KIBER VARNOST: “ONI NISO, VI LAHKO!”
S Paulom Ducklinom in Chesterjem Wisniewskim
Uvodna in končna glasba avtorja Edith Mudge.
Kliknite in povlecite spodnje zvočne valove, da preskočite na katero koli točko. Lahko tudi poslušaj neposredno na Soundcloudu.
Poslušate nas lahko na Soundcloud, Apple Podcasts, Google Podcasti, Spotify, Krojač in povsod, kjer so na voljo dobri podcasti. Ali pa preprosto spustite URL našega vira RSS v vaš najljubši podcatcher.
PREBERITE PREPIS
RACA. Pozdravljeni, vsi.
Dobrodošli v tej posebni mini epizodi podcasta Naked Security.
Moje ime je Paul Ducklin in danes se mi je pridružil moj prijatelj in kolega Chester Wisniewski.
Chester, mislil sem, da bi morali povedati nekaj o tem, kar se je spremenilo v veliko zgodbo tedna … verjetno bo to velika zgodba meseca!
Samo prebral ti bom naslov Na Naked Security sem uporabil:
"UBER JE BIL HAKIRAN, heker se ponaša - kako preprečiti, da bi se vam to zgodilo."
Torej!
Povej nam vse o tem…
CHET. No, lahko potrdim, da avtomobili še vozijo.
Prihajam k vam iz Vancouvra, sem v središču mesta, gledam skozi okno in pred oknom dejansko stoji Uber ...
RACA. Ves dan ga ni bilo?
CHET. Ne, ni. [SMEH]
Če v aplikaciji pritisnete gumb, da pokličete avto, bodite prepričani: trenutno se zdi, da bo nekdo dejansko prišel in vas peljal.
Ni pa nujno tako gotovo, če ste zaposleni pri Uberju, da boste naslednjih nekaj dni počeli kar koli, če upoštevamo vpliv na njihove sisteme.
Pravzaprav ne vemo veliko podrobnosti, Duck, kaj se je točno zgodilo.
Toda na zelo visoki ravni se zdi, da je prišlo do nekega socialnega inženiringa zaposlenega v Uberju, ki je nekomu omogočil, da se uveljavi v Uberjevem omrežju.
In lahko so se premaknili bočno, kot pravimo, ali se zasukali, ko so prišli notri, da bi našli nekaj administrativnih poverilnic, ki so jih na koncu pripeljale do ključev kraljestva Uber.
RACA. To torej ne izgleda kot tradicionalna kraja podatkov ali napad nacionalne države ali izsiljevalske programske opreme, kajne?
CHET. No.
To ne pomeni, da morda tudi nekdo drug ni bil v njihovem omrežju in uporablja podobne tehnike – nikoli se ne ve.
Pravzaprav, ko se naša skupina za hitri odziv odzove na incidente, pogosto ugotovimo, da je v omrežju več kot en akter grožnje, ker so izrabljali podobne metode dostopa.
RACA. Ja ... imeli smo celo zgodbo o dveh prevarantih z izsiljevalsko programsko opremo, ki se praktično ne poznata, ki sta vstopila istočasno.
Torej so bile nekatere datoteke šifrirane z izsiljevalsko programsko opremo-A-potem-izsiljevalska programska oprema-B, nekatere pa z izsiljevalsko programsko opremo-B-sledi-izsiljevalska programska oprema-A.
To je bila nesramna zmešnjava ...
CHET. No, to je stara novica, Duck. [SMEH]
Od takrat smo objavili še eno, kjer *trije* različni izsiljevalski programi bili v istem omrežju.
RACA. Ojoj! [VELIK SMEH] Temu se kar naprej smejim, a to je narobe. [SMEH]
CHET. Ni neobičajno, da je prisotno več akterjev grožnje, saj, kot pravite, če lahko ena oseba odkrije napako v vašem pristopu k obrambi vašega omrežja, nič ne kaže, da druge osebe morda niso odkrile iste napake.
Ampak v tem primeru mislim, da imaš prav, saj se zdi, da je "za lulz", če hočete.
