Het lijdt geen twijfel dat bedrijven in het vizier zijn van potentiële criminelen die ze willen uitbuiten. Terwijl bedrijven naar oplossingen en training kijken om de perimeter veilig te houden, zijn de werknemers vaak het grootste faalpunt, oftewel het menselijke element.

In deze Threatpost-podcast, gesponsord door uitgang, we gaan zitten met Jack Chapman om de stappen en tactieken te bespreken die bedrijven kunnen nemen om hun tegenstanders een stap voor te blijven.

Tijdens ons gesprek bespreken we:

– Zwakke punten waar aanvallers misbruik van willen maken
– Evolutie van toolkits
– MFA beveiligen en meer

Een verkort transcript is hieronder beschikbaar.

Jeff Esposito: Hallo allemaal, en welkom bij de nieuwste editie van de Threatpost Podcast. Vandaag worden we vergezeld door Jack Chapman van Egress. Hij is de VP van Threat Intelligence bij Egress en heeft de taak om het veranderende landschap van cyberbedreigingen grondig te begrijpen om cybercriminelen een stap voor te blijven.

Door gebruik te maken van deze inzichten en zijn uitgebreide R&D-vaardigheden houdt Jack toezicht op informatie over bedreigingen voor Egress. Jack was eerder mede-oprichter van anti-phishingbedrijf Aquila AI en diende als chief technology officer, en werkte nauw samen met het Britse inlichtingen- en cyberbureau GCHQ om geavanceerde productmogelijkheden te ontwikkelen. Aquila AI werd in 2021 overgenomen door Egress. Jack, welkom bij de podcast. Hoe is het vandaag met je?

Jack Chapman: Goed, Jef. Blij om hier te zijn.

IK: Het is altijd goed je te zien. Hopelijk gaat alles goed in het VK vandaag. Dus toen ik naar je achtergrond keek, wilde ik zien of we een beetje in de donkere kant van cyberbeveiliging konden duiken en in de mentaliteit van de aanvaller konden kijken. Is dat iets waar je goed in bent?

JC: Dat is mijn brood en boter, dat is wat ik dagelijks doe, is mijn favoriete onderwerp.

IK: Dat is maar goed ook, want dan gaan we er een beetje in duiken. Dus wat, weet je, wat zijn enkele van de zwakke punten die aanvallers in bedrijven proberen uit te buiten?

JC: De nummer één is mensen. Het is heel erg dat aanvallers een soort misdaad waren naarmate een service-ecosysteem volwassen werd, ze zijn doorgegaan met een zeer hoog rendement op het investeringsmodel. En de overgrote meerderheid van de aanvallers is allemaal erg financieel gedreven. En als onderdeel daarvan evalueren ze hun TTP's en hoe ze organisaties aanvallen. En vreemd genoeg, als we hardop zeggen, is het logisch dat het een stuk goedkoper en gemakkelijker is om een ​​mens te targeten dan om een ​​half miljoen dollar te investeren in de volgende zero-day. Het is dus heel erg op de mens gericht en van daaruit groeiend waardoor de andere aanvallen mogelijk worden.

IK: Dus het lijkt erop dat wat het jaar ook verandert, het menselijke element altijd het grootste probleem zal zijn voor bedrijven.

JC: Ja, absoluut. En het leek bijna alsof het een paar jaar geleden aan het veranderen was, maar toen organisaties en dus als geheel, hebben we onze cyberhouding volwassener, we hebben een soort van OWASP geïmplementeerd, top 10, met pentesten en wachtwoordbeleid, wat geweldig is om te zien. En het is bijna alsof we de aanvallers weer op het traditionele stuk hebben gericht, dus we zijn weer bij de mensen.

IK: En het is als, is het gewoon phishing? Zijn er andere dingen zoals ik weet, we hebben dingen gezien zoals mensen die USB verliezen, het is in de druppels geweest die we in het verleden hebben gezien. Maar is het gewoon phishing? Dat is de gemakkelijkste laag. Zijn daar andere opties voor?

JC: Ik denk dat phishing de overgrote meerderheid is, maar je hebt de randelementen zoals social engineering, phishing, smishing en al deze andere geweldige marketingtermen die we in cyber als geheel hebben, wat niet, ze maak me niet gek, eerlijk gezegd. Maar vanaf dat moment beginnen we meer dingen te zien rond replay-aanvallen van inbreuken, en de hoeveelheid datalekken waarin individuen en organisaties zich bevinden en dat dat het andere belangrijkste kanaal is, lijkt op dit moment phishing en het opnieuw afspelen van inbreuken te zijn.

IK: Oké, nu, als de aanvallers eenmaal binnen zijn, weet je, hoe zijn de toolkits geëvolueerd en zoals welke organisaties bovenop moeten zitten?

JC: Ik denk dat de twee belangrijkste manieren waarop ze zijn geëvolueerd, zijn in verfijning en automatisering. Dus hoewel we dezelfde taal gebruiken voor al deze aanvallen, zijn ze iets verder gegaan. Dus slechts een voorbeeld hiervan, een die ik vorige week zag, was een phishing-aanval die wanneer de gebruiker op de link klikte, automatisch zijn MX-record zou opzoeken om te zien welke payload hij de gebruiker zou moeten tonen, welke is een geweldig stukje innovatie vanuit het oogpunt van de aanvallers, maar het maakt het aan onze kant soms best moeilijk om te beschermen.

Dus in termen van een soort van kennisbasis, wat moeten we weten om deze toename in verfijning, automatisering, in de eerste plaats, een soort verandering in de houding van verwachten dat dit zich zal voortzetten. Het is een sterke trend die gaat plaatsvinden, en we moeten echt opnieuw beoordelen of de traditionele doelen die we hebben op hun plaats zijn, want het andere grote ding dat in deze verschuiving is veranderd, als je wilt, is de toename van gecompromitteerde accounts waar een e-mail fantastische e-mail zal hebben authenticatie, het SPFD-commando D-teken, maar het zal ook een ouder domein zijn. Het is meer dan twee jaar oud. Het heeft veel e-mailstromen, allemaal dingen waar we traditioneel beveiligingsoplossingen omheen konden maken. De aanvallers hebben onze methodologie geïdentificeerd en hebben deze in wezen gebroken. Dus vanuit ons oogpunt is het niet alleen op die manier vertrouwen op dezelfde oplossing, het is belangrijk om de risico's waarmee we in die ruimte worden geconfronteerd, echt opnieuw te evalueren.

IK: Weet je, het vervolg daarop is echter een gigantisch kat-en-muisspel. En het lijkt erop, weet je, dit is een van die plekken, dat zal de uiteindelijke plek zijn waar bedrijven op de hoogte moeten blijven, anders kunnen ze het slachtoffer worden van een van deze soorten aanvallen. Nu we het toch over het bedrijfsstandpunt hebben, hoe lopen bedrijven achter als het gaat om training en het bijhouden van technologie?

JC: Ik denk dat waarschijnlijk, vooral die trainingshoek, ik mijn grootste frustratie ken en met veel organisaties heb gesproken, is dat ze denken dat training de oplossing op zich is. En het is een van die problemen, terwijl verwachtingen versus realiteit. Maar training is een enorme troef als het gaat om cyberbeveiliging. We willen onze gewone gebruikers meenemen op deze reis naar dat soort cybereffectiviteit, wat ik zou zeggen, nou ja, het zijn geen cyberexperts. Het is niet hun taak om dat te zijn, maar ze zijn een deel van de oplossing in plaats van het potentiële probleem.

Een deel van het probleem, vooral als het gaat om social engineering, is dit type één type twee denken, waarbij een aanval is ontworpen om mensen in type één te houden, wat erg instinctief en responsief is, in plaats van type twee, dat is dat langzamere, methodische denken uit proces. Waar de veronderstelling met veel training oké is, kun je mensen laten stoppen en denken, maar als een aanval je in dat type houdt, kunnen ze niet terugvallen op hun training, dus veel aanvallen zijn ontworpen om het bijna te ondermijnen. Dus voor mij is training een belangrijk onderdeel van het soort gelaagde bescherming ervoor.

Maar je hebt technologie nodig om dat in wezen te overlappen, dat kan helpen het te detecteren, vooral sommige van deze meer geavanceerde aanvallen. Eventueel beleid ook. Dus als iemand om financiële overschrijving vraagt, bel hem dan op, doe iets volledig buiten de communicatieketen. Breek, breek het vanuit het oogpunt van aanvallers, ik denk dat ik terugval op deze drie, vrij traditionele pijlers waar we het de hele tijd over hebben en de industrie, en hoe ze met elkaar verbonden zijn. Ik denk dat de manier waarop dit soort mensen, technologie en beleid met elkaar verbonden zijn, een kans voor ons is om een ​​soort verschuiving in verfijning te verzachten.

