SİBER GÜVENLİK: “Onlar yapmadı ama sen yapabilirsin!”
Paul Ducklin ve Chester Wisniewski ile
Giriş ve çıkış müziği Edith Çamur.
Herhangi bir noktaya atlamak için aşağıdaki ses dalgalarına tıklayın ve sürükleyin. Ayrıca doğrudan dinle Soundcloud'da.
adresinden bizi dinleyebilirsiniz. Soundcloud, Apple Podcast'leri, Google Podcast'ler, Spotify, dikiş ve iyi podcast'lerin bulunduğu her yerde. Ya da sadece bırak RSS beslememizin URL'si en sevdiğiniz podcatcher'a girin.
TRANSKRİPTİ OKUYUN
ÖRDEK. Herkese merhaba.
Çıplak Güvenlik podcast'inin bu özel mini bölümüne hoş geldiniz.
Adım Paul Ducklin ve bugün arkadaşım ve meslektaşım Chester Wisniewski de bana eşlik ediyor.
Chester, haftanın büyük hikayesine dönüşen şey hakkında bir şeyler söylememiz gerektiğini düşündüm... muhtemelen ayın büyük hikayesi bu olacak!
sana sadece okuyacağım başlık Naked Security'de kullandım:
"UBER HACKLENDİ, hacker'la övünüyor - bunun sizin başınıza gelmesini nasıl önleyebilirsiniz."
Yani!
Bize her şeyi anlatın...
ÇET. Arabaların hâlâ hareket ettiğini doğrulayabilirim.
Vancouver'dan size geliyorum, şehir merkezindeyim, pencereden dışarı bakıyorum ve aslında pencerenin dışında duran bir Uber var…
ÖRDEK. Bütün gün orada değil miydi?
ÇET. Hayır, olmadı. [Gülüyor]
Uygulamanın içinde bir araba çağırmak için düğmeye basarsanız, içiniz rahat olsun: şu anda gerçekten birisinin gelip sizi götürmesini sağlayacaksınız gibi görünüyor.
Ancak Uber'de çalışan biriyseniz, sistemleri üzerindeki etkisi göz önüne alındığında önümüzdeki birkaç gün içinde pek çok şeyi yapacağınız kesin değildir.
Aslında tam olarak ne olduğuna dair pek fazla ayrıntı bilmiyoruz Duck.
Ancak, çok yüksek düzeyde, bir Uber çalışanının, birisinin Uber ağında yer edinmesine olanak tanıyan bir tür sosyal mühendislik yaptığı yönünde fikir birliği var gibi görünüyor.
Ve içeri girdiklerinde, sonunda Uber krallığının anahtarlarına sahip olmalarına yol açan bazı idari kimlik bilgilerini bulmak için, dediğimiz gibi yanlamasına hareket edebildiler veya kendi etrafında dönebildiler.
ÖRDEK. Yani bu geleneksel bir veri hırsızlığına, ulus devlete veya fidye yazılımı saldırısına benzemiyor, değil mi?
ÇET. Hayır.
Bu, bir başkasının da benzer teknikleri kullanarak onların ağına girmemiş olabileceği anlamına gelmez; bunu asla tam olarak bilemezsiniz.
Aslında, Hızlı Müdahale ekibimiz olaylara müdahale ettiğinde, genellikle bir ağ içinde birden fazla tehdit aktörünün bulunduğunu görüyoruz çünkü bunlar benzer erişim yöntemlerinden yararlanıyor.
ÖRDEK. Evet... hatta birbirini tanımayan iki fidye yazılımı dolandırıcısının aynı anda içeri girdiğine dair bir hikayemiz bile vardı.
Yani, bazı dosyalar önce fidye yazılımı A, ardından fidye yazılımı B ile, bazıları ise fidye yazılımı B ve ardından fidye yazılımı A ile şifrelendi.
Bu, kutsal olmayan bir karmaşaydı…
ÇET. Bu eski bir haber Duck. [Gülüyor]
O zamandan beri başka bir tane yayınladık; *üç* farklı fidye yazılımı aynı ağdaydık.
ÖRDEK. Ah hayatım! [BÜYÜK KAHKAHA] Buna gülmeye devam ediyorum ama bu yanlış. [Gülüyor]
ÇET. Birden fazla tehdit aktörünün bu işin içinde olması alışılmadık bir durum değil, çünkü sizin de söylediğiniz gibi, eğer bir kişi ağınızı savunma yaklaşımınızda bir kusur keşfederse, diğer insanların da aynı kusuru keşfetmemiş olabileceğini düşündürecek hiçbir şey yoktur.
Ancak bu durumda sanırım haklısınız, zira bu "lulz için" gibi görünüyor, tabiri caizse.