Mislim, oseba, ki je to storila, je večinoma zbirala trofeje, ko je skakala po omrežju – v obliki posnetkov zaslona vseh teh različnih orodij in pripomočkov ter programov, ki so bili v uporabi pri Uberju – in jih javno objavljala, predvidevam, da za ulico verodostojno
RACA. Zdaj, v napadu, ki ga je izvedel nekdo, ki *ni* želel pravice do hvalisanja, bi lahko bil ta napadalec IAB, začetni posrednik dostopa, kajne?
V tem primeru ne bi delali velikega hrupa zaradi tega.
Zbrali bi vsa gesla, nato pa izstopili in rekli: "Kdo bi jih rad kupil?"
CHET. Da, to je super-super nevarno!
Čeprav se trenutno zdi, da je Uber slab, zlasti nekdo v Uberjevi skupini za odnose z javnostmi ali notranji varnosti, je to dejansko najboljši možni rezultat ...
... kar pomeni, da bo rezultat tega sramota, verjetno nekaj glob zaradi izgube občutljivih podatkov o zaposlenih, take stvari.
Resnica pa je, da je za skoraj vse ostale, ki so žrtve te vrste napada, končni rezultat izsiljevalska programska oprema ali več izsiljevalskih programov v kombinaciji s kriptominarji in drugimi vrstami kraje podatkov.
To je za organizacijo veliko, veliko dražje kot preprosto osramočenje.
RACA. Torej ta zamisel o prevarantih, ki vstopijo in se lahko po mili volji sprehajajo naokoli in izbirajo, kam gredo ...
… žal ni nenavadno.
CHET. Resnično poudarja pomen aktivnega iskanja težav v nasprotju s čakanjem na opozorila.
Jasno je, da je ta oseba lahko kršila varnost Uberja, ne da bi na začetku sprožila kakršna koli opozorila, kar ji je omogočilo čas za pohajkovanje.
Zato je lov na grožnje, kot pravi terminologija, dandanes tako kritičen.
Ker bližje minuti nič ali dnevu nič lahko zaznate sumljivo dejavnost ljudi, ki brskajo po datotekah v skupni rabi in se nenadoma serijsko zaporedoma prijavljajo v cel kup sistemov – te vrste dejavnosti ali veliko povezav RDP. po omrežju iz računov, ki običajno niso povezani s to dejavnostjo ...
…te vrste sumljivih stvari vam lahko pomagajo omejiti količino škode, ki jo lahko ta oseba povzroči, tako da omejite čas, ki ga ima na voljo, da razkrije vse druge varnostne napake, ki ste jih morda naredili in so jim omogočile dostop do teh skrbniških poverilnic.
To je stvar, s katero se veliko ekip resnično spopada: kako videti, da so ta legitimna orodja zlorabljena?
To je pravi izziv tukaj.
Ker v tem primeru zveni, kot da je bil uslužbenec Uberja prevaran, da je nekoga povabil noter, v preobleki, ki je bila na koncu videti kot oni.
Zdaj imate zakonit račun zaposlenega, ki je pomotoma povabil kriminalca v svoj računalnik, teka naokoli in počne stvari, s katerimi zaposleni verjetno običajno ni povezan.
To mora biti res del vašega spremljanja in lova na grožnje: vedeti, kaj je v resnici normalno, da lahko zaznate »nenormalno normalno«.
Ker s seboj niso prinesli zlonamernih orodij – uporabljajo orodja, ki so že tam.
Vemo, da so si ogledali skripte PowerShell, take stvari – stvari, ki jih verjetno že imate.
Kar je nenavadno, je ta oseba, ki komunicira s tem PowerShell, ali ta oseba, ki komunicira s tem RDP.
In to so stvari, na katere je veliko težje paziti, kot preprosto čakati, da se na nadzorni plošči pojavi opozorilo.
RACA. Torej, Chester, kaj svetuješ podjetjem, ki se ne želijo znajti v položaju Uberja?
Čeprav je razumljivo, da je ta napad zaradi posnetkov zaslona, ki krožijo, dobil ogromno publicitete, ker se zdi, da je "Vau, prevaranti so prišli čisto povsod" ...
…pravzaprav to ni edinstvena zgodba, kar zadeva kršitve podatkov.
CHET. Spraševali ste o nasvetu, kaj bi rekel organizaciji?
Spomniti se moram na svojega dobrega prijatelja, ki je bil pred približno desetimi leti CISO na veliki univerzi v Združenih državah.
Vprašal sem ga, kakšna je njegova varnostna strategija, in rekel je: »Zelo preprosto je. Predpostavka o kršitvi."
Predvidevam, da sem vdrl in da so v mojem omrežju ljudje, ki jih ne želim v svojem omrežju.
Zato moram vse zgraditi s predpostavko, da je nekdo že tukaj, ki ne bi smel biti, in vprašati: "Ali imam zaščito nameščeno, čeprav klic prihaja iz notranjosti hiše?"
Danes imamo za to modno besedo: Nič zaupanja, česar se večina od nas že naveliča povedati. [SMEH]
Toda to je pristop: predpostavka kršitve; nič zaupanja.
Ne bi smeli imeti svobode, da bi se preprosto sprehajali naokoli, ker ste se preoblekli, kot da ste zaposleni v organizaciji.
RACA. In to je res ključ ničelnega zaupanja, kajne?
To ne pomeni: "Nikoli ne smete nikomur zaupati, da bo kar koli naredil."
To je nekakšna metafora za besede: "Ne domnevajte ničesar" in "Ne pooblaščajte ljudi, da naredijo več, kot morajo storiti za nalogo, ki jo opravljajo."
CHET. natančno.
Ob predpostavki, da vaši napadalci ne dobijo toliko veselja od razkritja dejstva, da ste bili vdrti, kot se je zgodilo v tem primeru ...
… verjetno se želite prepričati, da imate člane osebja na voljo dober način za poročanje o nepravilnostih, ko se nekaj ne zdi v redu, da zagotovite, da lahko opozorijo vašo varnostno skupino.
Ker govorimo o času zadrževanja vdora podatkov od našega Aktivni nasprotnik Playbook, so kriminalci najpogosteje v vašem omrežju vsaj deset dni:
Torej imate običajno od tedna do deset dni, ko imate le nekaj orlovskih oči, ki opazujejo stvari, imate res dobre možnosti, da ga izklopite, preden se zgodi najhujše.
RACA. Dejansko, če pomislite, kako deluje tipičen napad lažnega predstavljanja, je zelo redko, da bodo prevaranti uspeli v prvem poskusu.
In če jim ne uspe v prvem poskusu, ne pospravijo kovčkov in ne odtavajo.
Poskušajo naslednjo osebo, in naslednjo osebo, in naslednjo osebo.
Če jim bo uspelo šele, ko bodo poskusili napad na 50. osebo, potem bi lahko posredoval in rešil težavo, če bi kdo od prejšnjih 49 to opazil in nekaj rekel.
CHET. Absolutno – to je kritično!
In govorili ste o prevaranju ljudi, da dajo žetone 2FA.
To je tukaj pomembna točka – pri Uberju je obstajala večfaktorska avtentikacija, vendar se zdi, da je bila oseba prepričana, da jo zaobide.
In ne vemo, kakšna je bila ta metodologija, vendar je večino večfaktorskih metod na žalost mogoče zaobiti.
Vsi poznamo žetone, ki temeljijo na času, kjer dobite šest števk na zaslonu in od vas se zahteva, da teh šest števk vnesete v aplikacijo za preverjanje pristnosti.
Seveda vam nič ne preprečuje, da bi teh šest števk dali napačni osebi, da se lahko potrdi.
Torej dvofaktorska avtentikacija ni univerzalno zdravilo, ki zdravi vse bolezni.
To je le hitrostna ovira, ki je še en korak na poti do večje varnosti.
RACA. Odločen goljuf, ki ima čas in potrpežljivost, da še naprej poskuša, lahko sčasoma pride notri.
In kot pravite, vaš cilj je čim bolj skrajšati čas, ki ga imajo, da povečajo donos na dejstvo, da so sploh dobili ...
CHET. In to spremljanje mora potekati ves čas.
