Max Havey [00:00:00] Willkommen bei Security Visionaries, einem Podcast von Netskope, der sich darauf konzentriert, Ihnen Gespräche mit Führungskräften aus der Welt der Cybersicherheit, Technologie, Vertrauen und Netzwerke zu bieten. Diese Episode enthält ein Gespräch mit Ray Canzanese, Direktor von Netskope Threat Labs. Ray setzt sich zusammen, um mit uns über seinen neuesten vierteljährlichen Cloud- und Bedrohungsbericht zu sprechen. Wir sprechen darüber, warum er sich dieses Mal auf den Gegner konzentriert hat, was Sie an seinen Erkenntnissen am meisten überrascht hat und wie Sicherheitsleute und andere die Erkenntnisse aus diesem Bericht nutzen können. Hier ist unser Gespräch mit Ray. Hallo und willkommen bei Security Visionaries. Ich bin Ihr Gastgeber, Max Harvey. Und heute treffen wir uns zu einem Gespräch über den Cloud and Threat-Bericht vom Oktober mit Ray Canzanese, dem Direktor von Netskope Threat Labs. Ray, willkommen in der Show. Wie geht es dir heute?
Ray Canzanese [00:00:44] Mir geht es gut, Max. So gut ich an einem Montag kann. Und du?
Max Havey [00:00:47] Mir geht es gut, mir geht es gut. Ich bin so froh, dieses Gespräch zu führen. Also? Als Direktor von Netskope Threat Labs ist Ray für das Verfassen unseres vierteljährlichen Cloud-Bedrohungsberichts verantwortlich. Können Sie uns zum Einstieg ein wenig Hintergrundwissen über den Zwischenbericht geben, Ray, wie lange Sie das schon machen und warum wir das machen?
Ray Canzanese [00:01:06] Klar. Wir haben im Jahr 2020 mit dem Verfassen dieser Berichte begonnen, daher wird dies unser drittes vollständiges Jahr sein, in dem wir diese Berichte verfassen. Wir veröffentlichen jedes Quartal einen neuen Bericht und behandeln jedes Mal, wenn wir einen neuen Bericht veröffentlichen, ein etwas anderes Thema oder einen anderen Blickwinkel. Das Ziel dieser Berichte besteht darin, dem Leser strategische, umsetzbare Bedrohungsinformationen zu liefern. Wir hoffen also, dass dies in all diesen Berichten zum Ausdruck kommt, insbesondere aber im neuesten Bericht, den wir gerade veröffentlicht haben.
Max Havey [00:01:38] Absolut. Können Sie uns also sagen, was der Schwerpunkt dieses jüngsten Berichts war und wie Sie bei der Erstellung dieses Berichts vorgegangen sind?
Ray Canzanese [00:01:45] Klar. In früheren Berichten ging es also um Themen wie die Frage, wo Malware von Opfern heruntergeladen wird. Wir haben darüber gesprochen, wo sie auf Phishing-Links stoßen. Wir haben über Risiken mit KI gesprochen, richtig. Wir haben über Insider-Bedrohungsrisiken gesprochen. Wir haben also all diese unterschiedlichen Ansichten vertreten, viele davon über einen externen Gegner. Und für diesen neuesten Bericht haben wir beschlossen, uns auf diesen Gegner zu konzentrieren. Rechts. Anstatt uns also auf eine bestimmte Sache wie Phishing oder Malware oder Exploits zu konzentrieren, schauen wir uns die Gegner an. Schauen wir uns die Gegner an, die am aktivsten gegen Netskope-Kunden vorgehen. Und mal sehen, ob wir daraus etwas lernen können. Mal sehen, ob wir zum Beispiel lernen können, welche Taktiken und Techniken am häufigsten eingesetzt werden, unabhängig davon, um welchen Gegner es sich handelt. Oder schauen wir uns an, ob ich, wenn ich in einer bestimmten Branche oder in einer bestimmten Region arbeite, mir Sorgen um einen bestimmten Gegner machen sollte und ob ich mich daher auf bestimmte Taktiken und Techniken konzentrieren sollte, die von diesem Gegner bevorzugt werden Abwehrkräfte an.
Max Havey [00:02:59] Auf jeden Fall. Also ein Gefühl, Sie wissen schon, dass Sie Ihren Feind kennen, sodass Sie die Dinge auf Ihrer Seite besser erledigen können.
