KYBERTURVALLISUUS: "HE EIVÄT, MUTTA SINÄ VOITTAA!"
Paul Ducklinin ja Chester Wisniewskin kanssa
Intro ja outro musiikki Edith Mudge.
Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.
Voit kuunnella meitä Soundcloud, Apple Podcastit, Google Podcastit, Spotify, nitoja ja kaikkialla, missä hyviä podcasteja löytyy. Tai pudota vain RSS-syötteemme URL-osoite suosikki podcatcheriisi.
LUE OTTARKASTUS
ANKKA. Hei kaikki.
Tervetuloa tähän Naked Security -podcastin erityiseen minijaksoon.
Nimeni on Paul Ducklin, ja tänään minun seuraani on ystäväni ja kollegani Chester Wisniewski.
Chester, ajattelin, että meidän pitäisi sanoa jotain siitä, mikä on muuttunut viikon suureksi tarinaksi… se on luultavasti kuukauden suuri tarina!
Minä vain luen sinulle otsikko Käytin Naked Securityssa:
"UBER ON HAKKOITETTU, ylpeilee hakkeri - kuinka estää sen tapahtumasta sinulle."
Niin!
Kerro meille kaikki siitä….
CHET. No, voin vahvistaa, että autot ovat edelleen ajossa.
Tulen luoksesi Vancouverista, olen keskustassa, katson ulos ikkunasta, ja ikkunan ulkopuolella istuu itse asiassa Uber…
ANKKA. Eikö se ole ollut siellä koko päivää?
CHET. Ei, se ei ole. [NAurua]
Jos painat painiketta kutsuaksesi auton sovelluksen sisällä, voit olla varma: tällä hetkellä näyttää siltä, että joku tulee todella kyytiin.
Mutta jos olet Uberin työntekijä, ei välttämättä ole niin varmaa, että aiot tehdä paljon mitä tahansa seuraavina päivinä, kun otetaan huomioon vaikutus heidän järjestelmiinsä.
Emme itse asiassa tiedä paljon yksityiskohtia siitä, mitä tapahtui.
Mutta erittäin korkealla tasolla yksimielisyys näyttää olevan siitä, että Uberin työntekijässä oli jonkin verran sosiaalista suunnittelua, jonka ansiosta joku pääsi Uberin verkkoon.
Ja he pystyivät liikkumaan sivusuunnassa, kuten sanomme, tai kääntyä, kun he pääsivät sisälle löytääkseen joitain hallinnollisia valtuuksia, jotka lopulta johtivat heille Uber-valtakunnan avaimet.
ANKKA. Tämä ei siis näytä perinteiseltä tietojen varastamiselta, kansallisvaltio- tai kiristysohjelmahyökkäykseltä, vai mitä?
CHET. Ei.
Tämä ei tarkoita sitä, etteikö joku muu olisi myös ollut heidän verkostossaan käyttämällä samanlaisia tekniikoita – et koskaan tiedä.
Itse asiassa, kun Rapid Response -tiimimme reagoi tapauksiin, huomaamme usein, että verkossa on ollut useampi kuin yksi uhkatoimija, koska he käyttivät samanlaisia pääsymenetelmiä.
ANKKA. Kyllä… meillä oli jopa tarina kahdesta toisilleen pohjimmiltaan tuntemattomasta kiristysohjelmarikollisesta, jotka pääsivät sisään samaan aikaan.
Joten osa tiedostoista salattiin ransomware-A- ja sitten-ransomware-B:llä ja osa ransomware-B-seuraajalla-ransomware-A.
Se oli epäpyhä sotku…
CHET. No, se on vanha uutinen, Duck. [NAurua]
Olemme sittemmin julkaisseet toisen, missä *kolme* erilaista lunnasohjelmaa olivat samassa verkossa.
ANKKA. Ohhoh! [BIG LAUGH] nauran tälle, mutta se on väärin. [NAurua]
CHET. Ei ole harvinaista, että mukana on useita uhkatekijöitä, koska, kuten sanot, jos yksi henkilö löytää puutteen lähestymistavassasi puolustaa verkostoasi, mikään ei viittaa siihen, että muut ihmiset eivät olisi löytäneet samaa virhettä.
Mutta tässä tapauksessa olet mielestäni oikeassa siinä, että se näyttää olevan "lulz", jos haluat.
Tarkoitan, että henkilö, joka teki sen, keräsi enimmäkseen palkintoja pomppiessaan verkon läpi – kuvakaappausten muodossa kaikista näistä erilaisista työkaluista, apuohjelmista ja ohjelmista, jotka olivat käytössä Uberissa – ja julkaisivat ne julkisesti, luulisin kadulle. uskontunnustus.