Demek istediğim, bunu yapan kişi çoğunlukla Uber'de kullanılan tüm bu farklı araçların, yardımcı programların ve programların ekran görüntüleri şeklinde ağda dolaşırken ödülleri topluyordu ve bunları sanırım sokak için herkese açık olarak yayınlıyordu. inanç.
ÖRDEK. Şimdi, övünme hakkı istemeyen birinin yaptığı bir saldırıda, bu saldırgan bir IAB, bir ilk erişim komisyoncusu olabilirdi, değil mi?
Bu durumda bu konuda fazla ses çıkarmazlardı.
Bütün şifreleri toplayıp dışarı çıkıp “Kim satın almak ister?” derlerdi.
ÇET. Evet, bu çok çok tehlikeli!
Uber şu anda ne kadar kötü görünse de, özellikle de Uber'in Halkla İlişkiler veya iç güvenlik ekiplerinden biri için, aslında bu mümkün olan en iyi sonuçtur…
…bunun sonucu utanç verici olacak, muhtemelen hassas çalışan bilgilerinin kaybedilmesi nedeniyle cezalar verilecek, bu tür şeyler.
Ancak gerçek şu ki, bu tür bir saldırı neredeyse herkes için mağduriyet yaratıyor, nihai sonuç, kripto madenciler ve diğer veri hırsızlığıyla birlikte fidye yazılımı veya birden fazla fidye yazılımıyla sonuçlanıyor.
Bu, kuruluş için utanmaktan çok çok daha pahalıya mal olur.
ÖRDEK. Yani dolandırıcıların içeri girip istedikleri gibi dolaşabilmeleri ve gidecekleri yeri seçebilmeleri fikri...
…ne yazık ki alışılmadık bir durum değil.
ÇET. Uyarıları beklemek yerine aktif olarak sorun aramanın önemini gerçekten vurguluyor.
Açıkçası bu kişi, başlangıçta herhangi bir uyarıyı tetiklemeden Uber güvenliğini ihlal edebildi ve bu da onlara ortalıkta dolaşmak için zaman tanıdı.
Bu nedenle, terminolojiye göre tehdit avcılığı bugünlerde çok kritik.
Çünkü sıfır dakikaya veya sıfırıncı güne yaklaştıkça, dosya paylaşımlarında dolaşan ve birdenbire seri olarak bir dizi sisteme arka arkaya giriş yapan kişilerin şüpheli etkinliklerini, bu tür etkinlikleri veya uçuşan çok sayıda RDP bağlantısını tespit edebilirsiniz. normalde söz konusu etkinlikle ilişkili olmayan hesaplardan ağ üzerinden…
…bu tür şüpheli şeyler, bu idari kimlik bilgilerine erişmelerine olanak tanıyan, yapmış olabileceğiniz diğer güvenlik hatalarını çözmek için harcayacakları süreyi sınırlayarak, o kişinin neden olabileceği zarar miktarını sınırlamanıza yardımcı olabilir.
Bu, pek çok ekibin gerçekten uğraştığı bir konu: Bu meşru araçların kötüye kullanıldığını nasıl görebiliriz?
Burada gerçek bir zorluk var.
Çünkü bu örnekte, bir Uber çalışanının sonunda kendisine benzeyen bir kılık değiştirerek birini içeri davet etmesi için kandırıldığı anlaşılıyor.
Artık, kazara bir suçluyu bilgisayarına davet eden, çalışanın normalde yapmadığı şeyleri yapan meşru bir çalışanın hesabına sahipsiniz.
Yani bu gerçekten izleme ve tehdit avcılığınızın bir parçası olmalı: "anormal normali" tespit edebilmek için gerçekte normalin ne olduğunu bilmek.
Çünkü yanlarında kötü amaçlı araçlar getirmediler; zaten orada olan araçları kullanıyorlar.
PowerShell betiklerine, bu tür şeylere, muhtemelen zaten sahip olduğunuz şeylere baktıklarını biliyoruz.
Sıra dışı olan bu kişinin bu PowerShell ile etkileşime girmesi veya bu kişinin bu RDP ile etkileşime girmesidir.
Ve bunlar, kontrol panelinizde bir uyarının görünmesini beklemekten çok daha zor olan şeylerdir.
ÖRDEK. Peki Chester, kendilerini Uber'in konumunda bulmak istemeyen şirketlere tavsiyen nedir?
Her ne kadar bu saldırı anlaşılır bir şekilde büyük bir tanıtıma sahip olsa da, dolaşan ekran görüntüleri nedeniyle "Vay canına, dolandırıcılar kesinlikle her yere varmış" gibi görünüyor...
