КИБЕРБЕЗОПАСНОСТЬ: «ОНИ НЕ СДЕЛАЛИ, А ВЫ МОЖЕТЕ!»
С Полом Даклином и Честером Вишневски
Интро и аутро музыка Эдит Мадж.
Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.
Вы можете слушать нас на Soundcloud, Подкасты Apple, Подкасты Google, Spotify, Брошюровщик и везде, где есть хорошие подкасты. Или просто скинь URL нашего RSS-канала в свой любимый подкэтчер.
ПРОЧИТАЙТЕ СТЕНОКРИФИК
УТКА. Всем привет.
Добро пожаловать в этот специальный мини-эпизод подкаста Naked Security.
Меня зовут Пол Даклин, и сегодня ко мне присоединился мой друг и коллега Честер Вишневски.
Честер, я подумал, что мы должны сказать кое-что о том, что стало главной новостью недели… возможно, это будет главная новость месяца!
я просто прочитаю тебе заголовок Я использовал на Naked Security:
«UBER БЫЛ ВЗЛОМАН, — хвастается хакер, — как этого не допустить».
Так!
Расскажи нам обо всем….
ЧЕТ. Ну, я могу подтвердить, что машины все еще ездят.
Еду к вам из Ванкувера, нахожусь в центре города, смотрю в окно, а за окном на самом деле сидит убер…
УТКА. Его не было весь день?
ЧЕТ. Нет, это не так. [СМЕЕТСЯ]
Если вы нажмете кнопку, чтобы остановить машину внутри приложения, будьте уверены: на данный момент кажется, что к вам действительно кто-то придет и подвезет вас.
Но если вы работаете в Uber, не обязательно быть настолько уверенным, что вы собираетесь делать что угодно в течение следующих нескольких дней, учитывая влияние на их системы.
На самом деле, Дак, мы не знаем многих подробностей того, что именно произошло.
Но на очень высоком уровне все пришли к общему мнению, что в отношении сотрудника Uber применялась некая социальная инженерия, которая позволила кому-то закрепиться внутри сети Uber.
И они могли перемещаться вбок, как мы говорим, или поворачиваться, как только они попадали внутрь, чтобы найти какие-то административные полномочия, которые в конечном итоге привели к тому, что они получили ключи от царства Uber.
УТКА. Значит, это не похоже на традиционную кражу данных, или национальное государство, или атаку программ-вымогателей, не так ли?
ЧЕТ. Нет.
Это не значит, что кто-то еще не мог быть в их сети, используя аналогичные методы — вы никогда не знаете наверняка.
На самом деле, когда наша группа быстрого реагирования реагирует на инциденты, мы часто обнаруживаем, что в сети было более одного злоумышленника, потому что они использовали схожие методы доступа.
УТКА. Да… у нас даже была история о двух мошенниках-вымогателях, практически неизвестных друг другу, которые проникли одновременно.
Таким образом, некоторые файлы были зашифрованы с помощью программы-вымогателя-А, затем программы-вымогателя-Б, а некоторые — с помощью программы-вымогателя-В, за которой следует программа-вымогатель-А.
Это был адский бардак…
ЧЕТ. Ну, это старые новости, Дак. [СМЕЕТСЯ]
С тех пор мы опубликовали еще один, где *три* разных программы-вымогателя были в одной сети.
УТКА. О, Боже! [БОЛЬШОЙ СМЕХ] Я продолжаю смеяться над этим, но это неправильно. [СМЕЕТСЯ]
ЧЕТ. Нередки случаи, когда в дело вмешиваются несколько злоумышленников, потому что, как вы говорите, если один человек может обнаружить недостаток в вашем подходе к защите вашей сети, нет никаких оснований предполагать, что другие люди, возможно, не обнаружили такой же недостаток.
Но в данном случае, я думаю, вы правы, в том, что это вроде бы «для лулзов», если хотите.
Я имею в виду, что человек, который сделал это, в основном собирал трофеи по мере их распространения по сети — в виде скриншотов всех этих различных инструментов, утилит и программ, которые использовались в Uber — и публиковал их публично, я думаю, для улицы. кредит
УТКА. Итак, в атаке, совершенной кем-то, кто *не хотел* хвастаться правами, этим злоумышленником мог быть IAB, посредник первоначального доступа, не так ли?
В таком случае они бы не поднимали по этому поводу большого шума.
Они бы собрали все пароли, а потом вышли бы и сказали: «Кто хотел бы их купить?»
ЧЕТ. Да, это супер-супер опасно!
Каким бы плохим ни казался Uber прямо сейчас, особенно кто-то из отдела по связям с общественностью или службы внутренней безопасности Uber, на самом деле это наилучший возможный исход…
…просто результатом этого будет смущение, возможно, какие-то штрафы за потерю конфиденциальной информации о сотрудниках и тому подобное.
Но правда в том, что почти для всех остальных жертвами этого типа атаки являются программы-вымогатели или несколько программ-вымогателей в сочетании с криптомайнерами и другими видами кражи данных.
