CYBERSIKKERHET: «DE GJORDE IKKE, MEN DU KAN!»
Med Paul Ducklin og Chester Wisniewski
Intro- og outromusikk av Edith Mudge.
Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.
Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.
LES TRANSKRIPTET
AND. Hei alle sammen.
Velkommen til denne spesielle mini-episoden av Naked Security-podcasten.
Mitt navn er Paul Ducklin, og jeg får selskap i dag av min venn og kollega Chester Wisniewski.
Chester, jeg tenkte at vi skulle si noe om hva som har blitt til ukens store historie ... det blir sannsynligvis månedens store historie!
Jeg skal bare lese deg overskrift Jeg brukte på Naked Security:
"UBER HAR BLITT HACKET, kan skryte av hacker - hvordan stoppe det å skje med deg."
Så!
Fortell oss alt om det....
CHET. Vel, jeg kan bekrefte at bilene fortsatt kjører.
Jeg kommer til deg fra Vancouver, jeg er i sentrum, jeg ser ut av vinduet, og det er faktisk en Uber som sitter utenfor vinduet...
AND. Har den ikke vært der hele dagen?
CHET. Nei, det har det ikke. [LETER]
Hvis du trykker på knappen for å praie en bil inne i appen, kan du være trygg: for øyeblikket ser det ut til at du faktisk vil få noen til å komme og kjøre deg.
Men det er ikke nødvendigvis så sikkert, hvis du er ansatt i Uber, at du kommer til å gjøre mye av hva som helst de neste dagene, med tanke på innvirkningen på systemene deres.
Vi vet ikke mange detaljer, faktisk, Duck, om nøyaktig hva som skjedde.
Men på et veldig høyt nivå ser konsensus ut til å være at det var noe sosial konstruksjon av en Uber-ansatt som tillot noen å få fotfeste i Ubers nettverk.
Og de var i stand til å bevege seg sideveis, som vi sier, eller pivotere, når de kom inn for å finne noen administrative legitimasjoner som til slutt førte til at de fikk nøklene til Uber-riket.
AND. Så dette ser ikke ut som en tradisjonell datatyveri, nasjonalstat eller løsepengevareangrep, gjør det?
CHET. Nei.
Det er ikke å si at noen andre kanskje ikke også har vært i nettverket deres ved å bruke lignende teknikker - du vet aldri.
Faktisk, når vårt Rapid Response-team reagerer på hendelser, oppdager vi ofte at det har vært mer enn én trusselaktør i et nettverk, fordi de utnyttet lignende tilgangsmetoder.
AND. Ja... vi hadde til og med en historie om to ransomware-skurker, i utgangspunktet ukjente for hverandre, som kom inn på samme tid.
Så noen av filene ble kryptert med ransomware-A-then-ransomware-B, og noen med ransomware-B-etterfulgt av-ransomware-A.
Det var et uhellig rot...
CHET. Vel, det er gamle nyheter, Duck. [LETER]
Vi har siden publisert en annen hvor *tre* forskjellige løsepengeprogrammer var på samme nettverk.
AND. Å, kjære! [STOR LATTER] Jeg fortsetter å le av dette, men det er feil. [LETER]
CHET. Det er ikke uvanlig at flere trusselaktører er i, fordi, som du sier, hvis en person er i stand til å oppdage en feil i din tilnærming til å forsvare nettverket ditt, er det ingenting som tyder på at andre mennesker kanskje ikke har oppdaget den samme feilen.
Men i dette tilfellet tror jeg du har rett i at det ser ut til å være "for the lulz", om du vil.
Jeg mener, personen som gjorde det samlet inn trofeer mens de spratt gjennom nettverket – i form av skjermbilder av alle disse forskjellige verktøyene og verktøyene og programmene som var i bruk rundt Uber – og publiserte dem offentlig, antar jeg for gaten. cred.
AND. Nå, i et angrep utført av noen som *ikke* ønsket å skryte, kunne den angriperen ha vært en IAB, en innledende tilgangsmegler, kunne de ikke?
I så fall ville de ikke ha laget en stor lyd om det.
De ville ha samlet alle passordene og deretter gått ut og sagt: "Hvem vil kjøpe dem?"
CHET. Ja, det er super-superfarlig!
Så ille som det ser ut til å være Uber akkurat nå, spesielt noen i Ubers PR- eller interne sikkerhetsteam, er det faktisk det best mulige resultatet...
...som bare er at utfallet av dette kommer til å bli en forlegenhet, sannsynligvis noen bøter for å miste sensitiv informasjon om ansatte, den slags.
Men sannheten i saken er for nesten alle andre at denne typen angrep blir ofre, sluttresultatet ender opp med å bli løsepengevare eller flere løsepengeprogrammer, kombinert med kryptominere og andre typer datatyveri.
Det er langt, langt mer kostbart for organisasjonen enn bare å være flau.
AND. Så denne ideen om skurker som kommer inn og kan vandre rundt etter eget ønske og velge hvor de skal...
… er dessverre ikke uvanlig.
CHET. Det understreker virkelig viktigheten av å aktivt lete etter problemer, i motsetning til å vente på varsler.
