Kako napadači danas najčešće ulaze u poslovne sisteme
CSO Online je kroz izjave više stručnjaka izdvojio tehnike koje se trenutno najčešće koriste za početni ulaz u firme. U prvom planu su krađa identiteta i tokena, phishing, ClickFix prevare, zloupotreba legitimnih RMM alata i kompromitovanje mrežnih uređaja na ivici sistema, poput SSL VPN rešenja. Tekst skreće pažnju i na rastući značaj mašinskih identiteta, servisnih naloga i supply-chain napada poput Shai-Hulud kampanje u npm ekosistemu.
Napad danas često ne počinje egzotičnim malware-om, već običnim nalogom, sesijom, legitimnim alatom ili korisnikom koji je naveden da uradi pogrešnu stvar. Za firme je problem u tome što se veliki deo ovih tehnika naslanja na svakodnevne poslovne procese, pa ih je teže prepoznati ako se odbrana i dalje gradi samo oko patchovanja i antivirus logike.
- Pojačati zaštitu identiteta kroz phishing-resistant MFA, FIDO2 ili hardverske ključeve gde god je moguće
- Uvesti allowlistu za RMM alate i pratiti svako novo udaljeno upravljanje na endpointima
- Redovno proveravati izloženost VPN, gateway i drugih mrežnih uređaja koji stoje na ivici sistema
- Obučiti korisnike za ClickFix i slične prevare koje traže ručno pokretanje komandi
- Popisati i ograničiti privilegije servisnih naloga, API identiteta i drugih non-human naloga