Ray Canzanese [00:03:05] Genau richtig. Und manchmal habe ich das Gefühl, dass wir ein wenig abstrakt werden, wenn wir über Cybersicherheit sprechen, als würden wir darüber reden, woher Malware kommt und wo man auf Malware stößt. Und das bedeutet, dass wir einen Schritt zurücktreten und uns daran erinnern, dass das jemand anderes tut, oder? Es gibt doch jemanden, der diese Links sendet, oder? Jemand versucht, Ihre Benutzer davon zu überzeugen, diese Dinge zu tun, die Ihre Systeme gefährdet haben. Konzentrieren wir uns also wirklich darauf, wer das ist. Rechts. Wer ist dieser Gegner auf der anderen Seite dieser Art Angriffs- und Verteidigungskampf, gegen den wir im Bereich der Cybersicherheit antreten?
Max Havey [00:03:45] Wie hat diese Perspektive Ihre Herangehensweise an das Schreiben dieses Berichts im Vergleich zu früheren Berichten, die Sie erstellt haben, verändert?
Ray Canzanese [00:03:52] Klar. Zunächst einmal hat es die Herangehensweise an die – nennen wir es – zwölf Monate bis zum Schreiben dieses Berichts verändert. Mit anderen Worten: Was wir zuerst ändern mussten, um diesen Bericht überhaupt schreiben zu können, ist, genauer und genauer zu versuchen, den Gegner zu verfolgen. Rechts. Das erste, was sich für uns ändert, ist, dass wir noch mehr Zeit aufwenden, wenn wir Malware erkennen, wenn wir sehen, dass jemand eine Phishing-Seite besucht, wenn wir Command-and-Control-Datenverkehr sehen, der einen Endpunkt verlässt und versucht, etwas zu sammeln Wir sammeln so viele Informationen darüber wie möglich, um dann zu versuchen, diese einer oder mehreren der von uns verfolgten Gegnergruppen zuzuordnen. Rechts. Das ist also die ganze Arbeit, wissen Sie, und ich spare ungefähr ein Jahr, richtig. Genau das deckt dieser Bericht mehr oder weniger ab. Am Ende fangen wir an, über Anfang 23 bis heute zu reden. Da fangen wir also an, nämlich mit der Nachverfolgung. Und wenn es dann an der Zeit ist, mit dem Schreiben des Berichts zu beginnen, sehen Sie sich dann auch die Frage an: Gibt es Gegner, die aktiver waren als andere? Rechts. Gibt es welche, die innerhalb einer bestimmten Population aktiver waren als andere? Und dann fangen Sie einfach an, sich die Taktiken anzusehen, die nach oben schweben, richtig. Um zu sehen, was diese interessanten Trends sind, diese herausragenden Dinge, die uns dann bei unserer künftigen Verteidigungsstrategie leiten werden.
Max Havey [00:05:18] Das ist auf jeden Fall ein eher qualitativer Ansatz. Nun, was waren vor diesem Hintergrund einige der wichtigsten Erkenntnisse und Erkenntnisse, die Sie aus diesem Bericht gezogen haben?
Ray Canzanese [00:05:27] Klar. Die große Erkenntnis, die erste und vielleicht einfachste Erkenntnis ist also, dass wir bei allen Gegnern, die wir verfolgt haben, richtig waren. Und ich glaube, es gab insgesamt etwa 50 Gruppen, die wir für diesen Bericht verfolgt haben. Es gab ein paar Techniken, die auffielen, da sie einfach jeder nutzt. Rechts. Wenn ich also davon ausgehe, dass Sie Ihren Gegner kennen, ist das richtig. Es gibt da einen Aspekt, der mir eigentlich egal ist, welcher der 50 Gegner es ist. Sie werden diese sechs Dinge wahrscheinlich tun, und zwar in ziemlich großem Umfang. Rechts. Und diese sechs Dinge hatten wir im Hinblick auf das MITRE ATT&CK-Framework verfolgt. Das MITRE ATT&CK-Framework bietet uns also eine wirklich gute Sprache, um im Bereich Cybersicherheit miteinander über Taktiken, Techniken und die Gruppen, die sie verwenden, zu sprechen. Deshalb haben wir diese gemeinsame Sprache gewählt, um diesen Bericht zu verfassen, und in dieser gemeinsamen Sprache sprechen wir über den Erstzugriff, die Techniken, die Angreifer nutzen, um in ein Zielsystem einzudringen. Wir sprechen über Ausführung, das heißt, wie sie bösartigen Code ausführen, sobald er sich in diesem System befindet. Wir sprechen über Befehl und Kontrolle, was offensichtlich bedeutet, dass sie, sobald sie das System kompromittiert haben, wie sie dann mit ihm kommunizieren? Und dann schließlich die Datenexfiltration, richtig. Wie kommt es, dass sie, wenn ihr ultimatives Ziel beispielsweise darin besteht, Sie zu erpressen, etwas stehlen müssen, um Sie zu erpressen, oder? Daher müssen sie einige Daten zurück in ihre Systeme exfiltrieren. Wir betrachten also sechs spezifische Techniken in diesen Kategorien, die grundsätzlich überall zu finden sind. Jeder Gegner, den wir verfolgten, tat es. Und sie konzentrierten sich auf Phishing, sie konzentrierten sich darauf, Benutzer dazu zu bringen, Malware auszuführen, und dann konzentrierten sie sich darauf, die gesamte Befehls- und Kontrollfunktion sowie die Exfiltration über HTTP und HTTPS durchzuführen, im Grunde genommen, um sich mit all den anderen Dingen im Netzwerk zu vermischen.
