КІБЕРБЕЗПЕКА: «ВОНИ НІ, А ВИ МОЖЕТЕ!»
З Полом Дакліном і Честером Вишневським
Вступна та кінцева музика Едіт Мадж.
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.
ПРОЧИТАЙТЕ СКРИПТ
КАЧКА. Привіт всім.
Ласкаво просимо до цього спеціального міні-серіалу подкасту Naked Security.
Мене звати Пол Даклін, сьогодні до мене приєднався мій друг і колега Честер Вишневський.
Честере, я подумав, що нам варто сказати щось про те, що стало головною історією тижня… можливо, це буде головною історією місяця!
Я просто прочитаю тобі headline Я використовував у Naked Security:
«UBER ЗЛАМАЛИ, хвалиться хакером – як зупинити це з вами».
Так!
Розкажи нам усе про це…
ЧЕТ. Я можу підтвердити, що машини все ще їздять.
Я їду до вас із Ванкувера, я в центрі міста, я дивлюся у вікно, а за вікном дійсно стоїть Uber…
КАЧКА. Його не було цілий день?
ЧЕТ. Ні, не було. [СМІЄТЬСЯ]
Якщо ви натиснете кнопку виклику автомобіля в додатку, будьте впевнені: на даний момент здається, що хтось дійсно прийде і підвезе вас.
Але якщо ви працівник Uber, не обов’язково впевнено, що протягом наступних кількох днів ви будете робити багато чого завгодно, враховуючи вплив на їхні системи.
Насправді ми не знаємо багато деталей, Дак, про те, що саме сталося.
Але, на дуже високому рівні, схоже, консенсус полягає в тому, що була певна соціальна інженерія співробітника Uber, яка дозволила комусь закріпитися в мережі Uber.
І вони змогли рухатися вбік, як ми кажемо, або обертатися, як тільки вони потрапили всередину, щоб знайти деякі адміністративні повноваження, які зрештою привели їх до отримання ключів від королівства Uber.
КАЧКА. Отже, це не схоже на традиційне викрадення даних, на національну державу чи атаку програм-вимагачів, чи не так?
ЧЕТ. Ні.
Це не означає, що хтось інший також не був у їхній мережі, використовуючи подібні методи – ніколи не знаєш.
Насправді, коли наша команда швидкого реагування реагує на інциденти, ми часто виявляємо, що в мережі було кілька загроз, оскільки вони використовували схожі методи доступу.
КАЧКА. Так... у нас навіть була історія про двох шахраїв-вимагачів, практично невідомих один одному, які проникли одночасно.
Отже, деякі файли були зашифровані за допомогою програми-вимагача-A-потім-програми-вимагача-B, а деякі за допомогою програми-вимагача-B-followed-by-ransomware-A.
Це був жахливий безлад…
ЧЕТ. Ну, це стара новина, Дак. [СМІЄТЬСЯ]
Відтоді ми опублікували ще один де *три* різні програми-вимагачі були в одній мережі.
КАЧКА. О Боже! [Великий сміх] Я постійно сміюся з цього, але це неправильно. [СМІЄТЬСЯ]
ЧЕТ. Це не рідкість, коли в загрозі бере участь кілька учасників, тому що, як ви сказали, якщо одна особа може виявити недолік у вашому підході до захисту вашої мережі, ніщо не вказує на те, що інші люди, можливо, не виявили такого самого недоліку.
Але в цьому випадку, я думаю, ви маєте рацію в тому, що це, здається, «для лулза», якщо хочете.
Я маю на увазі, що людина, яка це робила, здебільшого збирала трофеї, коли вони стрибали в мережі – у вигляді скріншотів усіх цих різних інструментів, утиліт і програм, які використовувалися в Uber – і публікувала їх публічно, я думаю, для вулиці кредит.
КАЧКА. Тепер, під час атаки, здійсненої кимось, хто *не* хотів похвалитися, цим зловмисником міг бути IAB, посередник початкового доступу, чи не так?
У такому випадку вони б не здіймали з цього приводу великого галасу.
Вони б зібрали всі паролі, а потім вийшли б і сказали: «Хто хоче їх купити?»
ЧЕТ. Так, це супер-супер небезпечно!
Як би погано не здавалося Uber зараз, зокрема комусь із PR-служби Uber або внутрішньої безпеки, насправді це найкращий можливий результат…
…наслідком цього стане збентеження, ймовірно, деякі штрафи за втрату конфіденційної інформації про співробітників тощо.
Але правда полягає в тому, що для майже всіх, хто стає жертвою такого типу атак, кінцевим результатом стає програма-вимагач або кілька програм-вимагачів у поєднанні з криптомайнерами та іншими видами крадіжки даних.
Це набагато, набагато дорожче для організації, ніж просто збентеження.
КАЧКА. Отже, ця ідея про те, що шахраї проникають і можуть блукати довільно та вибирати, куди вони йдуть…
…на жаль, не є незвичайним.