ANKKA. Hyökkäys, jonka teki joku, joka *ei* halunnut kerskua, tuo hyökkääjä olisi voinut olla IAB, ensimmäinen pääsynvälittäjä, eikö niin?
Siinä tapauksessa he eivät olisi pitäneet siitä suurta melua.
He olisivat keränneet kaikki salasanat ja sitten tulleet ulos ja kysyneet: "Kuka haluaisi ostaa ne?"
CHET. Kyllä, se on supervaarallista!
Niin pahalta kuin Uber nyt näyttääkin, erityisesti joku Uberin PR- tai sisäisen turvallisuuden tiimissä, se on itse asiassa paras mahdollinen lopputulos…
…mikä on vain se, että tästä tulee hämmennystä, luultavasti sakkoja työntekijöiden arkaluonteisten tietojen menettämisestä, sellaista asiaa.
Mutta totuus on melkein kaikille muille, että tämän tyyppiset hyökkäykset joutuvat uhriksi, ja lopputuloksena on lunnasohjelma tai useita lunastusohjelmia yhdistettynä kryptomiinereihin ja muunlaisiin tietovarkauksiin.
Se on organisaatiolle paljon, paljon kalliimpaa kuin pelkkä hämmennys.
ANKKA. Joten tämä ajatus roistoista, jotka pääsevät sisään ja voivat vaeltaa ympäriinsä mielensä mukaan ja valita, minne he menevät…
… ei valitettavasti ole epätavallista.
CHET. Se todella korostaa ongelmien aktiivisen etsimisen tärkeyttä hälytysten odottamisen sijaan.
On selvää, että tämä henkilö pystyi rikkomaan Uberin turvallisuuden laukaisematta aluksi mitään hälytyksiä, mikä antoi hänelle aikaa vaeltaa ympäriinsä.
Siksi uhkien metsästys, kuten terminologia sanoo, on niin kriittistä nykyään.
Koska mitä lähempänä minuuttia nollaa tai päivää nollaa, voit havaita epäilyttävän toiminnan ihmisten, jotka puuhailevat tiedostojakoissa ja kirjautuvat yhtäkkiä useisiin järjestelmiin peräkkäin – tämän tyyppisiä toimintoja tai paljon RDP-yhteyksiä lentää. ympäri verkkoa tileiltä, joita ei tavallisesti liitetä kyseiseen toimintaan…
…tällaiset epäilyttävät asiat voivat auttaa sinua rajoittamaan henkilön aiheuttaman vahingon määrää rajoittamalla aikaa, jonka he tarvitsevat paljastamaan muita mahdollisesti tekemiäsi tietoturvavirheitä, joiden ansiosta he pääsivät käsiksi kyseisiin järjestelmänvalvojan tunnistetietoihin.
Tämä on asia, jonka kanssa monet tiimit todella kamppailevat: kuinka nähdä näiden laillisten työkalujen väärinkäytön?
Tässä on todellinen haaste.
Koska tässä esimerkissä kuulostaa siltä, että Uberin työntekijää huijattiin kutsumaan joku sisään valepuvussa, joka lopulta näytti heiltä.
Sinulla on nyt laillinen työntekijän tili, joka vahingossa kutsui rikollisen tietokoneelleen juoksemassa ympäriinsä tekemässä asioita, joihin työntekijä ei todennäköisesti yleensä liity.
Joten sen on todellakin oltava osa seurantaasi ja uhkien metsästystä: tietää, mikä normaali todella on, jotta voit havaita "poikkeavan normaalin".
Koska he eivät tuoneet mukanaan haitallisia työkaluja, he käyttävät työkaluja, jotka ovat jo olemassa.
Tiedämme, että he tarkastelivat PowerShell-skriptejä, sellaisia asioita, joita sinulla todennäköisesti jo on.
Epätavallista on, että tämä henkilö on vuorovaikutuksessa kyseisen PowerShellin kanssa tai tämä henkilö, joka on vuorovaikutuksessa kyseisen RDP:n kanssa.
Ja näitä asioita on paljon vaikeampi varoa kuin vain odottaa hälytyksen ilmestymistä kojelautaan.
ANKKA. Joten, Chester, mikä on neuvosi yrityksille, jotka eivät halua joutua Uberin asemaan?
Vaikka tämä hyökkäys onkin ymmärrettävästi saanut valtavasti julkisuutta kiertävien kuvakaappausten takia, koska näyttää siltä, että "Vau, roistot pääsivät aivan kaikkialle"…
…itse asiassa se ei ole ainutlaatuinen tarina tietomurtojen osalta.
CHET. Kysyit neuvoista, mitä sanoisin organisaatiolle?