Это намного, гораздо дороже для организации, чем просто смущение.
УТКА. Так что эта идея о мошенниках, проникающих внутрь и способных бродить по своему желанию и выбирать, куда им идти…
…к сожалению, это не является чем-то необычным.
ЧЕТ. Это действительно подчеркивает важность активного поиска проблем, а не ожидания предупреждений.
Очевидно, что этот человек смог взломать систему безопасности Uber, изначально не вызывая никаких предупреждений, что дало ему время побродить вокруг.
Вот почему поиск угроз, согласно терминологии, так важен в наши дни.
Потому что чем ближе к нулевой минуте или нулевому дню вы можете обнаружить подозрительную активность людей, копающихся в общих файловых ресурсах и внезапно входящих в целую кучу систем последовательно подряд — эти типы действий или множество подключений RDP по сети с учетных записей, которые обычно не связаны с этой деятельностью…
…эти типы подозрительных вещей могут помочь вам ограничить размер ущерба, который может нанести этот человек, ограничив количество времени, которое у него есть, чтобы разгадать любые другие ошибки безопасности, которые вы могли сделать, которые позволили им получить доступ к этим административным учетным данным.
Это то, с чем действительно борются многие команды: как увидеть, что этими законными инструментами злоупотребляют?
Это настоящий вызов здесь.
Потому что в этом примере это звучит так, как будто сотрудника Uber обманом заставили кого-то пригласить в маскировку, которая в итоге выглядела как он сам.
Теперь у вас есть законная учетная запись сотрудника, которая случайно пригласила преступника в свой компьютер, бегая туда-сюда и занимаясь делами, с которыми сотрудник, вероятно, обычно не связан.
Так что это действительно должно быть частью вашего мониторинга и поиска угроз: знание того, что на самом деле является нормальным, чтобы вы могли обнаружить «аномальную норму».
Потому что они не принесли с собой вредоносные инструменты — они используют инструменты, которые уже есть.
Мы знаем, что они рассматривали сценарии PowerShell и тому подобное — то, что у вас, вероятно, уже есть.
Что необычно, так это то, что этот человек взаимодействует с этим PowerShell или этот человек взаимодействует с этим RDP.
И это вещи, за которыми гораздо сложнее следить, чем просто ждать появления предупреждения на панели инструментов.
УТКА. Итак, Честер, что бы вы посоветовали компаниям, которые не хотят оказаться в положении Uber?
Хотя эта атака по понятным причинам получила широкую огласку из-за циркулирующих скриншотов, потому что кажется: «Вау, мошенники проникли абсолютно везде»…
…на самом деле, это не уникальная история с утечкой данных.
ЧЕТ. Вы спросили о совете, что бы я сказал организации?
И я должен вспомнить своего хорошего друга, который около десяти лет назад был директором по информационным технологиям крупного университета в Соединенных Штатах.
Я спросил его, какова его стратегия безопасности, и он сказал: «Это очень просто. Предположение о нарушении».
Я предполагаю, что меня взломали, и что в моей сети есть люди, которых я не хочу видеть в своей сети.
Поэтому я должен строить все с предположением, что здесь уже есть кто-то, кого не должно быть, и спрашивать: «Есть ли у меня защита на месте, даже если звонок исходит из дома?»
Сегодня у нас есть модное слово для этого: Zero Trust, что большинству из нас уже надоело говорить. [СМЕЕТСЯ]
Но таков подход: предположение о нарушении; нулевое доверие.
У вас не должно быть свободы просто бродить вокруг, потому что вы маскируетесь под сотрудника организации.
УТКА. И это действительно ключ к нулевому доверию, не так ли?
Это не значит: «Ты никогда и никому ничего не должен доверять».
Это своего рода метафора слов «ничего не предполагать» и «не позволяйте людям делать больше, чем им нужно для выполнения поставленной задачи».
ЧЕТ. Точно.
Если исходить из того, что ваши злоумышленники не получают столько удовольствия от раскрытия того, что вас взломали, как в данном случае…
… вы, вероятно, хотите убедиться, что у сотрудников есть хороший способ сообщать об аномалиях, когда что-то кажется неправильным, чтобы убедиться, что они могут предупредить вашу команду безопасности.
Поскольку говоря о времени ожидания утечки данных из нашего Сценарий активного противника, преступники чаще всего находятся в вашей сети не менее десяти дней:
Таким образом, у вас есть солидная неделя-десять дней, как правило, где, если у вас есть орлиный взгляд, который замечает вещи, у вас есть хороший шанс закрыть его до того, как произойдет худшее.
УТКА. Действительно, потому что, если подумать о том, как работает типичная фишинговая атака, очень редко мошенникам удается добиться успеха с первой попытки.
И если у них не получается с первой попытки, они не просто собирают чемоданы и уходят прочь.
Они пробуют следующего человека, и следующего человека, и следующего человека.
Если они добьются успеха только тогда, когда попытаются атаковать 50-го человека, тогда, если кто-то из предыдущих 49 заметил это и что-то сказал, вы могли бы вмешаться и решить проблему.