…aslında veri ihlalleri açısından bu benzersiz bir hikaye değil.
ÇET. Tavsiyeyi sordunuz, bir kuruluşa ne söylerdim?
Ve yaklaşık on yıl önce Amerika Birleşik Devletleri'ndeki büyük bir üniversitenin CISO'su olan iyi bir arkadaşımı hatırlamam gerekiyor.
Ona güvenlik stratejisinin ne olduğunu sordum ve şöyle dedi: "Çok basit. İhlal varsayımı.”
Saldırıya uğradığımı ve ağımda istemediğim kişilerin ağımda olduğunu varsayıyorum.
Bu yüzden her şeyi, burada olmaması gereken birinin zaten olduğu varsayımıyla inşa etmem gerekiyor ve şu soruyu sormam gerekiyor: "Çağrı evin içinden gelse bile korumam mevcut mu?"
Bugün bunun için bir moda sözümüz var: Sıfır Güvençoğumuzun zaten söylemekten bıktığı şey. [Gülüyor]
Ancak yaklaşım şu: ihlal varsayımı; sıfır güven.
Kuruluşun bir çalışanı gibi görünen bir kılığa büründüğünüz için ortalıkta dolaşma özgürlüğünüz olmamalıdır.
ÖRDEK. Ve bu aslında Sıfır Güven'in anahtarı, değil mi?
Bu, "Hiç kimseye bir şey yapması konusunda asla güvenmemelisin" anlamına gelmez.
Bu, "Hiçbir şey varsayma" ve "İnsanlara, eldeki görev için yapmaları gerekenden fazlasını yapma yetkisi vermeyin" demenin bir tür metaforu.
ÇET. Tam.
Saldırganlarınızın saldırıya uğradığınızı ortaya çıkarmaktan bu durumda olduğu kadar keyif almayacaklarını varsayarsak…
…muhtemelen personelinizin, bir şeyler yolunda gitmediğinde anormallikleri rapor etmesi için iyi bir yönteme sahip olduğunuzdan emin olmak istersiniz, böylece onların güvenlik ekibinize bilgi verebildiğinden emin olursunuz.
Çünkü veri ihlali bekleme sürelerinden bahsediyoruz Aktif Düşman Başucu Kitabısuçlular çoğunlukla en az on gün boyunca ağınızda bulunur:
Yani, tipik olarak, bir hafta ila on gününüz var, eğer bir şeyleri fark eden kartal gözleriniz varsa, en kötüsü olmadan onu kapatmak için gerçekten iyi bir şansınız olur.
ÖRDEK. Aslında tipik bir kimlik avı saldırısının nasıl çalıştığını düşünürseniz, dolandırıcıların ilk denemede başarılı olması çok nadirdir.
Ve eğer ilk denemede başarılı olamazlarsa, çantalarını toplayıp çekip gitmezler.
Bir sonraki kişiyi, bir sonraki kişiyi ve bir sonraki kişiyi denerler.
Eğer sadece 50. kişiye saldırıyı denedikleri zaman başarılı olacaklarsa, o zaman önceki 49 kişiden herhangi biri bunu fark edip bir şey söyleseydi, müdahale edip sorunu çözebilirdiniz.
ÇET. Kesinlikle – bu çok kritik!
Ve insanları 2FA jetonlarını vermeleri için kandırmaktan bahsettiniz.
Burada önemli bir nokta var; Uber'de çok faktörlü kimlik doğrulama vardı, ancak kişi bunu atlamaya ikna olmuş gibi görünüyor.
Ve bu metodolojinin ne olduğunu bilmiyoruz, ancak çok faktörlü yöntemlerin çoğu ne yazık ki atlanma yeteneğine sahip.
Hepimiz, ekranda altı rakamı gördüğünüz ve kimlik doğrulaması için bu altı rakamı uygulamaya koymanızın istendiği zamana dayalı belirteçlere aşinayız.
Elbette, kimlik doğrulaması yapabilmeleri için altı rakamı yanlış kişiye vermenizi engelleyen hiçbir şey yok.
Dolayısıyla iki faktörlü kimlik doğrulama, tüm hastalıkları iyileştiren çok amaçlı bir ilaç değildir.
Bu sadece daha güvenli olma yolunda bir başka adım olan bir hız tümseğidir.
ÖRDEK. Denemeye devam edecek zamanı ve sabrı olan, kararlı bir dolandırıcı eninde sonunda içeri girebilir.
Ve sizin de söylediğiniz gibi amacınız, ilk etapta elde ettikleri getiriyi en üst düzeye çıkarmak için gereken süreyi en aza indirmek…
ÇET. Ve bu izlemenin her zaman gerçekleşmesi gerekiyor.