Max Havey [00:07:40] Also im Wesentlichen aufschlüsseln, welche Schlüsseltaktiken und Tipps viele dieser verschiedenen Gegner haben, sie alle anwenden, und diese dann irgendwie nach Branche aufschlüsseln , nach Geo und vielen anderen Faktoren, sobald Sie diese festgelegt haben. Rechts.
Ray Canzanese [00:07:55] Richtig. Und damit haben wir angefangen, denn wenn Sie nur versuchen, etwas aus diesem Bericht herauszuholen, was sollte ich dann anders machen? Das sind diejenigen, die jeder ins Visier nimmt, oder? Wenn Sie also irgendwo anfangen wollen, beginnen Sie mit den üblichen, denn Ihre Verteidigungsstrategie wird gegen praktisch jede Gruppe funktionieren. Rechts. Nachdem Sie diese sechs Taktiken und Techniken durchgearbeitet haben, besteht der nächste Schritt darin, sich anzusehen, was in Ihrer Branche und in Ihrer Region passiert.
Max Havey [00:08:22] Auf jeden Fall. Und wenn Sie tiefer in diese Regionen und Branchen vordringen, gibt es dann irgendetwas, das Sie an diesen Erkenntnissen wirklich überrascht?
Ray Canzanese [00:08:30] Ja, es gab eine Sache, die mich wirklich überrascht hat. Wenn man sich also die von uns beobachteten Gegner genauer ansieht, erkennt man, dass sie sich grob in zwei Gruppen einteilen lassen. Sie sind entweder finanziell oder geopolitisch motiviert. Rechts. Entweder handelt es sich um Cyberkriminelle. Rechts. Oder sie sind eine Art staatlich geförderter oder staatsnaher geopolitischer Akteur. Und wenn man sich diese beiden Gruppen und quasi unser gesamtes Netzwerk anschaut, ist es meiner Meinung nach für niemanden, der im Bereich Cybersicherheit arbeitet, keine Überraschung, dass Cyberkriminalität den überwiegenden Anteil ausmacht, oder? Dabei handelt es sich überwiegend um Cyberkriminalität. Der Prozentsatz der geopolitischen Aktivität am Gesamtvolumen der Angreiferaktivität ist viel geringer. Nun, es gab einige herausragende Dinge, oder? Auf Branchenseite, im Finanzdienstleistungssektor und im Gesundheitswesen waren die geopolitischen Gegner also aktiver als in anderen Branchen. Ebenso gab es Besonderheiten in den geografischen Regionen, in denen das Gegenteil der Fall ist. Es gab zwei herausragende Beispiele: Australien und Nordamerika, wo es deutlich weniger geopolitische Gegneraktivitäten gab als in anderen Regionen. Wissen Sie, es waren wirklich diese Herausragenden, die hier das Überraschende waren, und zwar im Hinblick darauf, ob es sich um Cyberkriminalität oder geopolitische Aktivitäten handelte, die wir sahen.
Max Havey [00:10:06] Absolut. Und was waren diese besonderen Besonderheiten so interessant, und warum sollten Leute, die wie Cybersicherheitsleiter oder andere Leute in Sicherheitsorganisationen sind, diese Art von Anomalien und Ausreißern innerhalb dieser Art zur Kenntnis nehmen? Forschung?