Det er klart at denne personen var i stand til å bryte Uber-sikkerheten uten å utløse noen varsler i utgangspunktet, noe som ga dem tid til å vandre rundt.
Det er derfor trusseljakt, som terminologien sier, er så kritisk i disse dager.
For jo nærmere minutt-null eller dag-null du kan oppdage den mistenkelige aktiviteten til folk som pirker rundt i fildelinger og plutselig logger på en hel haug med systemer serielt på rad – den typen aktiviteter, eller mange RDP-forbindelser flyr rundt i nettverket fra kontoer som normalt ikke er knyttet til den aktiviteten...
… disse typene mistenkelige ting kan hjelpe deg med å begrense mengden skade som personen kan forårsake, ved å begrense tiden de har på å avdekke eventuelle andre sikkerhetsfeil du kan ha gjort som tillot dem å få tilgang til disse administrative legitimasjonene.
Dette er en ting som mange team virkelig sliter med: hvordan ser man at disse legitime verktøyene blir misbrukt?
Det er en skikkelig utfordring her.
For i dette eksemplet høres det ut som en Uber-ansatt ble lurt til å invitere noen inn, i en forkledning som så ut som dem til slutt.
Du har nå en legitim ansatts konto, en som ved et uhell inviterte en kriminell inn på datamaskinen deres, og løper rundt og gjør ting som ansatte sannsynligvis ikke vanligvis er forbundet med.
Så det må virkelig være en del av overvåkingen og trusseljakten din: å vite hva som er normalt, slik at du kan oppdage "unormal normal".
Fordi de ikke tok med seg skadelige verktøy – de bruker verktøy som allerede er der.
Vi vet at de så på PowerShell-skript, den slags ting - ting du sannsynligvis allerede har.
Det som er uvanlig er at denne personen samhandler med den PowerShell, eller denne personen som samhandler med den RDP.
Og det er ting som er mye vanskeligere å se opp for enn å bare vente på at et varsel skal dukke opp i dashbordet ditt.
AND. Så, Chester, hva er ditt råd til selskaper som ikke ønsker å finne seg selv i Ubers posisjon?
Selv om dette angrepet forståelig nok har fått en enorm mengde publisitet, på grunn av skjermbildene som sirkulerer, fordi det ser ut til å være: "Wow, skurkene kom absolutt overalt"...
...faktisk er det ikke en unik historie når det gjelder datainnbrudd.
CHET. Du spurte om rådet, hva ville jeg si til en organisasjon?
Og jeg må tenke tilbake på en god venn av meg som var CISO ved et stort universitet i USA for rundt ti år siden.
Jeg spurte ham hva sikkerhetsstrategien hans var, og han sa: «Det er veldig enkelt. Antagelse om brudd."
Jeg antar at jeg er brutt, og at det er folk i nettverket mitt som jeg ikke vil ha i nettverket mitt.
Så jeg må bygge alt med antagelsen om at det allerede er noen her inne som ikke burde være det, og spørre: "Har jeg beskyttelsen på plass selv om samtalen kommer fra huset?"
I dag har vi et buzzword for det: Null tillit, som de fleste av oss er lei av å si allerede. [LETER]
Men det er tilnærmingen: antagelse om brudd; null tillit.
Du skal ikke ha friheten til å bare streife rundt fordi du tar på deg en forkledning som ser ut til å være en ansatt i organisasjonen.
AND. Og det er egentlig nøkkelen til Zero Trust, er det ikke?
Det betyr ikke "du må aldri stole på at noen gjør noe."
Det er en slags metafor for å si: "Anta ingenting", og "Ikke gi folk tillatelse til å gjøre mer enn de trenger å gjøre for oppgaven i hånden."
CHET. Nettopp.
Forutsatt at angriperne dine ikke får så mye glede av å komme ut av det faktum at du ble hacket som skjedde i dette tilfellet...
…du vil sannsynligvis sørge for at du har en god måte for ansatte å rapportere uregelmessigheter når noe ikke virker som det skal, for å være sikker på at de kan gi beskjed til sikkerhetsteamet ditt.
Fordi snakker om datainnbrudd dveletider fra vår Handlebok for aktiv motstander, de kriminelle er oftest på nettverket ditt i minst ti dager:
Så du har vanligvis en solid uke til ti dager, der hvis du bare har noen ørneøyne som ser ting, har du en god sjanse til å stenge den før det verste skjer.
AND. Faktisk, fordi hvis du tenker på hvordan et typisk phishing-angrep fungerer, er det svært sjelden at skurkene vil lykkes på første forsøk.
Og hvis de ikke lykkes på første forsøk, pakker de ikke bare kofferten og vandrer.
De prøver neste person, og neste person, og neste person.
Hvis de bare kommer til å lykkes når de prøver angrepet på den 50. personen, så hvis noen av de forrige 49 oppdaget det og sa noe, kunne du ha grepet inn og fikset problemet.
CHET. Absolutt - det er kritisk!
Og du snakket om å lure folk til å gi bort 2FA-tokens.
Det er et viktig poeng her - det var multifaktorautentisering hos Uber, men personen ser ut til å ha blitt overbevist om å omgå den.
