امنیت سایبری: "آنها این کار را نکردند، اما شما می توانید!"
با پل داکلین و چستر ویسنیفسکی
موسیقی مقدماتی و بیرونی توسط ادیت ماج.
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
اردک. سلام به همه.
به این مینی قسمت ویژه پادکست امنیت برهنه خوش آمدید.
نام من پل داکلین است و امروز دوست و همکارم چستر ویسنیوسکی به من ملحق شده است.
چستر، فکر کردم باید چیزی در مورد آنچه که به داستان بزرگ هفته تبدیل شده است بگوییم ... احتمالاً داستان بزرگ ماه خواهد بود!
من فقط شما را می خوانم عنوان من در Naked Security استفاده کردم:
"اوبر هک شده است، به هکر می بالد - چگونه از وقوع آن جلوگیری کنیم."
بنابراین!
همه چیز را درباره ی آن به ما بگو….
CHET. خوب، من می توانم تأیید کنم که ماشین ها هنوز در حال رانندگی هستند.
من از ونکوور نزد شما می آیم، من در مرکز شهر هستم، از پنجره به بیرون نگاه می کنم، و در واقع یک اوبر بیرون از پنجره نشسته است…
اردک. تمام روز آنجا نبوده است؟
CHET. نه، این کار را نکرده است. [می خندد]
اگر دکمه ضربه زدن به ماشین را در داخل برنامه فشار دهید، مطمئن باشید: در حال حاضر، به نظر میرسد که واقعاً کسی خواهید آمد و شما را سوار میکند.
اما اگر کارمند اوبر هستید، لزوماً مطمئن نیستید که با توجه به تأثیری که بر سیستمهای اوبر میگذارد، در چند روز آینده کارهای زیادی را انجام خواهید داد.
ما جزئیات زیادی را نمی دانیم، در واقع، داک، دقیقاً چه اتفاقی افتاده است.
اما، در سطح بسیار بالایی، به نظر میرسد اتفاق نظر این است که مهندسی اجتماعی یکی از کارمندان اوبر وجود داشته است که به کسی اجازه میدهد در شبکه اوبر جای پایی پیدا کند.
و آنها میتوانستند بهطور جانبی، همانطور که میگوییم، حرکت کنند یا به محض ورود به داخل، برای یافتن برخی از اعتبارنامههای اداری که در نهایت باعث شد کلیدهای پادشاهی اوبر را در اختیار داشته باشند، حرکت کنند.
اردک. بنابراین به نظر نمی رسد که این یک سرقت سنتی داده ها، یا دولت ملی یا حمله باج افزار باشد، اینطور نیست؟
CHET. شماره
این بدان معنا نیست که ممکن است شخص دیگری نیز با استفاده از تکنیک های مشابه در شبکه آنها نبوده باشد - شما واقعاً هرگز نمی دانید.
در واقع، زمانی که تیم واکنش سریع ما به حوادث پاسخ میدهد، اغلب متوجه میشویم که بیش از یک عامل تهدید در داخل یک شبکه وجود داشته است، زیرا آنها از روشهای دسترسی مشابهی استفاده میکنند.
اردک. بله... ما حتی داستان دو کلاهبردار باجافزار را داشتیم که اساساً برای یکدیگر ناشناخته بودند و همزمان وارد آن شدند.
بنابراین، برخی از فایلها با باجافزار-A-سپس-ransomware-B، و برخی با باجافزار-B-به دنبال-باجافزار-A رمزگذاری شدند.
این یک آشفتگی نامقدس بود…
CHET. خب، این خبر قدیمی است، اردک. [می خندد]
ما از آن زمان یکی دیگر را در آنجا منتشر کرده ایم *سه* باج افزار مختلف در همین شبکه بودند
اردک. اوه عزیزم! [خنده بزرگ] من به این موضوع می خندم، اما این اشتباه است. [می خندد]
CHET. حضور چندین عامل تهدید غیرمعمول نیست، زیرا، همانطور که شما می گویید، اگر یک نفر بتواند نقصی را در رویکرد شما برای دفاع از شبکه شما کشف کند، هیچ چیزی وجود ندارد که نشان دهد افراد دیگر ممکن است همان نقص را کشف نکرده باشند.