Ray Canzanese [00:10:22] Richtig. Wenn Sie also in einer dieser Randregionen arbeiten. Rechts. Das verrät Ihnen etwas über den Gegner, gegen den Sie antreten. Rechts. Und so ist es nicht gerecht. Schauen Sie, ob es geopolitisch oder kriminell ist. Rechts. Aber Sie können dann das MITRE ATT&CK-Framework verwenden, um sich die wichtigsten geopolitischen Gegner in diesen Regionen anzusehen. Welche Taktiken und Techniken nutzen sie? Rechts. Und wie gut sind Ihre Abwehrmaßnahmen gegen sie eingestellt? Mit anderen Worten: Wenn Sie sich das anschauen, lernen Sie, was das Besondere an Ihrer Branche oder Ihrer Region ist, und dass Sie vielleicht etwas anderes tun sollten, und zwar gezielter auf den Gegner, mit dem Sie es zu tun haben. Und oft können Sie Informationen darüber nur dann erhalten, wenn Sie mit Ihren Partnerorganisationen sprechen, oder? Sprechen Sie also mit anderen Menschen in Ihrer Branche, mit anderen Menschen in Ihrer Branche, die in derselben Region wie Sie tätig sind. Sie können oft einen ISAC oder eine andere Gruppe finden, der Sie beitreten und die Sie miteinander teilen können, was vor sich geht. Wie Ihre Kollegen ihre Abwehrkräfte aufbauen. Was Sie anders machen können, indem Sie von ihnen lernen, wie Sie sich gegen die jeweiligen Gegner verteidigen können, mit denen Sie es zu tun haben.
Max Havey [00:11:37] Und das ist eine gute allgemeine Erkenntnis, vor allem, weil wir uns, wissen Sie, gerade mitten im Security Awareness Month befinden und darüber nachdenken, es einfach herauszuzoomen Etwas weiter, wenn Sie eine Schlüsseltaktik oder einen Tipp aus diesem Bericht den breiteren Sicherheitsorganisationen anbieten müssten, Sicherheitsleuten, die technisch, nicht technisch, nicht bedrohlich sind, Sie wissen schon, Leute da draußen im Sicherheitsbereich. Welchen Imbiss würden Sie ihnen anbieten?
Ray Canzanese [00:12:01] Klar. Daher weiß ich, dass eines unserer Lieblingsthemen, über die wir im Cybersecurity Awareness Month sprechen, Phishing ist. Lassen Sie mich kurz über Phishing sprechen, denn wenn wir an Phishing denken, denken wir oft an E-Mails, oder? Ein Großteil unserer Phishing-Schulungen konzentriert sich darauf, wie Sie wissen, ob das Öffnen dieser E-Mail sicher ist. Wir haben herausgefunden, dass E-Mails immer seltener dazu führen, dass Menschen auf Phishing hereinfallen. Rechts? Und das liegt zum einen daran, dass Sie jedem beibringen, E-Mails gegenüber misstrauisch zu sein, und zum anderen daran, dass Sie alle Ihre Anti-Phishing-Abwehrmaßnahmen rund um E-Mails aufbauen. Was wir also allmählich erkennen, ist, dass es sich nicht um E-Mails, sondern um Textnachrichten, Telefonanrufe, Direktnachrichten auf Instagram und gefälschte Bewertungen auf Facebook handelt. Es sind seltsame Suchergebnisse, die Sie bei Google gefunden haben, als Sie nach einer ganz bestimmten Sache gesucht haben, die Sie über eine von Ihnen verwendete Software oder eine von Ihnen verwendete Hardware wissen wollten, und dass es einem Angreifer gelungen ist, dafür eine Phishing-Seite in den Google-Suchergebnissen aufzulisten. Mit anderen Worten: Ich denke, die Phishing-Geschichte ist, dass es sich bei Phishing nicht um E-Mails handelt, oder? Beim Phishing versucht jemand anderes, Sie dazu zu verleiten, Ihren Benutzernamen oder Ihr Passwort preiszugeben oder sich bei etwas anzumelden, während Ihnen jemand virtuell über die Schulter schaut. Und das kann überall beginnen und es kann außerhalb von E-Mails beginnen. Wenn Sie sich also aus technischer Sicht Sorgen über Phishing machen, weil Sie im Bereich Cybersicherheit tätig sind, stellen Sie sicher, dass Ihre Phishing-Abwehrmaßnahmen über E-Mail hinausgehen. Wenn Sie nur ein ganz normaler alter Mensch sind, der ein wenig paranoid ist und sich Sorgen wegen Phishing macht, ist die einfache Lösung: Klicken Sie niemals auf Links. Besuchen Sie niemals Websites, von denen andere Ihnen sagen, dass Sie sie besuchen sollen. Mit anderen Worten: Wenn ich mich auf der Website meiner Bank anmelden möchte, öffne ich meinen Browser und gebe die URL der Website meiner Bank ein. Es gibt keine andere Möglichkeit, mich jemals auf der Website meiner Bank einzuloggen. Keine schrecklich klingende Textnachricht. Keine Instagram-DM, kein Snapchat, kein Facebook, nichts. Es gibt niemanden, der mich jemals davon überzeugen könnte, mich auf andere Weise bei etwas Wichtigem anzumelden.