Og vi vet ikke hva den metoden var, men de fleste multifaktormetoder har dessverre muligheten til å omgås.
Alle av oss er kjent med de tidsbaserte tokenene, der du får de seks sifrene på skjermen og du blir bedt om å legge de seks sifrene inn i appen for å autentisere.
Selvfølgelig er det ingenting som hindrer deg i å gi de seks sifrene til feil person slik at de kan autentisere.
Så, tofaktorautentisering er ikke en allsidig medisin som kurerer all sykdom.
Det er rett og slett en fartsdump som er enda et skritt på veien for å bli sikrere.
AND. En velbestemt kjeltring som har tid og tålmodighet til å fortsette å prøve, kan til slutt komme inn.
Og som du sier, målet ditt er å minimere tiden de har for å maksimere avkastningen på det faktum at de fikk i utgangspunktet...
CHET. Og den overvåkingen må skje hele tiden.
Selskaper som Uber er store nok til å ha sitt eget 24/7 sikkerhetsoperasjonssenter for å overvåke ting, selv om vi ikke er helt sikre på hva som skjedde her, og hvor lenge denne personen var inne, og hvorfor de ikke ble stoppet
Men de fleste organisasjoner er ikke nødvendigvis i stand til å kunne gjøre det internt.
Det er veldig praktisk å ha eksterne ressurser tilgjengelig som kan overvåke – *kontinuerlig* overvåke – for denne ondsinnede oppførselen, noe som forkorter tiden den ondsinnede aktiviteten pågår ytterligere.
For folk som kanskje har vanlige IT-ansvar og annet arbeid å gjøre, kan det være ganske vanskelig å se disse legitime verktøyene bli brukt, og oppdage et bestemt mønster av dem som blir brukt som en ondsinnet ting...
AND. Buzzwordet du snakker om der er det vi kjenner som MDR, en forkortelse for Administrert deteksjon og respons, hvor du får en haug med eksperter enten til å gjøre det for deg eller hjelpe deg.
Og jeg tror det fortsatt er ganske mange mennesker der ute som forestiller seg: «Hvis jeg blir sett for å gjøre det, ser det ikke ut som om jeg har fraskrevet meg ansvaret? Er det ikke en innrømmelse at jeg absolutt ikke vet hva jeg gjør?»
Og det er det ikke, er det?
Faktisk kan du argumentere for at det faktisk gjør ting på en mer kontrollert måte, fordi du velger folk som hjelper deg å ta vare på nettverket ditt *som gjør det og bare det* for å leve av.
Og det betyr at det vanlige IT-teamet ditt, og til og med ditt eget sikkerhetsteam... i tilfelle en nødsituasjon kan de faktisk fortsette å gjøre alle de andre tingene som må gjøres uansett, selv om du er under angrep.
CHET. Absolutt.
Jeg antar at den siste tanken jeg har er dette...
Ikke oppfatt at et merke som Uber blir hacket som at det er umulig for deg å forsvare deg selv.
Store firmanavn er nesten store troféjakter for folk som personen som er involvert i dette bestemte hacket.
Og bare fordi et stort selskap kanskje ikke hadde den sikkerheten de burde, betyr det ikke at du ikke kan det!
Det var mye defaitistisk skravling blant mange organisasjoner jeg snakket med etter noen tidligere store hacks, som Target og Sony, og noen av disse hackene som vi hadde i nyhetene for ti år siden.
Og folk sa: "Aaargh ... hvis de med alle ressursene til Target ikke kan forsvare seg selv, hvilket håp er det for meg?"
Og jeg tror egentlig ikke det er sant i det hele tatt.
I de fleste av disse tilfellene ble de målrettet fordi de var veldig store organisasjoner, og det var et veldig lite hull i deres tilnærming som noen kunne komme seg inn gjennom.
Det betyr ikke at du ikke har en sjanse til å forsvare deg selv.
Dette var sosial ingeniørkunst, etterfulgt av noen tvilsomme praksiser med å lagre passord i PowerShell-filer.
Dette er ting du veldig enkelt kan se etter, og utdanne dine ansatte om, for å sikre at du ikke gjør de samme feilene.
Bare fordi Uber ikke kan gjøre det, betyr det ikke at du ikke kan det!
AND. Faktisk – jeg synes det er veldig bra sagt, Chester.
Har du noe imot at jeg avslutter med en av mine tradisjonelle klisjeer?
(Tingen med klisjeer er at de generelt blir klisjeer ved å være sanne og nyttige.)
Etter hendelser som dette: "De som ikke kan huske historien er dømt til å gjenta den - ikke vær den personen!"
Chester, tusen takk for at du tok deg tid til den travle timeplanen din, for jeg vet at du faktisk har en nettprat å gjøre i kveld.
Så tusen takk for det.
Og la oss avslutte på vår vanlige måte med å si: «Til neste gang, vær trygg.»
[MUSIKK MODEM]
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- Data Loss
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- podcast
- Sikkerhetsledelse
- VPN
- nettside sikkerhet
- zephyrnet
![S3 Ep128: Så du vil være nettkriminell? [Lyd + tekst]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-360x188.png)
