CROWDSTRIKE ： 2024 通过 CrowdStrike 提升你的游 ， 为你的云检测和响应带来人智慧能创新 （ 英文版 ）

使用CrowdStrike提升您的游戏，并为您的云检测和响应带来AI创新 克里斯蒂安·罗德里格斯 CrowdStrike美洲现场首席技术官 2024CrowdStrike,Inc.保留所有权利。 CRISTIANRODRIGUEZ FIELDCTO|AMERICAS ▪20年以上的网络 ▪CrowdStrike-10年 ▪MSSP ▪全球企业 ▪公共部门 ▪医疗保健 22-AU-006对手宇宙世界巡回赛_v1|2024CrowdStrike,Inc.版权所有. 2024CrowdStrike,Inc.保留所有权利。 云威胁格局 云攻击是杠杆:要实现： 身份受损/盗窃有效凭据 凭据重置 MFA旁路 访问数据 用于数据勒索或破坏，IP盗窃，间谍活动 访问计算资源 对于资源劫持、加密挖掘操作 面向公众的滥用 Applications 利用配置错误 云资源 访问其他目标 用于横向移动、保持隐形、识别资源（包括访问其他组织） ，。 3 对手正在学习云，以更好地将其访问货币化 机会主义 或者 资源劫持f RYPTO 他们正在探索新的TTP来实现他们的目标 我们可以从已经发生的事情中学到最多的东西在 “ 如果您认为您的云安全今天是一场灾难 ，请等待，直到您必须进行事件响应 。 -孙子（可能） . 20242024CrCrowdStrike,owdStrike,Inc.Inc. 云机器人 将云工作负载简单地视为另一台计算机 Playbooks主要是针对主机和网络层的勒索软件 。 20242024CrCrowdStrike,owdStrike,Inc.Inc. 云意识演员 了解CSP的控制平面、服务和工作负载 之间的关系。 积极尝试滥用云服务提供商的服务，同时让 受害者为此付费 IMDS 云中的SSRF ●攻击者利用SSRF欺骗EC2实例从IMDS请求凭证 ●IMDS返回凭据 ●EC2实例将凭证转发给攻击者 ➔SSRF反复观察为初始访问向量 rvrveedd..到2022年，利用面向公众的应用程序几乎和有效的应用程序一样普遍 散乱的蜘蛛云TTP •用于过滤的数据分段 •云虚拟机部署 •云原生持久性机制 •发现云环境和内部部署之间的连接 ，。 攻击案例：SSRF利用导致数据泄露和赎金 第1天 利用SSRF APACHEWebSERVER 中的CVE-2021- 40438在AWS中运行 第1天 Discovery S3、AWS秘密管理、数据库、实例 第1天 渗滤 删除S3数据 未知 交付的赎金票据 90天 地下论坛上泄漏的数据 ，。 13 攻击案例：分散的蜘蛛在云和本地之间的横向移动 Smishing 消息 登录到MicrosoftMyApps 向受损的EntraID用户添加了MFA ，。 14 访问 SharePoint 找到VPN设置文档 登录到VPN横向移动到本地VM ，。 15 案例3：分散的蜘蛛在云和本地之间的横向移动 Smishing 消息 登录到MicrosoftMyApps 向受损的EntraID用户添加了MFA 使用第二个EntraID身份登录MyApps ，。 16 访问 SharePoint 找到VPN设置文档 登录到VPN横向移动到本地VM 横向移动到 AWS 添加后门访问密钥并更改登录凭据 创建新的公共 EC2实例 附加实例-配置文件升级权限 横向移动到实例 禁用的云安全工具 ，。 17 广告继续发展云意识 75% 云开发的增加 2023年 110% 云意识威胁参与者的增加 84% 归因于对手云意识入侵集中在电 子犯罪上 来源：CrowdStrike2024全球威胁报告 . AI如何适应 疼痛 •有效的电子邮件网络钓鱼攻击 •DeepFakes|视频和语音 •自主脆弱性利用 •递归攻击周期实施 ，。 AI增强SOC会是什么样子？ 传统SOCVS.AI增强SOC AI如何适应 调查 增益 辅助观察 SummarizatioTnraining和Onboardin QgueryTranslati 文档和执行报告 AI如何适应 19s 查询时间 8 API调用 >30min 同一查询的可比分析师时间 用户 我对针对我所在行业的威胁行为者使用的漏洞有什么影响 ？ CHARLOTTEAI 您对针对行业技术的威胁参与者使用的漏洞的暴露以85个独特漏洞为代表。这些漏洞中的大多数被评为严重漏洞，计数为3031，而只有两个被评为高漏洞。 包括一些fiey发现。 一种以数据为中心的平台方法 威胁英特尔 数据中心c 第一和第三 方数据 安全和IT自动化 AI原生平台 生成、云和传感器AI ，。 你坦菲 CROWSTRIKE的FALCONXDR平台阻止了破坏 散落的蜘蛛TTP •有针对性的社会工程 •通过虚拟、MFA通知疲劳和可能的 SIM交换绕过MFA •接触受害者主要用于向受害者客户的公司横向移动 •2023年1月改变了货币化策略：首先据称窃取数据以获取赎金，现在BGH使用勒索软件AlphV •新型云TTP ，。