KIBERBIZTONSÁG: „NEM TETTÉK, DE TE LEHET!”
Paul Ducklinnal és Chester Wisniewskivel
Intro és outro zene szerzője Edith Mudge.
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.
Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.
OLVASSA EL AZ ÍRÁST
KACSA. Helló mindenki.
Üdvözöljük a Naked Security podcast különleges mini epizódjában.
A nevem Paul Ducklin, és ma csatlakozik hozzám barátom és kollégám, Chester Wisniewski.
Chester, úgy gondoltam, mondanunk kellene valamit arról, ami a hét nagy történetévé vált… valószínűleg ez lesz a hónap nagy története!
Csak felolvasom neked headline A Naked Security-nél használtam:
„Az UBER-T FELKÉTELTÉK, hackerekkel büszkélkedhet – hogyan akadályozhatja meg, hogy ez megtörténjen veled.”
Így!
Mondjon el nekünk mindent…
CHET. Nos, megerősíthetem, hogy az autók még mindig közlekednek.
Vancouverből jövök hozzád, a belvárosban vagyok, kinézek az ablakon, és valójában egy Uber ül az ablakon kívül…
KACSA. Egész nap nem volt ott?
CHET. Nem, nem. [NEvet]
Ha megnyomja a gombot, hogy autót hívjon az alkalmazáson belül, megnyugodhat: jelenleg úgy tűnik, hogy jön valaki, aki elviszi.
De ha Ön az Uber alkalmazottja, nem feltétlenül biztos, hogy sok mindent meg fog tenni a következő napokban, figyelembe véve a rendszerükre gyakorolt hatást.
Tulajdonképpen nem ismerünk sok részletet, Duck, hogy pontosan mi is történt.
De nagyon magas szinten az a konszenzus látszik, hogy egy Uber-alkalmazott valamilyen szociális manipulációt végzett, amely lehetővé tette, hogy valaki megvehesse a lábát az Uber hálózatán belül.
És képesek voltak oldalirányban mozogni, ahogy mondjuk, vagy forogni tudtak, miután bejutottak, hogy találjanak néhány adminisztratív igazolást, amely végül elvezette hozzájuk az Uber-királyság kulcsait.
KACSA. Szóval ez nem úgy néz ki, mint egy hagyományos adatlopás, nemzetállam vagy ransomware támadás, igaz?
CHET. Nem.
Ez nem jelenti azt, hogy valaki más nem volt a hálózatukban hasonló technikákat használva – sosem lehet tudni.
Valójában, amikor a gyorsreagálású csapatunk reagál az incidensekre, gyakran azt tapasztaljuk, hogy egy hálózaton belül egynél több fenyegetés szereplője is volt, mert hasonló hozzáférési módszereket használtak ki.
KACSA. Igen… volt még egy történetünk két, egymás számára alapvetően ismeretlen zsarolóprogramos szélhámosról, akik egyszerre kerültek be.
Tehát a fájlok egy részét a ransomware-A-majd-ransomware-B kódolták, másokat pedig a ransomware-B-vel, amelyet a-ransomware-A követett.
Ez egy szentségtelen káosz volt…
CHET. Nos, ez régi hír, Duck. [NEvet]
Azóta közzétettünk egy másikat, ahol *három* különböző ransomware ugyanazon a hálózaton voltak.
KACSA. Ó, drágám! [BIG LAUGH] Folyton nevetek ezen, de ez helytelen. [NEvet]
CHET. Nem ritka, hogy több fenyegetés szereplője is beletartozik, mert ahogy Ön is mondja, ha egy személy hibát tud felfedezni a hálózat védelmében alkalmazott megközelítésében, semmi sem utal arra, hogy más emberek nem fedezték fel ugyanezt a hibát.
De ebben az esetben úgy gondolom, hogy igazad van, ha úgy tetszik, „a lulzért” van szó.
Úgy értem, az a személy, aki ezt csinálta, többnyire trófeákat gyűjtött, miközben átugrottak a hálózaton – képernyőképek formájában az Uber környékén használt különféle eszközökről, segédprogramokról és programokról – és nyilvánosan közzétette őket, azt hiszem, az utcára. hitvallás.
KACSA. Nos, egy olyan támadásban, aki *nem* akart dicsekedni, ez a támadó egy IAB lehetett, egy kezdeti hozzáférési közvetítő, nem?
Ebben az esetben nem csaptak volna nagy zajt belőle.
Összegyűjtötték volna az összes jelszót, majd kiszálltak volna, és megkérdezték volna: „Ki szeretné megvenni őket?”