اما در این مورد، فکر میکنم حق با شماست، از این جهت که به نظر میرسد "برای لولز" است.
منظورم این است که شخصی که این کار را انجام داد، بیشتر در حال جمعآوری غنائم بود که از طریق شبکه پرش میکردند - به شکل اسکرین شات از همه این ابزارها و ابزارهای مختلف و برنامههایی که در اطراف اوبر استفاده میشدند - و آنها را به صورت عمومی پست میکردند، حدس میزنم برای خیابان. اعتقاد
اردک. حالا، در حملهای که توسط شخصی انجام میشود که *نمیخواهد* لاف بزند، آن مهاجم میتوانست یک IAB، یک واسطه دسترسی اولیه باشد، اینطور نیست؟
در این صورت، آنها سر و صدای زیادی در مورد آن ایجاد نمی کردند.
آنها همه رمزهای عبور را جمع آوری می کردند و سپس بیرون می آمدند و می گفتند: "چه کسی دوست دارد آنها را بخرد؟"
CHET. بله، این فوق العاده خطرناک است!
هر چقدر هم که در حال حاضر Uber بد به نظر می رسد، به ویژه فردی در تیم های روابط عمومی یا امنیت داخلی Uber، در واقع بهترین نتیجه ممکن است…
... که نتیجه این امر خجالت آور خواهد بود، احتمالاً جریمه هایی برای از دست دادن اطلاعات حساس کارمند، چنین چیزهایی.
اما حقیقت این است که تقریباً برای همه افراد دیگری که این نوع حمله قربانی میشود، نتیجه نهایی به باجافزار یا باجافزارهای متعدد همراه با cryptominers و انواع دیگر سرقت داده میشود.
این برای سازمان بسیار پرهزینه تر از خجالت کشیدن است.
اردک. بنابراین این ایده که کلاهبرداران وارد می شوند و می توانند به دلخواه خود سرگردان شوند و جایی را که می روند انتخاب و انتخاب کنند…
... متأسفانه غیرعادی نیست.
CHET. این واقعاً بر اهمیت جستجوی فعالانه برای مشکلات، به جای انتظار برای هشدارها تأکید می کند.
واضح است که این شخص میتوانست امنیت Uber را بدون ایجاد هیچ هشداری در ابتدا نقض کند، که به آنها اجازه داد تا در اطراف سرگردان باشند.
به همین دلیل است که شکار تهدید، به قول اصطلاحات، این روزها بسیار حیاتی است.
زیرا هرچه به دقیقه صفر یا روز صفر نزدیکتر باشید، میتوانید فعالیت مشکوک افرادی را که به اشتراکگذاری فایلها سرک میزنند و ناگهان وارد مجموعهای از سیستمها بهصورت سریالی پشت سر هم میشوند، شناسایی کنید - این نوع فعالیتها یا تعداد زیادی از اتصالات RDP در حال پرواز هستند. در سراسر شبکه از حسابهایی که معمولاً با آن فعالیت مرتبط نیستند…
... این نوع چیزهای مشکوک می توانند به شما کمک کنند تا میزان آسیبی که شخص می تواند ایجاد کند را محدود کنید، با محدود کردن مدت زمانی که آنها برای کشف هر گونه اشتباه امنیتی دیگری که ممکن است مرتکب شده باشید که به آنها امکان دسترسی به آن اعتبارنامه های اداری را می دهد.
این چیزی است که بسیاری از تیم ها واقعاً با آن دست و پنجه نرم می کنند: چگونه می توان شاهد سوء استفاده از این ابزارهای قانونی بود؟
اینجا یک چالش واقعی است.
