شعار زيفيرنت

ذكاء البيانات التوليدية

الأمن السيبراني

لماذا تعتبر إدارة الهوية هي المفتاح لوقف الهجمات الإلكترونية APT

أعاد نشره أفلاطون
أعاد نشره أفلاطون

التاريخ:

المشاهدات: 141

أجرى Dark Reading News Desk مقابلة مع آدم مايرز، رئيس عمليات مكافحة الخصوم في CrowdStrike في Black Hat USA 2023. تحقق من مقطع News Desk على يوتيوب (نص أدناه).

القراءة المظلمة، بيكي براكن: مرحبًا بالجميع، ومرحبًا بكم مرة أخرى في مكتب Dark Reading News Desk القادم إليكم مباشرةً من Black Hat 2023. أنا Becky Bracken، محررة في Dark Reading، وأنا هنا للترحيب بآدم مايرز، رئيس عمليات مكافحة الخصوم في CrowdStrike، إلى مكتب أخبار القراءة المظلمة.

شكرا لانضمامك إلينا يا آدم. أنا أقدر ذلك. في العام الماضي، كان الجميع يركزون بشدة عليه مجموعات APT في روسيا، ما كانوا القيام به في أوكرانياوكيف يمكن لمجتمع الأمن السيبراني أن يلتف حولهم ويساعدهم. ويبدو أن هناك تحولًا كبيرًا جدًا في الأرض منذ ذلك الحين. هل يمكنك أن تقدم لنا تحديثًا لما يحدث في روسيا الآن مقارنة بالعام الماضي؟

آدم مايرز: لذلك أعتقد أن هناك الكثير من القلق بشأن ذلك بالطبع. بالتأكيد أعتقد أننا رأينا أن الاضطرابات التي تحدث بشكل عام بعد بدء الصراع لن تختفي. لكن بينما (كنا نركز)، كما تعلمون، على ما كان يحدث مع الروس، أنشأ الصينيون قاعدة جهد هائل لجمع البيانات حول ذلك.

دكتور: هل كانوا (الحكومة الصينية في مجموعات APT المرتبطة بها) يستخدمون الغزو الروسي كغطاء بينما كان الجميع ينظرون هنا؟ فهل كانوا يفعلون ذلك قبل ذلك؟

صباحا: هذا سؤال جيد. أعتقد أن الأمر نجح في توفير هذا النوع من التغطية لأن الجميع يركزون بشدة على ما كان يحدث في روسيا وأوكرانيا. لذا فقد صرف الانتباه عن قرع الطبول المستمر للجميع الذين ينادون بالصين أو يفعلون الأشياء التي كانوا هناك.

دكتور: لذلك نحن نعرف دوافع روسيا. ماذا عن مجموعات APT الصينية؟ ما هي دوافعهم؟ ماذا يحاولون أن يفعلوا؟

صباحا: لذا فهي ضخمة منصة التجميع. الصين لديها عدد من البرامج الرئيسية المختلفة. لديهم أشياء مثل الخطط الخمسية التي تمليها الحكومة الصينية مع متطلبات تنموية قوية. لديهم "صنع في الصين 2025مبادرة، لديهم حزام ومبادرة الطريق. ولذا فقد قاموا ببناء كل هذه البرامج المختلفة من أجل تنمية الاقتصاد لتطوير الاقتصاد في الصين.

بعض الأشياء الرئيسية التي استهدفوها تدور حول أشياء مثل الرعاية الصحية. إنها المرة الأولى التي يتعامل فيها الصينيون مع الطبقة المتوسطة المتزايدة ومع قضايا الرعاية الصحية الوقائية (التي تمثل الأولوية)، والسكري، وعلاجات السرطان، وكل ذلك. وهم يحصلون على الكثير من ذلك من الغرب. إنهم (الصينيون) يريدون بنائه هناك. إنهم يريدون الحصول على منتجات محلية معادلة حتى يتمكنوا من خدمة أسواقهم الخاصة ومن ثم تنمية ذلك في المنطقة المحيطة، أي منطقة آسيا والمحيط الهادئ الأوسع. ومن خلال القيام بذلك، فإنهم يبنون تأثيرًا إضافيًا. إنهم يبنون هذه العلاقات مع هذه البلدان حيث يمكنهم البدء في دفع المنتجات الصينية والحلول التجارية والبرامج الصينية... لذلك عندما يحين وقت الدفع بشأن قضية - تايوان أو أي شيء آخر - لا يحبونها في الأمم المتحدة، فإنهم يمكن أن يقول "مرحبًا، يجب عليك حقًا التصويت بهذه الطريقة. ونحن نقدر ذلك."

