Az identitások jelentik a legújabb csatateret

A nemzetállami szereplők által elkövetett kibertámadások száma egyre nő. Noha óriási erőforrásokkal rendelkeznek, ezek a támadók gyakran egyszerű taktikákat használnak, melyek során a könnyen kitalálható jelszavakat lopják el. Ezzel a módszerrel gyorsan és könnyen hozzáférhetnek az ügyfelek fiókjaihoz. A vállalatok elleni támadások során a szervezet hálózatába való behatolás lehetővé teszi a nemzetállami szereplők számára, hogy olyan pozícióba kerüljenek, ahonnan a hasonló felhasználók és erőforrások között vertikálisan, vagy horizontálisan mozogva hozzáférjenek az értékesebb hitelesítő adatokhoz és erőforrásokhoz.

A nemzetállami szereplők alapvető taktikái a célzott adathalászat, a pszichológiai manipuláció és a nagyszabású szórásos jelszófeltörés, amelyeket jelszavak ellopására vagy kitalálására használnak. A Microsoft azáltal nyer betekintést a támadók szakértelmébe és sikereibe, hogy megfigyeli, milyen taktikákba és technikákba fektetnek be, és milyen sikereket érnek el. Ha a felhasználói hitelesítő adatokat rosszul kezelik vagy sebezhetőek maradnak az olyan létfontosságú biztonsági eszközök hiányában, mint a többtényezős hitelesítés (MFA) és a jelszó nélküli funkciók, a nemzetállamok továbbra is használhatják ezeket az egyszerű taktikákat.

Nem lehet eléggé hangsúlyozni az MFA bevezetésének vagy a jelszó nélküli megoldások alkalmazásának szükségességét, mivel az identitásokat megcélzó támadások használata annyira egyszerű és olcsó, hogy a szereplők számára kényelmesen és hatékonyan alkalmazható. Bár az MFA nem az egyetlen olyan identitás- és hozzáférés-kezelési eszköz, amelyet a szervezeteknek használniuk érdemes, a támadásokkal szemben hatékony visszatartó erőt jelenthet.

A hitelesítő adatokkal való visszaélés az Oroszországhoz kötődő nemzetállami fenyegető szereplő, a NOBELIUM bevett gyakorlata. Más támadók azonban, például az Iránhoz köthető DEV 0343, a szórásos jelszófeltörést is alkalmazzák. A DEV-0343 tevékenységét megfigyelték már katonai szintű radarokat, dróntechnológiát, műholdas rendszereket és vészhelyzeti kommunikációs rendszereket gyártó védelmi vállalatoknál is. A tevékenységeik további célpontjai voltak a Perzsa-öbölben található regionális kikötők, valamint számos közel-keleti tengerészeti és teherszállítási vállalat.

Többtényezős hitelesítés engedélyezése: Ezzel csökkenthető annak kockázata, hogy a jelszavak rossz kezekbe kerülnek. Még jobb, ha a jelszavakat teljes mértékben kiiktatják a jelszó nélküli MFA használatával.

A fiókjogosultságok auditálása: Ha az emelt szintű jogosultsággal rendelkező fiókokat feltörik, azok a támadók kezében hatékony fegyverré válnak, amellyel még nagyobb hozzáférést szerezhetnek a hálózatokhoz és az erőforrásokhoz. Azt javasoljuk, hogy a biztonsági csapatok gyakran auditálják a hozzáférési jogosultságokat, és alkalmazzák a legkisebb jogosultság elvét, ami még lehetővé teszi az alkalmazottak számára, hogy elvégezhessék a munkájukat.

Az összes bérlői rendszergazdai fiók felülvizsgálata, megerősítése és figyelése: A biztonsági csapatoknak alaposan ellenőrizniük kell a meghatalmazott adminisztratív jogosultságokkal rendelkező összes bérlői rendszergazdai felhasználót vagy fiókot, hogy a felhasználók és a tevékenységek hitelességét ellenőrizhessék. Ezt követően le kell tiltaniuk vagy el kell távolítaniuk minden használaton kívüli meghatalmazott adminisztratív jogosultságot.

Biztonsági alap létrehozása és betartatása a kockázatok csökkentése érdekében: A nemzetállamok hosszú távú szereplők, és rendelkeznek a szükséges pénzeszközökkel, kitartással és méretekkel ahhoz, hogy új támadási stratégiákat és technikákat fejlesszenek ki. A hálózat megerősítésének minden késedelme, amely akár a sávszélesség, akár a bürokrácia miatt következik be, az ő javukat szolgálja. A biztonsági csapatoknak prioritásként kell kezelniük a Teljes felügyelet olyan gyakorlatainak bevezetését, mint az MFA és a jelszó nélküli megoldásokra való átállás. A védelem gyors kiépítése érdekében kezdhetik az emelt szintű jogosultságokkal rendelkező fiókokkal, majd fokozatosan és folyamatosan bővíthetik a védelmet.

A meghatározó vélemény szerint az új zsarolóvírus-fenyegetések száma olyan magas, hogy az már meghaladja a védekezők képességeit. A Microsoft elemzése azonban azt mutatja, hogy ez nem helytálló. Az a vélekedés is elterjedt, hogy egyes zsarolóvírus-csoportok egyetlen monolitikus egységet alkotnak, ami szintén nem felel meg a valóságnak. Valójában létezik egy kiberbűnözői gazdaság, ahol a különböző szereplők az árucikké vált támadási láncokban tudatos döntéseket hoznak. Egy olyan gazdasági modell motiválja őket, amely a profit maximalizálására irányul, és azon alapul, hogy ki hogyan képes kihasználni a megszerzett információkat. Az alábbi ábra azt mutatja be, hogy a különböző csoportok hogyan profitálnak a különböző kibertámadási stratégiákból és az adatokkal kapcsolatos incidensekből származó információkból.

Legyen tisztában azzal, hogy a zsarolóvírusok alapértelmezett vagy veszélyeztetett hitelesítő adatokat használnak ki: Ezért a biztonsági csapatoknak minél hamarabb be kell vezetniük minden felhasználói fióknál az olyan biztonsági intézkedéseket, mint a jelszó nélküli MFA, és prioritásként kell kezelniük a vezetői, a rendszergazdai és az emelt szintű jogosultságokkal rendelkező egyéb szerepköröket.

Ismerje meg, hogyan lehet időben észrevenni az árulkodó rendellenességeket, hogy cselekedni tudjon: A korai bejelentkezések, a fájlmozgások és a zsarolóprogramokat bejuttató egyéb viselkedésmódok jelentéktelennek tűnhetnek. A csapatoknak azonban figyelniük kell az anomáliákat, és gyorsan cselekedniük kell.

Rendelkezzen zsarolóvírusokra való válaszadási tervvel, és végezzen helyreállítási gyakorlatokat: A felhőalapú szinkronizálás és megosztás korát éljük, az adatpéldányok azonban különböznek a teljes informatikai rendszerektől és adatbázisoktól. A csapatoknak szemléletesen és gyakorlatban kell látniuk, hogyan néz ki a teljes helyreállítás.

Kezelje a riasztásokat és intézkedjen gyorsan a kockázatcsökkentés érdekében: Bár mindenki tart a zsarolóvírus-támadásoktól, a biztonsági csapatoknak elsősorban a gyenge biztonsági konfigurációk megerősítésére kell összpontosítaniuk, amelyek lehetővé teszik a támadás sikerét. A biztonsági konfigurációkat úgy kell kezelniük, hogy a riasztásokra és észlelésekre megfelelően tudjanak reagálni.

Végpontokat érintő veszélyforrások:
A Végponthoz készült Microsoft Defender 2021 januárja és decembere között több mint 9,6 milliárd olyan kártevő-fenyegetést gátolt meg, amelyek vállalati és fogyasztói ügyfelek eszközeit célozták meg.

E-mailes veszélyforrások:
Az Office 365-höz készült Microsoft Defender 2021 januárja és decembere között több mint 35,7 milliárd olyan adathalászati és egyéb rosszindulatú e-mailt tiltott le, amelyek vállalati és fogyasztói ügyfeleket céloztak meg.

Identitásokat célzó fenyegetések:
A Microsoft (Azure Active Directory) 2021 januárja és decembere között több mint 25,6 milliárd olyan próbálkozást észlelt és hárított el, amelyek során találgatásos támadással ellopott jelszavakkal próbálták megszerezni a vállalati ügyfélfiókokat.