Jak přemýšlet jako aktér hrozby
Můj tým vypráví příběh útoku od začátku do konce . Propojujeme jednotlivé fáze struktury útoku útočníka, aby bylo možné lépe pochopit původní příčiny útoku – přehledně a ještě v jeho průběhu.
Kopírujeme také techniky a uvažování útočníků.
Útočníci přistupují ke světu z hlediska cílů a sekvencí činností. V rámci struktury útoku kombinují různé techniky a používají cesty, které jsou pro ně nejvýhodnější. Není to lineární proces. Říkáme tomu myšlení v grafech.
Jako obránci si musíme osvojit stejné myšlení. Při útoku, kdy se snažíme dát si dohromady všechny dílky skládačky, nemůžeme zůstat jen u lineárního uvažování a seznamu akcí, které bychom měli provést. Na první pohled musíme vědět, jak útočníci získali přístup, jak využívají taktiku „lateral movement“ a co je jejich cílem.
Pokud obránci chápou tyto škodlivé aktivity a techniky jako celek, nikoli pouze izolovaně, dokážou je přesněji identifikovat.
Velmi dobře je to vidět na analýze nedávné série útoků spojených s finančními podvody, kdy jsme si všimli, že útočníci obcházejí vícefaktorové ověřování (MFA) pomocí reverzního proxy serveru. Zaznamenali jsme signály obcházení MFA a upozornili jsme na další případy, kdy se tato nová technika objevila. To, co jsme se díky naší schopnosti dát si všechny tyto body do souvislosti dozvěděli o shromažďování přihlašovacích údajů, nám umožňuje reagovat na útok mnohem dříve. Pomáhá nám to lépe se bránit.
Na otázku, co lze udělat pro lepší ochranu organizace, odpovídám vždy stejně: Zásadní je důsledně využívat vícefaktorové ověřování. Je to jedno z našich nejdůležitějších doporučení. Snaha o vytvoření bezheslového prostředí je jednou z nejdůležitějších opatření, které mohou podniky udělat pro to, aby se dokázaly lépe bránit, protože to znemožňuje všechny nově vznikající techniky útočníků. Správné používání vícefaktorového ověřování přidělává útočníkům práci. A pokud nedokážou získat přístup k identitě a vaší organizaci, výrazně jim to útok zkomplikuje.
Sledujte Microsoft