Ako myslieť ako aktér hrozby
Môj tím hovorí o prípade komplexnom útoku. Spájame body medzi rôznymi fázami štruktúry útoku útočníka, aby sme na prvý pohľad lepšie pochopili hlavné príčiny útoku, keď k nemu dochádza.
Taktiež kopírujeme techniky a myslenie útočníkov.
Útočníci pristupujú k svetu z hľadiska cieľov a postupností aktivít. Reťazia rôzne techniky dohromady, preto tieto prípady útokov označujeme ako „štruktúry útokov“, a pohybujú sa cestami, ktoré sú pre nich najvýhodnejšie. Nie je to lineárny proces. Hovoríme tomu myslenie v grafoch.
Ako obrancovia si musíme osvojiť rovnaký prístup. Nemôžeme sa oddávať mysleniu v zoznamoch, kde sa pokúšame poskladať celú skladačku, keď prebieha útok. Na prvý pohľad musíme vedieť, ako útočníci získali prístup, ako sa pohybujú laterálne, k čomu sa chcú dopracovať.
Obrancovia identifikujú škodlivú aktivitu presnejšie, keď rozumejú postupnosti tejto aktivity dokopy, nielen jednotlivým technikám izolovane.
Skvelým príkladom je to, ako sme analyzovali nedávny rad finančných podvodných útokov a všimli sme si, ako útočníci používajú reverzné nastavenie proxy na obídenie viacfaktorového overovania (MFA). Zaznamenali sme signály obchádzania MFA a priviedli komunikáciu na ďalšie inštancie, v ktorých sa vznikajúca technika objavila. To, čo sme sa vďaka našej schopnosti spájať tieto body naučili o získavaní prihlasovacích údajov, nám umožňuje reagovať na útok skôr. Vďaka tomu sme lepšími obrancami.
Na otázku, čo sa dá urobiť pre lepšiu ochranu organizácie, mám vždy tú istú odpoveď: Rozhodujúce je konzistentné využívanie MFA. Je to jedna z najdôležitejších vecí, ktoré odporúčame. Je to jedna z najdôležitejších vecí, ktoré môžu podniky urobiť pre lepšiu obranu. Prostredie bez hesla znemožňuje všetky vznikajúce techniky útočníkov. Ak používate MFA správne, útočníkom to sťažuje prácu. Ak nedokážu získať prístup k identite a vašej organizácii, spustenie útoku je oveľa komplikovanejšie.
Sledujte Microsoft