Tại sao Quản lý danh tính là chìa khóa để ngăn chặn các cuộc tấn công mạng APT

Dark Reading News Desk đã phỏng vấn Adam Meyers, người đứng đầu các hoạt động chống đối thủ của CrowdStrike tại Black Hat USA 2023. Hãy xem clip News Desk trên YouTube (bản ghi bên dưới).

Đọc đen tối, Becky Bracken: Xin chào mọi người và chào mừng mọi người trở lại Bàn tin tức Dark Reading sắp đến với các bạn trực tiếp từ Black Hat 2023. Tôi là Becky Bracken, biên tập viên của Dark Reading, và tôi ở đây để chào mừng Adam Meyers, người đứng đầu các hoạt động chống đối thủ của CrowdStrike, tới Bàn tin tức đọc sách đen tối.

Cảm ơn vì đã tham gia cùng chúng tôi, Adam. Tôi rât cảm kich. Năm ngoái mọi người đều rất tập trung vào Nhóm APT ở Nga, chúng là gì đang làm ở Ukrainevà cách cộng đồng an ninh mạng có thể tập hợp lại và giúp đỡ họ. Dường như đã có một sự thay đổi khá lớn trên mặt đất kể từ đó. Bạn có thể cung cấp cho chúng tôi thông tin cập nhật về những gì đang xảy ra ở Nga hiện nay so với một năm trước không?

Adam Meyers: Vì vậy, tôi nghĩ tất nhiên có rất nhiều lo ngại về điều đó. Chắc chắn tôi nghĩ chúng ta đã thấy rằng những gián đoạn thường xảy ra sau khi xung đột bắt đầu sẽ không biến mất. Nhưng trong khi (chúng tôi đang tập trung), bạn biết đấy, về những gì đang xảy ra với người Nga, thì người Trung Quốc đã thiết lập một nỗ lực thu thập dữ liệu lớn xung quanh đó.

DR: Có phải họ (chính phủ Trung Quốc và các nhóm APT liên quan) đang lợi dụng cuộc xâm lược của Nga làm vỏ bọc trong khi mọi người đang nhìn về phía này? Họ đã làm điều đó trước đó phải không?

LÀ: Đó là một câu hỏi hay. Tôi nghĩ nó đã thành công khi cung cấp loại vỏ bọc đó vì mọi người đều quá tập trung vào những gì đang xảy ra ở Nga và Ukraine. Vì vậy, nó làm xao lãng tiếng trống đều đặn của mọi người đang kêu gọi Trung Quốc hoặc làm những việc mà họ ở đó.

DR: Vì vậy, chúng tôi biết động cơ của Nga. Thế còn Nhóm APT Trung Quốc? Động lực của họ là gì? Họ đang cố gắng làm gì?

LÀ: Vì vậy nó rất lớn nền tảng bộ sưu tập. Trung Quốc có một số chương trình lớn khác nhau. Họ có những thứ như Kế hoạch XNUMX năm do Chính phủ Trung Quốc đưa ra với nhu cầu phát triển mạnh mẽ. Họ có “Xuất xứ Trung Quốc 2025” sáng kiến, họ có Sáng kiến ​​Vành đai và Đường bộ. Và vì vậy họ đã xây dựng tất cả các chương trình khác nhau này để phát triển nền kinh tế nhằm phát triển nền kinh tế ở Trung Quốc.

Một số mục tiêu chính mà họ nhắm đến là những thứ như chăm sóc sức khỏe. Đây là lần đầu tiên người Trung Quốc phải đối mặt với tầng lớp trung lưu ngày càng tăng và vì vậy các vấn đề chăm sóc sức khỏe phòng ngừa (được ưu tiên), bệnh tiểu đường, điều trị ung thư, tất cả những vấn đề đó. Và họ đang tìm nguồn cung ứng rất nhiều thứ đó từ phương Tây. Họ (người Trung Quốc) muốn xây dựng nó ở đó. Họ muốn có những sản phẩm tương đương trong nước để có thể phục vụ thị trường của chính mình và sau đó phát triển thị trường đó sang khu vực xung quanh, khu vực Châu Á Thái Bình Dương rộng lớn hơn. Và thông qua việc đó, họ xây dựng thêm ảnh hưởng. Họ xây dựng những mối quan hệ này với những quốc gia này, nơi họ có thể bắt đầu thúc đẩy các sản phẩm, giải pháp thương mại và các chương trình của Trung Quốc… Để khi có sức ép thúc đẩy một vấn đề — Đài Loan hay thứ gì đó — mà họ không thích tại Liên Hợp Quốc, họ có thể nói “Này, bạn thực sự nên bỏ phiếu theo cách này. Chúng tôi sẽ đánh giá cao nó."

