サイバーセキュリティ: 「彼らはできませんでしたが、できます!」
ポール・ダックリン、チェスター・ウィスニエフスキー
イントロとアウトロの音楽 エディスマッジ.
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
アヒル。 みなさんこんにちは。
Naked Security ポッドキャストのこの特別なミニ エピソードへようこそ。
私の名前は Paul Ducklin です。今日は、友人であり同僚でもある Chester Wisniewski が参加しています。
チェスター、何が今週のビッグ ストーリーになったかについて何か言わなければならないと思いました…それはおそらく今月のビッグ ストーリーになるでしょう!
私はちょうどあなたを読むよ 見出し 私は Naked Security で使用しました:
「UBER HAS BEEN HACKED, 自慢のハッカー – ハッキングを阻止する方法.」
そう!
それについてすべて教えてください…。
チェット。 ええと、車がまだ動いていることを確認できます。
私はバンクーバーからあなたのところに来ています。私はダウンタウンにいます。窓の外を見ていると、実際に窓の外に Uber が座っています…
アヒル。 一日中そこにいなかったの?
チェット。 いいえ、そうではありません。 [笑う]
アプリ内でボタンを押して車を呼ぶ場合は、ご安心ください。現時点では、実際に誰かが車に乗りに来てくれるようです。
しかし、あなたが Uber の従業員である場合、システムへの影響を考慮すると、今後数日間、多くのことを行うとは限りません。
実際、何が起こったのか、ダック、私たちは多くの詳細を知りません.
しかし、大まかに言えば、Uber の従業員が何らかのソーシャル エンジニアリングを行い、Uber のネットワーク内に誰かが足場を築くことを可能にしたというのがコンセンサスのようです。
そして、私たちが言うように、横方向に移動するか、内部に入ると、最終的に Uber 王国への鍵を手に入れることになる管理資格情報を見つけるためにピボットすることができました。
アヒル。 これは、従来のデータ窃盗、国家、またはランサムウェア攻撃のようには見えませんか?
チェット。 いいえ。
他の誰かが同様の手法を使用してネットワークに参加していない可能性があると言っているわけではありません。
実際、当社の迅速な対応チームがインシデントに対応する際、ネットワーク内に複数の脅威アクターが存在していることに気付くことがよくあります。それらの攻撃者は同様のアクセス方法を悪用していたからです。
アヒル。 はい… XNUMX 人のランサムウェア詐欺師 (基本的にはお互いに面識がありません) が同時に侵入したという話さえありました。
そのため、一部のファイルは ransomware-A-then-ransomware-B で暗号化され、一部のファイルは ransomware-B-followed-by-ransomware-A で暗号化されました。
それはとんでもない混乱だった…
チェット。 ええと、それは古いニュースです、ダック。 [笑う]
それ以来、別のものを公開しました。 *XNUMX* 異なるランサムウェア 同じネットワーク上にありました。
アヒル。 まあ! [BIG LAUGH] 私はこれで笑い続けますが、それは違います。 [笑う]
チェット。 複数の脅威アクターが関与することは珍しくありません。あなたが言うように、ネットワークを防御するためのアプローチの欠陥を XNUMX 人の人物が発見できたとしても、他の人々が同じ欠陥を発見していない可能性があることを示唆するものは何もないからです。
しかし、この場合、あなたがそうするなら、それは「大騒ぎのため」のように見えるという点で、私はあなたが正しいと思います。
つまり、それを行った人物は、主にネットワークを介してバウンスしながらトロフィーを収集し、Uber で使用されていたさまざまなツールやユーティリティ、プログラムのスクリーンショットの形で、それらを公に投稿していました。信用。
アヒル。 さて、自慢する権利を*望まない*誰かによって行われた攻撃では、その攻撃者は IAB、初期アクセス ブローカーであった可能性がありますね。
その場合、彼らはそれについて大きな騒ぎを起こさなかっただろう.
彼らはすべてのパスワードを集めてから出て、「誰がそれらを購入したいですか?」と言ったでしょう。
チェット。 はい、超超危険です!
今の Uber、特に Uber の PR チームや内部セキュリティ チームの誰かにとって悪いことのように思えますが、実際には可能な限り最善の結果です…
…これは、従業員の機密情報を紛失したことに対する罰金など、恥をかくことになるということです。
しかし、問題の真実は、このタイプの攻撃が犠牲になるほとんどすべての人にとって、最終的な結果は、クリプトマイナーやその他の種類のデータ盗難と組み合わされたランサムウェアまたは複数のランサムウェアになるということです.
