Bu dört bölümden üçüncüsü NOBELIUM ulus devlet siber saldırısı üzerine blog dizisi. Aralık 2020’de Microsoft, tarihteki en karmaşık ulus devlet siber saldırısı olarak bilinen olayla ilgili ayrıntıları dünyayla paylaşmaya başladı. Microsoft’un dört bölümlük video serisi “NOBELIUM kodunu çözme” çekimiNOBELIUM olayına ve Microsoft’tan ve sektördeki dünya çapındaki tehdit avcılarının tarihteki en karmaşık ulus devlet saldırısını üstlenmek için nasıl bir araya geldiğine dair perde. Bu üçüncü gönderide, Microsoft’un belgeler dizisinin üçüncü bölümünde ele alınan NOBELIUM saldırısına verdiği yanıtı keşfedeceğiz.

Üç muharebe konuşlandırmasında görev yapan 19 yıllık Deniz Piyadeleri gazisi Microsoft 365 Güvenlik Genelkurmay Başkanı Elizabeth Stephens’e göre, büyük bir siber saldırıya karşı savunmak, herhangi bir büyük kriz için ihtiyaç duyduğunuz hazır olma düzeyini gerektiriyor. Bir görev var. Bir eylem planı var. Ve gitmeye hazır uzman bir ekip var. Stephens, Aralık 2020’de NOBELIUM ulus-devlet saldırısına yanıt olarak harekete geçen özel bir müdahale ekibinin parçasıydı.

Stephens, “Tüm ekipler, bana Deniz Piyadelerimin nasıl bir araya geldiğini çok hatırlatan bir şekilde bir araya geldi” dedi. “Yanıt verme şeklimiz, ilk müdahale edenlere çok benziyor. Uzmanlık ve uzmanlık alanlarımız ne olursa olsun bir araya gelip aramızdaki boşlukları hızla doldurarak bir görevi tamamlamaktan gurur duyuyoruz. [It’s about] özveri ve duygusu, eğer biz savunmazsak başka kim yapacak?”

NOBELIUM gibi ulus devlet saldırganları siber güvenliği nasıl değiştiriyor dizisindeki ilk yazımızda açıklandığı gibi, bu sofistike aktörler siber casusluk veya istihbarat toplama çabaları yoluyla belirli bir ülkenin çıkarlarını ilerletmek için çalışıyor. Rus bağlantılı bir hacker grubu olan NOBELIUM’dan tedarik zinciri uzlaşmasını içeren çok yönlü saldırı, tarihteki en karmaşık ulus devlet siber saldırısı olarak kabul ediliyor. Bu büyüklükte bir saldırı keşfedildiğinde, yanıt eşit derecede önemlidir. Serinin ikinci gönderisi olan, tarihin en karmaşık ulus devlet saldırısı olan NOBELIUM’u avlamakta, saldırıyı anlamak için sektör genelindeki ilk araştırmayı ve veri toplamayı ele aldık.

“NOBELIUM’un Kodunu Çözme” serimizin üçüncü bölümünde, Microsoft’un düşmanı bozmak ve kuruluşları korumak için nasıl çalıştığına ilişkin yeni ayrıntıları ortaya koyuyoruz: Etkilenen müşterileri bilgilendirmek ve desteklemek, yeni önlemeleri hızla devreye sokmak ve tüm müşterilerini korumak için algılama önlemleri sağlamak. tehdide karşı.

Müşterilere NOBELIUM saldırısının bildirilmesi

Müşterilerin, ortamlarındaki saldırının kapsamını araştırabilmeleri ve anlayabilmeleri için hızlı bir şekilde bilgilendirilmeleri gerekiyordu. Tehdit avcıları, NOBELIUM etkinliği için tehdit belirteçlerini ayırmaya başladığında, etkilenen müşterileri etkili bir şekilde belirleyip iletişim kurabilirler. Güvenlik topluluğu, geleneksel olarak müşterilere, savunuculardan hiçbir zaman telefon almayacaklarını ve aramaları şüpheli bir şekilde görmelerini söyler. Bu durumda, saldırganların kurban ortamlarına erişimi olduğu için güvenli bir alternatif yoktu. Sofistike bir saldırının zor haberiyle bir arama yapmak yeterince zor olurdu, ancak bazı durumlarda, telefondaki kişinin aslında Microsoft olduğunu doğrulamak için yaratıcı yollar bulmaları gerekiyordu. Bildirimin bir parçası olarak ekip, müşterinin kapsamı daha fazla araştırmasını ve düzeltmeye başlamak için harekete geçmesini sağlamak için saldırı hakkında bilgi ve rehberlik paylaştı. NOBELIUM’un faaliyet haberi, anlaşılır bir şekilde müşterileri hayrete düşürdü.

“İnsanların yüzlerindeki ifadeyi bunun ciddiyeti olarak görmek [situation] Microsoft Identity Security Response Takım Lideri Franklin, “Bu, benim ve ekibim için kesinlikle ayıklayıcıydı, ancak aynı zamanda işin özüne inene kadar devam etmek için muazzam bir teşvikti” dedi.

Müşterileri desteklemek için ürün algılamaları oluşturma

Bu müşteri bağlantıları, Microsoft’un bu saldırıya verdiği yanıtın yalnızca bir parçasıydı. Microsoft’un tehdit avcıları, daha ince saldırı belirteçleri belirlemek için kullanıcı, e-posta, işbirliği araçları, uç nokta, bulut etkinliği ve bulut uygulaması güvenliği dahil olmak üzere çok büyük miktarda toplu telemetriyi incelemeye devam etti. Taktikler, teknikler ve prosedürler (TTP) olarak adlandırılan bu belirteçler, NOBELIUM’un hareketlerini izlemek için kullanıldı.

Microsoft 365 Defender Baş Program Yöneticisi Michael Shalev, “Bütünsel bir bakış açısıyla, etki alanından etki alanına hareket eden ve genellikle gürültüde, geçişlerde burada kaybolan saldırganları izleyebiliyoruz” dedi.

Ekip, herkese açık olarak paylaştığımız NOBELIUM saldırısıyla ilişkili 70’den fazla TTP tespit etti. Birlikte NOBELIUM grubunun nasıl çalıştığının bir resmini çizdiler. Microsoft ekipleri, hangi TTP’lerin bir kuruluşa özgü olduğunu ve hangilerinin etkilenen kuruluşlarda bulunduğunu belirledi. Shalev, etkilenen kuruluşların “ağlarını ve varlıklarını sağlıklı bir duruma getirebilmeleri” ve etkilenmeyen kuruluşların kendilerini benzer tehditlerden koruyabilmeleri için güvenlik ürünlerine otomatik algılamalar oluşturmak için bu TTP’leri hızla kullandılar.

Belirli bir saldırıya yanıt olarak algılamaları güvenlik ürünlerine aktarmak yeni değil; Microsoft, saldırılara yanıt olarak düzenli olarak algılamaları güvenlik ürünlerine yayınlar. Ancak NOBELIUM olayından sonraki yayın hacmi emsalsizdi. Üç haftalık bir süre boyunca, Microsoft araştırmacıları, gerçek zamanlı eylemi etkinleştirmek için doğrudan ürünlerde yayınlanan blog gönderileri veya güncellemeler aracılığıyla paylaşılan hedefli özel sorgular biçiminde günde birden fazla algılama yayınladı. Microsoft’un bulutta yerel güvenlik bilgileri ve olay yönetimi platformu Microsoft Sentinel’den İş Ortağı Ürün Müdürü Sarah Fender, “Böyle bir saldırıya yanıt verirken saniyeler önemlidir” dedi.

Örneğin, tehdit avcıları NOBELIUM’un güvenlik yazılımlarından ve analist araçlarından kaçmak için kullandığı belirli teknikleri keşfetti. Sensörleri veya günlüğe kaydetmeyi kapatmak için iyi niyetli nedenler olabileceğinden, TTP araştırması, etkinliğin ne zaman kötü niyetli olduğunu tespit etmek için kritikti. Buna karşılık, Microsoft Defender for Endpoint ekibi, NOBELIUM ile ilgili bu belirli etkinlikleri belirleyip bunlarla ilgili uyarıları göndermek için yeni kurcalamaya karşı politikalar, arama sorguları ve algılamalar geliştirdi.

Microsoft Dijital Güvenlik Birimi Baş Hukuk Müşaviri Cristin Goodwin, “Saldırı o kadar önemli ki farklı şekillerde yardıma ihtiyaç duyacakları için gerçekten müşteriyle bulundukları yerde buluşmalısınız” dedi.

Siber güvenlik stratejileri ve mevcut kaynaklar

“NOBELIUM’un Kodunu Çözme” serimizin üçüncü bölümünde, güvenlik uzmanları, NOBELIUM’un keşfinden sonra müşterileri savunmaya ilişkin görüşler paylaşıyor. Etkili siber güvenlik hijyeni konusunda rehberlik için bu bölümü izleyin. NOBELIUM saldırısının daha kapsamlı bir dökümünü sunacağımız ve siber güvenliğin geleceği için tahminleri ve ipuçlarını paylaşacağımız NOBELIUM ulus-devlet saldırı serisindeki son gönderiyi bekleyin. Bu serideki önceki yazılarımızı okuyun:

Microsoft, ister siber suçlu isterse ulus devlet olsun, kuruluşların siber saldırılardan korunmalarına yardımcı olmaya kararlıdır. Herkes için güvenlik sağlama misyonumuzla tutarlı olarak, Microsoft, müşterilerimizi ve dünyayı korumaya yardımcı olmak için lider tehdit istihbaratımızı ve özel siber güvenlik savunucularından oluşan küresel bir ekibi kullanacaktır. Microsoft’un ulus devlet saldırılarıyla mücadele çabalarına ilişkin son iki örnek arasında Eylül 2021’de bir keşif, FoggyWeb olarak adlandırılan bir NOBELIUM kötü amaçlı yazılım araştırması ve Mayıs 2021’de NOBELIUM’un EnvyScout, BoomBox, NativeZone ve VaporRage’den ödün veren erken aşamadaki araç setini profillememiz yer alıyor. .

Anında destek için şu adresi ziyaret edin: Microsoft Güvenlik Yanıt Merkezi burada bir sorunu bildirebilir ve en son güvenlik raporlarından ve Microsoft Güvenlik Yanıt Merkezi bloglarından rehberlik alabilirsiniz.

Microsoft Güvenlik çözümleri hakkında daha fazla bilgi edinmek için web sitemizi ziyaret edin. Güvenlik konularındaki uzman kapsamımızdan haberdar olmak için Güvenlik blogunu yer imlerine ekleyin. Ayrıca, bizi takip edin @MSFTGüvenlik Siber güvenlikle ilgili en son haberler ve güncellemeler için.





#Müşterileri #NOBELIUM #ulusdevlet #saldırısına #karşı #korumaya #yönelik #benzeri #görülmemiş #çabanın #arkasında