การเรียนรู้จาก Lapsus$ — วัยรุ่นขั้นสูงที่ยืนหยัด?

ชื่อใหม่สุดฮอตในการโจมตีแรนซัมแวร์คือ Lapsus$ หากคุณไม่เคยได้ยินเกี่ยวกับพวกเขามาก่อนคุณอาจเคยได้ยินเกี่ยวกับ บริษัท บางแห่งที่พวกเขาโจมตีรวมถึง Nvidia, Samsung, Okta และ Microsoft - เพียงเพื่อชื่อไม่กี่ สําหรับผู้ที่ไม่ทราบข้อมูล Lapsus$ เป็นกลุ่มแฮ็คที่เน้นการขโมยข้อมูลและการกรรโชก กลุ่มนี้มุ่งเป้าไปที่บริษัทเป็นหลัก และมีผู้เสียชีวิตทั่วโลกที่น่าอึดอัดใจมากมาย

บ่อยครั้งที่ LAPSUS$ ใช้จุดอ่อนของมนุษย์ภายในบริษัทในทางที่ผิด เช่น ไอทีหรือการสนับสนุนลูกค้า ในกรณีอื่นๆ พวกเขาซื้อโทเค็นการเข้าสู่ระบบที่ถูกแฮ็กแล้วจากตลาดเว็บมืด โดยปกติแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บางคนอาจมองว่าสิ่งเหล่านี้เป็นภัยคุกคามระดับต่ํา ความจริงก็คือความซับซ้อนไม่ใช่ตัวชี้วัดเดียวที่ทําให้แฮ็กเกอร์น่ากลัวยิ่งขึ้น นอกจากนี้ยังเป็นความกล้าของพวกเขา

ตั้งแต่การใช้กลยุทธ์วิศวกรรมสังคมและการสลับซิมการ์ดไปจนถึงการโจมตีแบบฟิชชิ่งเจ้าเล่ห์และการล่อลวงพนักงานภายในอย่างเปิดเผยผู้ให้บริการ Lapsus$ ใช้ประโยชน์จากทรัพยากรที่นําเสนอเพื่อตั้งหลักในเครือข่ายขององค์กรผ่านวิธีการยอดนิยมของ VPN และ Virtual Desktop Infrastructure (VDI)

สิ่งนี้เน้นย้ําอย่างชัดเจนถึงความจริงที่ว่าหากมนุษย์ทํางานให้คุณ คุณก็มีความเสี่ยงต่อวิศวกรรมสังคม ไม่ควรมีใครได้รับการปฏิบัติเหมือนไม่เสื่อมเสีย ความหมายในทันทีสําหรับทรัพยากรระบบคลาวด์คือคุณควรลดสิทธิ์การเข้าถึงที่ผู้คนมีให้น้อยที่สุดที่พวกเขาต้องการเพื่อทํางานของพวกเขา เนื่องจากระบบคลาวด์มักจะจัดเก็บทรัพยากรที่ละเอียดอ่อนมากการให้ทุกคนที่อาจถูกละเมิด (แทบทุกคน!) ด้วยการอนุญาตที่มากเกินไปอาจทําให้เกิดการเปิดเผยมงกุฎเพชรขององค์กรโดยไม่สมควร

การละเมิดเหล่านี้เกิดขึ้นได้อย่างไร?

ส่วนใหญ่ใช้วิศวกรรมสังคมขนาดใหญ่และเทคนิคการจัดการกลุ่ม Lapsus$ ได้รวบรวมรายชื่อเหยื่อที่น่าประทับใจทั่วโลก ที่น่าสนใจคือเหตุการณ์ดังกล่าวมีแนวทางร่วมกัน พวกเขาทั้งหมดเกี่ยวข้องกับการใช้ข้อมูลประจําตัวที่ถูกต้องในที่สุดก็ใช้สิทธิ์ใด ๆ ที่ได้รับให้กับข้อมูลประจําตัวนั้นในทางที่ผิด การโจมตีเหล่านี้เป็นเครื่องเตือนใจที่ชัดเจนว่าการรับรองความถูกต้อง (คุณเป็นใคร?) และการอนุญาต (คุณทําอะไรได้บ้าง?) หลักการของสิทธิพิเศษน้อยที่สุดและความไว้วางใจเป็นศูนย์ไม่เคยใช้ได้มากกว่านี้มาก่อน

สิ่งที่สามารถทําได้?

แม้ว่าคุณจะพยายามอย่างเต็มที่ในการตรวจสอบสิทธิ์และการอนุญาต แต่การละเมิดยังคงสามารถเกิดขึ้นได้จากมือของคนวงในที่มีแรงจูงใจ

ทําให้เกิดคําถามว่า "คุณจะทราบได้อย่างไรว่าการกระทําของนิติบุคคลที่เชื่อถือได้และได้รับอนุญาตเป็นอันตรายหรือไม่" ชุดสิทธิ์มีนิสัยที่น่ารังเกียจในการคืบคลานและเติบโตเมื่อเวลาผ่านไป

เป็นส่วนหนึ่งของ Zero Trust Network Access แนวทาง (ZTNA) องค์กรได้รับการสนับสนุนให้แบ่งกลุ่มเครือข่าย ประเมินท่าทาง อุปกรณ์ที่ร้องขอ และจัดเตรียมการเข้าถึงแอปและทรัพยากรตามบริบท (โดยใช้ DLP และ Remote Browser Isolation ความสามารถ)

ในกรณีที่โชคร้ายของภัยคุกคามภายในการตรวจจับตามความผิดปกติและความสามารถในการวิเคราะห์พฤติกรรมสามารถช่วยระบุและบรรเทาพฤติกรรมที่ผิดปกติและอาจเป็นอันตรายโดยการสร้างพื้นฐานของ "กิจกรรมปกติ" สําหรับบริบทเฉพาะนั้นเพื่อเน้นความผิดปกติหรือการเบี่ยงเบนใด ๆ เพื่อให้ดําเนินการอย่างรวดเร็ว

แต่แน่นอนว่าการรักษาความปลอดภัยเป็นมากกว่าชุดของการควบคุมทางเทคนิค ผู้ปฏิบัติงานด้านความปลอดภัยต้องตรวจสอบการอนุญาต กระบวนการ และขั้นตอนที่ใช้โดยผู้มีส่วนได้ส่วนเสียและหน่วยงานที่เชื่อถือได้ – ทั้งภายในและบุคคลที่สาม การโจมตีดังกล่าวได้กระตุ้นให้โลกด้านความปลอดภัยคํานึงถึงพื้นฐานเหล่านี้