زیرا، در این مثال، به نظر می رسد که یکی از کارمندان اوبر فریب خورده است تا فردی را به داخل دعوت کند، با لباس مبدلی که در نهایت شبیه آنها به نظر می رسد.
شما اکنون یک حساب کارمند قانونی دارید، حسابی که به طور تصادفی یک مجرم را به رایانه خود دعوت کرده و کارهایی را انجام می دهد که احتمالاً کارمند معمولاً با آنها ارتباط ندارد.
بنابراین این واقعاً باید بخشی از نظارت و شکار تهدید شما باشد: دانستن اینکه واقعاً چه چیزی طبیعی است، تا بتوانید «عادی غیرعادی» را تشخیص دهید.
از آنجا که آنها ابزارهای مخرب را با خود نیاورده اند - آنها از ابزارهایی استفاده می کنند که از قبل وجود دارد.
ما میدانیم که آنها به اسکریپتهای PowerShell نگاه کردهاند، چیزهایی که احتمالاً قبلاً دارید.
آنچه غیرعادی است این است که این شخص با آن PowerShell یا این شخص با آن RDP تعامل دارد.
و اینها چیزهایی هستند که بسیار سخت تر از انتظار برای ظاهر شدن یک هشدار در داشبورد شما هستند.
اردک. بنابراین، چستر، توصیه شما برای شرکت هایی که نمی خواهند خود را در موقعیت اوبر بیابند چیست؟
اگرچه این حمله به طور قابلتوجهی تبلیغات گستردهای داشته است، به دلیل اسکرین شاتهایی که در حال پخش است، زیرا به نظر میرسد، "وای، کلاهبرداران کاملاً همه جا را گرفتند"…
... در واقع، این یک داستان منحصر به فرد نیست تا آنجا که نقض داده ها پیش می رود.
CHET. شما در مورد مشاوره پرسیدید، من به یک سازمان چه بگویم؟
و باید به یکی از دوستان خوبم فکر کنم که حدود ده سال پیش مدیر ارشد یک دانشگاه بزرگ در ایالات متحده بود.
از او پرسیدم که استراتژی امنیتی شما چیست و او گفت: "خیلی ساده است. فرض تخلف.»
من فرض میکنم که من هک شدهام، و افرادی در شبکه من هستند که من نمیخواهم در شبکه من باشند.
بنابراین من باید همه چیز را با این فرض بسازم که کسی در حال حاضر در اینجا است که نباید باشد، و بپرسم، "آیا با وجود اینکه تماس از داخل خانه میآید، حفاظت را دارم؟"
امروز یک کلمه کلیدی برای آن داریم: اعتماد صفر، که اکثر ما از گفتن آن خسته شده ایم. [می خندد]
اما این رویکرد است: فرض نقض; اعتماد صفر
شما نباید این آزادی را داشته باشید که به سادگی در اطراف پرسه بزنید زیرا لباس مبدلی به تن کرده اید که به نظر می رسد کارمند سازمان است.
اردک. و این واقعاً کلید Zero Trust است، اینطور نیست؟
این به این معنا نیست که "شما هرگز نباید برای انجام کاری به کسی اعتماد کنید."
این نوعی استعاره است برای گفتن، "هیچ چیز را فرض نکنید"، و "به مردم اجازه ندهید که بیش از آنچه برای وظیفه در دست دارند انجام دهند."
CHET. دقیقا.
با این فرض که مهاجمان شما از هک شدن شما آنقدر خوشحال نمی شوند که در این مورد اتفاق افتاد…
... احتمالاً می خواهید مطمئن شوید که راه خوبی برای کارکنان برای گزارش ناهنجاری ها در مواقعی که چیزی درست به نظر نمی رسد دارید، تا مطمئن شوید که آنها می توانند به تیم امنیتی شما گوشزد کنند.
