Identitet er den nye slagmarken

Cyberangrep av statlige aktører øker. Til tross for omfattende ressurser benytter disse motstanderne ofte enkle taktikker for stjele passord som er enkle å gjette. Ved å gjøre dette kan de få rast og enkel tilgang til kundekontoer. Når det gjelder bedriftsangrep, er det mulig for statlige aktører å trenge gjennom en organisasjons nettverk og få et fotfeste som de kan bruke for flytte enten vertikalt, på tvers liknende brukere eller ressurser, eller horisontalt, og få tilgang til mer verdifull legitimasjon og ressurser.

Målrettet phishing, angrep med sosial manipulering og store sprayangrep med passord er grunnleggende statlig aktør-taktikk som brukes til å stjele eller gjette passord. Microsoft får innsikt i angripernes metoder og suksesser ved å observere hvilke taktikker og teknikker de investerer i, og som de lykkes med. Hvis brukerlegitimasjonen er dårlig administrert eller sårbar uten kritisk beskyttelse, som godkjenning med flere faktorer (MFA) og funksjoner uten passord, vil nasjonalstater fortsette å bruke den samme enkle taktikken.

Behovet for å håndheve MFA-innføring eller la være å bruke passord kan ikke understrekes sterkt nok, fordi enkelheten og den lave kostnaden til identitetsfokuserte angrep gjør dem praktiske og effektive for aktører. Selv om MFA ikke er den eneste identitets- og tilgangsstyringverktøyet organisasjoner bør bruke, kan det virke avskrekkende på angrep.

Misbruk av legitimasjon er en fikstur av NOBELIUM, en statlig motstander koblet til Russland. Andre motstandere, som DEV 0343 som er knyttet til Iran, benytter også sprayangrep med passord. Aktivitet fra DEV-0343 har blitt observert på tvers av forsvarsselskaper som produserer militære radarer, droneteknologi, satelittsystemer og kommunikasjonssystemer for beredskap. Ytterligere aktivitet har rettet seg mot regionale tollhavner i Persiabukta og flere skips- og godstransportselskaper med forretningsfokus på Midtøsten.

Aktivere godkjenning med flere faktorer: Ved å gjøre dette reduserer de risikoen for at passord havner i gale hender. Eller enda bedre: eliminer passord fullstendig ved å bruke godkjenning med flere faktorer uten passord.

Overvåke kontoprivilegier: Hvis kapret, blir kontoer med privilegert tilgang et mektig våpen som angripere kan bruke for å få bedre tilgang til nettverk og ressurser. Sikkerhetsteam bør overvåke tilgangsprivilegier ofte, ved å bruke prinsippet om minimale tillatelser som gis for å gjøre de ansatte i stand til å få arbeidet gjort.

Gjennomgå, styrk og overvåk alle leieradministratorkontoer: Sikkerhetsteam bør gå nøye gjennom alle leieradministratorbrukere som er knyttet til delegerte administrative privilegier, for å bekrefte ektheten til brukere og aktiviteter. De bør deretter deaktivere eller fjerne ubrukte delegerte administrative privilegier.

Etabler og håndhev en sikkerhetsgrunnlinje for å redusere risiko: Nasjonalstater tenker langsiktig og har midlene, viljen og skalaen til å utvikle nye angrepsstrategier og -teknikker. Hvert nettverksstyrkende initiativ som er forsinket grunnet båndbredde eller byråkrati, er til deres fordel. Sikkerhetsteam bør prioritere implementering av nulltillitspraksiser som MFA og oppgraderinger uten passord . De kan begynne med priviligerte kontoer for å få beskyttelse raskt, og deretter utvide i trinnvise og kontinuerlige faser.

Den dominante oppfatningen later til å være at det finnes et stort antall nye løsepengevirustrusler som overgår forsvarernes funksjoner. Microsoft-analyse viser imidlertid at dette er feil. Det finnes også en oppfatning om at visse løsepengevirusgrupper er én massiv enhet, noe som også er feil. Det som eksisterer, er en nettkriminalitetsøkonomi der ulike spillere i kommodifiserte angrepskjeder tar bevisste valg. De er drevet av en økonomisk modell for å maksimere fortjenesten basert på hvordan de utnytter informasjonen de har tilgang til. Grafikken nedenfor viser hvordan ulike grupper drar nytte av ulike cyberangrepsstrategier og informasjon fra databrudd.

Forstå at løsepengevirus livnærer seg av standard eller kompromittert legitimasjon: Som en følge av dette, bør sikkerhetsteamene øke beskyttelsen, med for eksempel implementering av MFA uten passord på alle brukerkontoer, og prioritere leder-, administrator- og andre privilegerte roller.

Identifisere hvordan de finner tegn på avvik i tide for å handle: Tidlige pålogginger, flytting av filer og annen atferd som introduserer løsepengevirus, kan virke ordinært. Teamene bør uansett se etter avvik og handle raskt hvis de oppstår.

Ha en responsplan for løsepengevirus og gjennomføre gjenopprettingsøvelser: Vi lever i en tidsalder med synkronisering og deling i skyen, men datakopier er forskjellige fra hele IT-systemer og databaser. Teamene bør visualisere og øve på hvordan fullstendige gjenopprettinger ser ut.

Administrere varsler og bevege seg raskt for å redusere: Selv om alle frykter angrep med løsepengevirus, bør sikkerhetsteamenes primære fokus være å styrke svake sikkerhetskonfigurasjoner som følger med angrepet, for å lykkes. De burde administrere sikkerhetskonfigurasjoner slik at varsler og oppdagelser blir besvart på riktig måte.

Endepunkttrusler:
Microsoft Defender for endepunkt blokkerte mer enn 9,6 milliarder trusler med skadelig programvare som retter seg mot bedrifts- og forbruker-kundeenheter, mellom januar og desember 2021.

E-posttrusler:
Microsoft Defender for Office 365 blokkerte mer enn 35,7 milliarder e-postmeldinger med phishing og annen skadelig e-post som retter seg mot bedrifts- og forbruker-kunder, mellom januar og desember 2021.

Identitetstrusler:
Microsoft (Azure Active Directory) oppdaget og blokkerte mer enn 25,6 milliarder forsøk på å kapre bedriftskundekontoer ved hjelp av stjålne passord med rå kraft, mellom januar og desember 2021.