DR: Vì vậy nó thực sự là một thu thập thông tin tình báo và một đạt được sở hữu trí tuệ cho họ. Và vậy chúng ta sẽ thấy gì trong vài năm tới? Họ sẽ vận hành thông tin tình báo này?

LÀ: Điều đó đang xảy ra ngay bây giờ, nếu bạn nhìn vào những gì họ đã và đang làm với AI. Hãy xem những gì họ đã và đang làm với lĩnh vực chăm sóc sức khỏe và sản xuất chip khác nhau, nơi họ cung cấp hầu hết chip từ bên ngoài. Họ không muốn làm điều đó.

Họ nghĩ rằng mọi người coi họ như công xưởng của thế giới và họ thực sự muốn trở thành nhà đổi mới. Và cách họ đang muốn làm điều đó là tận dụng Nhóm APT Trung Quốc và đi tắt đón đầu (các quốc gia cạnh tranh) thông qua các hoạt động mạng, gián điệp mạng, (đánh cắp) những gì hiện đại nhất, và sau đó họ có thể cố gắng sao chép và đổi mới trên đó.

DR: Hấp dẫn. Được rồi, chuyển từ Trung Quốc, bây giờ chúng tôi sang Bắc Triều Tiên, và họ đang kinh doanh - các nhóm APT của họ là những người kiếm tiền, phải không? Đó là những gì họ đang tìm cách làm.

LÀ: Vâng. Vậy là có ba phần của nó. Thứ nhất, chúng chắc chắn phục vụ các hoạt động ngoại giao, quân sự và chính trị. quá trình thu thập thông tin tình báo, nhưng họ cũng làm sở hữu trí tuệ.

Họ đã phát động một chương trình có tên là Chiến lược phát triển kinh tế quốc gia, hay NEDS. Và cùng với đó, có sáu lĩnh vực cốt lõi tập trung vào những thứ như năng lượng, khai thác mỏ, nông nghiệp, máy móc hạng nặng, tất cả những thứ liên quan đến nền kinh tế Triều Tiên.

Họ cần phải tăng chi phí và lối sống của người dân Triều Tiên trung bình. Chỉ 30% dân số có nguồn điện đáng tin cậy, vì vậy những thứ như năng lượng tái tạo và cách để có được năng lượng (là loại dữ liệu Nhóm APT của Triều Tiên đang tìm).

Và sau đó tạo ra doanh thu. Họ bị cắt khỏi hệ thống SWIFT quốc tế và nền kinh tế tài chính quốc tế. Và vì vậy bây giờ họ phải tìm cách tạo ra doanh thu. Họ có một cái gọi là Văn phòng thứ ba, nơi tạo ra nguồn thu cho chế độ và cả cho gia đình.

Và vì vậy họ (Văn phòng Thứ ba) làm rất nhiều việc, những việc như ma túy, buôn người và cả tội phạm mạng. Vì thế Nhóm APT của Triều Tiên rất hiệu quả trong việc nhắm mục tiêu vào các công ty tài chính truyền thống cũng như tiền điện tử. Và chúng tôi đã thấy điều đó - một trong những điều trong báo cáo của chúng tôi vừa công bố ngày hôm qua cho thấy ngành dọc được nhắm mục tiêu nhiều thứ hai vào năm ngoái là tài chính, ngành thay thế viễn thông. Vì vậy, nó đang tạo ra ảnh hưởng.

DR: Họ đang kiếm được rất nhiều tiền. Hãy xoay quanh vấn đề mà tôi đoán là trụ cột chính khác của hành động APT là ở Iran. Chuyện gì đang xảy ra giữa Nhóm APT của Iran?

LÀ: Vì vậy, trong nhiều trường hợp, chúng tôi đã thấy các nhân vật giả mạo để nhắm mục tiêu vào kẻ thù (Iran) của họ - nhằm truy đuổi Israel và Hoa Kỳ, các nước phương Tây. Nhóm APT được Iran hậu thuẫn, tạo ra những nhân vật giả mạo này và triển khai ransomware, nhưng nó không thực sự là ransomware vì họ không nhất thiết quan tâm đến việc thu tiền. Họ (Nhóm APT của Iran) chỉ muốn gây ra sự gián đoạn đó rồi thu thập thông tin nhạy cảm. Tất cả những điều này khiến mọi người mất niềm tin hoặc niềm tin vào các tổ chức chính trị hoặc công ty mà họ đang nhắm tới. Vì vậy, đây thực sự là một chiến dịch gây rối giả dạng ransomware để Các tác nhân đe dọa Iran.

