Cisco Talos: продвинутый интеллект для глобальных киберугроз
Кендалл Маккей из Cisco Talos делится своими мыслями о точечном обнаружении, передовых контрмерах и о том, что киберпреступники могут предпринять дальше.
В настоящее время, отмечая свое 10-летие, Cisco Talos входит в число ведущих в мире групп по обнаружению угроз и реагированию на них. А учитывая неустанную изощренность современных киберугроз, он необходим как никогда.
Сочетая передовые технологии с элитной командой аналитиков, Talos предоставляет организациям подробную картину угроз по мере их возникновения, встроенную прямо в продукты Cisco, наряду с реагированием на инциденты для принятия быстрых мер в случае необходимости.
Сразу после конференции Black Hat в Лас-Вегасе в этом году мы поговорили с Кендалл Маккей, старшим аналитиком Cisco Talos по разведке, чтобы узнать ее мнение о главных вызовах безопасности на сегодняшний день и о том, как организации могут их решить.
Спасибо, Кендалл! Какие ключевые выводы были сделаны Black Hat в этом году?
Невероятно, что в одном месте одновременно собралось так много экспертов и практиков в области безопасности. Этот год Black Hat запомнился особенно тем, что Talos отметила свой 10-летний юбилей. Вероятно, не многие знают об этом, но бренд Talos был фактически представлен Black Hat в августе 2014 года. Было интересно присутствовать на конференции в этом году на таком фоне, поскольку мы отмечали историю Talos, а также представили некоторые новые исследования и находки.
Можете ли вы рассказать нам о некоторых наиболее важных тенденциях, которые Talos опубликовала в своем ежеквартальном отчете о реагировании на инциденты в преддверии выставки?
Идентификация является главной проблемой — в прошлом квартале 60 процентов взаимодействий можно было отследить до использования скомпрометированных учетных данных в качестве первоначального доступа в среду заказчика. Участники все чаще полагаются на атаки социальной инженерии, чтобы установить доверие со своей жертвой и обманом заставить ее стать невольным участником своих вредоносных операций. Сюда входят такие тактики, как компрометация деловой электронной почты (BEC), многофакторная аутентификация (MFA) и фишинг, и это лишь некоторые из них. Для любой службы безопасности, стремящейся предотвращать и обнаруживать атаки с использованием идентификационных данных, первым шагом является знание своей текущей инфраструктуры идентификации. Это означает понимание жизненного цикла любого данного идентификатора в корпоративной среде, чтобы помочь предвидеть и обнаруживать вредоносное поведение при его возникновении.
Как изменился ландшафт угроз за последние несколько лет, особенно когда речь заходит о программах-вымогателях?
За последние пару лет мы наблюдаем огромный приток начинающих участников в эту сферу. Во многом это связано с утечкой исходного кода и компоновщиков — по сути, стандартных блоков программ—вымогателей - которые становятся доступными онлайн. Теперь во многих случаях менее искушенные участники могут использовать эти ресурсы для выхода на игровое поле, когда в противном случае они не смогли бы этого сделать. Однако вместе с этим возникают новые вызовы, поскольку эксперты по безопасности реагируют на растущее число разновидностей программ-вымогателей, появляющихся быстрыми темпами.
В связи с увеличением частоты громких взломов, на что, по вашему мнению, следует обратить внимание организациям, стремящимся защитить себя?
Использование действительных учетных записей является очень распространенным явлением. Это означает, что субъекты угрозы получают законные учетные данные, входят в действительные учетные записи пользователей и запускают свои атаки оттуда. Киберпреступники могут покупать украденные учетные данные в темной Сети, а также могут скомпрометировать действительные учетные записи, проводя атаки методом перебора или с использованием паролей против учетных записей со слабыми паролями. Вот почему организациям важно иметь надежную политику управления паролями . Во-вторых, организациям необходимо внести исправления. Субъекты угроз по-прежнему нацелены на известные уязвимости, которым уже более 10 лет, поэтому применение обновлений безопасности к системам и приложениям имеет решающее значение для предотвращения получения злоумышленниками доступа к устаревшему программному обеспечению.
Какой совет вы бы дали командам безопасности, стремящимся предотвращать или обнаруживать атаки с использованием личных данных, и организациям, стремящимся внедрить некоторые передовые методы среди своих сотрудников?
Многофакторная аутентификация (MFA) является ключевой. Мы видим, что очень многие организации становятся жертвами атак, которые можно было бы предотвратить, если бы MFA была включена во всей их организации. Это особенно верно для VPN и других сетевых устройств, которые могут обеспечивать шлюз в среду организации. Кроме того, важно убедиться, что сотрудники ознакомлены с наиболее распространенными — и предотвратимыми — атаками социальной инженерии. К ним относятся такие вещи, как усталость от MFA, когда субъект заполняет мобильное устройство пользователя push-уведомлениями в надежде заставить его одобрить попытку аутентификации. Мошенничество - это еще один видимый нами прием, когда действующее лицо выдает себя за доверенное лицо, например, сотрудника отдела кадров или ИТ, чтобы обманом заставить жертву разгласить конфиденциальную информацию по телефону. У этих типов атак гораздо больше шансов быть предотвращенными, если пользователи будут осведомлены о том, на что обращать внимание.
Компания Talos отмечает свой 10-летний юбилей — можете ли вы рассказать о некоторых наиболее значительных достижениях или вехах, которых достигла команда за это время? Что делает Talos одной из самых надежных исследовательских групп по анализу угроз в мире?
Впечатляет оглядываться назад на последнее десятилетие работы и рассматривать влияние, которое Talos оказала на сообщество кибербезопасности. Мы проделали действительно потрясающую работу, начиная с отчетов о печально известных бандах программ-вымогателей и высокопоставленных лицах, спонсируемых государством, и заканчивая отражением более широких изменений в ландшафте в таких продуктах, как наш ежеквартальный блог Talos Incident Response и ежегодный отчет Year in Review. Одним из наиболее значимых проектов, над которыми я имел честь работать, был “Проект Powerup”, возглавляемый нами проект по разработке — и внедрению — технического решения для укрепления энергосистемы Украины перед лицом российских атак. Подобные истории подчеркивают приверженность Talos оказанию помощи нашим клиентам, обеспечению безопасности людей и совершению правильных поступков.
Можете ли вы рассказать об особенно сложной или запоминающейся угрозе, с которой вы столкнулись, и о том, как ваша команда справилась с ней?
Первое, что приходит на ум, - Volt Typhoon. Это изощренная организация, спонсируемая государством, которая намерена поставить под угрозу критически важную инфраструктуру США. Их очень трудно обнаружить из-за типов используемых ими методов, что делает их еще более опасными. Правительство США и частный сектор были очень обеспокоены тайфуном Volt, особенно в этом году, и в Talos мы внедрили комплексный подход к отслеживанию, мониторингу и отчетности об этом субъекте. Это включает в себя создание специальной команды аналитиков, работающих над проблемой, расширение нашего взаимодействия с клиентами и партнерами и изучение как можно большего количества информации об исполнителе, чтобы мы могли улучшить защиту Cisco.
Как, по вашему мнению, изменится ландшафт кибербезопасности в ближайшие 3-5 лет и как будет развиваться стратегия Talos, отражающая эти изменения?
Трудно точно сказать, как это изменится, потому что это такое динамичное пространство. По мере появления новых технологий тактика участников угроз тоже изменится. Это особенно верно в сфере социальной инженерии. Например, субъекты угроз уже используют искусственный интеллект для создания более правдоподобных фишинговых электронных писем, и киберпреступники также быстро освоили использование QR-кодов в своих вредоносных операциях. С другой стороны, злоумышленники продолжают использовать старые, хорошо известные тактики, которые продолжают работать на них, такие как использование известных уязвимостей и использование инструментов и утилит, которые уже присутствуют на конечной точке жертвы, что помогает им скрываться от законной деятельности. Стратегия Talos при всем этом остается довольно последовательной — благодаря нашим обширным знаниям об угрозах, мы можем стратегически оценивать ситуацию и позиционировать себя так, чтобы быстро реагировать на появление новых изменений.
Получить подробную информацию или проконсультироваться можно на сайте официального поставщика Cisco в России.
Оригинал: https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m09/cisco-talos-advanced-intelligence-for-global-cyberthreats.html