Kürzlich haben das National Cyber Security Centre (NCSC) des Vereinigten Königreichs und das Communications Security Establishment (CSE) Kanadas Einzelheiten über fortgeschrittene Bedrohungsakteure (APT29) veröffentlicht , die es auf Organisationen abgesehen haben, die mit der Entwicklung der COVID-19-Impfstoffforschung in Verbindung stehen. Zum Leidwesen traditioneller, auf dem Perimeter basierender Sicherheitstools, die sich nur auf die Identifizierung bekannter böser Indikatoren verlassen, nutzt diese Kampagne den Diebstahl und den Missbrauch autorisierter Anmeldeinformationen, um die Persistenz zu erhalten und den Angriff fortzusetzen.
Zwar könnten solche Tools die derzeit bekannten Anzeichen für eine Kompromittierung (IOCs) nutzen, doch lassen sich IOCs von Angreifern leicht ändern und sind, wenn sie allein verwendet werden, besser geeignet, um die historische Präsenz dieser Bedrohungsakteure zu untersuchen, als dass sie den Netzwerkverteidigern als einziger Anhaltspunkt dienen, um das Fortschreiten eines Angriffs zu unterbinden.
Glücklicherweise sind Unternehmen, die die Vectra Cognito Network Detection and Response (NDR)-Plattform implementiert haben, gegen diese Kampagne gewappnet, da ihre Netzwerkabwehr nicht nur von der Erkennung bekannter bösartiger IOCs abhängt und sie sowohl das Netzwerk als auch kritische SaaS-Dienste wie Microsoft Office 365 abdecken. Cognito nutzt künstliche Intelligenz und maschinelles Lernen, um die Verhaltensweisen zu erkennen, die Angreifer ausführen müssen, um einen Angriff voranzutreiben, und nicht die Tools, die sie verwenden, oder die IOCs, die sie erstellen - zum Beispiel durch den umfassenden Einsatz der plattformeigenen Privileged Access Analytics (PAA). PAA erkennt Aktivitäten nach der Ausnutzung gestohlener und missbräuchlich verwendeter Anmeldedaten, indem es beobachtet und lernt, wie Berechtigungen im gesamten Unternehmen verwendet werden, und dann signalisiert, wenn diese Berechtigung missbraucht wurde, was sogar eine orchestrierte Angriffsabwehr in Echtzeit durch Aufrufen von Cognito Account Lockdown ermöglicht. Darüber hinaus ermöglicht der Zugriff auf umfangreiche, angereicherte Zeek-ähnliche Metadaten Sicherheitsanalysten die schnelle Aufdeckung historischer Beweise für diese Bedrohungsakteure oder die Bedrohungsjagd mit neuen IOCs, die als Ergebnis ihrer operativen Aktivitäten entwickelt wurden.
Leider sind Unternehmen allzu oft der Gnade veröffentlichter IOCs ausgeliefert, die sie erst im Nachhinein darüber informieren, dass etwas schief gelaufen ist. Mit Vectra erhalten Netzwerkverteidiger wieder Sichtbarkeit und Kontrolle über ihre Umgebung, so dass sie selbst bei fortgeschrittenen Angreifern den Spieß umdrehen und sie stoppen können, bevor der Schaden entstanden ist.