DR: Chắc hẳn rất khó để cố gắng gán động lực cho nhiều cuộc tấn công kiểu này. Làm thế nào để bạn làm điều đó? Ý tôi là, làm sao bạn biết đó chỉ là bình phong cho sự gián đoạn chứ không phải hoạt động kiếm tiền?

LÀ: Đó là một câu hỏi hay, nhưng thực ra nó không khó đến thế vì nếu bạn nhìn vào những gì thực sự xảy ra, phải không? — chuyện gì sẽ xảy ra — nếu họ là tội phạm và có động cơ tài chính, họ sẽ thanh toán. Đó là mục tiêu, phải không?

Nếu họ dường như không thực sự quan tâm đến việc kiếm tiền, chẳng hạn như Notpyetya ví dụ, điều đó khá rõ ràng đối với chúng tôi. Chúng tôi sẽ nhắm mục tiêu vào cơ sở hạ tầng và sau đó chúng tôi xem xét động cơ.

DR: Và nhìn chung, trong số các nhóm APT, có một số cuộc tấn công nào du ký? Hiện tại họ thực sự đang dựa vào điều gì?

LÀ: Vì vậy chúng tôi đã thấy rất nhiều Nhóm APT theo đuổi các thiết bị loại mạng. Đã có thêm rất nhiều cuộc tấn công nhằm vào các thiết bị tiếp xúc với nhiều hệ thống đám mây và thiết bị mạng khác nhau, những thiết bị thường không có ngăn xếp bảo mật điểm cuối hiện đại trên đó.

Và không chỉ có các nhóm APT. Chúng tôi thấy điều này rất rõ ràng với các nhóm ransomware. Vì vậy, 80% các cuộc tấn công đang sử dụng thông tin xác thực hợp pháp để xâm nhập. Chúng sống ngoài vùng đất liền và di chuyển ngang từ đó. Và sau đó, nếu có thể, trong nhiều trường hợp, chúng sẽ cố gắng triển khai ransomware tới một trình ảo hóa không hỗ trợ công cụ DVR của bạn và sau đó chúng có thể khóa tất cả các máy chủ đang chạy trên đó. nhà ảo thuật và đưa tổ chức ra khỏi hoạt động kinh doanh.

DR: Thật không may, chúng ta đã hết thời gian. Tôi thực sự muốn thảo luận về vấn đề này lâu hơn nữa, nhưng bạn có thể nhanh chóng đưa ra dự đoán của mình cho chúng tôi được không? Bạn nghĩ gì về không gian APT sau 12 tháng nữa?

LÀ: Không gian đã khá nhất quán. Tôi nghĩ chúng ta sẽ thấy họ (các nhóm APT) tiếp tục phát triển bối cảnh dễ bị tổn thương.

Ví dụ, nếu bạn nhìn vào Trung Quốc, bất kỳ nghiên cứu về lỗ hổng nào đều phải thông qua Bộ An ninh Nhà nước. Việc tập trung vào việc thu thập thông tin tình báo ở đó. Đó là động cơ chính trong một số trường hợp; cũng có sự gián đoạn.

Và sau đó, như một lời dự đoán, điều mọi người cần nghĩ tới là quản lý danh tính, vì những mối đe dọa mà chúng ta đang thấy. Những vi phạm này liên quan đến danh tính. Chúng tôi có một thứ gọi là “thời gian đột phá”, đo lường khoảng thời gian để một tác nhân chuyển từ chỗ đứng ban đầu sang môi trường của họ sang hệ thống khác. Thời gian nhanh nhất (thời gian đột phá) mà chúng tôi thấy là bảy phút. Vì vậy, những diễn viên này đang di chuyển nhanh hơn. Điểm đáng chú ý nhất là họ (các nhóm APT) đang sử dụng thông tin xác thực hợp pháp, với tư cách là người dùng hợp pháp. Và để bảo vệ khỏi điều đó, việc bảo vệ danh tính là rất quan trọng. Không chỉ là điểm cuối.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks