Obsah:
Nyní jste slyšeli, že společné vyšetřování Federálního úřadu pro vyšetřování (FBI) a amerického ministerstva vnitřní bezpečnosti vedlo ke zprávě, že ruští dělníci pronikli do společností, které jsou součástí energetické sítě v USA. Útoky jsou podrobně popsány ve zprávě amerického počítačového pohotovostního pohotovostního týmu (US-CERT), který popisuje, jak útočníci dokázali proniknout do energetických zařízení a co udělali s informacemi, které ukradli.
Anatomie inteligentního phishingového útoku
Primárním prostředkem pro získání přístupu k menšímu partnerovi bylo nalezení veřejných informací, které by ve spojení s dalšími informacemi poskytly úroveň podrobnosti potřebnou pro další krok. Útočník by například mohl prozkoumat webové stránky společnosti, která obchoduje s konečným cílem, a tam by mohl najít e-mailovou adresu vedoucího pracovníka buď v partnerské společnosti, nebo v konečném cíli. Útočník by pak mohl prozkoumat další informace z webových stránek obou společností a zjistit, jaký je vztah, jaké služby poskytuje kdo a co o struktuře každé společnosti.
Na základě těchto informací může útočník začít odesílat vysoce přesvědčivé phishingové e-maily z toho, co se zdá být legitimní e-mailovou adresou; ty s dostatečně propracovanými detaily, které by mohly porazit všechny filtry phishingu umístěné na bráně firewall nebo spravované úrovni ochrany koncových bodů. Phishingové e-maily by byly navrženy tak, aby shromažďovaly přihlašovací údaje pro cílenou osobu, a pokud bude některý z nich úspěšný, útočníci by okamžitě obešli veškerá opatření pro správu identity, která by mohla být zavedena a byla uvnitř cílové sítě.
S odhalením shromažďování informací o uživateli z Facebooku se povaha hrozby rozšiřuje. Při porušení prováděném pod rouškou akademického výzkumu, který začal v roce 2014, získal ruský výzkumný pracovník přístup k přibližně 50 milionům uživatelských profilů amerických členů na Facebooku. Tyto profily byly převedeny na Cambridge Analytica. Následná šetření odhalila, že tato data byla získána bez povolení těchto uživatelů Facebooku a poté zneužita.
Auditování vnějších komunikací
To vyvolává otázku, jaké informace by měly obezřetné podniky zpřístupnit prostřednictvím svých webových stránek. Horší je, že tento dotaz se pravděpodobně musí rozšířit na přítomnost sociálních médií v organizaci, marketingové kanály třetích stran, jako je YouTube, a dokonce i na vysoce profilové profily sociálních médií zaměstnanců.
„Myslím, že musí být obezřetní o tom, co je na jejich webových stránkách společnosti, “ řekl Leo Taddeo, ředitel pro informační bezpečnost (CISO) pro Cyxtera a bývalý zvláštní agent odpovědný za kybernetickou divizi polní kanceláře FBI v New Yorku. "Existuje velký potenciál pro neúmyslné zveřejnění informací."
Taddeo řekl, že jedním z dobrých příkladů je zveřejňování pracovních míst, kde můžete prozradit, jaké nástroje používáte pro vývoj nebo jaké bezpečnostní speciality hledáte. „Existuje mnoho způsobů, jak se mohou společnosti vystavit. Existuje velká plocha. Nejen web a nejen úmyslná komunikace, “ řekl.
Taddeo varoval, že profesionální mediální stránky, jako je LinkedIn, jsou také rizikem pro ty, kteří nejsou opatrní. Řekl, že protivníci vytvářejí falešné účty na takových webových stránkách, které zakrývají, kdo skutečně jsou, a poté používají informace ze svých kontaktů. "Cokoli, co zveřejní na sociálních sítích, může ohrozit jejich zaměstnavatele, " řekl.
Vzhledem k tomu, že špatní aktéři, kteří se na vás zaměřují, mohou být podle vašich údajů nebo mohou být po organizaci, se kterou pracujete, nejde jen o to, jak se chráníte, ale jak také chráníte svého obchodního partnera? To je komplikováno skutečností, že možná nevíte, zda by útočníci mohli být po vašich údajích, nebo vás jen vidět jako odrazový můstek a možná i místo pro další útok.
