Kā domāt kā draudu izpildītājam
Mana komanda pārzina visu uzbrukumu . Mēs analizējam dažādus uzbrucēju pakāpeniskā kiberuzbrukuma ķēdes posmus, lai labāk un ātrāk izprastu uzbrukuma pamatcēloņus tā norises laikā.
Mēs arī atdarinām uzbrucēju paņēmienus un domāšanas veidu.
Uzbrucēji uztver pasauli, domājot par mērķiem un darbību secībām. Viņi apvieno dažādus paņēmienus (tāpēc mēs šos uzbrukumus dēvējam par “pakāpeniskiem kiberuzbrukumiem”) un izvēlas sev izdevīgākos ceļus. Tas nav lineārs process. Mēs to dēvējam par grafisko domāšanu.
Mums kā aizsargātājiem ir jādomā tādā pašā veidā. Mēs nevaram sevi nosodīt par “domāšanu pēc saraksta”, mēģinot no jauna izveidot visu puzli, kamēr notiek uzbrukums. Mums īsā laikā ir jāuzzina, kā uzbrucēji ieguva piekļuvi, kā viņi izvērš savu darbību un kāds ir viņu darbības mērķis.
Aizsargātāji precīzāk identificē ļaunprātīgas darbības, ja izprot visu darbību kopumā, nevis tikai atsevišķas metodes.
Lielisks piemērs ir nesen veikto finansiālo krāpšanas uzbrukumu sērijas analīze, kad pamanījām, ka uzbrucēji izmanto reverso starpniekserveri, lai apietu daudzfaktoru autentifikāciju (MFA). Mēs ievērojām MFA apiešanas pazīmes un uzzīmējām saziņu ar citām instancēm, kur tika izmantots jaunais paņēmiens. Tas, ko uzzinājām par akreditācijas datu vākšanu, spējot savienot šos punktus, ļāva mums agrāk reaģēt uzbrukuma laikā. Tas mums palīdz kļūt par labākiem aizsargātājiem.
Kad man jautā, ko var darīt, lai labāk aizsargātu organizāciju, es vienmēr sniedzu vienu atbildi: kritiski svarīgi ir konsekventi izmantot MFA. Tas ir viens no svarīgākajiem mūsu ieteikumiem. Tas ir viens no būtiskākajiem pasākumiem, ko var darīt uzņēmumi, lai labāk pasargātu sevi, cenšoties nodrošināt bezparoļu vidi, jo tā izjauc visas uzbrucēju radītās metodes. Atbilstoša MFA lietošana apgrūtina uzbrucēju darbu. Ja viņi nevar iegūt piekļuvi identitātei un jūsu organizācijai, uzbrukuma veikšana kļūst daudz sarežģītāka.
Sekot korporācijai Microsoft