IK: En ik denk dat ik hier wat dieper in moet duiken, en een van de plekken hier die volgens mij opvalt, vooral in de technologielaag boven training, is het feit dat ik denk dat wanneer veel mensen naar trainingen en bedrijven kijken, het is gemakkelijk, hé, dit is met onze compliance-training één keer per jaar. En het is iets waarvan het lijkt alsof het gedoemd is te mislukken als je alleen voor de oplossing naar training kijkt.

JC: Absoluut. En ik denk dat dat is waar de verwachting om de hoek komt kijken, van welke bedreigingen loop je eigenlijk als organisatie? Wat zijn de risico's? Waar zijn je kroonjuwelen? En we praten nogal veel over iets dat risico's registreert. En het koppelt training en de technologie daar ook aan, want het ongelukkige dat het verdedigend vrij moeilijk maakt, is dat elke organisatie anders is. Hun dreigingslandschap is anders, hun risicobereidheid is anders.

En het is belangrijk dat ze ook als individuen worden behandeld over hoe we ze beschermen. Dus een van de redenen waarom ik in de eerste plaats met cyber in aanraking kwam, was dat het een stuk moeilijker is om het systeem te verdedigen dan om het aan te vallen. Dus wat dat betreft denk ik dat continue innovatie heel belangrijk is. Alleen omdat training in het verleden werkte, wil nog niet zeggen dat het zal blijven werken. Zelfs als het gewoon dezelfde training is, helpt het om het bij te werken, bij te werken welke kanalen je gebruikt en ook naar andere opties te zoeken.

IK: En ik denk dat ik denk dat wat je zei, nog meer op dat punt kwam, en er is een moment dat je het net had over, je weet wel, de persoon die de telefoon opneemt en praat over een overboeking, ik denk, weet je, dit jaar alleen, er zijn er minstens zes geweest waar je over zou kunnen horen, en het is niet een klein bedrag dat mensen verliezen. Dus ik denk dat het zeker een benadering is die beoefenaars moeten volgen en ik waardeer het feit dat je een goede vent bent en dat je het beter en uitdagender vindt om de goede kant van de dingen te doen. Om nu terug te komen op, weet je, de accountovernames en dingen die een van de hotter onderwerpen zijn waarvan ik denk dat je weet, die door veel mensen zijn doorgegeven, is de behoefte aan MFA. Maar het lijkt erop dat het zelfs hiermee een beveiligingsmaatregel is die gebreken heeft en de deur kan openen. Heb ik het goed en lees ik dat of is dat iets anders?

JC: Ja, ik denk dat MFA een belangrijke stap is in onze beveiligingshouding, het voegt een toegangsdrempel toe en maakt het moeilijker voor aanvallers om accounts te compromitteren en die accounts vervolgens als activa te gebruiken of al hun beoogde resultaten te krijgen. Ik denk dat de moeilijkheid met MFA is dat te veel organisaties denken dat ik MFA heb, dus ik ben veilig, en dat is het einde van de reis voor hen. Wat we zien vanuit het oogpunt van aanvallers, neemt de hoeveelheid tools en geautomatiseerde services die ze hebben om MFA te omzeilen toe en neemt snel toe.

Alles van het doen van een soort man-in-the-middle-aanvallen waarbij ze een cookie installeren of cookies van je laptop schrapen, helemaal tot het daadwerkelijk gebruiken van volledige auth-services waarbij ze doen alsof ze zich aanmelden bij Microsoft's Microsoft, bijvoorbeeld namens jou . Dus een aanvaller heeft zich gerealiseerd dat dat een drempel is om binnen te komen, en ze overwinnen die met snelheid. Dus ik denk dat het essentieel is om te hebben, omdat we aanvallers willen frustreren, maar we kunnen er niet alleen op vertrouwen.

IK: En ik denk dat met dat deel, zoals, er zijn zoveel verschillende manieren waarop mensen naar MFA kijken, of het nu beveiligingssleutels zijn, of het een authenticator is, of het daar is, zeg ik, sms in sommige gevallen ook, zoals, wat zijn sommige van de best practices waarvan u denkt dat organisaties moeten volgen wanneer ze dit in hun omgeving implementeren?

JC: De eerste stap is om het te hebben. Dus een niet-perfecte implementatie is 99% van de tijd beter dan geen, omdat ik met veel organisaties praat en ze aarzelen, omdat ze het niet perfect kunnen doen. Dus ik duw die logica een beetje terug. Op een andere manier zou ik zeggen: hoe kun je het op zo'n manier implementeren dat het je gebruikers niet hoeft te frustreren, afhankelijk van wat je beschermt? Want aan het eind van de dag, als de beveiliging niet werkt voor mensen, vinden ze vaak een manier om het te omzeilen, want ze hebben werk te doen. Wat ik daarover zou zeggen, is een beredeneerde, redelijke benadering. Dus heb je wekelijkse resets? Voer je maandelijkse resets uit? Nieuwe apparaten? En dat is het gesprek dat u met uw hele beveiligingsteam moet voeren over wat op die plek het beste werkt voor uw organisatie, zowel vanuit operationeel oogpunt en risico, maar ook vanuit compliance en in welke branche uw organisatie zich bevindt.