Podjetja, kot je Uber, so dovolj velika, da imajo lasten 24-urni varnostni operativni center za spremljanje stvari, čeprav nismo povsem prepričani, kaj se je tukaj zgodilo, koliko časa je bila ta oseba in zakaj je niso ustavili
Vendar večina organizacij ni nujno v položaju, da bi to lahko naredila sama.
Izredno priročno je imeti na voljo zunanje vire, ki lahko spremljajo – *neprekinjeno* spremljajo – to zlonamerno vedenje, s čimer še bolj skrajšajo čas, v katerem se dogaja zlonamerna dejavnost.
Za ljudi, ki imajo morda redne IT-obveznosti in drugo delo, je lahko zelo težko videti, da se ta zakonita orodja uporabljajo, in opaziti en poseben vzorec njihove uporabe kot zlonamerne stvari ...
RACA. Krizna beseda, o kateri govorite, je tisto, kar poznamo kot MDR, okrajšava za Upravljano odkrivanje in odziv, kjer dobite kup strokovnjakov, ki to naredijo namesto vas ali vam pomagajo.
In mislim, da je še vedno veliko ljudi, ki si predstavljajo: »Če so me videli, da to počnem, ali ni videti, kot da sem opustil svojo odgovornost? Ali ni to priznanje, da absolutno ne vem, kaj počnem?«
In ni, kajne?
Pravzaprav bi lahko trdili, da dejansko počne stvari na bolj nadzorovan način, ker izbirate ljudi, ki vam bodo pomagali skrbeti za vaše omrežje *ki delajo to in samo to* za preživetje.
In to pomeni, da lahko vaša redna IT ekipa in celo vaša varnostna ekipa ... v nujnih primerih dejansko nadaljujejo z vsemi drugimi stvarmi, ki jih je tako ali tako treba narediti, tudi če ste napadeni.
CHET. Absolutno.
Mislim, da je zadnja misel, ki jo imam, to ...
Ne dojemajte vdora v blagovno znamko, kot je Uber, kot to, da se ne morete braniti.
Imena velikih podjetij so skoraj lov na velike trofeje za ljudi, kot je oseba, vpletena v ta vdor.
In samo zato, ker veliko podjetje morda ni imelo varnosti, ki bi jo moralo, še ne pomeni, da vi ne morete!
Med številnimi organizacijami, s katerimi sem se pogovarjal po nekaterih prejšnjih velikih vdorih, kot sta Target in Sony, in o nekaterih od teh vdorov, o katerih smo poročali pred desetimi leti, je bilo veliko poraznega klepetanja.
In ljudje so bili: "Aaargh ... če se z vsemi viri Targeta ne morejo braniti, kakšno upanje je zame?"
In mislim, da to sploh ni res.
V večini teh primerov so bili tarča, ker so bile zelo velike organizacije in je bila v njihovem pristopu zelo majhna luknja, skozi katero je nekdo lahko prišel.
To ne pomeni, da se nimaš možnosti braniti.
To je bil socialni inženiring, ki mu je sledilo nekaj vprašljivih praks shranjevanja gesel v datotekah PowerShell.
To so stvari, na katere lahko zelo enostavno pazite in o njih poučite svoje zaposlene, da zagotovite, da ne delate istih napak.
Samo zato, ker Uber tega ne zmore, še ne pomeni, da vi ne zmorete!
RACA. Res – mislim, da je to zelo dobro povedano, Chester.
Vas moti, če končam z enim od svojih tradicionalnih klišejev?
(Klišeji na splošno postanejo klišeji, ker so resnični in uporabni.)
Po incidentih, kot je ta: "Tisti, ki se ne morejo spomniti zgodovine, so obsojeni, da jo ponavljajo - ne bodite ta oseba!"
Chester, najlepša hvala, da si si vzel čas iz svojega natrpanega urnika, ker vem, da imaš nocoj pravzaprav spletni pogovor.
Torej, najlepša hvala za to.
In zaključimo na naš običajen način z besedami: "Do naslednjič ostanite varni."
[GLASBENI MODEM]
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- izguba podatkov
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Gola varnost
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Podcast
- Varnostno vodstvo
- VPN
- spletna varnost
- zefirnet
