Deşifre metni
Bu transkript netlik sağlamak amacıyla düzenlendi.
Mathew Schwartz: Merhaba, ben Bilgi Güvenliği Medya Grubu'ndan Mathew Schwartz. Bugün bana Trellix'in tehdit istihbaratı başkanı John Fokker katılıyor. John, burada olduğun için teşekkür ederim.
John Fokker: Merhaba Mathew. Burada olduğum için mutluyum dostum.
Mathew Schwartz: Eskiden Nobelium, APT29 ve Cozy Bear olarak bilinen ve yakın zamanda Microsoft'a karşı yapılan saldırı da dahil olmak üzere oldukça yüksek profilli saldırılarla ilişkilendirilen bir grubun kod adı olan Midnight's Blizzard'dan bahsediyoruz. Burada tartışılacak çok şey var, sırf ayağa kalkmak için. Birincisi, Microsoft'un yakın zamanda bu saldırı hakkında daha fazla bilgi açıklaması, başlangıçta inanıldığından veya korkulduğundan daha kötü görünüyor. Bu saldırının büyük sürprizlerinden bazıları nelerdir? Daha sonra bu grubun neyin peşinde olduğunu ve insanların kendilerini nasıl savunabileceklerini mercek altına alacağız.
John Fokker: Evet, bunu kısmen kenardan izlemek büyüleyiciydi, açıkçası Microsoft olay müdahale ofisinde ve tüm savunucularda neler olup bittiğini göremiyoruz. Ama yayınladıkları haberleri okuyup tehdit aktörlerinin kullandığı metodolojiye bakarsak bu beni biraz korkutuyor. Bizim için her şeyden önce müşterilerimizin ve kuruluşların güvenliği bir numaralı önceliktir. Ama neredeyse aynı şeyin olduğunu hissediyorum, ortaya çıkan bilgiler çok seyrek. Çok yapılandırılmış ve sanırım arkasında, kullanılan tüm kelimeleri ustaca tartan, çok ama çok yetenekli ve büyük bir hukuk ekibinin olduğunu varsayıyorum, çünkü şöyle: ah, hiçbir müşteri verisi çalınmadı. Tamam, evet, bunu anlıyorum… ama eğer belirli bir kaynak kodları varsa veya bir şekilde müşterilere sızmak için bir metodoloji bulurlarsa, Microsoft ağından müşteri verilerine sahip olmaları gerekmez, sadece müşterilerin bilgilerine erişebilirler. doğrudan ağ.
Okta ve HPE'nin ek ihlallerinde de bunu görüyoruz. Bu ilginç bir hareket, sanırım APT29'dan yola çıkarak, İngiltere, ABD ve diğer Beş Göz ülkelerinin koalisyonu tarafından, sanırım Hollandalı otoriteler de dahil olmak üzere, SVR'nin sahip olduğu şekilde atfediliyor. bulut erişimine ilgi ve Microsoft'la ilgili pek çok şey; bu mantıklı çünkü birçok hükümet Microsoft yazılımı üzerinde çalışıyor ve bu karmaşık, bulut işleri karmaşık ve aynı zamanda onlara kullanmadan bir giriş yolu sunuyor. Pek çok güvenlik ürününü harekete geçiren çok sayıda kötü amaçlı yazılım var ve bunlar yalnızca sistemdeki zayıf noktaları hedef alıyor. Yani tüm ayrıntılara sahip değilim ama içimden bir ses, eriştikleri birçok materyal üzerinde çalıştıklarını, hatta muhtemelen SolarWinds'e kadar gittiklerini söylüyor.
Mathew Schwartz: Orada bir sürü harika detay var. Bahsettiğiniz gibi, Batılı hukuk veya istihbarat teşkilatlarının Rusya'nın Dış İstihbarat Servisi SVR'ye atfettiği bu gruptan etkilenen yalnızca Microsoft değil. Sizin de söylediğiniz gibi Okta, HPE'yi gördük ve ardından SolarWinds'e geri döndük. Benzer bir grup, kod tabanlarına erişim sağlamaya, kaynak kodunu çalmaya bakıyor – sizin de söylediğiniz gibi, bu onlara kaynak kodun içindeki potansiyel güvenlik açıklarını inceleyerek insanların henüz bilmediği yollar sunabilir. Peki bu tür saldırılara karşı gelecekte kanıt sağlamak zor mu? Umarız Microsoft, kurcalama belirtileri olup olmadığını görmek için kod tabanlarını gözden geçiriyordur. Başka ne gibi sorularınız olurdu? Saldırıya uğramış kuruluşlar tarafından yayınlanan, görünüşe göre dikkatlice ayrıştırılmış mesajlar açısından bunlardan bazılarını zaten vurguladınız.
John Fokker: Daha fazla şeffaflığı teşvik ediyorum çünkü şu anda risk altında olan kuruluşlar yalnızca Microsoft'un kendisi değil, aynı zamanda risk altında olan çok sayıda hükümet ve çok sayıda kuruluş da var. Ve benim için, bir güvenlik uygulayıcısı olarak, eğer verilen tepkilere, bazı bilgilerin seyrekliğine ve nasıl ortaya çıktığına, bunların ne kadar iyi ağırlıklandırıldığına bakarsanız, kuruluşların uyanıp şöyle demelerinin zamanı geldiğini düşünüyorum. Hey, birine güvenmemiz harika, ama bundan nasıl kesinlikle emin olabiliriz? Çünkü, unutmayın, Microsoft bazı tavsiyelerde bulundu ve bu tavsiyeleri veriyolunun altına atmamak, sıfır güven kimlik doğrulaması ve kendilerinin uygulamakta başarısız olduğu tüm bu metodolojiler hakkındaydı ve bunlar ihlal edildi. Yani bu durumun çok karmaşık olduğunu gösteriyor ve evet, söylediklerini yapıyor musun? Kuruluşları iyice incelemeye ve incelemeye teşvik ediyorum ve bu altyapıyı kullanırsanız bu kuruluşa% 100 güvenecek misiniz? Yoksa kendinize ek korumalar mı koyuyorsunuz?
Mathew Schwartz: Kesinlikle. Microsoft'un ortaya çıkardığı sonuçlara dayanarak gördüğümüz şeylerden biri de saldırganların bir test hesabına erişebilmesiydi. Bu test hesabının neden bu kadar yaygın erişime sunulabildiğine dair sorular olduğunu düşünüyorum. Bahsettiğiniz gibi bunlar bulut hizmetleridir. Ve bazen insanlar sanırım bu kadar belgelenmemiş özellikler ve işlevler bulabilirler. Ayrıca şifre püskürtme saldırıları da yapıldı, dediğiniz gibi bu tür şeylerin engellenmesini bekliyor olabilirsiniz ama yine de etkili oldu. Açıkçası, herhangi bir organizasyon için buradan öğrenilmesi gereken bazı dersler var.
John Fokker: Kesinlikle. Okursanız, bir test hesabından üst düzey yöneticilere kadar nasıl gittiklerini veya başka bir şirkete sızmayı başardıklarını görmek oldukça ilginç. Yani bir şeyin peşindeler. Parola spreyi ile oynamanın ve onu diğer posta hesaplarına erişmek için kullanmanın birçok yolu vardır. Çünkü Office 365'in yetkisiz erişimlerin ek olarak günlüğe kaydedilmesine izin veren bir ayarı vardır. Ancak bunu kapatırsanız, bu tehdit aktöründe sıklıkla gördüğümüz şey, diğer hesaplardan tüm bu posta hesaplarına erişebilecek olmalarıdır ve aslında olan da budur. Bu nedenle, buna yardımcı olacak veya bunu sıkılaştıracak çok adımlı kılavuzlar var. Ayrıca bu, mutlaka bir satıcının da XDR çözümü sunduğumuz bir ürün sunumu değildir. Kapsamlı günlük kaydına izin veren ek çözümlere sahip olan herkese tavsiyelerde bulunabilirim: Microsoft Outlook web hizmetleri için kapsamlı günlük kaydında herhangi bir değişiklik olup olmadığının yanı sıra yetkisiz hesapları ve oturum açmayla ilgili herhangi bir anormalliği arayın – test hesapları için sıfır güven kimlik doğrulaması. Çok faktörlü kimlik doğrulamayı atlayan herhangi bir şey varsa, bunların tümü XDR satıcınızın sağlaması gereken kırmızı işaretlerdir.
Dolayısıyla biz de, diğer pek çok kişi gibi, XDR veya Helix çözümümüzdeki çözümleri tüm bu müşterilerimizin kullanımına sunuyoruz, çünkü o zaman bu garantiye sahip olursunuz. Bu bir garanti değil ama en azından daha fazla güvenliğe ve olabilecek şüpheli durumlara karşı daha fazla görünürlüğe sahip olursunuz ve bu, bunun bir sonraki kurbanı olmanızı engeller.
Mathew Schwartz: Bence bu tür saldırılardan elde edilecek en büyük çıkarımlardan biri, bugün belki de SVR'dir; yarın daha az yetenekli bir istihbarat teşkilatı ya da benzer taktikler kullanan bir siber suç grubu. Dünyanın düzeni bu değil mi?
John Fokker: Evet, tarihsel olarak bu APT aktörlerinin çoğunun çok sayıda kötü amaçlı yazılımdan yararlandığını gördük. Unutmayın, APT29 bunu hala yapıyor. Hâlâ günlük olarak, dünya genelindeki hükümetlerden STK'lara kadar çok sayıda kuruluştaki etkinlikleri tespit ediyoruz ve bu faaliyetler ağırlıklı olarak kimlik avı veya hedef odaklı kimlik avı girişimleri yoluyla sızmaya çalışıyor. Üstelik bunu Brute Ratel veya Cobalt ile yapıyorlar. İşaret lambalarına saldırır ve onlar da tüm ağa sızmaya çalışırlar. Ancak diğer yandan, buluta doğru bir farklılık görüyoruz – daha önce de belirttiğim gibi – çok kazançlı bir altyapının peşindeler, kötü amaçlı yazılım oluşturma konusunda aynı kapasiteye ihtiyaç duymuyorlar, dolayısıyla herhangi bir saldırı gerçekleştirebilecekleri daha az belirleyicidir.
Ve eğer bir kuruluş uygun güvenlik önlemlerine sahip değilse, radarın altından oldukça uzun süre uçabilir. Ve bunu gördüler çünkü şans eseri, o sırada tespit edilen Helix çözümümüz gibi SolarWinds'i tespit eden şeylerden biriydi. Yani bunlar, eğer uygun kontrollere sahip değilseniz, bunu fark etmeyeceksiniz ve onlar her şeyi yapabilirler, biz de istedikleri tüm istihbaratı alabilirler. İşte gördüğümüz bazı şeyler bunlar; aslında buna bir farklılık ya da farklı bir taktik diyebilirsiniz ama bu kesinlikle olan bir şey.
Mathew Schwartz: Sizin de söylediğiniz gibi: Bulut ortamları, neden bu kadar çok kuruluşun bunları benimsediği açık ve bazı büyük avantajlar sağlayabilirler. Ancak, günlüğe kaydetme ve izleme işlemlerini gerçekleştirmek için bu ekstra adımları uygulamadığınız sürece, saldırganlar daha az yer kapladığından bu bulut ortamlarının kullanımının daha az kalıntı bırakabileceğini söylüyorsunuz. Sizce bu konu yeterince tartışılıyor mu? Pek çok insan buluta bakıp şunu düşünüyor: endişelenecek daha az şey var. Ancak sanırım hâlâ çok sıkı bir bulut güvenliği operasyonu yürütmenin ne anlama geldiğini kavramaya başlıyoruz. Amerika Birleşik Devletleri'nde, CISA'nın kayıt tutma hakkında konuştuğunu ve bundan çok daha fazlası olması gerektiğini söylediğini görüyoruz çünkü bir şeyler olduğunda neye ihtiyacınız olacağını önceden planlamadığınız sürece ne olduğunu bilemezsiniz. gözden geçirmek üzere. Bana öyle geliyor ki, burada hala biraz öğrenme eğrisi var.
John Fokker: Kesinlikle, bulut hakkında konuştuğumuzda, unutmayın, yalnızca sahip olabileceğiniz büyük bulut satıcılarından ya da bu durumda Microsoft 365'ten bahsetmiyorum. Kullandığınız herhangi bir hizmet olabilir. bulut tabanlı bir altyapı kullanıyor. Yani esasen karşı karşıya olduğumuz şey, eğer şirket içi olsaydı, ağınızda birden fazla yazılım satıcısı ve paketi çalışırdı, ancak bunu güvenlik duvarınızın dışında bir bölgeye ayırdınız, bazı kontrolleriniz var, bir düzeyde segmentasyon var yer alıyor. Yani evet, ağınız oldukça kontrol altında olduğu sürece ağınızın içinde savunmasız olabilirler. Sanki pantolonun aşağıda ama perdeler kapalıyken yakalanmak gibi. Kullanacağım etik olmayan benzetme bu.
Ama bulutta durum tam tersi, değil mi? Perde yok, camdan bir evdesin. Eğer pantolonun aşağıda yakalanırsan, bunu herkes görebilir. Ve bir ağa bağlanan daha fazla yüzey var. Yani eğer bir savunmacıysanız, günlükleri birden fazla platformda neredeyse kusursuz bir şekilde yorumlayabilmeniz gerekir ve bu büyük bir zorluktur. Çünkü bunlar yalnızca SolarWinds'ten ağınıza kadar gidebilmekle kalmıyor, aynı zamanda bir Microsoft örneğine veya bir AWS örneğine de dönebiliyorlar ve sizin de bunları çapraz ilişkilendirebilmeniz gerekiyor.
Ve sıklıkla gördüğümüz şey şu ki, evet, bulut sağlayıcıları kendi kontrol setlerini sunuyorlar, ancak bu kontrol setleri ve kayıt olanakları her zaman diğerleriyle eşleşmediğinden senkronize olmuyorlar. Gördüğünüz gibi, örneğin CASB, birçok bulut sağlayıcısı için ve bizim için de kardeş şirketimiz Skyhigh ile tüm bu erişim yöntemleri üzerinde kontrol sahibi olmak açısından çok ilginç bir pazar. İşte bu yüzden Helix'te de sahip olduğumuz tüm bu bağlayıcılar var, çünkü tüm bunlardan anlam çıkarabildiğimizden emin olmamız gerekiyor, çünkü şu anda gördüğümüz en büyük sorun işbirliği güvenliğidir – saldırganların Teams'den veya başka herhangi bir işbirliği ağından geçmesi ve daha sonra kötü amaçlı yazılım yükünü bırakıyorlar ve ardından bir ağa bağlanabiliyorlar. Kesinlikle haklı olabilmek için bir defans oyuncusu olarak görünürlüğe sahip olmanız gerekir; bulut bu açıdan çok büyük bir zorlukla birlikte gelir, ancak bu imkansız değildir. Sadece bu konuda gayretli olmanız gerekiyor.
Mathew Schwartz: Fantastik. John, bu son ulus devlet saldırılarında gördüklerimizi ve kuruluşların kendilerini savunmak için ne yapmaları gerektiğini bana anlattığın için çok teşekkür ederim.
John Fokker: Evet tamamen. Aslında bununla ve bu saldırılarla ilgili çıkan bir blogumuz var. İsteyen varsa lütfen baksın. Çok faydalı. Bizim uyguladığımız karşı tedbirlere bakarsanız uygulayabilirsiniz, kendi durumunuza da uygulayabilirsiniz. Bu yüzden bir sonraki kurbanın olmaması için herkese dikkatli olmalarını ve bunu önlemelerini tavsiye ediyorum.
Mathew Schwartz: Harika. Hoş geldiniz tavsiyesi. Çok teşekkür ederim – John Fokker, Trellix'in tehdit istihbaratı başkanı. Bu bir zevk.
John Fokker: Teşekkürler Mat.
Mathew Schwartz: Ben ISMG'den Mathew Schwartz. Bize katıldığınız için teşekkürler.