Pensare come un attore di minacce
Il mio team racconta la storia dell'attacco end-to-end . Colleghiamo i puntini tra le diverse fasi di una kill chain di un utente malintenzionato per comprendere meglio le cause radice di un attacco, in breve, mentre è in corso.
Copiamo anche le tecniche e il pensiero dell'utente malintenzionato.
Gli utenti malintenzionati si approcciano al mondo in termini di obiettivi e sequenze di attività. Uniscono le diverse tecniche insieme, ecco perché definiamo questi eventi con il termine "kill chain" e si muovono attraverso percorsi per loro più vantaggiosi. Non è un processo lineare. Si tratta di una modalità di pensiero in grafi.
In quanto difensori, dobbiamo adottare la stessa mentalità. Non possiamo condannarci a pensare per elenchi, in cui proviamo a riassemblare l'intero rompicapo mentre è in corso un attacco. In breve, dobbiamo sapere in che modo gli utenti malintenzionati hanno ottenuto l'accesso, in che modo si muovono lateralmente e su che cosa stanno lavorando.
I difensori identificano attività dannosa in modo più accurato quando comprendono la sequenza di tale attività nel complesso, non guardando solo alle singole tecniche in modo separato.
Un ottimo esempio ci viene da quando abbiamo analizzato una recente serie di attacchi di frode finanziaria e abbiamo notato in che modo gli utenti malintenzionati stavano usando il proxy inverso per superare l'autenticazione a più fattori. Abbiamo annotato i segnali di bypass dell'autenticazione a più fattori e portato le comunicazioni in altre istanze in cui erano apparse tecniche emergenti. Quanto imparato sulla raccolta delle credenziali dalla nostra capacità di collegare questi puntini ci consente di rispondere in modo più tempestivo durante un attacco. Ci aiuta a essere difensori migliori.
Quando mi viene chiesto cosa può essere fatto per proteggere meglio un'organizzazione, rispondo sempre la stessa cosa: Sfruttare l'autenticazione a più fattori in modo coerente è fondamentale. È uno dei suggerimenti più importanti che forniamo. È una delle cose più essenziali che le aziende possono fare per difendersi meglio, puntando a un ambiente senza password poiché questo disabilita tutte le tecniche di attacco emergenti degli utenti malintenzionati. Un uso corretto dell'autenticazione a più fattori complica il lavoro degli utenti malintenzionati. E se questi non riescono a ottenere l'accesso a un'identità e alla tua organizzazione, per loro il lancio di un attacco diventa molto più complicato.
Segui Microsoft Security