Identitet er den nye slagmark

Der er en stigning i cyberangreb fra nation-stat-aktører. På trods af deres enorme ressourcer er disse modstandere ofte afhængige af enkle taktikker for at stjæle adgangskoder, der er nemme at gætte. På den måde kan de hurtigt og nemt få adgang til kundekonti. I tilfælde af virksomhedsangreb giver indtrængen i en organisations netværk nation-stat-aktører mulighed for at få fodfæste, som de kan bruge til at bevæge sig enten vertikalt, på tværs af lignende brugere og ressourcer, eller horisontalt, hvor de får adgang til mere værdifulde legitimationsoplysninger og ressourcer.

Spydphishing, social engineering-angreb og storstilede adgangskodesprays er grundlæggende taktikker, som nation-stat-aktører bruger til at stjæle eller gætte adgangskoder. Microsoft får indsigt i personer med ondsindede hensigters håndværk og succeser ved at observere, hvilke taktikker og teknikker de investerer i og har succes med. Hvis brugeroplysninger administreres dårligt eller efterlades sårbare uden vigtige sikkerhedsforanstaltninger som multifaktorgodkendelse og funktioner uden adgangskode, vil nation-stater fortsætte med at bruge de samme enkle taktikker.

Behovet for at gennemtvinge ibrugtagning af multifaktorgodkendelse eller være uden adgangskode kan ikke siges nok, fordi enkelheden og de lave omkostninger ved identitetsfokuserede angreb gør dem nemme og effektive for aktørerne. Selvom multifaktorgodkendelse ikke er det eneste værktøj til identitets- og adgangsadministration som organisationer bør bruge, kan det være et effektivt middel til at afværge angreb.

Misbrug af legitimationsoplysninger er en fast bestanddel af NOBELIUM, en nation-stat-modstander med forbindelse til Rusland. Men andre modstandere, såsom DEV 0343, der er knyttet til Iran, bruger også adgangskode-sprays. Aktivitet fra DEV-0343 er blevet observeret i forsvarsvirksomheder, der producerer militære radarer, droneteknologi, satellitsystemer og kommunikationssystemer til nødberedskab. Yderligere aktiviteter har været rettet mod regionale havne i Den Persiske Golf og flere søfarts- og godstransportvirksomheder med forretningsfokus i Mellemøsten.

Aktivere multifaktorgodkendelse: På den måde mindsker de risikoen for, at adgangskoder ender i de forkerte hænder. Endnu bedre er det at fjerne adgangskoder helt ved at bruge multifaktorgodkendelse uden adgangskoder.

Overvåge kontoens privilegier: Konti med privilegeret adgang kan, hvis de kapres, blive et stærkt våben, som personer med ondsindede hensigter kan bruge til at få større adgang til netværk og ressourcer. Sikkerhedsteams bør ofte revidere adgangsrettigheder og bruge princippet om færreste rettigheder for at give medarbejderne mulighed for at udføre deres arbejde.

Gennemgå, hærde og overvåge alle lejeradministratorkonti: Sikkerhedsteams bør grundigt gennemgå alle lejeradministratorbrugere eller -konti, der er knyttet til delegerede administrative privilegier, for at bekræfte autenticiteten af brugere og aktiviteter. De bør derefter deaktivere eller fjerne alle ubrugte delegerede administrative privilegier.

Etablere og håndhæve en sikkerhedsbaseline for at reducere risikoen: Nation-stater spiller det lange spil og har midlerne, viljen og omfanget til at udvikle nye angrebsstrategier og -teknikker. Ethvert netværksforbedrende initiativ, der forsinkes på grund af båndbredde eller bureaukrati, er til deres fordel. Sikkerhedsteams bør prioritere at implementere nul-tillid-praksisser som multifaktorgodkendelse og opgraderinger til logon uden adgangskode . De kan begynde med privilegerede konti for hurtigt at opnå beskyttelse og derefter udvide i trinvise og kontinuerlige faser.

Den dominerende fortælling ser ud til at være, at der er et massivt antal nye ransomware-trusler, som overgår forsvarernes kapacitet. Men Microsofts analyse viser, at det ikke er korrekt. Der er også en opfattelse af, at visse ransomware-grupper er en enkelt monolitisk enhed, hvilket heller ikke er korrekt. Det, der findes, er en cyberkriminel økonomi, hvor forskellige aktører i kommercialiserede angrebskæder træffer bevidste valg. De er drevet af en økonomisk model for at maksimere profitten baseret på, hvordan de hver især udnytter den information, de har adgang til. Grafikken nedenfor viser, hvordan forskellige grupper drager fordel af forskellige strategier for cyberangreb og oplysninger fra databrud.

Forstå, at ransomware trives med standard- eller kompromitterede legitimationsoplysninger: Derfor bør sikkerhedsteams fremskynde sikkerhedsforanstaltninger som implementering af multifaktorgodkendelse uden adgangskode på alle brugerkonti og prioritering af leder-, administrator- og andre privilegerede roller.

Identificere, hvordan man spotter afslørende uregelmæssigheder i tide til at handle: Tidlige logins, filbevægelser og anden adfærd, der introducerer ransomware, kan virke helt normalt. Ikke desto mindre er teams nødt til at holde øje med uregelmæssigheder og reagere hurtigt på dem.

Have en beredskabsplan for ransomware, og gennemføre øvelser til genoprettelse: Vi lever i en tid med synkronisering og deling i skyen, men datakopier er noget andet end hele it-systemer og databaser. Teams bør visualisere og øve sig i, hvordan en fuld gendannelse ser ud.

Administrere advarsler, og afhjælp dem hurtigt: Selvom alle frygter ransomware-angreb, bør sikkerhedsteamets primære fokus være på at styrke svage sikkerhedskonfigurationer, der gør det muligt for angrebet at lykkes. De bør administrere sikkerhedskonfigurationer, så der reageres korrekt på alarmer og registreringer.

Trusler mod slutpunkter:
Microsoft Defender for Endpoint blokerede mere end 9,6 milliarder malware-trusler rettet mod virksomheders og forbrugeres enheder mellem januar og december 2021.

Trusler via mail:
Microsoft Defender for Office 365 blokerede mere end 35,7 milliarder phishing- og andre ondsindede mails rettet mod virksomheder og privatkunder mellem januar og december 2021.

Identitetstrusler:
Microsoft (Azure Active Directory) registrerede og blokerede mere end 25,6 milliarder forsøg på at kapre virksomhedskunders konti ved brute-forcing af stjålne adgangskoder mellem januar og december 2021.