Jak se chránit
V každém případě můžete podniknout několik kroků. Nejlepší způsob, jak toho dosáhnout, je formou informačního auditu. Vyjmenujte všechny kanály, které vaše společnost používá pro externí komunikaci, mimo jiné určitě pro marketing, ale také pro HR, PR a dodavatelský řetězec. Poté vytvořte auditorský tým, který obsahuje zúčastněné strany ze všech dotčených kanálů, a začněte systematicky analyzovat, co se tam děje, s ohledem na informace, které by mohly být užitečné pro zloděje dat. Nejprve začněte s webem vaší společnosti:
- Nyní považujte své cloudové služby stejným způsobem. Často se jedná o výchozí konfiguraci, díky níž jsou vedoucí pracovníci společnosti správci firemních cloudových služeb třetích stran, například účty Google Analytics nebo Salesforce vaší společnosti. Pokud takovou úroveň přístupu nepotřebují, zvažte, zda byste je měli nechat přejít do stavu uživatele a nechat úroveň administrativního přístupu na pracovníky IT, jejichž e-mailové přihlašování by bylo obtížnější najít.
Prohlédněte si webové stránky vaší společnosti, zda neobsahují cokoli, co by mohlo obsahovat podrobnosti o práci, kterou vykonáváte, nebo o nástrojích, které používáte. Například obrazovka počítače, která se objevuje na fotografii, může obsahovat důležité informace. Podívejte se na fotografie výrobního zařízení nebo síťové infrastruktury, které mohou poskytnout vodítka užitečné pro útočníky.
Podívejte se na seznam zaměstnanců. Máte e-mailové adresy pro své vedoucí pracovníky? Tyto adresy poskytují útočníkovi nejen potenciální přihlašovací adresu, ale také způsob, jak falšovat e-maily zasílané jiným zaměstnancům. Zvažte jejich nahrazení odkazem na formulář nebo použijte jinou e-mailovou adresu pro veřejnou spotřebu než pro vnitřní použití.
Říká váš web, kdo jsou vaši zákazníci nebo partneři? To může útočníkovi poskytnout další způsob, jak zaútočit na vaši organizaci, pokud má potíže s bezpečností.
Zkontrolujte své pracovní pozice. Kolik prozradí o nástrojích, jazycích nebo jiných aspektech vaší společnosti? Zvažte práci s náborovou firmou, abyste se od těchto informací oddělili.
Podívejte se na svou přítomnost na sociálních sítích a mějte na paměti, že vaši protivníci se určitě budou snažit těžit informace prostřednictvím tohoto kanálu. Podívejte se také, kolik informací o vaší společnosti je zveřejněno v příspěvcích vašich vedoucích pracovníků. Na sociálních sítích nemůžete kontrolovat vše, co vaše zaměstnanci dělají, ale můžete na to dohlížet.
Zvažte architekturu vaší sítě. Taddeo doporučuje přístup podle potřeby, ve kterém je přístup administrátora poskytnut pouze v případě potřeby a pouze pro systém vyžadující pozornost. Navrhuje použití softwarově definovaného obvodu (SDP), který byl původně vyvinut americkým ministerstvem obrany. "Přístupová oprávnění každého uživatele jsou v konečném důsledku dynamicky měněna na základě identity, zařízení, sítě a citlivosti aplikace, " řekl. "Jsou to řízeny snadno konfigurovatelnými zásadami. Sladěním přístupu k síti s přístupem k aplikacím zůstávají uživatelé plně produktivní, zatímco plocha útoku je výrazně snížena."
Nakonec Taddeo řekl, aby hledal zranitelnosti způsobené stínovým IT. Pokud to nehledáte, můžete obejít vaši tvrdou bezpečnostní práci, protože někdo nainstaloval bezdrátový router ve své kanceláři, aby mohl v práci snadněji využívat svůj osobní iPad. Do této kategorie spadají také neznámé cloudové služby třetích stran. Ve velkých organizacích není neobvyklé, že vedoucí oddělení jednoduše zaregistrují svá oddělení pro pohodlné cloudové služby, aby obešli to, co vidí jako „byrokracii“ v IT.
To může zahrnovat základní IT služby, jako je použití Dropbox Business jako síťového úložiště nebo použití jiné marketingové automatizační služby, protože registrace do oficiálního firemního nástroje je příliš pomalá a vyžaduje vyplnění příliš mnoha formulářů. Softwarové služby, jako jsou tyto, mohou vystavit kapky citlivých dat, aniž by o nich IT vědělo. Ujistěte se, že víte, jaké aplikace jsou ve vaší organizaci používány, kým a že máte pevnou kontrolu nad tím, kdo má přístup.
Auditní práce, jako je tato, je zdlouhavá a někdy časově náročná, ale v dlouhodobém horizontu může vyplatit velké dividendy. Dokud po vás nepřijdou vaši protivníci, nevíte, co máte, co by stálo za to ukrást. Musíte tedy přistupovat k bezpečnosti takovým způsobem, který je flexibilní a přitom dávat pozor na to, na čem záleží; a jediný způsob, jak toho dosáhnout, je být důkladně informován o tom, co se děje ve vaší síti.