CHET. Igen, ez szuper-szuper veszélyes!
Bármennyire is rossznak tűnik most az Uber, különösen valaki az Uber PR-je vagy a belső biztonsági csapatok tagja, valójában ez a lehető legjobb eredmény…
…ami csak arról szól, hogy ennek kínos lesz az eredménye, valószínűleg pénzbírságok az alkalmazottak érzékeny információinak elvesztéséért, ilyesmi.
Az igazság azonban szinte mindenki más számára az, hogy egy ilyen típusú támadás áldozatává válik, a végeredmény pedig ransomware vagy több ransomware lesz, kriptobányászokkal és egyéb adatlopással kombinálva.
Ez sokkal, de sokkal költségesebb a szervezet számára, mint egyszerűen zavarba hozni.
KACSA. Tehát ez az elképzelés arról, hogy a szélhámosok beszállnak, és tetszés szerint mászkálhatnak, és megválogathatják, hová menjenek…
…sajnos nem szokatlan.
CHET. Valóban hangsúlyozza a problémák aktív keresésének fontosságát, szemben a figyelmeztetésekre való várakozással.
Nyilvánvaló, hogy ez a személy képes volt feltörni az Uber biztonságát anélkül, hogy kezdetben riasztást váltott volna ki, ami lehetővé tette számára, hogy kóboroljon.
Ezért a fenyegetésvadászat, ahogy a terminológia tartja, olyan kritikus manapság.
Mert minél közelebb van a nulla perchez vagy a nulladik naphoz, annál jobban észlelheti a fájlmegosztásokban turkáló emberek gyanús tevékenységét, akik hirtelen egymás után egy csomó rendszerbe bejelentkeznek – ilyen típusú tevékenységek, vagy sok repülõ RDP-kapcsolat. a hálózaton olyan fiókokból, amelyek általában nem kapcsolódnak ehhez a tevékenységhez…
…az ilyen típusú gyanús dolgok segíthetnek korlátozni az adott személy által okozott kár mértékét azáltal, hogy korlátozzák az Ön által elkövetett egyéb biztonsági hibák felderítésére fordított idejét, amely lehetővé tette számukra, hogy hozzáférjenek ezekhez az adminisztrátori hitelesítő adatokhoz.
Ez az a dolog, amivel nagyon sok csapat küzd: hogyan lehet látni, hogy ezekkel a törvényes eszközökkel visszaélnek?
Ez itt igazi kihívás.
Mert ebben a példában úgy hangzik, mintha egy Uber-alkalmazottat becsaptak volna, hogy meghívjon valakit, olyan álruhában, ami végül is rájuk hasonlított.
Most már van egy törvényes alkalmazott fiókja, amely véletlenül egy bűnözőt hívott be a számítógépébe, és olyan dolgokat csinál, amelyekhez az alkalmazottak általában nem társulnak.
Tehát ennek valóban része kell, hogy legyen a megfigyelésnek és a fenyegetésvadászatnak: annak tudatában, hogy valójában mi is a normális, hogy felismerje az „anomális normálisat”.
Mert nem hoztak magukkal rosszindulatú eszközöket – olyan eszközöket használnak, amelyek már megvannak.
Tudjuk, hogy megnézték a PowerShell-szkripteket, az ilyesmit – azokat a dolgokat, amelyek valószínűleg már megvannak.
A szokatlan az, hogy ez a személy kapcsolatba lép a PowerShell-lel, vagy ez a személy az RDP-vel.
És ezek olyan dolgok, amelyekre sokkal nehezebb vigyázni, mint egyszerűen csak várni, amíg egy figyelmeztetés megjelenik az irányítópulton.
KACSA. Szóval, Chester, mit tanácsol azoknak a cégeknek, amelyek nem akarnak az Uber helyzetébe kerülni?
Bár ez a támadás érthető módon hatalmas nyilvánosságot kapott, a keringő képernyőképek miatt, mert úgy tűnik, hogy „Hú, a szélhámosok abszolút mindenhova eljutottak”…
…valójában ez nem egyedi történet, ami az adatszivárgást illeti.
CHET. A tanácsról kérdezted, mit mondanék egy szervezetnek?
És vissza kell gondolnom egy jó barátomra, aki körülbelül tíz évvel ezelőtt az Egyesült Államok egyik nagy egyetemének CISO-ja volt.
Megkérdeztem, mi a biztonsági stratégiája, és azt mondta: „Nagyon egyszerű. A jogsértés feltételezése.”
