为什么身份管理是阻止 APT 网络攻击的关键

Dark Reading News Desk 采访了 Adam Meyers，他是 2023 年 Black Hat USA 的 CrowdStrike 反对手行动负责人。查看 News Desk 剪辑 YouTube （以下为文字记录）。

黑暗阅读，贝基·布雷肯： 大家好，欢迎回到 Dark Reading 新闻台，我们将在 Black Hat 2023 为您直播。我是 Dark Reading 的编辑 Becky Bracken，我在这里欢迎 CrowdStrike 反对手行动负责人 Adam Meyers，到暗读新闻台。

感谢您加入我们，亚当。 我很感激。 去年大家都非常关注 俄罗斯 APT 组织，它们是什么 在乌克兰做的事，以及网络安全社区如何团结起来并帮助他们。 从那时起，情况似乎发生了相当大的变化。 您能给我们介绍一下俄罗斯现在与一年前相比的最新情况吗？

亚当·迈耶斯： 当然，我认为对此有很多担忧。 当然，我认为我们看到冲突开始后通常出现的混乱并没有消失。 但是，尽管（我们专注于）俄罗斯人正在发生的事情，但中国人已经建立了一个 大量数据收集工作 围绕那个。

DR： 他们（APT 相关组织的中国政府）是否利用俄罗斯入侵作为掩护，而所有人都在监视这里？ 他们在此之前这样做过吗？

上午： 这是个好问题。 我认为它提供了这种掩护，因为每个人都非常关注俄罗斯和乌克兰正在发生的事情。 因此，它分散了人们对中国的呼声或他们在那里做的事情的稳定鼓声的注意力。

DR： 所以我们知道俄罗斯的动机。 关于什么 中国APT团体？ 他们的动机是什么？ 他们想做什么？

上午： 所以这是一个巨大的 采集平台。 中国有许多不同的重大计划。 他们有中国政府制定的五年计划，提出了积极的发展要求。 他们有“中国制造2025” 倡议，他们有 带和道路倡议。 因此，他们制定了所有这些不同的计划，以促进经济增长，从而发展中国的经济。

他们的一些主要目标是围绕医疗保健等领域。 这是中国人第一次面对不断壮大的中产阶级，因此预防性医疗保健问题（是优先事项）、糖尿病、癌症治疗等等。 他们从西方采购了很多。 他们（中国人）想在那里建造它。 他们希望拥有国内同等的产品，以便能够服务自己的市场，然后将其扩展到周边地区，即更广泛的亚太地区。 通过这样做，他们建立了额外的影响力。 他们与这些国家建立了联系，在那里他们可以开始推销中国产品、贸易解决方案和中国计划……这样，当他们在联合国不喜欢的问题——台湾或其他问题——上遇到紧急情况时，他们就会采取行动。可以说“嘿，你真的应该这样投票。 我们将不胜感激。”

DR： 所以这真的是一个 情报收集 和 知识产权收益 对于他们来说。 那么未来几年我们会看到什么？ 他们会运用这些情报吗？

上午： 如果你看看他们在人工智能方面所做的事情，这种情况现在就正在发生。 看看他们在医疗保健和各种芯片制造方面所做的事情，他们的大部分芯片都是从外部采购的。 他们不想那样做。

他们认为人们将他们视为世界工厂，它确实想成为创新者。 他们希望做到这一点的方法是利用 中国APT团体 通过网络行动、网络间谍活动（窃取）当前最先进的技术来超越（竞争国家），然后他们可以尝试在此基础上进行复制和创新。

DR： 有趣的。 好的，那么从中国转移到朝鲜，他们就在做生意——他们的 APT 组织是赚钱的，对吧？ 这就是他们想要做的。

上午： 是的。 所以它分为三部分。 第一，他们当然服务于外交、军事和政治 情报收集过程，但他们也这样做 知识产权.