ЧЕТ. Це дійсно підкреслює важливість активного пошуку проблем, а не очікування сповіщень.
Зрозуміло, що ця особа змогла зламати безпеку Uber, не запускаючи спочатку жодних сповіщень, що дало їй час побродити.
Ось чому полювання на загрози, згідно з термінологією, є таким критичним у наші дні.
Тому що чим ближче до нульової хвилини чи нульового дня, ви можете виявити підозрілу активність людей, які порпаються в спільних файлах і раптово входять у цілу купу систем послідовно підряд – ці типи дій або багато з’єднань RDP. у мережі з облікових записів, які зазвичай не пов’язані з цією діяльністю…
…такі типи підозрілих речей можуть допомогти вам обмежити кількість шкоди, яку може спричинити ця особа, обмеживши кількість часу, який вона має для розгадування будь-яких інших помилок безпеки, які ви могли зробити, які дозволили їй отримати доступ до цих облікових даних адміністратора.
Це те, з чим багато команд справді борються: як побачити зловживання цими законними інструментами?
Це справжній виклик.
Тому що в цьому прикладі звучить так, ніби співробітника Uber обманом запросили когось у маску, яка зрештою була схожа на них.
Тепер у вас є законний обліковий запис працівника, який випадково запросив злочинця до свого комп’ютера, бігаючи навколо, роблячи речі, з якими працівник, ймовірно, зазвичай не пов’язаний.
Тож це справді має бути частиною вашого моніторингу та полювання на загрози: знати, що насправді є нормальним, щоб ви могли виявити «аномальну норму».
Тому що вони не взяли з собою шкідливі інструменти – вони використовують інструменти, які вже є.
Ми знаємо, що вони розглядали сценарії PowerShell, подібні речі – те, що ви, напевно, вже маєте.
Незвичайним є те, що ця особа взаємодіє з PowerShell або ця особа взаємодіє з цим RDP.
І стежити за цими речами набагато важче, ніж просто чекати, поки на інформаційній панелі з’явиться сповіщення.
КАЧКА. Отже, Честере, що ви порадите компаніям, які не хочуть опинитися в становищі Uber?
Хоча ця атака, зрозуміло, набула величезного розголосу через поширені скріншоти, тому що, здається, «Вау, шахраї дісталися абсолютно скрізь»…
…насправді це не унікальна історія щодо витоку даних.
ЧЕТ. Ви запитали про пораду, що б я сказав організації?
І я маю згадати свого хорошого друга, який був CISO у великому університеті Сполучених Штатів близько десяти років тому.
Я запитав його, якою є його стратегія безпеки, і він сказав: «Це дуже просто. Припущення про порушення».
Я припускаю, що мене зламали, і що в моїй мережі є люди, яких я не хочу в своїй мережі.
Тож мені доводиться будувати все з припущенням, що тут уже є хтось, хто не повинен бути, і запитувати: «Чи є у мене захист, навіть якщо дзвінок надходить зсередини будинку?»
Сьогодні у нас є модне слово для цього: Нульова довіра, що більшості з нас уже набридло говорити. [СМІЄТЬСЯ]
Але це підхід: припущення про порушення; нуль довіри.
Ви не повинні мати свободу просто тинятися, тому що ви одягаєте маску, яка виглядає як працівник організації.
КАЧКА. І це справді ключ до нульової довіри, чи не так?
Це не означає: «Ви ніколи не повинні довіряти нікому щось робити».
Це щось на кшталт метафори: «Нічого не припускайте» і «Не дозволяйте людям робити більше, ніж їм потрібно для виконання поставленого завдання».
ЧЕТ. Точно.
Якщо припустити, що ваші зловмисники не отримають стільки радості від того, що вас зламали, як це сталося в цьому випадку…
…ви, мабуть, хочете переконатися, що у вас є хороший спосіб для співробітників повідомляти про аномалії, коли щось здається не так, щоб переконатися, що вони можуть повідомити вашу команду безпеки.
Тому що говорити про витік даних час перебування від нашого Active Adversary Playbook, злочинці найчастіше перебувають у вашій мережі щонайменше десять днів:
Отже, у вас є надійний період від тижня до десяти днів, коли, якщо у вас просто орлині очі, які помічають речі, у вас є справді хороші шанси вимкнути його до того, як станеться найгірше.
КАЧКА. Дійсно, якщо подумати про типову фішингову атаку, то дуже рідко шахраям вдається з першої спроби.
І якщо їм це не вдається з першої спроби, вони не просто пакують валізи та тікають геть.
Вони пробують наступну людину, і наступну людину, і наступну людину.
Якщо вони збираються досягти успіху лише тоді, коли спробують атакувати 50-ту особу, то якщо хтось із попередніх 49 помітив це та щось сказав, ви могли б втрутитися та вирішити проблему.
ЧЕТ. Абсолютно – це критично!
І ви говорили про те, щоб обманом змусити людей роздавати токени 2FA.
Це важливий момент – в Uber була багатофакторна автентифікація, але людину, здається, переконали її обійти.