Feltételezem, hogy megsértettek, és olyan emberek vannak a hálózatomban, akiket nem szeretnék a hálózatomban.
Tehát mindent abból a feltételezésből kell felépítenem, hogy már van itt valaki, akinek nem kellene lennie, és megkérdezem: „Megvan a védelem, még akkor is, ha a hívás a házon belülről érkezik?”
Ma van erre egy divatos szó: Nulla bizalom, amit a legtöbben már rosszul mondunk. [NEvet]
De ez a megközelítés: a jogsértés feltételezése; nulla bizalom.
Nem szabad megengednie a szabadságot, hogy egyszerűen barangoljon, mert olyan álcát ölt magára, amely a szervezet alkalmazottjának tűnik.
KACSA. És tényleg ez a Zero Trust kulcsa, nem?
Ez nem azt jelenti, hogy „Soha nem szabad megbíznod senkiben, hogy bármit is megtesz”.
Ez amolyan metaforája annak, hogy „ne feltételezz semmit” és „ne hatalmazd fel az embereket arra, hogy többet tegyenek, mint amennyit meg kell tenniük az adott feladathoz”.
CHET. Pontosan.
Feltéve, hogy a támadóid nem kapnak akkora örömet attól, hogy feltörték, mint ebben az esetben…
…valószínűleg biztos szeretne lenni abban, hogy az alkalmazottak megfelelő módon jelenthetik az anomáliákat, ha valami nem tűnik megfelelőnek, hogy megbizonyosodjon arról, hogy figyelmeztetni tudják a biztonsági csapatot.
Mert az adatszivárgási időkről beszélünk Active Adversary Playbook, a bűnözők leggyakrabban legalább tíz napig a hálózaton vannak:
Tehát jellemzően szilárd héttől tíz napig tartó időszaka van, ahol ha csak néhány sasszeme van, amely észreveszi a dolgokat, akkor jó esélye van arra, hogy leállítsa, mielőtt a legrosszabb megtörténik.
KACSA. Valóban, mert ha belegondolunk egy tipikus adathalász támadás működésébe, nagyon ritka, hogy a csalók első próbálkozásra sikerrel járnak.
És ha az első próbálkozásra nem sikerül, nem csak összepakolnak és elkalandoznak.
Kipróbálják a következő embert, a következő embert és a következő személyt.
Ha csak akkor járnak sikerrel, amikor megpróbálják megtámadni az 50. embert, akkor Ha az előző 49 közül bármelyik észrevette, és mond valamit, akkor közbeléphetett volna, és megoldhatta volna a problémát.
CHET. Feltétlenül – ez kritikus!
És arról beszéltél, hogy becsapod az embereket, hogy 2FA tokeneket adjanak.
Ez itt egy fontos pont – volt többtényezős hitelesítés az Ubernél, de úgy tűnik, a személy meggyőződött arról, hogy megkerüli.
És nem tudjuk, mi volt ez a módszertan, de a legtöbb többtényezős módszer sajnos megkerülhető.
Mindannyian ismerjük az időalapú tokeneket, amelyeknél megjelenik a hat számjegy a képernyőn, és felkérik, hogy tegye ezt a hat számjegyet az alkalmazásba a hitelesítéshez.
Természetesen semmi sem akadályozza meg, hogy rossz személynek adja meg a hat számjegyet, hogy hitelesíthesse.
Tehát a kéttényezős hitelesítés nem egy univerzális gyógyszer, amely minden betegséget meggyógyít.
Ez egyszerűen egy gyorshajtás, amely egy újabb lépés a nagyobb biztonság felé vezető úton.
KACSA. Egy jól elhatározott szélhámos, akinek van ideje és türelme a próbálkozáshoz, végül bekerülhet.
És ahogy mondod, az a célod, hogy minimálisra csökkentsd azt az időt, amelyre szükségük van ahhoz, hogy maximalizálják a megtérülést annak a ténynek a megtérülése miatt, amit először kaptak…
CHET. És ennek a megfigyelésnek folyamatosan meg kell történnie.
Az olyan cégek, mint az Uber, elég nagyok ahhoz, hogy saját, éjjel-nappali biztonsági műveleti központtal rendelkezzenek a dolgok megfigyelésére, bár nem vagyunk egészen biztosak abban, hogy mi történt itt, és mennyi ideig volt bent ez a személy, és miért nem állították le.
De a legtöbb szervezet nem feltétlenül van abban a helyzetben, hogy ezt házon belül meg tudja tenni.