Uber gibi şirketler, olayları izlemek için 24/7 kendi güvenlik operasyon merkezlerine sahip olacak kadar büyük, ancak burada ne olduğundan, bu kişinin ne kadar süre burada kaldığından ve neden durdurulmadığından tam olarak emin değiliz.
Ancak çoğu kuruluş bunu şirket içinde yapabilecek konumda değildir.
Bu kötü niyetli davranışı *sürekli* izleyebilecek, kötü niyetli etkinliğin gerçekleştiği süreyi daha da kısaltabilecek harici kaynakların mevcut olması son derece kullanışlıdır.
Düzenli BT sorumlulukları ve yapacak başka işleri olan kişiler için, bu meşru araçların kullanıldığını görmek ve bunların belirli bir modelinin kötü niyetli bir şey olarak kullanıldığını fark etmek oldukça zor olabilir…
ÖRDEK. Orada bahsettiğiniz moda kelime, MDR olarak bildiğimiz kelimedir, kısaltmasıdır. Yönetilen Tespit ve Yanıt, burada bunu sizin için yapacak veya size yardımcı olacak bir grup uzman bulacaksınız.
Ve sanırım hala dışarıda şunu hayal eden pek çok insan var: "Eğer bunu yaptığım görülürse, sorumluluğumu ortadan kaldırmış gibi görünmüyor muyum? Bu ne yaptığımı kesinlikle bilmediğimin bir itirafı değil mi?”
Ve öyle değil, değil mi?
Aslında, bunun aslında işleri daha kontrollü bir şekilde yaptığını iddia edebilirsiniz, çünkü ağınıza bakmanıza yardımcı olacak *bunu ve sadece bunu yapan* geçinmek için insanları seçiyorsunuz.
Bu da, normal BT ekibinizin ve hatta kendi güvenlik ekibinizin, acil bir durumda, siz saldırı altında olsanız bile aslında yapılması gereken diğer şeyleri yapmaya devam edebilecekleri anlamına gelir.
ÇET. Kesinlikle.
Sanırım aklıma gelen son düşünce şu…
Uber gibi bir markanın hacklenmesini kendinizi savunmanızın imkansız olduğu şeklinde algılamayın.
Büyük şirket isimleri, bu özel hack'e dahil olan kişi gibi insanlar için neredeyse büyük bir ödül avcılığıdır.
Ve büyük bir şirketin olması gereken güvenliğe sahip olmaması sizin de yapamayacağınız anlamına gelmez!
Target ve Sony gibi önceki büyük hacklemelerden ve on yıl önce haberlerde yer alan bu hacklemelerden bazılarından sonra konuştuğum birçok kuruluş arasında yenilgiyi kabul eden pek çok konuşma vardı.
Ve insanlar şöyle dediler, "Aaargh... Target'ın tüm kaynaklarına rağmen kendilerini savunamıyorlarsa benim için ne umut var?"
Ve bunun kesinlikle doğru olduğunu düşünmüyorum.
Bu vakaların çoğunda, çok büyük organizasyonlar oldukları ve yaklaşımlarında birisinin geçebileceği çok küçük bir boşluk olduğu için hedef alınmışlardı.
Bu, kendinizi savunma şansınızın olmadığı anlamına gelmez.
Bu, sosyal mühendislikti ve ardından parolaların PowerShell dosyalarında saklanmasına ilişkin bazı şüpheli uygulamalar geldi.
Bunlar, aynı hataları yapmadığınızdan emin olmak için kolayca izleyebileceğiniz ve çalışanlarınızı bu konuda eğitebileceğiniz şeylerdir.
Uber'in yapamaması sizin yapamayacağınız anlamına gelmez!
ÖRDEK. Gerçekten – bence bu çok iyi ifade edilmiş, Chester.
Geleneksel klişelerimden biriyle bitirmemin bir sakıncası var mı?
(Klişelerin özelliği, bunların genellikle doğru ve faydalı olması nedeniyle klişeye dönüşmesidir.)
Bu gibi olaylardan sonra: “Tarihi hatırlamayanlar onu tekrar etmeye mahkumdur, o kişi olmayın!”
Chester, yoğun programın arasında zaman ayırdığın için çok teşekkür ederim çünkü bu akşam çevrimiçi bir konuşman olduğunu biliyorum.
Bunun için çok teşekkür ederim.
Ve "Bir dahaki sefere kadar güvende kalın" diyerek her zamanki gibi bitirelim.
[MÜZİKAL MODEM]
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- podcast
- Güvenlik liderliği
- VPN
- web sitesi güvenliği
- zefirnet
