RSA KONFERANSI 2022 – San Francisco – Mandiant’ın Kuzey Virginia’da küçük bir danışmanlık firması olduğu 2000’lerin başında, Kevin Mandia genellikle bir seferde yalnızca bir olay müdahale (IR) vakası üzerinde çalıştı. Bugün, Mandia’nın şu anda IR devi Mandiant’taki – Google’ın satın alma sürecinde olduğu – ekibi, aynı anda yarım düzineden fazla vaka üzerinde çalışıyor.
Mandia’ya göre, saldırıların hacmi özellikle son bir yılda artıyor. Mandiant’ın araştırdığı son IR vakalarında, sıfır gün saldırıları ve çalınan kimlik bilgileri, bir kuruluşa sızmak ve kimlik avını geçmek için tercih edilen silah haline geldi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kuruluşların yüksek alarmda çalışması için şu anki sloganına atıfta bulunarak, “Pek çok müşteri ‘Kalkanlarımızı ne kadar süre korumamız gerekiyor?’ diyor” dedi. artan siber tehdit etkinliği. “Bence tutmak zorundasın [them] yukarı. Bu, bu yıl öğreneceğimiz bir ders,” dedi Mandia, bu hafta Dark Reading ile yaptığı röportajda.
“Bir ihlalin etkisi şimdi çok daha ağır” dedi. Fidye yazılımları ve gasp, halka açık veri sızıntıları ve dijital şantajla daha küstah ve kaosa neden olmakla kalmıyor, aynı zamanda siber suçlular, yazılımdaki pahalı sıfır gün güvenlik açıklarından yararlanma konusunda temelde ulus devletleri yakalıyor, dedi.
“İlk günlerde sıfır gün hükümetlerin göreviydi. 2017’de suç unsurlarının sıfır günü silahlandırdığını görmeye başladınız” dedi. Bugün, 60-40’lık bir bölünmeye yakın, ulus devletler sıfır gün saldırılarında hâlâ önde ama suçlular çok geride değil. Mandia, “Bu düşündüğümden daha erken geldi,” diye ekledi. “Sadece size hacklemeden ne kadar para kazanabileceğinizi söyler.”
Gümüş kaplama
Ancak bir parça iyi haber varsa, o da bir olayla ilgili olarak Mandiant’tan yardım isteyen kuruluşların izinsiz girişlerini daha erken fark etmeleridir: “İhlal sürecinde daha erken işe alınıyoruz ve daha azı var. [attacker] kalma süresi” dedi.
Özellikle Mandiant, saldırganların bir kurbanın ağında fark edilmeden kalma süresinin 2020’de 24 günden 2021’de 21 güne düştüğünü gördü. Mandiant’ın IR vakalarında bu eğilim son dört yıldır sabit kaldı.
Mandia, siber suçlular arasında değerli verileri ele geçirmelerini veya çalınan veriler için fidye talep etmelerini sağlamak için artık bir aciliyet duygusu olduğunu söyledi. “Bugün bana, kalma süresinin yaklaşık yedi gün boyunca erişime sahip oldukları söylendi ve şimdi dört ila beş güne düşüyor. Bu hız, para kazanmanın zorlaştığı anlamına geliyor” ve siber suçluların daha hızlı çalışması ve daha hızlı çalışması gerekiyor. daha halka açık bir şekilde para kazanmak için, diye açıkladı.
Ve büyük bir ihlali caydırmaya ve savuşturmaya çalışan CISO’lar için riskler her zamankinden daha yüksek. “Bu bir CISO olmak için en zor yıl” dedi. “Şimdi sen [also] çevrimiçi tehdit altındaki insanlarınızı, çalışanlarınızı, müşterilerinizi korumak. Bu çok fazla ve bu haksız bir kavga [mostly] kötü adamlar için herhangi bir yansıma riski yok.”
Tehdit, mağdur bir kuruluşu sarsmaya veya karalamaya çalışan tehdit aktörleri ve diğer dolandırıcılar tarafından yapılan son sahte veya kanıtlanması imkansız kamu veri sızıntısı iddialarını içerir.
Mandia, ortaya çıkan bu sahte ihlal beyanları hakkında “Olumsuz olduğunu kanıtlamak imkansız” dedi. Ve kuruluşlar, gerçekleşmemiş olabilecek bir saldırıyı araştırmak zorunda kalıyor.
Siber suçluların bu son baskısı hakkında “Daha sık hale geliyor” dedi. Cevap vermesi daha zor bir şey yok; halka açık bir şey, bilgisayar korsanı vokaldir ve iddialarda bulunur. Ve bir şirket onlara itiraz edemez [at first] çünkü önce cevapları bulmaları gerekiyor. Bunlar korkunç durumlar.”
Bu Mandia’yı çok etkiledi çünkü Dark Reading Pazartesi günü onunla röportaj yaparken Mandiant, Twitter’da IR şirketini hacklediğini bildiren LockBit fidye yazılımı çetesi tarafından sahte bir ihlal iddiasına konu oldu. İddia, Mandiant’ın yakın tarihli bir fidye yazılımı raporu için intikam gibi görünüyor.
Mandiant, “Yayınlanan verilere dayanarak, Mandiant verilerinin ifşa edildiğine dair hiçbir belirti yok” dedi. bugün bir tweet
iddialar hakkında. “Aktör, 2 Haziran 2022’de UNC2165 ve LockBit üzerine yaptığımız araştırmayı çürütmeye çalışıyor gibi görünüyor. Bu araştırmanın bulgularının arkasındayız.”
Google Mandiant
Bu arada Mandiant, Google ile birleşmesini tamamlamaya hazırlanıyor. Google, Mart ayında Mandiant’ı 5,4 milyar dolara satın alma niyetini açıkladı ve o sırada Mandia, birleşmeyi Mandiant’ın IR sürecinin belirli öğelerini otomatikleştirmeye yönelik planlı stratejisini oluşturmanın bir yolu olarak lanse etti. Google’ın yatırımı bu stratejiyi hızlandırmalıdır.
Mandia, bu hafta Dark Reading’e “Olabildiğince otomatikleştirmelisin” dedi. Algılama, yapıtları toplama ve günlük dosyası analizi gibi görevlerin otomatikleştirilebileceğini kaydetti. Ancak yine de, ilişkilendirme ve derinlemesine adli analiz gibi insani görevler olarak kalmaya devam eden IR parçaları var.
“Derin bir sahtekarlık veya sahte bayrak operasyonu olursa, bunu yapacak olan bir insan olacaktır. [spot it]”dedi Mandi.