Η διαχείριση ταυτοτήτων είναι το νέο πεδίο μάχης

Οι επιθέσεις στον κυβερνοχώρο από εθνικούς-κρατικούς φορείς αυξάνονται. Παρά τους τεράστιους πόρους τους, αυτοί οι αντίπαλοι συχνά βασίζονται σε απλές τακτικές για να κλέβουν κωδικούς πρόσβασης που μαντεύονται εύκολα. Με τον τρόπο αυτό, μπορούν να αποκτήσουν γρήγορη και εύκολη πρόσβαση σε λογαριασμούς πελατών. Στην περίπτωση των επιθέσεων σε επιχειρήσεις, η διείσδυση στο δίκτυο ενός οργανισμού επιτρέπει σε εθνικούς-κρατικούς φορείς να αποκτήσουν ένα έρεισμα που μπορούν να χρησιμοποιήσουν για να κινηθούν είτε κάθετα, σε παρόμοιους χρήστες και πόρους, είτε οριζόντια, αποκτώντας πρόσβαση σε πιο πολύτιμα διαπιστευτήρια και πόρους.

Το εστιασμένο ηλεκτρονικό "ψάρεμα", οι επιθέσεις κοινωνικής μηχανικής και οι  μεγάλης κλίμακας εξαντλητικές δοκιμές κωδικού σε πολλούς λογαριασμούς είναι βασικές τακτικές που χρησιμοποιούνται από εθνικούς-κρατικούς φορείς για να κλέψουν ή να μαντέψουν κωδικούς πρόσβασης. Η Microsoft αποκτά γνώση της τεχνικής και των επιτυχιών των εισβολέων, παρατηρώντας σε ποιες τακτικές και τεχνικές επενδύουν και με ποιες επιτυγχάνουν. Εάν η διαχείριση των διαπιστευτηρίων των χρηστών είναι ανεπαρκής ή αν παραμένουν ευάλωτα χωρίς κρίσιμες διασφαλίσεις, όπως ο έλεγχος ταυτότητας πολλών παραγόντων (MFA) και οι λειτουργίες χωρίς κωδικό πρόσβασης, τα εθνικά κράτη θα συνεχίσουν να χρησιμοποιούν τις ίδιες απλές τακτικές.

Η ανάγκη να επιβληθεί η υιοθέτηση MFA ή η κατάργηση του κωδικού πρόσβασης δεν μπορεί να υπερτονιστεί, επειδή η απλότητα και το χαμηλό κόστος των επιθέσεων με επίκεντρο την ταυτότητα τις καθιστούν βολικές και αποτελεσματικές για τους δράστες. Αν και ο MFA δεν είναι το μόνο εργαλείο διαχείρισης ταυτότητας και πρόσβασης που πρέπει να χρησιμοποιούν οι οργανισμοί, μπορεί να αποτελέσει ισχυρό αποτρεπτικό παράγοντα για τις επιθέσεις.

Η κατάχρηση των διαπιστευτηρίων αποτελεί πάγιο στοιχείο του NOBELIUM, ενός εθνικού κράτους-αντίπαλου που συνδέεται με τη Ρωσία. Ωστόσο, άλλοι αντίπαλοι, όπως το DEV 0343 που συνδέεται με το Ιράν βασίζονται επίσης σε εξαντλητικές δοκιμές κωδικού σε πολλούς λογαριασμούς. Δραστηριότητα από το DEV-0343 έχει παρατηρηθεί σε αμυντικές εταιρείες που παράγουν ραντάρ στρατιωτικού επιπέδου, τεχνολογία μη επανδρωμένων αεροσκαφών, δορυφορικά συστήματα και συστήματα επικοινωνίας έκτακτης ανάγκης. Περαιτέρω δραστηριότητα στόχευσε περιφερειακούς λιμένες εισόδου στον Περσικό Κόλπο, καθώς και διάφορες εταιρείες θαλάσσιων μεταφορών και μεταφοράς φορτίων με επιχειρηματική εστίαση στη Μέση Ανατολή.

Ενεργοποίηση ελέγχου ταυτότητας πολλών παραγόντων: Με τον τρόπο αυτό, μειώνουν τον κίνδυνο να πέσουν οι κωδικοί πρόσβασης σε λάθος χέρια. Ακόμα καλύτερα, καταργήστε εντελώς τους κωδικούς πρόσβασης, χρησιμοποιώντας MFA χωρίς κωδικό πρόσβασης.

Έλεγχος δικαιωμάτων λογαριασμών: Οι λογαριασμοί με προνομιακή πρόσβαση, αν υποκλαπούν, γίνονται ένα ισχυρό όπλο που οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν για να αποκτήσουν μεγαλύτερη πρόσβαση σε δίκτυα και πόρους. Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν συχνά τα δικαιώματα πρόσβασης, χρησιμοποιώντας την αρχή της χορήγησης των ελάχιστων δικαιωμάτων, ώστε οι εργαζόμενοι να μπορούν να διεκπεραιώνουν τις εργασίες τους.

Επανεξέταση, θωράκιση και παρακολούθηση όλων των λογαριασμών διαχειριστών μισθωτών: Οι ομάδες ασφαλείας θα πρέπει να επανεξετάζουν διεξοδικά όλους τους χρήστες διαχειριστές του μισθωτή ή τους λογαριασμούς που συνδέονται με εκχωρημένα διοικητικά δικαιώματα για να επαληθεύουν τη γνησιότητα των χρηστών και των δραστηριοτήτων. Στη συνέχεια, θα πρέπει να απενεργοποιήσουν ή να καταργήσουν τυχόν αχρησιμοποίητα εκχωρημένα διοικητικά δικαιώματα.

Καθιέρωση και επιβολή μιας βασικής γραμμής ασφαλείας για τη μείωση του κινδύνου: Τα έθνη-κράτη παίζουν μακροχρόνιο παιχνίδι και έχουν τη χρηματοδότηση, τη βούληση και την κλίμακα για να αναπτύξουν νέες στρατηγικές και τεχνικές επίθεσης. Κάθε πρωτοβουλία βελτίωσης του δικτύου που καθυστερεί λόγω εύρους ζώνης ή γραφειοκρατίας λειτουργεί υπέρ τους. Οι ομάδες ασφαλείας θα πρέπει να δώσουν προτεραιότητα στην εφαρμογή πρακτικών μηδενικής εμπιστοσύνης, όπως MFA και αναβαθμίσεις χωρίς κωδικό πρόσβασης . Μπορούν να ξεκινήσουν με προνομιούχους λογαριασμούς για να αποκτήσουν γρήγορα προστασία και, στη συνέχεια, να επεκταθούν σε σταδιακές και συνεχείς φάσεις.

Η κυρίαρχη αφήγηση φαίνεται να είναι ότι υπάρχει τεράστιος αριθμός νέων απειλών ransomware που ξεπερνούν τις δυνατότητες των υπεύθυνων ασφαλείας. Ωστόσο, η ανάλυση της Microsoft δείχνει ότι αυτό είναι λανθασμένο. Υπάρχει επίσης η αντίληψη ότι ορισμένες ομάδες ransomware αποτελούν μια ενιαία μονολιθική οντότητα, η οποία είναι επίσης λανθασμένη. Αυτό που υπάρχει είναι μια οικονομία του εγκλήματος στον κυβερνοχώρο, όπου οι διάφοροι παίκτες σε εμπορευματοποιημένες αλυσίδες επιθέσεων κάνουν συνειδητές επιλογές. Καθοδηγούνται από ένα οικονομικό μοντέλο για τη μεγιστοποίηση του κέρδους με βάση τον τρόπο με τον οποίο ο καθένας εκμεταλλεύεται τις πληροφορίες στις οποίες έχει πρόσβαση. Το παρακάτω γράφημα δείχνει πώς διάφορες ομάδες επωφελούνται από διάφορες στρατηγικές επιθέσεων στον κυβερνοχώρο και πληροφορίες από παραβιάσεις δεδομένων.

Να κατανοήσουν ότι το ransomware ευδοκιμεί με προεπιλεγμένα ή παραβιασμένα διαπιστευτήρια: Κατά συνέπεια, οι ομάδες ασφαλείας θα πρέπει να επιταχύνουν τις διασφαλίσεις, όπως η εφαρμογή MFA χωρίς κωδικό πρόσβασης σε όλους τους λογαριασμούς χρηστών και η ιεράρχηση εκτελεστικών, διαχειριστικών και άλλων προνομιούχων ρόλων.

Να προσδιορίσουν πώς να εντοπίζουν εγκαίρως ενδεικτικά σημάδια ανωμαλιών για να αναλάβουν δράση: Οι πρώιμες συνδέσεις, η μετακίνηση αρχείων και άλλες συμπεριφορές που εισάγουν ransomware μπορεί να φαίνονται απροσδιόριστες. Παρ' όλα αυτά, οι ομάδες πρέπει να παρακολουθούν για ανωμαλίες και να ενεργούν γρήγορα.

Να διαθέτουν ένα σχέδιο αντιμετώπισης ransomware και να διεξάγουν ασκήσεις αποκατάστασης: Ζούμε στην εποχή του συγχρονισμού και του διαμοιρασμού μέσω cloud, αλλά τα αντίγραφα δεδομένων διαφέρουν από ολόκληρα συστήματα πληροφορικής και βάσεις δεδομένων. Οι ομάδες οφείλουν να οραματιστούν και να εξασκηθούν στην πλήρη αποκατάσταση δεδομένων.

Να διαχειρίζονται ειδοποιήσεις και να παίρνουν γρήγορα μέτρα περιορισμού: Ενώ όλοι φοβούνται τις επιθέσεις ransomware, η κύρια προτεραιότητα των ομάδων ασφαλείας θα πρέπει να είναι η ενίσχυση των αδύναμων ρυθμίσεων παραμέτρων ασφαλείας που επιτρέπουν την επιτυχία της επίθεσης. Πρέπει να διαχειρίζονται τις διαμορφώσεις ασφαλείας ώστε να υπάρχει σωστή ανταπόκριση σε ειδοποιήσεις και ανιχνεύσεις.

Απειλές τελικού σημείου:
Το Microsoft Defender για τελικό σημείο απέκλεισε περισσότερες από 9,6 δισεκατομμύρια απειλές κακόβουλου λογισμικού που στόχευαν συσκευές επιχειρήσεων και καταναλωτών από τον Ιανουάριο έως τον Δεκέμβριο του 2021.

Απειλές email:
Το Microsoft Defender για Office 365 απέκλεισε περισσότερα από 35,7 δισεκατομμύρια μηνύματα ηλεκτρονικού "ψαρέματος" και άλλα κακόβουλα μηνύματα e-mail που απευθύνονταν σε εταιρικούς και καταναλωτικούς πελάτες, από τον Ιανουάριο έως τον Δεκέμβριο του 2021.

Απειλές ταυτότητας:
Η Microsoft (Azure Active Directory) εντόπισε και απέκλεισε περισσότερες από 25,6 δισεκατομμύρια απόπειρες υφαρπαγής λογαριασμών πελατών επιχειρήσεων με την παραβίαση κλεμμένων κωδικών πρόσβασης, από τον Ιανουάριο έως τον Δεκέμβριο του 2021.