Dalış Özeti:
- FBI, Siber Güvenlik ve Altyapı Güvenlik Ajansı — Avustralya liderliğindeki uluslararası ortaklarla birlikte — tavsiyelerde bulundu Ağ savunucularının olay günlüğü politikalarını benimsemeleri. Kurumlar Çarşamba günü yaptıkları açıklamada, olay kayıtlarının, kuruluşların tehdit faaliyetlerini sıradan güvenlik araçları kullanarak gizlemek için tasarlanan ve giderek yaygınlaşan araziden yararlanma tekniklerine karşı savunma yapmalarına yardımcı olmak için kritik öneme sahip olduğunu belirtti.
- Bir düzineden fazla ajansın oluşturduğu grup, özel yönlendiriciler veya tehdit gruplarının normal uç nokta koruması tarafından tespit edilemeyen saldırıları başlatmak için kullandığı diğer araçlar aracılığıyla gerçekleştirilen artan sayıda karmaşık saldırıyı tespit edebilen olay günlüğü tutma ve tehdit algılama uygulamaları hakkında bir kılavuz yayınladı.
- Topraktan geçinme teknikleri, Volt Typhoon gibi karmaşık devlet bağlantılı bilgisayar korsanları Ve Medusa gibi fidye yazılımı grupları ağ bilgi işlem ortamlarındaki varlıklarını gizlemek ve uzun süreler boyunca fark edilmeden hareket etmek.
Dalış İçgörüsü:
Rehberin yayınlanması, ABD Dışişleri Bakanlığı ve diğer federal kurumların Çin bağlantılı bir tehdit grubu tarafından hacklenmesinden bir yıldan fazla bir süre sonra gerçekleşti. hedeflenen Microsoft Exchange Online Müşteriler.
Kendi kayıtlarına erişimi olan federal yetkililer Microsoft’u saldırılar konusunda bilgilendirdi. Microsoft o zamanlar çokça eleştirilen çünkü müşterilerinden kendi kayıtlarına erişmek için ek ücretler alıyordu.
Microsoft daha sonra daha fazla müşteriye hizmet sunmak için politikasını değiştirdi olay kayıtlarına ücretsiz erişim imkanıyla.
Çin bağlantılı ayrı bir tehdit grubu olan Volt Typhoon, özel yönlendiricileri kötüye kullanıyor ve çeşitli kritik altyapı sağlayıcılarının ağlarına kendini yerleştirmek için diğer araçları kullanıyor.
Kapsamlı bir olay günlüğü stratejisi, güvenlik ekiplerinin Medusa da dahil olmak üzere gelişmiş suç grupları tarafından kullanılan tehdit faaliyetlerini izlemesine yardımcı olabilir. Tehdit grubu son yıllarda yüzlerce endüstriyel hedefe saldırdı.
“LoTL kötüye kullanımıyla başa çıkarken sağlam olay günlüğü tutma ve izleme uygulamalarının önemi, saldırı vektörünün doğası göz önüne alındığında çok önemlidir,” Reliaquest’te siber istihbarat analisti olan Alex Capraro. “CISA, FBI ve Avustralya Sinyal Müdürlüğü tarafından yayınlanan yeni rehber, bu tür gelişmiş taktiklere karşı savunmalarını güçlendirmeyi amaçlayan kuruluşlar için zamanında ve temel bir kaynaktır.”