「結局のところ、企業アカウントを悪用して横方向に移動し、クラウド内の他のアプリケーションにピボットする方法の柔軟性 – 攻撃者が企業の資格情報を使用する方法は非常に多くあります」とディレクターの Crane Hassold 氏は言います。 Abnormal Safety の脅威インテリジェンスの専門家であり、FBI の元デジタル行動アナリストでもあります。 「これが、フィッシングがサイバー犯罪者に非常に人気がある理由です。その投資収益率のためです。」
二要素認証を実装するより強力な方法があり、業界の FIDO2 標準からの新世代の「パスワードレス」ログイン スキームまたは「パスキー」は、フィッシングの可能性がはるかに少ない未来を約束します。 しかし、組織はこれらのより堅牢な保護の実装を実際に開始する必要があります。これにより、ランサムウェアのアクター (または落ち着きのない 10 代) が動き始めたときに備えられるようになります。
「フィッシングは明らかに大きな問題です。コード ジェネレーター アプリを使用するなど、私たちが通常多要素認証と考えるもののほとんどは、少なくともある程度はフィッシング可能です。なぜなら、誰かをだましてコードを明らかにすることができるからです」と Jim Fenton は言います。独立したアイデンティティ プライバシーおよびセキュリティ コンサルタント。 「しかし、プッシュ通知では、人々に「同意する」をクリックさせるのはあまりにも簡単です。 生体認証センサーなど、エンドポイントに統合されたものを認証または使用するために何かをコンピューターに直接接続する必要がある場合、それらはフィッシング耐性のある技術です。」
ただし、攻撃者がフィッシングを通じて組織に侵入するのを防ぐことだけが問題ではありません。 Uber のインシデントが示したように、Lapsus$ が 1 つのアカウントを侵害してアクセス権を取得すると、内部ツールの資格情報が保護されずに横たわっていることを発見したため、Uber のシステムにさらに深く潜り込むことができました。 セキュリティとは、すべての脅威を排除するのではなく、参入障壁を高めることです。そのため、外部向けのアカウントに対する強力な認証は、Lapsus$ のようなグループを阻止するのに大いに役立ちました. ただし、組織は依然として複数の防御線を実装する必要があるため、1 つが侵害された場合のフォールバックがあります。
ここ数週間、Twitter の元セキュリティ責任者である Peiter “Mudge” Zatko は、Twitter に対する内部告発者として公に出てきており、米国上院委員会の前で、ソーシャル メディアの巨人は非常に安全ではないと証言しています。 Zatko の主張 (Twitter はこれを否定している) は、企業の内部防御が不足している場合に、どれほどのコストがかかる可能性があるかを示している。
一方、Lapsus$ は風変わりで風変わりな攻撃者としての評判があるかもしれませんが、研究者によると、大企業を侵害することに成功したことは注目に値するだけでなく、気がかりなことでもあります。
「Lapsus$ は、業界が一般的な認証実装におけるこれらの弱点に対して行動を起こさなければならないことを強調しています」と Demirkapi 氏は言います。 「短期的には、現在持っているものを保護することから始める必要がありますが、長期的には、設計によって安全な認証形式に移行する必要があります.」
大規模な投資と迅速かつユビキタスなサイバーセキュリティ防御の実装を生み出すほどのモーニング コールはありません。あなたの手にいくつかの時間。
「サイバー犯罪企業は、他の人々が何をしているかを見て、成功を証明する戦略をエミュレートするという意味で、正当なビジネスとまったく同じです」と Emsisoft の Callow 氏は言います。 「そのため、ランサムウェア ギャングやその他の活動は、Lapsus$ が行ったことを絶対に見て、彼らが何を学べるかを確認することになるでしょう。」