Kihasznált megbízható platformok
Az Insikt új kutatása rávilágít arra a kialakulóban lévő tendenciára, hogy a fenyegetési szereplők egyre inkább kihasználják az olyan megbízható platformokat, mint a Google Drive, a OneDrive, a Notion és a GitHub, hogy a rosszindulatú tevékenységeket a normál internetes forgalomban rejtsék el. Ez a taktika növeli hatékonyságukat az adatlopások és műveletek terén, miközben gyengítik a hagyományos kibervédelmet. A fejlett tartós fenyegetések (APT) csoportjai állnak ennek a stratégiának az élvonalában, a kevésbé kifinomult csoportok pedig követik őket.
A jelentés szisztematikus áttekintést nyújt a legitim internetes szolgáltatásokkal (LIS) való visszaélésekről. A jelentés az LIS-ekkel való visszaélések további növekedését jósolja. Ahogy a fenyegetési szereplők továbbfejlesztik taktikájukat, a hagyományos védekezések, mint például a IOC blokkolás és az alapvető észlelések egyre kevésbé lesznek hatékonyak. Egy többoldalú, hálózati, fájl- és naplóalapú észlelési módszereket magában foglaló megközelítést javasol az Insikt. A védőknek proaktívan kell azonosítaniuk a potenciálisan sérülékeny internetes szolgáltatásokat, és rendszeres támadás-szimulációkat kell végezniük. A jelentés szerint a legnagyobb valószínűséggel az infostealer-ek használják ki az LIS-eket (37%) elsősorban az adatszivárgási céljuk és az infrastruktúra könnyű felállítása miatt. A fenyegetési szereplők az olyan felhőszolgáltatásokkal élnek vissza leggyakrabban, mint a Google Drive, amit az üzenetküldő alkalmazások követnek (Telegram, Discord). Rövid távon kibervédelmi oldalon azonosítani és blokkolni kell azokat a LIS-eket, amelyeket nem használnak az adott környezetben, és amelyekről ismert, hogy rosszindulatúan használják őket.