Max Havey [00:14:29] Nun, und das ist auch ein guter Punkt, wenn man bedenkt, dass sich dieses Phishing weiterentwickelt hat, wie wir kürzlich sogar in den Nachrichten beim MGM-Angriff gesehen haben, bei dem das durch Voice-Phishing, durch und durch, durchgeführt wurde Ein Anruf bis hin zum Helpdesk. Es gibt also diese Beispiele dafür, wie sich dies weiter entwickelt, wächst und verändert. Und ich denke, das ist meiner Meinung nach ein ausgezeichneter Punkt.
Ray Canzanese [00:14:48] Ja, absolut. Und ich weiß nicht, wie häufig das vorkommt, aber ich bekomme wahrscheinlich ein Dutzend Telefonanrufe und Textnachrichten pro Tag, bei denen es sich sicherlich um Betrug handelt. Sie sind also entweder Phishing-Anmeldeinformationen oder versuchen, mich dazu zu bringen, ihnen Geld zu schicken. Rechts. Aber da ist etwas los. Daher denke ich, dass die Leute mit einigen dieser lautstärkeren Versionen vertraut sein könnten. Aber wenn man sich auf die niedrigere Lautstärke einlässt, werden die Leute bei differenzierteren Lautstärken ausgetrickst. Hören Sie also auf, über den Kanal nachzudenken, und beginnen Sie darüber nachzudenken, was eigentlich vor sich geht. Jemand versucht, Sie dazu zu bringen, auf eine gefälschte Website zu gehen. Geben Sie also niemandem diese Möglichkeiten, oder? Klicken Sie einfach niemals auf Links. Rechts. Einfache Lösung. Trennen Sie den Computer vom Computer.
Max Havey [00:15:37] Hören Sie auf, über den Kanal nachzudenken, und konzentrieren Sie sich auf das Ergebnis. Fühlt sich hier wie das wirklich große Essen zum Mitnehmen an. Ich glaube, das ist etwas, das sich jeder in unserem Publikum leicht merken und im Hinterkopf behalten kann, wenn er über das Internet agiert.
Ray Canzanese [00:15:50] Richtig. Denn wissen Sie, ich nenne all diese Beispiele dafür, was es heute ist, oder? Aber morgen wird es, ich weiß nicht, Mastodon oder eine andere Plattform sein, die jetzt nicht so beliebt ist, aber wenn sie populär wird, wird sie zu einem Kanal, zu dem Phisher, Betrüger, Cyberkriminelle, geopolitische Akteure, sie alle gehen dort genauso.
Max Havey [00:16:13] Ja, absolut. Ich denke, damit bin ich am Ende meiner Fragen angelangt. Möchten Sie noch etwas hinzufügen, das wir in diesem Gespräch bisher noch nicht besprochen haben?
Ray Canzanese [00:16:22] Nun, wenn wir den Pitch nicht geben würden, würde ich den Pitch geben. Rechts. Dieser Bericht ist live auf netskope.com/threat-labs verfügbar. Auf unserer Website finden Sie weitere Einzelheiten zu allem, worüber wir heute hier gesprochen haben. Und jeden Monat werden auf unserer Website neue Monatsberichte veröffentlicht. Wir werden in unserem Blog live über interessante Bedrohungen sprechen. Und jedes Quartal sehen Sie einen weiteren dieser großen Berichte. Wenn Sie bei all den spannenden Dingen, die wir machen, nicht auf dem Laufenden bleiben können, habe ich auch eine Mailingliste, die Sie auf genau derselben Website finden: netskope.com/threat-labs.
Max Havey [00:17:04] Absolut. Und für alle, die sich das selbst ansehen möchten, werde ich in den Shownotizen zur Folge einen Link dazu haben. Aber bis dahin, bis wir wieder einen Bericht für Sie haben. Ray, vielen Dank, dass du dir die Zeit genommen hast. Es ist immer aufschlussreich, mit Ihnen über all die interessanten neuen Dinge zu sprechen, die Sie bei Netskope Threat Labs entdecken.
Ray Canzanese [00:17:19] Danke, Max.
Max Havey [00:17:20] Großartig. Lasst es euch gut gehen.