他们启动了一项名为“国家经济发展战略”（NEDS）的计划。 除此之外，还有六个核心领域，重点关注能源、采矿、农业、重型机械等所有与朝鲜经济相关的领域。

他们需要提高成本和普通朝鲜公民的生活方式。 只有 30% 的人口拥有可靠的电力，因此可再生能源和获取能源的方式（是此类数据） 朝鲜 APT 组织 正在找）。

然后是创收。 他们被切断了与国际 SWIFT 系统和国际金融经济的联系。 所以现在他们必须找到创收的方法。 他们有一个叫做第三办公室的机构，为政权和家庭创造收入。

所以他们（第三办公室）做了很多事情，比如毒品、人口贩卖，还有网络犯罪。 所以 朝鲜 APT 组织 在针对传统金融公司和加密货币公司方面非常有效。 我们已经看到，昨天刚刚发布的报告中的一件事表明，去年第二大目标垂直行业是金融业，它取代了电信业。 所以它正在产生影响。

DR： 他们赚了很多钱。 让我们把焦点转向伊朗，我猜这是APT行动的另一个主要支柱。 中间发生了什么 伊朗 APT 组织?

上午： 因此，我们在很多情况下都看到，假冒的角色瞄准了他们的（伊朗）敌人——追捕以色列和美国等西方国家。 APT 组 由伊朗支持创建这些假角色并部署勒索软件，但这并不是真正的勒索软件，因为他们并不关心收钱。 他们 （伊朗 APT 组织）只是想造成这种破坏，然后收集敏感信息。 所有这些都使人们对政治组织或他们所针对的公司失去信心。 所以这确实是一场伪装成勒索软件的破坏性活动 伊朗威胁行为者。

DR： 试图为许多此类攻击确定动机一定非常棘手。 你是怎样做的？ 我的意思是，你怎么知道这只是破坏的幌子，而不是赚钱的行动？

上午： 这是一个很好的问题，但实际上并不那么困难，因为如果你看看实际发生的情况，对吧？ - 发生的事情 - 如果他们是犯罪分子，并且他们有经济动机，他们就会付款。 这就是目标，对吗？

如果他们似乎并不真正关心赚钱，比如 NotPetya 例如，这对我们来说非常明显。 我们将瞄准基础设施，然后我们看看动机本身。

DR： 一般来说，在 APT 组织中，有哪些攻击行为？ 大谈特谈？ 他们现在真正依靠的是什么？

上午： 所以我们看到了很多 APT 组 追求网络类型的设备。 针对暴露于各种云系统和网络设备的设备的攻击越来越多，这些设备通常没有现代端点安全堆栈。

而且不仅仅是 APT 组织。 我们在勒索软件组织中看到了这一点。 因此，80% 的攻击都是使用合法凭证进入的。他们生活在陆地上，并从那里横向移动。 然后，如果可以的话，在许多情况下，他们会尝试将勒索软件部署到不支持您的 DVR 工具的虚拟机管理程序，然后他们可以锁定在该工具上运行的所有服务器 管理程序 并使该组织破产。

DR： 不幸的是，我们没时间了。 我真的很想更长时间地讨论这个问题，但是你能快速告诉我们你的预测吗？ 您认为 12 个月后我们将在 APT 领域看到什么？

上午： 空间非常一致。 我认为我们会看到他们（APT 组织）继续发展漏洞格局。

以中国为例，实际上任何漏洞研究都必须经过国家安全部。 那里的重点是情报收集。 在某些情况下，这是主要动机； 也有干扰。

然后，作为预测，每个人都需要考虑的是 身份管理，因为我们看到了威胁。 这些违规行为涉及身份。 我们有一个叫做“突破时间”的东西，它衡量参与者从最初的立足点进入他们的环境到另一个系统需要多长时间。 我们看到的最快的（突破时间）是七分钟。 所以这些演员的动作更快。 最大的收获是他们（APT 组织）使用合法凭据，以合法用户身份进入。 为了防止这种情况发生，保护身份至关重要。 不仅仅是端点。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/edge/why-identity-management-key-stopping-apt-cyberattacks