Ja minun on muistettava erästä hyvää ystävääni, joka oli CISO:ssa eräässä Yhdysvaltojen suuressa yliopistossa noin kymmenen vuotta sitten.
Kysyin häneltä, mikä hänen turvallisuusstrategiansa oli, ja hän sanoi: "Se on hyvin yksinkertaista. Oletus rikkomisesta."
Oletan, että minua on rikottu ja että verkostossani on ihmisiä, joita en halua verkostooni.
Joten minun on rakennettava kaikki olettaen, että täällä on jo joku, jonka ei pitäisi olla, ja kysyä: "Onko minulla suoja paikallaan, vaikka puhelu tulee talon sisältä?"
Tänään meillä on muotisana sille: Luottamus nollaan, jota useimmat meistä ovat jo kyllästyneet sanomaan. [NAurua]
Mutta tämä on lähestymistapa: olettamus rikkomisesta; nolla luottamusta.
Sinulla ei pitäisi olla vapautta vain vaeltaa ympäriinsä, koska puet yllesi naamiaisasun, joka näyttää olevan organisaation työntekijä.
ANKKA. Ja se on todellakin Zero Trustin avain, eikö niin?
Se ei tarkoita: "Et saa koskaan luottaa kenenkään tekemiseen."
Se on eräänlainen metafora sanomiselle: "Älä oleta mitään" ja "Älä valtuuta ihmisiä tekemään enemmän kuin heidän tarvitsee tehtävän suorittamiseksi."
CHET. Tarkalleen ottaen.
Olettaen, että hyökkääjäsi eivät saa niin paljon iloa paljastamalla, että sinut hakkeroitiin, kuin tässä tapauksessa…
…haluat luultavasti varmistaa, että henkilöstön jäsenillä on hyvä tapa ilmoittaa poikkeavuuksista, kun jokin ei näytä olevan kunnossa, jotta he voivat ilmoittaa turvallisuustiimillesi.
Koska puhumme tietomurron viivytysajoistamme Active Adversary Playbook, rikolliset ovat useimmiten verkossasi vähintään kymmenen päivää:
Joten sinulla on tyypillisesti vakaa viikosta kymmeneen päivään, jolloin jos sinulla on vain kotkan silmät, jotka havaitsevat asioita, sinulla on todella hyvät mahdollisuudet sulkea se ennen kuin pahin tapahtuu.
ANKKA. Todellakin, koska jos ajattelee, miten tyypillinen tietojenkalasteluhyökkäys toimii, on erittäin harvinaista, että huijarit onnistuvat ensimmäisellä yrityksellä.
Ja jos he eivät onnistu ensimmäisellä yrityksellä, he eivät vain pakkaa laukkujaan ja vaeltele.
He yrittävät seuraavaa henkilöä, seuraavaa henkilöä ja seuraavaa henkilöä.
Jos he menestyvät vain yrittäessään hyökätä 50. henkilöä vastaan, jos joku edellisistä 49:stä huomasi sen ja sanoi jotain, olisit voinut puuttua asiaan ja korjata ongelman.
CHET. Ehdottomasti – se on kriittistä!
Ja puhuit ihmisten huijaamisesta antamaan 2FA-merkkejä.
Se on tässä tärkeä seikka – Uberissa oli monitekijätodennus, mutta henkilö näyttää olevan vakuuttunut ohittamaan sen.
Ja emme tiedä mikä se menetelmä oli, mutta useimmat monitekijämenetelmät voidaan valitettavasti ohittaa.
Me kaikki tunnemme aikaperusteiset tunnukset, joissa saat kuusi numeroa näytölle ja sinua pyydetään laittamaan nämä kuusi numeroa sovellukseen todentamista varten.
Mikään ei tietenkään estä sinua antamasta kuusi numeroa väärälle henkilölle, jotta he voivat todentaa.
Kahden tekijän todennus ei siis ole yleislääke, joka parantaa kaikkia sairauksia.
Se on yksinkertaisesti nopeushämärä, joka on uusi askel tiellä kohti entistä turvallisempaa.
ANKKA. Hyvin päättäväinen roisto, jolla on aikaa ja kärsivällisyyttä jatkaa yrittämistä, saattaa lopulta päästä mukaan.
Ja kuten sanot, tavoitteesi on minimoida aika, jonka he tarvitsevat maksimoidakseen tuoton siitä tosiasiasta, että he saivat ensiksi…
CHET. Ja tämän seurannan on tapahduttava koko ajan.
