Kürzlich haben das National Cyber Security Centre (NCSC) des Vereinigten Königreichs und das Communications Security Establishment (CSE) Kanadas Einzelheiten über die fortgeschrittene cybercriminels (APT29) veröffentlicht , die auf Organisationen abzielt, die mit der Entwicklung der COVID-19-Impfstoffforschung in Verbindung stehen. Zum Unglück für herkömmliche, auf dem Perimeter basierende Sicherheitstools, die sich nur auf die Identifizierung bekannter böser Indikatoren verlassen, nutzt diese Kampagne in hohem Maße den Diebstahl und Missbrauch autorisierter Anmeldeinformationen, um die Persistenz aufrechtzuerhalten und den Angriff fortzuführen.
Zwar könnten solche Tools die derzeit bekannten Anzeichen für eine Kompromittierung (IOCs) nutzen, aber IOCs können von Angreifern leicht verändert werden und sind, wenn sie allein verwendet werden, besser geeignet, um das Vorhandensein dieser cybercriminels in der Vergangenheit zu untersuchen, als dass sie die einzigen führenden Indikatoren für Netzwerkverteidiger wären, um die Entwicklung von Angriffen zu unterbinden.
Glücklicherweise sind Unternehmen, die die Vectra Cognito Network Detection and Response (NDR)-Plattform implementiert haben, gegen diese Kampagne gewappnet, da ihre Netzwerkabwehr nicht nur von der Erkennung bekannter bösartiger IOCs abhängt und sie sowohl das Netzwerk als auch kritische SaaS-Dienste wie Microsoft Office 365 abdecken. Cognito nutzt künstliche Intelligenz und maschinelles Lernen, um die Verhaltensweisen zu erkennen, die Angreifer ausführen müssen, um einen Angriff voranzutreiben, und nicht die Tools, die sie verwenden, oder die IOCs, die sie erstellen - zum Beispiel durch den umfassenden Einsatz der plattformeigenen Privileged Access Analytics (PAA). PAA erkennt Aktivitäten nach der Ausnutzung gestohlener und missbräuchlich verwendeter Anmeldedaten, indem es beobachtet und lernt, wie Berechtigungen im gesamten Unternehmen verwendet werden, und dann signalisiert, wenn diese Berechtigung missbraucht wurde, was sogar eine orchestrierte Angriffsabwehr in Echtzeit durch Aufrufen von Cognito Account Lockdown ermöglicht. Darüber hinaus ermöglicht der Zugriff auf umfangreiche, angereicherte Zeek-ähnliche Metadaten Sicherheitsanalysten die schnelle Aufdeckung historischer Beweise für diese cybercriminels oder die Bedrohungsjagd mit neuen IOCs, die als Ergebnis ihrer operativen Aktivitäten entwickelt wurden.
Leider sind Unternehmen allzu oft der Gnade veröffentlichter IOCs ausgeliefert, die sie erst im Nachhinein darüber informieren, dass etwas schief gelaufen ist. Mit Vectra erhalten Netzwerkverteidiger wieder Sichtbarkeit und Kontrolle über ihre Umgebung, so dass sie selbst bei fortgeschrittenen Angreifern den Spieß umdrehen und sie stoppen können, bevor der Schaden entstanden ist.