本文擷取自資安人
針對近日北韓駭客入侵科技公司 JumpCloud 偷取加密貨幣的事件,Sophos表示,透過攻擊供應鏈,以網路系統或應用程式中未經授權的通道或漏洞等側門來進入具重要性的目標的手法正在不斷增加,而且短期內不會減緩。
隨著企業紛紛改用雲端服務,雲端服務提供者無疑成為犯罪分子、間諜和國家級網路攻擊分子的目標。這個現象影響了各種規模和類型的組織,正如我們從針對 JumpCloud 的攻擊 (歸因於北韓)、針對 Microsoft 的攻擊 (歸因於中國),以及針對 SolarWinds 的攻擊 (歸因於俄羅斯) 中所看到的。
對雲端服務提供者和消費者而言,這應該是一個警訊,特別是那些有權存取敏感資訊和驗證憑證的雲端服務。雖然北韓可能只對加密貨幣感興趣,但其他像 CL0P 這樣的勒索軟體集團會利用零時差漏洞對如 MOVEit 這樣的對象使用自動化工具和流程進行勒索,情況就不一樣了。
相關文章: 大規模網攻:MOVEit零日漏洞危機擴大,美國近百個政府單位、企業遭勒索
安全營運中心 (SOC) 的分析師和託管式偵測和回應 (MDR) 服務的供應商不能再將雲端服務視為『安全空間』並信任它們,也不能忽視來自可信任裝置和軟體的異常行為。過去依靠 XDR (擴展式偵測和回應) 和端點安全偵測系統來進行偵測,然後將可信任服務新增到白名單的日子已經結束了。
Sophos建議必須對一切進行調查並迅速採取行動,因為在安全競賽中,只有最快偵測和回應的人可以獲得勝利。