それは、単に恥ずかしい思いをするよりも、はるかにはるかに組織にとってコストがかかります。
アヒル。 したがって、詐欺師が侵入し、自由に歩き回り、どこに行くかを選択できるというこの考え…
…悲しいことに、珍しいことではありません。
チェット。 アラートを待つのではなく、積極的に問題を探すことの重要性を強調しています。
明らかに、この人物は最初に警告を発することなく Uber のセキュリティを破ることができたので、うろうろする時間ができました。
そのため、脅威ハンティングという用語が最近非常に重要になっています。
XNUMX 分または XNUMX 日が近づくにつれて、人々がファイル共有をうろついたり、一連のシステム全体に連続して連続してログインしたりする不審なアクティビティを検出できるためです。これらのタイプのアクティビティ、または多数の RDP 接続が飛んでいます。通常はその活動に関連付けられていないアカウントからネットワーク上で…
…これらの種類の疑わしいものは、管理者の資格情報へのアクセスを許可するために犯した可能性のある他のセキュリティ上の過ちを解明するのに必要な時間を制限することにより、その人が引き起こす可能性のある損害の量を制限するのに役立ちます.
これは、多くのチームが本当に苦労していることです: これらの正当なツールが悪用されていることをどのように確認するのでしょうか?
それはここでの本当の挑戦です。
この例では、Uber の従業員がだまされて誰かを招待したように聞こえますが、最終的には変装しているように見えます。
これで、正当な従業員のアカウントを取得しました。このアカウントは、誤って犯罪者を自分のコンピューターに招待し、その従業員が通常は関係のないことを実行している可能性があります。
したがって、それは実際に監視と脅威ハンティングの一部である必要があります。正常とは何かを知ることで、「異常な正常」を検出できます。
彼らは悪意のあるツールを持ち込まなかったので、既存のツールを使用しています。
彼らが PowerShell スクリプトなどを調べたことは知っていますが、おそらく既にお持ちのことでしょう。
珍しいのは、この人物がその PowerShell を操作していること、またはこの人物がその RDP を操作していることです。
これらは、ダッシュボードにアラートが表示されるのを待つよりも、注意するのがはるかに難しいことです。
アヒル。 では、チェスター、Uber の立場になりたくない企業へのアドバイスはありますか?
当然のことながら、この攻撃は大々的に宣伝されていますが、出回っているスクリーンショットのおかげで、「うわー、詐欺師は絶対にどこにでもいる」ように見えるからです…
…実際、データ侵害に関する限り、これは特別な話ではありません。
チェット。 あなたはアドバイスについて尋ねましたが、私は組織に何を伝えますか?
そして、約 XNUMX 年前に米国の主要大学の CISO を務めていた親友のことを思い出さなければなりません。
彼のセキュリティ戦略について尋ねると、彼は次のように答えました。 「とてもシンプルです。 違反の仮定。」
私は侵害されたと思います。私のネットワークには入れたくない人々が私のネットワークに入っていると思います。
そのため、ここにいるべきではない誰かがすでにここにいるという前提ですべてを構築する必要があり、「電話が家の中から来ている場合でも、保護は適切に行われていますか?」と尋ねます。
今日、そのためのバズワードがあります。 ゼロトラスト、私たちのほとんどはすでに言うのにうんざりしています。 [笑う]
しかし、それがアプローチです。 ゼロトラスト。
組織の従業員のように見える変装をしたために、単に歩き回る自由を持つべきではありません。
アヒル。 それこそがゼロ トラストの真の鍵ですよね。
「誰のことも信用してはいけない」という意味ではありません。
これは、「何も仮定しない」、「目の前のタスクに必要以上のことをすることを許可しない」ということの比喩のようなものです。
チェット。 正確に。
あなたの攻撃者が、あなたがハッキングされたという事実を公表することで、今回のケースのように喜んでいないと仮定すると…
…何かがおかしいと思われる場合に、スタッフ メンバーが異常を報告し、セキュリティ チームに警告できるようにするための適切な方法があることを確認したいでしょう。
データ侵害の滞留時間について話しているため、 アクティブな敵対者のプレイブック、ほとんどの場合、犯罪者はネットワーク上に少なくとも XNUMX 日間存在します。
したがって、通常は XNUMX 週間から XNUMX 日間はしっかりと過ごすことができます。何かを見つけているイーグルアイがあれば、最悪の事態が発生する前にそれをシャットダウンできる可能性が非常に高くなります。
アヒル。 実際、典型的なフィッシング攻撃がどのように機能するかを考えると、詐欺師が最初の試みで成功することは非常にまれです。
そして、最初の試行で成功しなくても、荷物をまとめてさまよったりはしません。
彼らは次の人、次の人、次の人を試します。
彼らが 50 人目の攻撃を試みたときにのみ成功する場合、前の 49 人の誰かがそれを見つけて何かを言った場合、介入して問題を解決できたはずです。
チェット。 絶対に - それは重要です!
