Miten ajatella kuin uhkaava toimija
Tiimini kertoo hyökkäystarinan alusta loppuun. Yhdistämme hyökkäysketjun eri vaiheet toisiinsa, jotta voimme ymmärtää paremmin hyökkäyksen perimmäiset syyt yhdellä silmäyksellä sen tapahtuessa.
Kopioimme myös hyökkääjien tekniikoita ja ajattelua.
Hyökkääjät lähestyvät maailmaa tavoitteiden ja toimintojaksojen kannalta. He ketjuttavat erilaisia tekniikoita toisiinsa – siksi kutsumme näitä hyökkäystarinoita hyökkäysketjuiksi – ja liikkuvat heille edullisimpia polkuja pitkin. Se ei ole lineaarinen prosessi. Kutsumme sitä kaaviona ajattelemiseksi.
Puolustajina meidän on omaksuttava sama ajattelutapa. Emme voi tuomita itseämme ajattelemaan luetteloissa, joissa yritämme koota koko palapelin uudelleen, kun hyökkäys on käynnissä. Meidän on yhdellä silmäyksellä tiedettävä, miten hyökkääjät ovat päässeet sisään, miten he liikkuvat sivusuunnassa ja mihin he pyrkivät.
Puolustajat tunnistavat haitallista toimintaa tarkemmin, kun he ymmärtävät toiminnan järjestyksen yhdessä eivätkä vain yksittäisiä tekniikoita erikseen.
Hyvä esimerkki tästä on, kun analysoimme äskettäisen talouspetoshyökkäysten sarjan ja huomasimme, kuinka hyökkääjät käyttivät käänteistä välityspalvelinta ohittaakseen monimenetelmäisen todentamisen (MFA). Huomasimme MFA:n ohitussignaalit ja kiinnitimme huomiota muihin esiintymiin, joissa uutta tekniikkaa esiintyi. Se, mitä saimme selville tunnistetietojen keräämisestä sen ansiosta, että pystyimme yhdistämään nämä pisteet, antaa meille mahdollisuuden reagoida hyökkäykseen aikaisemmin. Se auttaa meitä olemaan parempia puolustajia.
Kun minulta kysytään, mitä voidaan tehdä organisaation suojaamiseksi paremmin, vastaan aina saman asian: MFA:n johdonmukainen hyödyntäminen on ratkaisevan tärkeää. Se on yksi tärkeimmistä antamistamme suosituksista. Se on yksi tärkeimmistä asioista, joita yritykset voivat tehdä puolustaakseen itseään paremmin, kun ne pyrkivät salasanattomaan ympäristöön, koska se estää kaikki uudet hyökkäystekniikat. Käyttämällä MFA:ta oikein hyökkääjät joutuvat tekemään enemmän töitä. Jos he eivät pääse käsiksi käyttäjätietoihin ja organisaatioon, hyökkäyksen käynnistäminen on paljon monimutkaisempaa.
Seuraa Microsoft Securitya