Ekspertprofil: Dustin Duran

Slik tenker du som en trusselaktør

Teamet mitt forteller angrepshistorien fra ende til ende . Vi forbinder de forskjellige fasene i angriperens «kill chain» for bedre å forstå grunnårsakene til et angrep, ved første blikk, mens det pågår.

Vi kopierer også angriperens teknikker og tenkemåte.

Angripere ser verden gjennom mål og sekvenser til aktiviteter. De lenker forskjellige teknikker sammen – det er derfor vi kaller disse angrepshistoriene for «kill chain» – og tar ruten som er mest fordelaktig for dem. Det er ingen lineær prosess. Vi kaller det å tenke i grafer.

Som forsvarere må vi bruke samme tenkemåte. Vi kan ikke gjøre tabben å tenke i lister, hvor vi prøver å sette sammen hele puslespillet mens angrepet pågår. Med ett blikk må vi skjønne hvordan angriperne fikk tilgang, hvordan de trenger seg dypere inn, og hva de jobber seg mot.

Forsvarere identifiserer skadelig aktivitet mer nøyaktig når de forstår sekvensen til aktivitetene, ikke bare enkeltstående teknikker alene.

Et godt eksempel er da vi analyserte en nylig rekke økonomiske svindelangrep og la merke til hvordan angriperne brukte et omvendt proxyoppsett til å gå utenom flerfaktorautentiseringen. Vi noterte signalene om at de hadde gått utenom flerfaktorautentiseringen, og fulgte kommunikasjonen til andre forekomster hvor den nye teknikken dukket opp. Det vi lærte om innhøsting av legitimasjon fra evnen vår til å se sammenhenger, betydde at vi kunne svare tidligere i angrepet. Vi ble bedre forsvarere av det.

Når jeg får spørsmål om hva som kan gjøres for å beskytte en organisasjon bedre, sier jeg alltid det samme: Bruk av flerfaktorautentisering er avgjørende. Det er en av de viktigste anbefalingene vi gir. Noe av det mest grunnleggende virksomheter kan gjøre for å forsvare seg bedre, er å arbeide mot et miljø uten passord fordi det deaktiverer alle nye angrepsteknikker. Korrekt bruk av flerfaktorautentisering gjør at angriperne må jobbe mye hardere. Og hvis de ikke får tilgang til en identitet og organisasjonen, blir det mye mer komplisert å sette i gang et angrep.

Bli med i forsvaret

Hvis du vil vite mer om «kill chain», kompromittert e-post og den moderne angrepsoverflaten, kan du se på Microsoft-ressursene nedenfor.

Trusselorienteringen Oppbygningen av en moderne angrepsoverflate
CISO Insider utgave 3: Rapporten Skybasert sikkerhet og hvordan ledende informasjonssikkerhetsledere lukket sikkerhetshullene
Cyber Signals utgave 1: Rapporten Identitet er den nye slagmarken
Trusselorienteringen Sikkerheten er bare så god som trusselinformasjonen med eksperten John Lambert

Kompromittering av e-post (BEC – business email compromise) Moderne angrepsoverflater Flerfaktorautentisering

Ekspertprofil: Dustin Duran

Slik tenker du som en trusselaktør

Bli med i forsvaret

Relaterte artikler

Oppbygningen av en ekstern angrepsoverflate

Cybersikkerhet blir stadig mer komplisert etter hvert som organisasjoner flytter til skyen og arbeidet blir mer desentralisert. I dag strekker den eksterne angrepsoverflaten seg over flere skyer, komplekse digitale kjeder og massive tredjeparts økosystemer.

Cyber Signals utgave 4: Endring i taktikk står bak økning i kompromittert e-post

Kompromittering av forretnings-e-post (BEC) er i fremmarsj nå som cyberkriminelle kan skjule kilden til angrepene, så de er enda mer ondskapsfulle. Finn ut mer om cyberkriminalitet som en tjeneste (CaaS), og hvordan du bidrar til å beskytte organisasjonen.

Cyber Signals utgave 1: Identitet er den nye slagmarken

Identitet er den nye slagmarken. Få innsikt i fremvoksende cybertrusler og hvilken fremgangsmåte du bør bruke for å beskytte organisasjonen bedre.

Følg Microsoft Sikkerhet