Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Profil eksperta: Dustin Duran

Udostępnij
Osoba stojąca na niebiesko-białym tle

Jak myśleć podobnie do atakujących

Mój zespół opowiada o przypadku kompleksowego ataku . Łączymy ze sobą rozproszone informacje wskazujące na poszczególne etapy trwającego ataku, aby rozpoznać jego przyczyny i reagować w czasie rzeczywistym.

Staramy się przy tym stosować techniki i sposób myślenia atakujących.

Źródła zagrożeń działają na zasadzie celu i konkretnej sekwencji działań pozwalających go osiągnąć. Takie sekwencje łączą ze sobą różne techniki pozwalające osiągnąć wyznaczony cel w najprostszy możliwy sposób. To dlatego określamy takie złożone ataki jako „łańcuch zagrożeń”. Nie jest to liniowy proces. Określamy to także jako „myślenie grafowe”.

Jako obrońcy musimy przyjąć podobny sposób myślenia. Kiedy trwa atak, nie możemy zdać się na myślenie w kategoriach list elementów, które składamy następnie w całościowy obraz. Musimy w jednej chwili rozeznać, jak atakujący uzyskali dostęp, jak poruszają się poziomo po strukturach systemu i jaki jest ich cel.

Obrońcy są w stanie zidentyfikować złośliwe działania z większą precyzją, kiedy rozumieją całą sekwencję zachowań, a nie tylko poszczególne stosowane w niej techniki.

Świetnym przykładem takiej analizy jest ostatnia seria ataków mających na celu oszustwa finansowe, w których atakujący próbowali wykorzystać konfigurację zwrotnego serwera proxy, aby ominąć uwierzytelnianie wieloskładnikowe (MFA). Zauważyliśmy sygnały świadczące o takiej próbie ominięcia uwierzytelniania MFA i skierowaliśmy komunikację do innych miejsc, w których można było zaobserwować pozostałe elementy zastosowanej techniki. Powiązanie ze sobą takich odosobnionych informacji dało nam wgląd w techniki wykradania poświadczeń i pozwoliło zareagować na atak na wcześniejszym etapie, a tym samym skuteczniej ochronić infrastrukturę.

Na pytanie, co można zrobić, aby lepiej chronić organizacje, zawsze odpowiadam tak samo: Krytyczne znaczenie ma spójny system uwierzytelniania wieloskładnikowego. To jedno z naszych najważniejszych zaleceń. Wdrożenie bezhasłowego środowiska to jedna z najistotniejszych strategii zwiększania bezpieczeństwa firm, ponieważ zapobiega wszystkim najnowszym strategiom ataków. Prawidłowe korzystanie z uwierzytelniania wieloskładnikowego utrudnia działanie atakującym, a uniemożliwienie dostępu do tożsamości lub organizacji sprawia, że przeprowadzanie ataku jest trudniejsze.

Zostań obrońcą

Zapoznaj się z następującymi zasobami Microsoft, aby dowiedzieć się więcej o łańcuchach zagrożeń, naruszeniach bezpieczeństwa biznesowej poczty e-mail oraz współczesnych obszarach podatnych na ataki.

Powiązane artykuły

Anatomia obszaru podatnego na ataki z zewnątrz

Świat cyberbezpieczeństwa staje się coraz bardziej złożony w miarę tego, jak organizacje przechodzą do chmury i zdecentralizowanego środowiska pracy. Obecnie obszar podatny na ataki z zewnątrz obejmuje wiele chmur, złożone cyfrowe łańcuchy dostaw i ogromne ekosystemy zewnętrzne.
Dowiedz się więcej

Cyber Signals, 4. wydanie: Zmienianie taktyk powoduje wzrost liczby naruszeń biznesowej poczty e-mail

Naruszenia biznesowej poczty e-mail (BEC) są coraz częstsze, ponieważ cyberprzestępcy mogą ukrywać źródło ataków, aby działać w sposób jeszcze bardziej złośliwy. Dowiedz się więcej o cyberprzestępstwie jako usłudze (CaaS) i o tym, jak lepiej chronić organizację.
Dowiedz się więcej

Cyber Signals, 1. wydanie: Obsługa tożsamości to nowe pole bitwy

Obsługa tożsamości to nowe pole bitwy. Poznaj szczegółowe informacje na temat ewoluujących cyberzagrożeń i tego, jakie kroki należy podjąć, aby lepiej chronić organizację.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft