public

Sammanfattning: CrowdStrike Global Threat Report 2019

Nyckelinsikter Efter det initiala intrånget börjar den snabbaste aktören förflytta sig lateralt på under 20 minuter. Du har alltså 20 minuter på dig att upptäcka det initiala intrånget innan det

för ett år sedan

Senaste Artikel Cyberförsvarsdagen 2020 - Löpande anteckningar av Christoffer Strömblad public

Nyckelinsikter

För någon, eller några veckor sedan, publicerade CrowdStrike sin senaste hotrapport, den här gången för 2019. Som ni vet försöker jag läsa dessa och sammanställa med några förhoppningsvis vettiga slutsatser. Sagt och gjort.

Det finns några utmärkande saker i rapporten. Dels är det det fortsatta användandet av MITRE ATT&CK vilket bara är välkommet, jag hoppas på ett utökat användande, se sidorna 22 och 23.

Rapporten är bra, men. En majoritet av rapporten ägnas åt enskilda incidenter som förvisso är underhållande och intressanta men det blir samtidigt svårt att se hur tillämpliga dessa är i ett bredare sammanhang. Exempelvis är sidorna 26 till 50 helt ägnade åt diverse aktörers olika kampanjer.

Break-Out Time – Tiden du har på dig innan aktören börjar förflytta sig lateralt

Kanske är det mest intressanta en ny metric som CrowdStrike introducerade förra året, nämligen Break-out Time. Denna metric anger hur lång tid det tar en aktör att förflytta sig lateralt från det initiala intrånget. Ryska aktörer är snabbast med en tid på strax under 20 minuter. Du har alltså 20 minuter på dig att identifiera, analysera och sparka ut en rysk aktör. Det är inte mycket tid det. Efter ryska aktörer kommer nordkoreanska som är igång på cirka 2h.

Övriga observationer

Riktad ransomware visar på en uppåtgående trend och namnges till Big Game Hunting. Kriminella aktörer väljer alltså att rikta sig mot företag som vanligtvis är mer beroende av sina data och således mer benägna att betala en lösensumma.

Förhållandet mellan skadlig kod och skadlig kod som exekverar direkt från minnet är 60/40 vilket ändå måste anses vara en intressant utveckling. Förhållandet skiljer sig också mycket beroende på vilken bransch som utsätts.

Globalt, betraktat ur ett ATT&CK-perspektiv, ser det ut så här:Scripting, Command-Line Interface, Credential Dumping, Skadlig kod och data från systemet är tveklöst de vanligaste metoderna som angripare använder. Det råder ingen tvekan om att fokus för försvarare bör ligga på att upptäcka scripting (powershell, VBscript etc.), CMD.exe (för Windows) och program som börjar scanna igenom fil-systemet. Ett program/script som gör en sökning bör betraktas som en indikator av ett eventuellt pågående intrång.

Stulna inloggningsuppgifter förekommer nästan i varje intrång varför fler-faktorsautentisering ska betraktas som ett måste.

Publicerad för ett år sedan