ชื่อใหม่สุดฮอตในการโจมตีแรนซัมแวร์คือ Lapsus$ หากคุณไม่เคยได้ยินเกี่ยวกับพวกเขามาก่อนคุณอาจเคยได้ยินเกี่ยวกับ บริษัท บางแห่งที่พวกเขาโจมตีรวมถึง Nvidia, Samsung, Okta และ Microsoft - เพียงเพื่อชื่อไม่กี่ สําหรับผู้ที่ไม่ทราบข้อมูล Lapsus$ เป็นกลุ่มแฮ็คที่เน้นการขโมยข้อมูลและการกรรโชก กลุ่มนี้มุ่งเป้าไปที่บริษัทเป็นหลัก และมีผู้เสียชีวิตทั่วโลกที่น่าอึดอัดใจมากมาย
บ่อยครั้งที่ LAPSUS$ ใช้จุดอ่อนของมนุษย์ภายในบริษัทในทางที่ผิด เช่น ไอทีหรือการสนับสนุนลูกค้า ในกรณีอื่นๆ พวกเขาซื้อโทเค็นการเข้าสู่ระบบที่ถูกแฮ็กแล้วจากตลาดเว็บมืด โดยปกติแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บางคนอาจมองว่าสิ่งเหล่านี้เป็นภัยคุกคามระดับต่ํา ความจริงก็คือความซับซ้อนไม่ใช่ตัวชี้วัดเดียวที่ทําให้แฮ็กเกอร์น่ากลัวยิ่งขึ้น นอกจากนี้ยังเป็นความกล้าของพวกเขา
รูปที่ 1: Skyhigh Security: การตรวจจับความผิดปกติที่ตั้งค่าสถานะกิจกรรมที่น่าสงสัย
ตั้งแต่การใช้กลยุทธ์วิศวกรรมสังคมและการสลับซิมการ์ดไปจนถึงการโจมตีแบบฟิชชิ่งเจ้าเล่ห์และการล่อลวงพนักงานภายในอย่างเปิดเผยผู้ให้บริการ Lapsus$ ใช้ประโยชน์จากทรัพยากรที่นําเสนอเพื่อตั้งหลักในเครือข่ายขององค์กรผ่านวิธีการยอดนิยมของ VPN และ Virtual Desktop Infrastructure (VDI)
สิ่งนี้เน้นย้ําอย่างชัดเจนถึงความจริงที่ว่าหากมนุษย์ทํางานให้คุณ คุณก็มีความเสี่ยงต่อวิศวกรรมสังคม ไม่ควรมีใครได้รับการปฏิบัติเหมือนไม่เสื่อมเสีย ความหมายในทันทีสําหรับทรัพยากรระบบคลาวด์คือคุณควรลดสิทธิ์การเข้าถึงที่ผู้คนมีให้น้อยที่สุดที่พวกเขาต้องการเพื่อทํางานของพวกเขา เนื่องจากระบบคลาวด์มักจะจัดเก็บทรัพยากรที่ละเอียดอ่อนมากการให้ทุกคนที่อาจถูกละเมิด (แทบทุกคน!) ด้วยการอนุญาตที่มากเกินไปอาจทําให้เกิดการเปิดเผยมงกุฎเพชรขององค์กรโดยไม่สมควร
การละเมิดเหล่านี้เกิดขึ้นได้อย่างไร?
ส่วนใหญ่ใช้วิศวกรรมสังคมขนาดใหญ่และเทคนิคการจัดการกลุ่ม Lapsus$ ได้รวบรวมรายชื่อเหยื่อที่น่าประทับใจทั่วโลก ที่น่าสนใจคือเหตุการณ์ดังกล่าวมีแนวทางร่วมกัน พวกเขาทั้งหมดเกี่ยวข้องกับการใช้ข้อมูลประจําตัวที่ถูกต้องในที่สุดก็ใช้สิทธิ์ใด ๆ ที่ได้รับให้กับข้อมูลประจําตัวนั้นในทางที่ผิด การโจมตีเหล่านี้เป็นเครื่องเตือนใจที่ชัดเจนว่าการรับรองความถูกต้อง (คุณเป็นใคร?) และการอนุญาต (คุณทําอะไรได้บ้าง?) หลักการของสิทธิพิเศษน้อยที่สุดและความไว้วางใจเป็นศูนย์ไม่เคยใช้ได้มากกว่านี้มาก่อน
สิ่งที่สามารถทําได้?
แม้ว่าคุณจะพยายามอย่างเต็มที่ในการตรวจสอบสิทธิ์และการอนุญาต แต่การละเมิดยังคงสามารถเกิดขึ้นได้จากมือของคนวงในที่มีแรงจูงใจ
ทําให้เกิดคําถามว่า "คุณจะทราบได้อย่างไรว่าการกระทําของนิติบุคคลที่เชื่อถือได้และได้รับอนุญาตเป็นอันตรายหรือไม่" ชุดสิทธิ์มีนิสัยที่น่ารังเกียจในการคืบคลานและเติบโตเมื่อเวลาผ่านไป
รูปที่ 2: Skyhigh Security: การให้คะแนนความเสี่ยงของผู้ใช้ที่เน้นภัยคุกคามภายในที่อาจเกิดขึ้น
เป็นส่วนหนึ่งของ Zero Trust Network Access แนวทาง (ZTNA) องค์กรได้รับการสนับสนุนให้แบ่งกลุ่มเครือข่าย ประเมินท่าทาง อุปกรณ์ที่ร้องขอ และจัดเตรียมการเข้าถึงแอปและทรัพยากรตามบริบท (โดยใช้ DLP และ Remote Browser Isolation ความสามารถ)
ในกรณีที่โชคร้ายของภัยคุกคามภายในการตรวจจับตามความผิดปกติและความสามารถในการวิเคราะห์พฤติกรรมสามารถช่วยระบุและบรรเทาพฤติกรรมที่ผิดปกติและอาจเป็นอันตรายโดยการสร้างพื้นฐานของ "กิจกรรมปกติ" สําหรับบริบทเฉพาะนั้นเพื่อเน้นความผิดปกติหรือการเบี่ยงเบนใด ๆ เพื่อให้ดําเนินการอย่างรวดเร็ว
รูปที่ 3: Skyhigh Security: แอตทริบิวต์ความเสี่ยงของผู้ใช้และการถ่วงน้ําหนักกิจกรรม
แต่แน่นอนว่าการรักษาความปลอดภัยเป็นมากกว่าชุดของการควบคุมทางเทคนิค ผู้ปฏิบัติงานด้านความปลอดภัยต้องตรวจสอบการอนุญาต กระบวนการ และขั้นตอนที่ใช้โดยผู้มีส่วนได้ส่วนเสียและหน่วยงานที่เชื่อถือได้ – ทั้งภายในและบุคคลที่สาม การโจมตีดังกล่าวได้กระตุ้นให้โลกด้านความปลอดภัยคํานึงถึงพื้นฐานเหล่านี้