Uberin kaltaiset yritykset ovat tarpeeksi suuria, jotta niillä on oma 24/7-turvallisuuskeskus valvomaan asioita, vaikka emme ole aivan varmoja, mitä täällä tapahtui, kuinka kauan tämä henkilö oli paikalla ja miksi häntä ei pysäytetty
Mutta useimmat organisaatiot eivät välttämättä pysty tekemään sitä talon sisällä.
On erittäin kätevää, että käytettävissä on ulkoisia resursseja, jotka voivat valvoa – *jatkuvasti* – tämän haitallisen toiminnan varalta, mikä lyhentää entisestään haitallisen toiminnan kestoa.
Ihmisille, joilla on ehkä säännöllisiä IT-vastuita ja muuta tehtävää, voi olla melko vaikeaa nähdä näiden laillisten työkalujen käyttöä ja havaita yksi tietty malli, jossa niitä käytetään haitallisena asiana…
ANKKA. Se muotisana, josta puhut, on se, jota tunnemme nimellä MDR, lyhenne sanoista Hallittu havaitseminen ja reagointi, jossa saat joukon asiantuntijoita joko tekemään sen puolestasi tai auttamaan sinua.
Ja luulen, että siellä on edelleen melko paljon ihmisiä, jotka kuvittelevat: "Jos minun nähdään tekevän niin, eikö näytä siltä, että olen poistanut vastuuni? Eikö se ole tunnustusta, että en todellakaan tiedä mitä olen tekemässä?"
Ja se ei ole, eikö?
Itse asiassa voit väittää, että se tekee asioita kontrolloidummin, koska valitset ihmisiä auttamaan sinua pitämään huolta verkostostasi *jotka tekevät sitä ja vain sitä* elantonsa vuoksi.
Ja tämä tarkoittaa, että tavallinen IT-tiimisi ja jopa oma turvallisuustiimisi… hätätilanteessa he voivat itse asiassa jatkaa kaikkien muiden asioiden tekemistä, jotka on tehtävä joka tapauksessa, vaikka olisit hyökkäyksen kohteena.
CHET. Ehdottomasti.
Luulen, että viimeinen ajatukseni on tämä…
Älä pidä Uberin kaltaisen brändin hakkeroinnin tarkoittavan, että sinun on mahdotonta puolustaa itseäsi.
Suuryritysten nimet ovat lähes suuria pokaalien metsästystä ihmisille, kuten tähän hakkerointiin osallistuva henkilö.
Ja se, että suurella yrityksellä ei ehkä ollut turvallisuutta, jonka sen pitäisi, ei tarkoita, ettet voi!
Monissa organisaatioissa, joiden kanssa puhuin, oli paljon tappiomielistä keskustelua joidenkin aikaisempien suurten hakkerointien jälkeen, kuten Target ja Sony, ja jotkut näistä hakkeroista, joita meillä oli uutisissa kymmenen vuotta sitten.
Ja ihmiset sanoivat: "Aaargh… jos he eivät pysty puolustamaan itseään kaikilla Targetin resursseilla, mitä toivoa minulla on?"
Ja se ei mielestäni ole ollenkaan totta.
Useimmissa tapauksissa he joutuivat kohteeksi, koska ne olivat hyvin suuria organisaatioita, ja heidän lähestymistavassaan oli hyvin pieni aukko, josta joku pääsi sisään.
Se ei tarkoita, etteikö sinulla olisi mahdollisuutta puolustaa itseäsi.
Tämä oli sosiaalista suunnittelua, jota seurasi joitain kyseenalaisia käytäntöjä salasanojen tallentamisessa PowerShell-tiedostoihin.
Nämä ovat asioita, joita voit helposti seurata ja kouluttaa työntekijöitäsi varmistaaksesi, ettet tee samoja virheitä.
Se, että Uber ei pysty siihen, ei tarkoita, ettet pysty!
ANKKA. Todellakin – mielestäni se on erittäin hyvin sanottu, Chester.
Haittaako sinua, jos lopetan johonkin perinteisestä kliseistäni?
(Kliseeissä on se, että niistä tulee yleensä kliseitä, kun ne ovat totta ja hyödyllisiä.)
Tällaisten tapausten jälkeen: "Ne, jotka eivät muista historiaa, on tuomittu toistamaan sitä – älkää olko se henkilö!"
Chester, kiitos paljon siitä, että otit aikaa pois kiireisestä aikataulustasi, koska tiedän, että sinulla on todellakin online-keskustelu tänä iltana.
Joten kiitos paljon siitä.
Ja lopettakaamme tavanomaisella tavallamme sanomalla: "Seuraavaan kertaan asti, pysy turvassa."
[MUSIIKKIMODEEMI]
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- podcast
- Turvallisuusjohtajuus
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep116: Viimeinen pisara LastPassiin? Onko krypto tuomittu? [Ääni + teksti]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg)