دكتور: لذلك فهو حقًا جمع الاستخبارات و مكاسب الملكية الفكرية بالنسبة لهم. إذن ماذا سنرى في السنوات القليلة القادمة؟ هل سيقومون بتفعيل هذه الاستخبارات؟

صباحا: وهذا ما يحدث الآن، إذا نظرت إلى ما كانوا يفعلونه بالذكاء الاصطناعي. انظر إلى ما كانوا يفعلونه في مجال الرعاية الصحية وتصنيع الرقائق المختلفة، حيث يحصلون على معظم رقائقهم من الخارج. إنهم لا يريدون أن يفعلوا ذلك.

إنهم يعتقدون أن الناس ينظرون إليهم على أنهم ورشة عمل للعالم، ويريدون حقًا أن يصبحوا مبتكرين. والطريقة التي يتطلعون إليها للقيام بذلك هي من خلال الاستفادة مجموعات APT الصينية والقفز (الدول المتنافسة) من خلال العمليات السيبرانية، والتجسس السيبراني، و(سرقة) ما هو متطور حاليًا، ومن ثم يمكنهم محاولة التكرار والابتكار علاوة على ذلك.

دكتور: مثير للاهتمام. حسنًا، بالانتقال من الصين، نذهب الآن إلى كوريا الشمالية، وهم يعملون في هذا المجال - مجموعات APT الخاصة بهم هي صانعة للأموال، أليس كذلك؟ هذا ما يتطلعون إلى القيام به.

صباحا: نعم. لذلك هناك ثلاث قطع منه. أولاً، إنهم بالتأكيد يخدمون المجالات الدبلوماسية والعسكرية والسياسية عملية جمع المعلومات الاستخبارية، لكنهم يفعلون ذلك أيضًا الملكية الفكرية.

أطلقوا برنامجًا يسمى استراتيجية التنمية الاقتصادية الوطنية، أو NEDS. ومع ذلك، هناك ستة مجالات أساسية تركز على أشياء مثل الطاقة والتعدين والزراعة والآلات الثقيلة، وكل الأشياء المرتبطة بالاقتصاد الكوري الشمالي.

إنهم بحاجة إلى رفع التكلفة وأسلوب حياة المواطن الكوري الشمالي العادي. يتمتع 30% فقط من السكان بطاقة موثوقة، لذا فإن أشياء مثل الطاقة المتجددة وطرق الحصول على الطاقة (هي نوع البيانات مجموعات APT الكورية الشمالية يبحثون عنه).

ومن ثم توليد الإيرادات. لقد انقطعوا عن نظام سويفت الدولي والاقتصاديات المالية الدولية. ولذا يتعين عليهم الآن إيجاد طرق لتوليد الإيرادات. لديهم ما يسمى المكتب الثالث، الذي يدر إيرادات للنظام وللعائلة أيضًا.

ولذلك فإنهم (المكتب الثالث) يقومون بالكثير من الأشياء، أشياء مثل المخدرات والاتجار بالبشر وأيضًا الجرائم الإلكترونية. لذا مجموعات APT الكورية الشمالية كانت فعالة للغاية في استهداف الشركات المالية التقليدية وكذلك شركات العملات المشفرة. وقد رأينا ذلك - أحد الأشياء الواردة في تقريرنا الذي صدر للتو يظهر أن القطاع الثاني الأكثر استهدافًا في العام الماضي كان القطاع المالي، الذي حل محل قطاع الاتصالات. لذا فهو يحدث تأثيرًا.

دكتور: إنهم يكسبون الكثير من المال. دعونا نركز حول إيران، والتي أعتقد أنها الركيزة الرئيسية الأخرى لعمل التهديدات المستمرة المستمرة (APT). ماذا يحدث بين مجموعات APT الإيرانية?

صباحا: لذلك رأينا، في كثير من الحالات، شخصيات مزيفة لاستهداف أعدائهم (الإيرانيين)، لملاحقة إسرائيل والولايات المتحدة، مثل الدول الغربية. مجموعات أبت المدعومون من إيران يقومون بإنشاء هذه الشخصيات المزيفة ونشر برامج الفدية، لكنها ليست في الحقيقة برامج فدية لأنهم لا يهتمون بجمع الأموال بالضرورة. هم (مجموعات APT الإيرانية) أريد فقط التسبب في هذا الاضطراب ثم جمع معلومات حساسة. كل هذا يجعل الناس يفقدون الثقة أو الإيمان بالمنظمات السياسية أو الشركات التي يستهدفونها. إنها حقًا حملة تخريبية تتنكر في شكل برامج فدية الجهات التهديدية الإيرانية.

دكتور: يجب أن يكون من الصعب جدًا محاولة تحديد الدافع للعديد من هذه الهجمات. كيف تفعل ذلك؟ يعني كيف تعرف أنها مجرد واجهة للتعطيل وليست عملية لكسب المال؟

صباحا: هذا سؤال رائع، لكنه في الواقع ليس بهذه الصعوبة لأنه إذا نظرت إلى ما يحدث بالفعل، أليس كذلك؟ - ما الذي سيحدث - إذا كانوا مجرمين، وكان لديهم دوافع مالية، فسوف يقومون بسداد المدفوعات. هذا هو الهدف، أليس كذلك؟

إذا لم يبدو أنهم يهتمون حقًا بكسب المال، مثل NotPetya على سبيل المثال، هذا واضح جدًا بالنسبة لنا. سنستهدف البنية التحتية، ثم ننظر إلى الدافع نفسه.

دكتور: وبشكل عام، ما هي بعض الهجمات بين مجموعات APT؟ دو جور؟ ما الذي يعتمدون عليه حقًا الآن؟

صباحا: لذلك رأينا الكثير من مجموعات أبت ملاحقة الأجهزة من نوع الشبكة. كان هناك الكثير من الهجمات ضد الأجهزة المعرضة لمختلف الأنظمة السحابية وأجهزة الشبكة، وهي أشياء لا تحتوي عادةً على مكدسات أمان حديثة لنقطة النهاية.

ولا يقتصر الأمر على مجموعات APT فقط. ونحن نرى هذا بشكل كبير مع مجموعات برامج الفدية. لذا فإن 80% من الهجمات تستخدم بيانات اعتماد مشروعة للدخول. إنهم يعيشون خارج الأرض ويتحركون بشكل جانبي من هناك. وبعد ذلك، إذا استطاعوا، في كثير من الحالات، سيحاولون نشر برامج الفدية إلى برنامج Hypervisor الذي لا يدعم أداة DVR الخاصة بك، وبعد ذلك يمكنهم قفل جميع الخوادم التي تعمل على ذلك هبرفيسر وإخراج المنظمة من العمل.

دكتور: لسوء الحظ، نحن خارج الوقت. أود حقًا مناقشة هذا الأمر لفترة أطول، لكن هل يمكنك أن تقدم لنا توقعاتك سريعًا؟ ما الذي سننظر إليه في مجال APT، في رأيك، بعد 12 شهرًا من الآن؟

صباحا: لقد كانت المساحة متسقة جدًا. أعتقد أننا سنراهم (مجموعات APT) يواصلون تطوير مشهد الضعف.

إذا نظرت إلى الصين، على سبيل المثال، فإن أي بحث حول نقاط الضعف يجب أن يمر عبر وزارة أمن الدولة. التركيز على جمع المعلومات الاستخبارية هناك. وهذا هو الدافع الأساسي في بعض الحالات؛ هناك اضطراب كذلك.

ومن ثم، كتنبؤ، فإن الشيء الذي يجب على الجميع التفكير فيه هو إدارة الهوية، بسبب التهديدات التي نراها. هذه الانتهاكات تنطوي على الهوية. لدينا ما يسمى "وقت الاختراق"، والذي يقيس المدة التي يستغرقها الممثل للانتقال من موطئ قدمه الأولي إلى بيئته إلى نظام آخر. أسرع واحد (وقت الاختراق) رأيناه كان سبع دقائق. لذا فإن هؤلاء الممثلين يتحركون بشكل أسرع. أكبر ما يمكن استنتاجه هو أنهم (مجموعات APT) يستخدمون بيانات اعتماد شرعية، ويأتيون كمستخدمين شرعيين. ومن أجل الحماية من ذلك، فإن حماية الهوية أمر بالغ الأهمية. ليس فقط نقاط النهاية.

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة

حقوق النشر @ 2024 Plato Technologies Inc.