IK: Dus met dat punt is dit een heel interessante plek waar ik wat dieper in wil graven. Want eerder hadden we het erover dat medewerkers de zwakste schakel zijn, nummer één. Ten tweede, als je hier wat meer naar kijkt, weet je, we hebben technologieën ingevoerd om ze te beveiligen. Maar dan het derde deel erover, nu, wanneer gebruikers een manier configureren om de MFA te absorberen, handelen ze bijna als een rol van bijna interne hackers, omdat ze hun baan moeten krijgen om dit te doen. Is er bijvoorbeeld een manier om MFA te implementeren die specifiek is voor functies of dat soort dingen?

JC: Ja, het hangt af van het soort technologiestapel en wat je probeert te bereiken. Ik weet het, in de industrie hebben we dit concept van een soort kroonjuweelverdediging. Dus zijn het gewoon bepaalde activa die je boven en buiten moet beschermen, en er zijn een soort veilige opslagoplossingen die je kunt gebruiken om een ​​extra laag toe te voegen, waar je een soort van algemene bescherming hebt of een soort van je algemene bestandsdeling, en dan heb je een niveau hoger als je wilt. Bovendien, afhankelijk van het soort functie, is de andere manier om dit te bekijken vanuit een risicobasis. Welke personen lopen het meeste risico op basis van de feedback van hun training? En ik denk dat dit een belangrijke kans is, wanneer het bouwen van een soort beveiligingsbeleid is om je beveiligingslagen te gebruiken om andere lagen te creëren. Dus wat zijn uw grootste risico's? Hoe verzacht je die? En hoe zijn dan de mensen rond die toprisico's? En op die manier heb je een hele mooie methodiek die beredeneerd en passend is, maar toch de organisatie veilig stelt.

IK: En ik denk dat dat nu een sleutel is, voordat we je vandaag laten gaan Jack, ik heb nog een laatste vraag voor je, en het is hoe je toolkits en aanvallen in de toekomst ziet evolueren.

JC: Ik zie ze de huidige trend volgen waarbij ze gemakkelijker toegankelijk zijn, goedkoper en meer geautomatiseerd worden. Ik zou echter voorspellen, kijk in mijn glazen bol hier dat ze gaan worden en aansluiten bij meer Osen-bronnen. Dus sociale media schrappen, inbreuken schrappen. Om bijna in de richting van een meer geautomatiseerde gerichte aanval te gaan, geautomatiseerde spear phishing. Op grotere schaal beginnen we te zien dat criminelen dit soort van testen, ze gebruiken meer een soort inbreuken om hun sjabloonaanvallen te sturen en opzoekingen uit te voeren. Maar ik zou verwachten dat dit soort toename van verfijning zich zou voortzetten.

De andere trend die we hierin zien, waarvan ik verwacht dat deze niet zal veranderen, is de hoeveelheid verduisterings- en tegendetectietechnieken die in deze toolkits zijn ingebouwd. Dingen zoals het gebruik van een nul-lettertype en wit-op-witte tekst in de e-mail zelf. De gebruiker ziet dus iets heel anders dan een machine zou zien. En ik denk niet dat een aanvaller deze algemene trend zal veranderen totdat het helaas niet meer succesvol voor hem is. Dus dat is waar het voor ons belangrijk is om te proberen die stap vooruit te komen. We hebben het altijd over dit zwaard en schild gehad, we zijn aan de verdedigende kant naar voren gegaan, en dan gaan de aanvallers naar voren. En ik denk dat het voor ons is hoe we ze hier een beetje kunnen ondermijnen, omdat ze momenteel deze stap voorwaarts op ons hebben gezet.

IK: Maar ik denk dat het een van die dingen is die we zeker in de gaten moeten houden. En ik denk dat we zeker het werk dat jouw bedrijf doet ook in de gaten gaan houden, Jack, maar dat brengt ons bij het einde van de podcast van vandaag. Dus ik wilde je bedanken voor de tijd vandaag, Jack, en ik wens je alleen maar veel succes in de toekomst met deze dingen.

JC: Bedankt, Jef. Het was me een genoegen.