ЧЕТ. Абсолютно – это важно!
И вы говорили о том, как обманом заставить людей раздавать токены 2FA.
Это важный момент — в Uber была многофакторная аутентификация, но человека, похоже, убедили обойти ее.
И мы не знаем, что это была за методология, но большинство многофакторных методов, к сожалению, можно обойти.
Все мы знакомы с токенами на основе времени, когда вы получаете шесть цифр на экране, и вас просят ввести эти шесть цифр в приложение для аутентификации.
Конечно, ничто не мешает вам дать шесть цифр не тому человеку, чтобы он мог аутентифицироваться.
Таким образом, двухфакторная аутентификация не является универсальным лекарством, которое лечит все болезни.
Это просто «лежачий полицейский», который является еще одним шагом на пути к большей безопасности.
УТКА. Решительный мошенник, у которого есть время и терпение, чтобы продолжать попытки, в конечном итоге может попасть внутрь.
И, как вы говорите, ваша цель — свести к минимуму время, которое у них есть, чтобы максимизировать отдачу от того факта, что они получили в первую очередь…
ЧЕТ. И этот мониторинг должен происходить постоянно.
Такие компании, как Uber, достаточно велики, чтобы иметь свой собственный круглосуточный центр безопасности для наблюдения за всем, хотя мы не совсем уверены, что здесь произошло, и как долго этот человек находился в тюрьме, и почему его не остановили.
Но большинство организаций не обязательно в состоянии сделать это своими силами.
Очень удобно иметь доступные внешние ресурсы, которые могут отслеживать — *постоянно* — следить за этим вредоносным поведением, еще больше сокращая время, в течение которого происходит вредоносная активность.
Для людей, которые, возможно, имеют регулярные обязанности в области ИТ и другую работу, может быть довольно сложно увидеть, как используются эти законные инструменты, и определить один конкретный шаблон их использования в качестве вредоносного…
УТКА. Модное слово, о котором вы говорите, это то, что мы знаем как MDR, сокращение от Управляемое обнаружение и ответ, где вы получаете группу экспертов, которые либо сделают это за вас, либо помогут вам.
И я думаю, что все еще существует довольно много людей, которые воображают: «Если меня увидят, как я это делаю, разве это не выглядит так, будто я отказался от своей ответственности? Разве это не признание того, что я совершенно не знаю, что делаю?»
И это не так, не так ли?
На самом деле, вы могли бы возразить, что на самом деле это делает вещи более контролируемым образом, потому что вы выбираете людей, которые помогут вам заботиться о вашей сети *которые делают это и только это * для жизни.
И это означает, что ваша обычная ИТ-команда и даже ваша собственная служба безопасности… в случае чрезвычайной ситуации они могут фактически продолжать делать все остальные вещи, которые необходимо делать в любом случае, даже если вы подверглись нападению.
ЧЕТ. Абсолютно.
Я думаю, что последняя мысль, которая у меня есть, это…
Не воспринимайте взлом такого бренда, как Uber, как означающий, что вы не можете защитить себя.
Названия крупных компаний — почти трофейная охота для таких людей, как человек, причастный к этому конкретному взлому.
И только потому, что у большой компании, возможно, не было должной безопасности, это не значит, что вы не можете!
Было много пораженческой болтовни среди многих организаций, с которыми я разговаривал после некоторых предыдущих крупных взломов, таких как Target и Sony, и некоторых из этих взломов, о которых мы рассказывали в новостях десять лет назад.
И люди такие: «Аааа… если со всеми ресурсами Target они не могут защитить себя, на что мне надеяться?»
А я вообще не думаю, что это правда.
В большинстве этих случаев они были мишенью, потому что это были очень крупные организации, и в их подходе была очень маленькая дыра, через которую кто-то смог проникнуть.
Это не значит, что у вас нет шансов защитить себя.
Это была социальная инженерия, за которой последовали некоторые сомнительные методы хранения паролей в файлах PowerShell.
Это вещи, за которыми вы можете очень легко следить и обучать своих сотрудников, чтобы убедиться, что вы не совершаете тех же ошибок.
Если Uber не может этого сделать, это не значит, что вы не можете!
УТКА. В самом деле – я думаю, это очень хорошо сказано, Честер.
Не возражаете, если я закончу одним из своих традиционных клише?
(Дело в том, что клише обычно становятся клише, будучи правдивыми и полезными.)
После таких инцидентов: «Тот, кто не помнит историю, обречен на ее повторение — не будь таким человеком!»
Честер, большое спасибо за то, что выкроил время из своего плотного графика, потому что я знаю, что сегодня вечером у тебя есть онлайн-лекция.
Так что большое спасибо за это.
И давайте закончим, как обычно, сказав: «До следующего раза, оставайтесь в безопасности».
[МУЗЫКАЛЬНЫЙ МОДЕМ]
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Подкаст
- Руководство по безопасности
- VPN
- безопасности веб-сайтов
- зефирнет
![S3 Ep128: Так ты хочешь быть киберпреступником? [Аудио + текст]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-360x188.png)
