві точки.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks