Identiteten är det nya slagfältet

Cyberattacker från nationella statsaktörer tilltar. Trots sina enorma resurser förlitar sig dessa brottslingar ofta på enkla taktiker för att stjäla lösenord som är lätta att gissa sig till. Genom att göra detta kan de få snabb och enkel tillgång till kundkonton. När det gäller företagsattacker kan de nationella statsaktörerna, genom att penetrera en organisations nätverk, få ett fotfäste med vars hjälp de kan röra sig antingen vertikalt, bland liknande användare och resurser, eller horisontellt för att få tillgång till mer värdefulla referenser och resurser.

Nätfiske, attacker med social manipulering och storskaliga lösenordsattacker är vanliga taktiker som nationella statsaktörer använder sig av för att stjäla eller gissa sig till lösenord. Microsoft skaffar sig insikt i angriparnas hantverk och framgångar genom att observera vilka taktiker och tekniker de investerar i och lyckas med. Om användaruppgifter hanteras dåligt eller lämnas sårbara utan att några viktiga säkerhetsåtgärder vidtas, som exempelvis multifaktorautentisering (MFA) eller lösenordsfri autentisering, så kommer de nationella statsaktörerna att fortsätta använda samma enkla taktik.

Behovet av att genomdriva införande av multifaktorautentisering eller lösenordsfri autentisering kan inte nog betonas, eftersom de identitetsfokuserade attackernas enkelhet och låga kostnader gör dem enkla och effektiva verktyg för angriparna. Även om multifaktorautentisering inte är det enda verktyget för identitets- och åtkomsthantering som organisationer bör använda, så utgör det ett kraftfullt avskräckningsmedel mot attacker.

Att missbruka autentiseringsuppgifter är en del av NOBELIUM, en nationell statsaktör med kopplingar till Ryssland. Andra cyberbrottslingar, som Iran-länkade DEV 0343, förlitar sig även på lösenordsattacker. Aktivitet från DEV-0343 har observerats inom försvarsindustrin, bl.a. hos företag som producerar militära radarsystem, drönarteknik, satellitsystem och kommunikationssystem för nödsituationer. Andra aktiviteter har haft fokus på regionala infartshamnar i Persiska viken och flera sjö- och lasttransportföretag med affärsfokus i Mellanöstern.

Aktivera multifaktorautentisering: Genom att göra det minskar de risken för att lösenord hamnar i orätta händer. Ett ännu bättre alternativ är att eliminera lösenord helt och hållet genom att använda lösenordsfri multifaktorautentisering.

Granska kontoprivilegier: Konton med privilegierad åtkomst blir, om de kapas, ett kraftfullt vapen som angriparna kan använda när de vill få större tillgång till nätverk och resurser. Säkerhetsteamen bör granska åtkomstprivilegierna ofta, med hjälp av principen om minst privilegierad åtkomst för att de anställda ska få jobbet gjort.

Granska, härda och övervaka alla klientadministratörskonton: Säkerhetsteamen bör noggrant granska alla administratörsanvändare eller konton som är kopplade till delegerade administrativa behörigheter och verifiera användarnas och aktiviteternas äkthet. De bör sedan inaktivera eller ta bort eventuella oanvända delegerade administrativa privilegier.

Minska risken genom att etablera och införa en säkerhetsbaslinje: Nationalstater spelar det långa spelet och har tillräcklig finansiering, vilja och skala för att utveckla nya attackstrategier och -tekniker. Varje nätverkshärdande initiativ som försenats på grund av bandbredd eller byråkrati fungerar till deras fördel. Säkerhetsteamen bör prioritera implementering av Nolltillitslösningar som MFA och lösenordsfria uppgraderingar. De kan börja med privilegierade konton så att de snabbt kan få skydd och sedan expandera i inkrementella och kontinuerliga faser.

Det dominerande narrativet verkar vara att det finns ett enormt antal nya utpressningstrojanshot som överträffar försvararnas kapacitet. Microsofts analys visar dock att detta är fel. Det finns också en uppfattning om att vissa grupper av utpressningstrojaner är en enda monolitisk enhet, vilket också är felaktigt. Det som existerar är en cyberkriminell ekonomi där olika aktörer i kommersiella attackkedjor gör medvetna val. De drivs av en ekonomisk modell som går ut på att maximera vinsten baserat på hur de var och en utnyttjar den information de har tillgång till. I grafiken nedan visas hur olika grupper tjänar på olika cyberattacksstrategier och information från dataintrång.

Förstå att utpressningstrojaner gynnas av standardautentiseringsuppgifter och komprometterade autentiseringsuppgifter: Därför bör säkerhetsteamen påskynda säkerhetsåtgärder som att implementera lösenordsfri multifaktorautentisering på alla användarkonton och prioritera chefsroller, administratörsroller och andra privilegierade roller.

Identifiera hur man se tecken på avvikelser i tid för att hinna agera: Tidiga inloggningar, filrörelser och andra beteenden som för in utpressningstrojaner kan i förstone se väldigt alldagliga ut. Därför är det viktigt att teamen söker efter tecken på avvikelser och agerar snabbt när avvikelser upptäcks.

Ha en färdig handlingsplan i händelse av en utpressningstrojansattack och genomför återställningsövningar: Vi lever i en tid präglad av molnsynkronisering och delning, men datakopiorna skiljer sig från kompletta IT-system och databaser. Teamen bör visualisera och öva på hur fullständiga återställningar kan se ut.

Hantera varningar och vidta snabba begränsningsåtgärder: Även om alla fruktar attacker med utpressningstrojaner, bör säkerhetsteamens primära fokus ligga på att stärka de svaga säkerhetskonfigurationer som möjliggör lyckade attacker. De bör hantera säkerhetskonfigurationerna så att varningar och identifieringar besvaras korrekt.

Slutpunktshot:
Microsoft Defender for Endpoint blockerade mer än 9,6 miljarder hot med skadlig programvara riktade mot företags- och konsumentenheter från januari till december 2021.

E-posthot:
Microsoft Defender for Office 365 blockerade mer än 35,7 miljarder e-postmeddelanden med nätfiske eller annat skadligt innehåll riktade mot företags- och konsumentenheter från januari till december 2021.

Identitetshot:
Microsoft (Azure Active Directory) identifierade och blockerade mer än 25,6 miljarder försök att kapa företagskundkonton genom råstyrkeattacker med stulna lösenord, från januari till december 2021.