از آنجا که صحبت در مورد نقض داده ها از زمان ما فاصله دارد کتاب بازی دشمن فعال، مجرمان اغلب برای حداقل ده روز در شبکه شما هستند:
بنابراین، معمولاً یک هفته تا ده روز محکم دارید، که اگر فقط چند چشم عقابی داشته باشید که چیزها را تشخیص می دهد، شانس واقعی خوبی برای خاموش کردن آن قبل از وقوع بدترین اتفاق دارید.
اردک. در واقع، زیرا اگر به نحوه عملکرد یک حمله فیشینگ معمولی فکر کنید، بسیار نادر است که کلاهبرداران در اولین تلاش موفق شوند.
و اگر در اولین تلاش موفق نشدند، فقط چمدان های خود را جمع نمی کنند و سرگردان نمی شوند.
آنها نفر بعدی و نفر بعدی و نفر بعدی را امتحان می کنند.
اگر آنها فقط زمانی موفق می شوند که حمله به نفر 50 را امتحان کنند، پس اگر یکی از 49 نفر قبلی آن را تشخیص داده و چیزی می گوید، شما می توانید مداخله کرده و مشکل را برطرف کنید.
CHET. کاملاً - این بسیار مهم است!
و شما در مورد فریب دادن مردم برای دادن توکن های 2FA صحبت کردید.
این یک نکته مهم در اینجا است – احراز هویت چند عاملی در اوبر وجود داشت، اما به نظر میرسد که شخص متقاعد شده است که از آن عبور کند.
و ما نمی دانیم که آن متدولوژی چه بود، اما متأسفانه اکثر روش های چند عاملی قابلیت دور زدن را دارند.
همه ما با توکنهای مبتنی بر زمان آشنا هستیم، جایی که شما شش رقم را روی صفحه نمایش میگیرید و از شما خواسته میشود که آن شش رقم را برای احراز هویت در برنامه قرار دهید.
البته، هیچ چیزی مانع شما نمی شود که شش رقم را به فرد اشتباهی بدهید تا بتواند احراز هویت کند.
بنابراین، احراز هویت دو عاملی یک داروی همه منظوره نیست که همه بیماری ها را درمان کند.
این به سادگی یک سرعت گیر است که گام دیگری در مسیر امن تر شدن است.
اردک. یک کلاهبردار مصمم که زمان و حوصله لازم برای ادامه تلاش را دارد، ممکن است در نهایت وارد شود.
و همانطور که شما می گویید، هدف شما به حداقل رساندن زمان آنها برای به حداکثر رساندن بازدهی است که در وهله اول بدست آورده اند…
CHET. و این نظارت باید همیشه انجام شود.
شرکتهایی مانند اوبر به اندازهای بزرگ هستند که مرکز عملیات امنیتی 24/7 خود را برای نظارت بر همه چیز داشته باشند، اگرچه ما کاملاً مطمئن نیستیم که اینجا چه اتفاقی افتاده است، این شخص چه مدت در آنجا بوده است، و چرا متوقف نشدهاند.
اما اکثر سازمان ها لزوماً در موقعیتی نیستند که بتوانند این کار را در داخل انجام دهند.
بسیار مفید است که منابع خارجی در دسترس داشته باشید که می توانند این رفتار مخرب را - *به طور مستمر* نظارت کنند - و مدت زمان انجام فعالیت مخرب را حتی بیشتر کوتاه کنند.
برای افرادی که ممکن است مسئولیتهای منظم فناوری اطلاعات و کارهای دیگری را انجام دهند، دیدن استفاده از این ابزارهای قانونی و تشخیص یک الگوی خاص از آنها که به عنوان یک چیز مخرب استفاده میشود، بسیار سخت است…
اردک. کلیدواژه ای که شما در مورد آن صحبت می کنید همان چیزی است که ما به عنوان MDR می شناسیم که مخفف آن است شناسایی و پاسخ مدیریت شده، جایی که شما یک دسته از متخصصان را دریافت می کنید تا این کار را برای شما انجام دهند یا به شما کمک کنند.
و من فکر میکنم هنوز افراد زیادی وجود دارند که تصور میکنند، «اگر دیده شود که این کار را انجام میدهم، به نظر نمیرسد که من مسئولیت خود را لغو کردهام؟ آیا این اعتراف نیست که من مطلقاً نمی دانم دارم چه کار می کنم؟»
و اینطور نیست، اینطور نیست؟
در واقع، میتوانید استدلال کنید که در واقع کارها را به شیوهای کنترلشدهتر انجام میدهد، زیرا افرادی را انتخاب میکنید که به شما کمک کنند مراقب شبکهتان باشند *که این کار را انجام میدهند و فقط آن را برای امرار معاش میکنند.
و این بدان معناست که تیم IT معمولی شما، و حتی تیم امنیتی خودتان... در مواقع اضطراری، در واقع می توانند تمام کارهای دیگری را که باید انجام دهید، حتی اگر مورد حمله قرار بگیرید، انجام دهند.
CHET. کاملا.
حدس می زنم آخرین فکری که به ذهنم می رسد این باشد…
هک شدن برندی مانند اوبر را به این معنا تصور نکنید که دفاع از خود غیرممکن است.
نامهای شرکتهای بزرگ تقریباً برای افرادی مانند افرادی که در این هک خاص شرکت دارند، جوایز بزرگی هستند.
و فقط به این دلیل که یک شرکت بزرگ ممکن است امنیت لازم را نداشته باشد، به این معنی نیست که شما نمی توانید!
پس از هکهای بزرگ قبلی، مانند تارگت و سونی، و برخی از این هکهایی که ده سال پیش در اخبار داشتیم، در میان بسیاری از سازمانهایی که با آنها صحبت کردم، صحبتهای شکستآمیز زیادی وجود داشت.
و مردم می گفتند: "آرغ... اگر با تمام امکانات هدف نتوانند از خود دفاع کنند، چه امیدی برای من وجود دارد؟"
و من واقعاً فکر نمی کنم که این اصلا درست باشد.
در بیشتر این موارد، آنها هدف قرار گرفتند، زیرا آنها سازمان های بسیار بزرگی بودند و یک حفره بسیار کوچک در رویکرد آنها وجود داشت که کسی توانست از آن عبور کند.
این بدان معنا نیست که شما فرصتی برای دفاع از خود ندارید.
این مهندسی اجتماعی بود و به دنبال آن برخی از شیوه های مشکوک ذخیره رمز عبور در فایل های PowerShell بود.
اینها چیزهایی هستند که می توانید به راحتی مراقب آنها باشید و به کارکنان خود آموزش دهید تا مطمئن شوید که اشتباهات مشابهی را مرتکب نمی شوید.
فقط به این دلیل که اوبر نمی تواند این کار را انجام دهد به این معنی نیست که شما نمی توانید!
اردک. در واقع - من فکر می کنم این خیلی خوب است، چستر.
آیا مشکلی ندارید که با یکی از کلیشه های سنتی خود پایان دهم؟
(نکته ای که در مورد کلیشه ها وجود دارد این است که عموماً با واقعی بودن و مفید بودن تبدیل به کلیشه می شوند.)
پس از حوادثی مانند این: "کسانی که نمی توانند تاریخ را به خاطر بسپارند، محکوم به تکرار آن هستند - آن شخص نباشید!"
چستر، از شما بسیار سپاسگزارم که از برنامه شلوغ خود وقت صرف کردید، زیرا می دانم که شما واقعاً امشب یک گفتگوی آنلاین دارید.
بنابراین، از شما بسیار سپاسگزارم.
و بگذارید به روش مرسوم خود با گفتن «تا دفعه بعد، ایمن بمانید» به پایان برسانیم.
[مودم موزیکال]