Nyckelinsikter
- Efter det initiala intrånget börjar den snabbaste aktören förflytta sig lateralt på under 20 minuter. Du har alltså 20 minuter på dig att upptäcka det initiala intrånget innan det kanske är för sent.
- Likt andra företag fortsätter CrowdStrike att i större utsträckning inkludera MITRE ATT&CK (för mer information läs mitt inlägg om detta!)
- Europa utsätts överlägset mest för olika former av scripting -attacker
- “Discovery”-aktiviteter mycket vanligt efter ett initialt intrång. Försök upptäcka kluster av aktiviteter som kan härledas till olika former av upptäckt (scanna efter filer, användare etc.)
- De mest aktiva statliga aktörerna är Kina, Iran och Ryssland där branscher som är särskilt utsatta omfattas av Media, Teknologi och Utbildning/Akademi.
- Klarar du av principen 1-10-60? 1 minut för att upptäcka ett intrång, 10 minuter för fullständig analys och 60 minuter för att sparka ut angriparen.
För någon, eller några veckor sedan, publicerade CrowdStrike sin senaste hotrapport, den här gången för 2019. Som ni vet försöker jag läsa dessa och sammanställa med några förhoppningsvis vettiga slutsatser. Sagt och gjort.
Det finns några utmärkande saker i rapporten. Dels är det det fortsatta användandet av MITRE ATT&CK vilket bara är välkommet, jag hoppas på ett utökat användande, se sidorna 22 och 23.
Rapporten är bra, men. En majoritet av rapporten ägnas åt enskilda incidenter som förvisso är underhållande och intressanta men det blir samtidigt svårt att se hur tillämpliga dessa är i ett bredare sammanhang. Exempelvis är sidorna 26 till 50 helt ägnade åt diverse aktörers olika kampanjer.
Break-Out Time - Tiden du har på dig innan aktören börjar förflytta sig lateralt
Kanske är det mest intressanta en ny metric som CrowdStrike introducerade förra året, nämligen Break-out Time. Denna metric anger hur lång tid det tar en aktör att förflytta sig lateralt från det initiala intrånget. Ryska aktörer är snabbast med en tid på strax under 20 minuter. Du har alltså 20 minuter på dig att identifiera, analysera och sparka ut en rysk aktör. Det är inte mycket tid det. Efter ryska aktörer kommer nordkoreanska som är igång på cirka 2h.
Övriga observationer
Riktad ransomware visar på en uppåtgående trend och namnges till Big Game Hunting. Kriminella aktörer väljer alltså att rikta sig mot företag som vanligtvis är mer beroende av sina data och således mer benägna att betala en lösensumma.
Förhållandet mellan skadlig kod och skadlig kod som exekverar direkt från minnet är 60/40 vilket ändå måste anses vara en intressant utveckling. Förhållandet skiljer sig också mycket beroende på vilken bransch som utsätts.
Globalt, betraktat ur ett ATT&CK-perspektiv, ser det ut så här:Scripting, Command-Line Interface, Credential Dumping, Skadlig kod och data från systemet är tveklöst de vanligaste metoderna som angripare använder. Det råder ingen tvekan om att fokus för försvarare bör ligga på att upptäcka scripting (powershell, VBscript etc.), CMD.exe (för Windows) och program som börjar scanna igenom fil-systemet. Ett program/script som gör en sökning bör betraktas som en indikator av ett eventuellt pågående intrång.
Stulna inloggningsuppgifter förekommer nästan i varje intrång varför fler-faktorsautentisering ska betraktas som ett måste.