І ми не знаємо, якою була ця методологія, але більшість багатофакторних методів, на жаль, можна обійти.
Усі ми знайомі з часовими маркерами, де ви отримуєте шість цифр на екрані, і вас просять ввести ці шість цифр у додаток для автентифікації.
Звичайно, ніщо не заважає вам надати шість цифр не тій особі, щоб вона могла автентифікуватися.
Отже, двофакторна автентифікація не є універсальним ліками, яке виліковує всі хвороби.
Це просто лежачий поліцейський, який є ще одним кроком на шляху до підвищення безпеки.
КАЧКА. Рішучий шахрай, у якого є час і терпіння продовжувати спроби, може зрештою потрапити.
І, як ви сказали, ваша мета полягає в тому, щоб мінімізувати час, який вони мають, щоб максимізувати віддачу від того факту, що вони отримали в першу чергу...
ЧЕТ. І цей моніторинг має відбуватися постійно.
Такі компанії, як Uber, достатньо великі, щоб мати власний цілодобовий центр безпеки, щоб стежити за подіями, хоча ми не зовсім впевнені, що тут сталося, скільки часу ця особа перебувала та чому її не зупинили
Але більшість організацій не обов’язково в змозі зробити це власними силами.
Надзвичайно зручно мати зовнішні ресурси, які можуть відстежувати – *безперервно* відстежувати – цю зловмисну поведінку, ще більше скорочуючи час, протягом якого відбувається зловмисна діяльність.
Для людей, які, можливо, мають регулярні ІТ-обов’язки та іншу роботу, може бути досить важко побачити, як ці законні інструменти використовуються, і помітити одну особливу схему їх використання як зловмисне…
КАЧКА. Модне слово, про яке ви там говорите, це те, що ми знаємо як MDR, скорочення від Кероване виявлення та реагування, де ви отримуєте купу експертів, які зроблять це за вас або допоможуть вам.
І я думаю, що все ще є чимало людей, які думають: «Якщо мене побачать, чи це не схоже на те, що я зняв свою відповідальність?» Хіба це не визнання того, що я абсолютно не знаю, що роблю?»
А це не так, чи не так?
Фактично, ви можете стверджувати, що це насправді робить речі більш контрольованим способом, тому що ви обираєте людей, які допомагатимуть вам піклуватися про вашу мережу *які роблять це і тільки це* заробляючи на життя.
А це означає, що ваша звичайна ІТ-команда і навіть ваша власна команда безпеки… у разі надзвичайної ситуації вони можуть фактично продовжувати робити всі інші речі, які все одно потрібно робити, навіть якщо вас атакують.
ЧЕТ. Абсолютно
Я думаю, остання думка, яка у мене виникає, це...
Не сприймайте зламаний бренд як Uber як те, що ви не можете себе захистити.
Великі імена компаній — це майже велике полювання за трофеями для людей, подібних до людини, залученої до цього конкретного злому.
І те, що велика компанія, можливо, не мала належної безпеки, не означає, що ви не можете!
Серед багатьох організацій, з якими я спілкувався, було багато пораженських балачок після деяких попередніх великих хакерів, таких як Target і Sony, і деякі з цих хаків, про які ми писали в новинах десять років тому.
І люди казали: «Ааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа... if the all the resources of Target вони не можуть захистити себе, яка в мене надія?»
І я взагалі не думаю, що це правда.
У більшості цих випадків вони ставали мішенню, оскільки вони були дуже великими організаціями, і в їхньому підході була дуже маленька дірка, через яку хтось міг проникнути.
Це не означає, що у вас немає шансу захиститися.
Це була соціальна інженерія, а потім деякі сумнівні практики зберігання паролів у файлах PowerShell.
Це те, на що ви можете дуже легко стежити та навчати своїх співробітників, щоб переконатися, що ви не робите тих самих помилок.
Те, що Uber не може цього зробити, не означає, що ви не можете!
КАЧКА. Дійсно – я думаю, що це дуже добре сказано, Честере.
Ви не заперечуєте, якщо я закінчу одним зі своїх традиційних кліше?
(Слово про кліше полягає в тому, що вони зазвичай стають кліше, будучи правдивими та корисними.)
Після подібних інцидентів: «Ті, хто не пам’ятає історії, приречені її повторювати – не будь такою людиною!»
Честере, велике тобі дякую, що знайшов час у своєму насиченому графіку, тому що я знаю, що сьогодні ввечері у тебе насправді є онлайн-розмова.
Отже, велике вам спасибі за це.
І давайте закінчимо нашим звичним способом, сказавши: «До наступного разу залишайтеся в безпеці».
[МУЗИЧНИЙ МОДЕМ]
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- втрати даних
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- Гола безпека
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Подкаст
- Керівництво безпеки
- VPN
- безпеки веб-сайтів
- зефірнет
![S3 Ep119: Порушення, виправлення, витоки та налаштування! [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-360x188.jpg)
