Identitatea este noul câmp de luptă

Atacurile cibernetice ale actorilor de stat sunt în creștere. În ciuda resurselor vaste, acești adversari se bazează deseori pe tactici simple pentru a fura parole ușor de ghicit. Făcând acest lucru, pot obține acces rapid și ușor la conturile clienților. În cazul atacurilor asupra întreprinderilor, penetrarea rețelei unei organizații permite actorilor de stat să obțină un punct de sprijin pe care îl pot folosi pentru a se deplasa fie pe verticală, prin intermediul unor utilizatori și resurse similare, fie pe orizontală, obținând acces la acreditări și resurse mai valoroase.

Phishing-ul țintit, atacurile de inginerie socială și spray-urile de parole pe scară largă sunt tactici de bază ale actorilor de stat, folosite pentru a fura sau a ghici parole. Microsoft obține detalii despre măiestria și succesul atacatorilor observând în ce tactici și tehnici investesc aceștia pentru a reuși. Dacă informațiile de conectare ale utilizatorilor nu sunt gestionate bine sau sunt lăsate vulnerabile fără măsuri de protecție esențiale, cum sunt funcțiile de autentificare multifactor (MFA) și fără parolă, statele naționale vor folosi în continuare aceleași tactici simple.

Necesitatea de a impune adoptarea MFA sau trecerea la autentificarea fără parolă este de necontestat, deoarece simplitatea și costul scăzut al atacurilor centrate pe identitate le fac convenabile și eficiente pentru actori. Deși MFA nu este singurul instrument de gestionare a identităților și accesului pe care ar trebui să îl folosească organizațiile, aceasta poate descuraja semnificativ atacurile.

Abuzarea acreditărilor este o constantă a NOBELIUM, un adversar de stat asociat Rusiei. Totuși, alți adversari, precum DEV 0343 asociat Iranului, se bazează și pe spray-urile de parole. Activitatea de la DEV-0343 a fost observată în firmele din domeniul apărării care produc radare de calitate militară, tehnologie pentru drone, sisteme de satelit și sisteme de comunicații pentru răspuns în caz de urgență. Alte activități au vizat porturile de intrare în Golful Persic și mai multe firme de transport maritim de marfă axate pe afaceri în Orientul Mijlociu.

Activați autentificarea multifactor: Procedând astfel, reduceți riscul ca parolele să ajungă pe mâinile cui nu trebuie. Și mai bine ar fi să eliminați parolele de tot și să folosiți autentificarea multifactor fără parolă.

Auditați privilegiile conturilor: Dacă sunt accesate ilegal, conturile cu acces privilegiat devin o armă puternică pe care atacatorii o pot folosi pentru a obține și mai mult acces la rețele și resurse. Echipele de securitate ar trebui să auditeze frecvent privilegiile de acces, folosind principiul privilegiului minim necesar pentru ca angajații să-și poată face treaba.

Examinați, fortificați monitorizați toate conturile de administrator de entități găzduite: Echipele de securitate ar trebui să parcurgă în detaliu toți utilizatorii cu rol de administrator de entități găzduite sau conturile asociate cu privilegii administrative delegate, pentru a verifica autenticitatea utilizatorilor și activităților. Apoi, ar trebui să dezactiveze sau să elimine toate privilegiile administrative delegate care nu sunt folosite.

Stabiliți și impuneți o referință pentru securitate pentru a reduce riscul: Statele naționale joacă pe termen lung și au voința, amploarea și fondurile necesare pentru a dezvolta noi tehnici și strategii de atac. Fiecare inițiativă de fortificare a rețelei care este întârziată din cauza lățimii de bandă sau birocrației este în favoarea lor. Echipele de securitate ar trebui să acorde prioritate implementării practicilor Zero Trust precum upgrade-urile MFA și fără parolă . Acestea pot începe cu conturile privilegiate, pentru a obține rapid protecție, după care să se extindă progresiv și continuu, pe faze.

Firul narativ dominant pare să fie acela că există un număr imens de noi amenințări cu ransomware care depășesc capacitățile apărătorilor. Totuși, analiza Microsoft arată că acest lucru nu este adevărat. De asemenea, există și percepția că anumite grupuri ransomware reprezintă o singură entitate monolitică, dar nici acest lucru nu este adevărat. Ce există, de fapt, este o industrie a infracțiunilor cibernetice în care diverși participanți din lanțurile de atac de larg consum fac alegeri deliberate. Aceștia sunt motivați de un model economic pentru maximizarea profitului, în funcție de cum exploatează fiecare dintre ei informațiile la care au acces. Graficul de mai jos arată cum profită mai multe grupuri de diverse strategii de atac cibernetic și informații obținute din breșele în date.

Înțelegeți că ransomware-ul se bazează pe informații de conectare compromise sau implicite: Drept urmare, echipele de securitate ar trebui să accelereze măsurile de protecție, cum ar fi implementarea autentificării multifactor fără parolă pe toate conturile de utilizator, stabilind ca prioritare rolurile executive, de administrator și alte roluri privilegiate.

Identificați cum puteți detecta semnele anormale la timp pentru a acționa: Conectările înaintea programului, mutarea fișierelor și alte comportamente care introduc ransomware-ul pot părea greu de definit. Cu toate acestea, echipele trebuie să monitorizeze anomaliile și să acționeze rapid asupra lor.

Întocmiți un plan de răspuns la ransomware și faceți exerciții de recuperare: Trăim în epoca sincronizării și distribuirii în cloud, dar copiile datelor nu sunt același lucru ca întregi sisteme IT și baze de date. Echipele ar trebui să vizualizeze cum arată o restaurare completă și să o exerseze.

Gestionați avertizările și treceți rapid la atenuare: Toți se tem de atacurile ransomware, iar obiectivul principal al echipelor de securitate ar trebui să fie fortificarea configurațiilor de securitate slabe care permit reușita atacului. Acestea ar trebui să gestioneze configurațiile de securitate astfel încât avertizările și detectările să primească răspunsul adecvat.

Amenințări asupra punctelor finale:
Microsoft Defender pentru punct final a blocat peste 9,6 miliarde de amenințări malware care vizau dispozitivele consumatorilor și ale clienților de tip întreprindere, între ianuarie și decembrie 2021.

Amenințări prin e-mail:
Microsoft Defender pentru Office 365 a blocat peste 35,7 miliarde de e-mailuri rău intenționate (de phishing și nu numai) care vizau consumatorii și clienții de tip întreprindere, ianuarie și decembrie 2021.

Amenințări la adresa identității:
Microsoft (Azure Active Directory) a detectat și blocat peste 25,6 miliarde de încercări de accesare ilegală a conturilor clienților de tip întreprindere prin forță brută cu parole furate, între ianuarie și decembrie 2021.