そして、あなたは人々をだまして 2FA トークンを配らせることについて話しました。
ここが重要なポイントです。Uber には多要素認証がありましたが、その人物はそれを回避することを確信していたようです。
その方法論が何であったかはわかりませんが、残念ながら、ほとんどの多要素法はバイパスされる可能性があります.
画面に XNUMX 桁の数字が表示され、その XNUMX 桁をアプリに入力して認証するよう求められる時間ベースのトークンは、誰もがよく知っています。
もちろん、XNUMX 桁の数字を間違った人に渡して認証できるようにすることを妨げるものは何もありません。
したがって、XNUMX 要素認証はすべての病気を治す万能薬ではありません。
これは、より安全になるための道筋に沿ったもう XNUMX つのステップであるスピード バンプにすぎません。
アヒル。 試行錯誤を続ける時間と忍耐力を備えた、決断力のある詐欺師が最終的に侵入する可能性があります。
そして、あなたが言うように、あなたの目標は、彼らが最初に得たという事実の利益を最大化するために必要な時間を最小限に抑えることです…
チェット。 そして、その監視は常に行われる必要があります。
Uber のような企業は、24 時間 7 日監視する独自のセキュリティ オペレーション センターを持つことができるほど大きな企業ですが、ここで何が起こったのか、この人物がどのくらいの時間滞在していたのか、なぜ彼らが止められなかったのかはよくわかりません。
しかし、ほとんどの組織は、必ずしも社内でそれを行うことができる立場にあるとは限りません。
この悪意のある動作を監視 (*継続的に) 監視できる外部リソースを利用できると非常に便利で、悪意のあるアクティビティが発生する時間をさらに短縮できます。
定期的な IT の責任やその他の作業を行っている可能性がある人々にとって、これらの正当なツールが使用されていることを確認したり、それらが悪意のあるものとして使用されている特定のパターンを特定したりすることは非常に困難です。
アヒル。 あなたが話しているバズワードは、私たちがMDRとして知っているものです。 管理された検出と応答、あなたのためにそれをするか、あなたを助けるためにたくさんの専門家を得る場所.
そして、「そんなことをしているのを見られたら、自分の責任を放棄しているように見えませんか? 自分が何をしているのか全くわからないことを認めているのではないか?」
そうではありませんよね?
実際、ネットワークの管理を手伝ってくれる人を選んでいるので、それは実際にはより制御された方法で行われていると主張することができます。
つまり、通常の IT チームはもちろん、セキュリティ チームも… 緊急事態が発生した場合、たとえ攻撃を受けていたとしても、必要な他のすべてのことを実際に実行し続けることができます。
チェット。 絶対に。
私が持っている最後の考えはこれだと思います…
Uber のようなブランドがハッキングされているからといって、自分自身を守ることは不可能だと考えてはなりません。
大企業の名前は、この特定のハッキングに関与した人物のような人々にとって、ほとんど大きなトロフィー ハンティングです。
そして、大企業が必要なセキュリティを持っていなかったからといって、それができないというわけではありません!
Target や Sony などの以前の大規模なハッキングや、XNUMX 年前にニュースで取り上げられたこれらのハッキングの後に、私が話をした多くの組織の間で、多くの敗北主義者のおしゃべりがありました。
そして、人々は、「ああ…ターゲットのすべてのリソースで自分自身を守ることができない場合、私にはどんな希望がありますか?」というようなものでした。
そして、私はそれがまったく真実だとは思いません。
これらのケースのほとんどで、彼らが標的にされたのは、彼らが非常に大規模な組織であり、彼らのアプローチには誰かが侵入できる非常に小さな穴があったためです.
それは、自分を守る機会がないという意味ではありません。
これはソーシャル エンジニアリングであり、PowerShell ファイルにパスワードを保存するという疑わしい慣行が続きました。
これらは、同じ過ちを犯さないようにするために、非常に簡単に監視し、従業員を教育することができるものです.
Uber ができないからといって、あなたもできないわけではありません。
アヒル。 確かに – それは非常にうまくいっていると思います、チェスター。
私の伝統的な決まり文句の XNUMX つで終了してもかまいませんか?
(決まり文句についてのことは、それらが真実で有用であることによって一般的に決まり文句になるということです。)
このような事件の後:「歴史を思い出せない人は、それを繰り返すように非難されています。その人にならないでください!」
チェスター、忙しいスケジュールの中時間を割いてくれて本当にありがとう。
それでは、よろしくお願いいたします。
最後に、いつものように「次回まで安全を確保してください」と言って締めくくりましょう。
【ミュージックモデム】
![シーズン 3 Ep120: 不発の暗号が手放せないとき [オーディオ + テキスト]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-360x188.png)