Rendkívül hasznos, ha olyan külső erőforrások állnak rendelkezésre, amelyek képesek figyelni – *folyamatosan* figyelni – ezt a rosszindulatú viselkedést, még tovább lerövidítve a rosszindulatú tevékenység időtartamát.
Azoknak az embereknek, akiknek rendszeres informatikai felelősségük van, és más munkájuk is van, meglehetősen nehéz észrevenni, hogy ezeket a törvényes eszközöket használják, és észreveszik, hogy rosszindulatú dologként használják őket.
KACSA. A divatszó, amiről itt beszélsz, az, amit MDR-nek ismerünk, rövidítve Felügyelt észlelés és válasz, ahol egy csomó szakértőt megtesznek helyetted, vagy segítenek neked.
És azt hiszem, még mindig elég sokan vannak, akik azt képzelik: „Ha úgy látják, hogy ezt csinálom, nem úgy tűnik, mintha elhárítottam volna a felelősségemet? Nem beismerés-e, hogy egyáltalán nem tudom, mit csinálok?”
És nem az, ugye?
Sőt, vitatkozhatnánk azzal, hogy valójában ellenőrzöttebb módon csinálja a dolgokat, mert olyan embereket választ, akik segítenek a hálózat gondozásában, *akik ezt és csak azt csinálják* megélhetésükért.
Ez pedig azt jelenti, hogy a rendszeres informatikai csapata, sőt a saját biztonsági csapata… vészhelyzet esetén ténylegesen folytatni tudják az összes többi olyan tevékenységet, amelyet amúgy is meg kell tenni, még akkor is, ha Önt megtámadják.
CHET. Teljesen.
Azt hiszem, az utolsó gondolatom ez…
Ne gondolja úgy, hogy egy olyan márkát, mint az Uber, feltörnek úgy, hogy lehetetlen megvédenie magát.
A nagy cégnevek szinte nagy trófeavadászat az olyan emberek után, mint az adott hackben érintett személy.
És csak azért, mert egy nagy cég esetleg nem rendelkezik a kellő biztonsággal, még nem jelenti azt, hogy nem teheti meg!
Sok defetista csevegés volt sok szervezet között, akikkel beszélgettem néhány korábbi nagy hackelés után, mint például a Target és a Sony, és néhány ilyen hackelés, amelyekről tíz évvel ezelőtt a hírekben volt szó.
És az emberek azt mondták: „Aaargh… ha a Target összes erőforrásával nem tudják megvédeni magukat, mi remény van számomra?”
És szerintem ez egyáltalán nem igaz.
A legtöbb esetben azért célozták őket, mert nagyon nagy szervezetekről volt szó, és volt egy nagyon kis lyuk a megközelítésükben, amelyen valaki át tudott jutni.
Ez nem jelenti azt, hogy nincs esélye megvédeni magát.
Ez társadalmi manipuláció volt, amit a jelszavak PowerShell-fájlokban való tárolásának néhány megkérdőjelezhető gyakorlata követett.
Ezek olyan dolgok, amelyekre nagyon könnyen odafigyelhet, és amelyekre oktathatja alkalmazottait, hogy Ön ne kövesse el ugyanazokat a hibákat.
Az, hogy az Uber nem tudja megtenni, nem jelenti azt, hogy nem is teheti meg!
KACSA. Valóban – szerintem ez nagyon jól van megfogalmazva, Chester.
Nem bánod, ha az egyik hagyományos klisémmel fejezem be?
(A közhelyekről az a helyzet, hogy általában azáltal válnak klisékké, hogy igazak és hasznosak.)
Ilyen esetek után: „Aki nem emlékszik a történelemre, arra van ítélve, hogy megismételje – ne legyen az a személy!”
Chester, nagyon köszönöm, hogy időt szakítottál elfoglaltságodból, mert tudom, hogy ma este van egy online beszélgetésed.
Szóval nagyon köszönöm.
És fejezzük be a megszokott módon, mondván: „A következő alkalomig maradj biztonságban.”
[ZENEI MODEM]
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- adatvesztés
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- podcast
- Biztonsági vezetés
- VPN
- A honlap biztonsága
- zephyrnet
![S3 Ep 126: A gyors divat ára (és a jellemzők csúszása) [Hang + szöveg]](https://platoaistream.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png)
![S3 Ep122: Ne nevezzen minden jogsértést „kifinomultnak”! [Hang + szöveg]](https://platoaistream.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png)
