Obsah:
Teraz ste už počuli, že spoločné vyšetrovanie Federálneho úradu pre vyšetrovanie (FBI) a amerického ministerstva vnútornej bezpečnosti viedlo k správe, že ruskí robotníci prenikli do spoločností, ktoré sú súčasťou rozvodnej siete v USA. Útoky sú podrobne načrtnuté v správe tímu americkej počítačovej pohotovostnej pohotovosti (US-CERT), v ktorej sa opisuje, ako boli útočníci schopní preniknúť do energetických zariadení a čo urobili s informáciami, ktoré ukradli.
Anatómia inteligentného phishingového útoku
Primárnym prostriedkom na získanie prístupu k menšiemu partnerovi bolo nájsť verejné informácie, ktoré by spolu s inými informáciami poskytli úroveň podrobnosti potrebnú pre ďalší krok. Útočník by napríklad mohol preskúmať webovú stránku spoločnosti, ktorá obchoduje s konečným cieľom, a tam by mohol nájsť e-mailovú adresu vedúceho pracovníka buď v spoločnosti partnera alebo v konečnom cieli. Útočník by potom mohol preskúmať ďalšie informácie z webových stránok oboch spoločností, aby zistil, aký je vzťah, aké služby poskytuje kto a čo o štruktúre každej spoločnosti.
Na základe týchto informácií môže útočník začať odosielať vysoko presvedčivé phishingové e-maily z toho, čo sa javí ako legitímna e-mailová adresa; tie, ktoré majú dostatok remeselníckych detailov, ktoré by mohli poraziť všetky phishingové filtre zavedené na bráne firewall alebo na úrovni ochrany koncového bodu. E-maily na neoprávnené získavanie údajov (phishing) by mali byť navrhnuté tak, aby zhromažďovali prihlasovacie údaje pre cieľovú osobu, a ak je niektorý z nich úspešný, útočníci okamžite obídu všetky opatrenia na správu totožnosti, ktoré môžu mať zavedené a sú vnútri cieľovej siete.
S odhaleniami o získavaní informácií o používateľovi z Facebooku sa povaha hrozby rozširuje. Pri porušení, ktoré sa začalo pod rúškom akademického výskumu, ktorý sa začal v roku 2014, získal ruský výskumný pracovník prístup k približne 50 miliónom užívateľských profilov amerických členov Facebooku. Tieto profily boli odovzdané spoločnosti Cambridge Analytica. Následné vyšetrovania odhalili, že tieto údaje boli získané bez súhlasu týchto používateľov Facebooku a potom zneužité.
Audit vonkajšej komunikácie
To vyvoláva otázku, aké informácie by mali opatrné podniky sprístupniť prostredníctvom svojich webových stránok. Horšie je, že tento dopyt sa pravdepodobne musí rozšíriť na prítomnosť sociálnych médií v organizácii, marketingové kanály tretích strán, ako je napríklad YouTube, a dokonca aj na vysoko profilové profily sociálnych médií zamestnancov.
„Myslím si, že musia byť obozretní o tom, čo je na webových stránkach ich spoločností, “ uviedol Leo Taddeo, hlavný úradník pre bezpečnosť informácií (CISO) pre spoločnosť Cyxtera a bývalý osobitný agent zodpovedný za kybernetickú divíziu pobočky FBI v New Yorku. „Existuje veľký potenciál na neúmyselné zverejnenie informácií.“
Taddeo uviedol, že jedným z dobrých príkladov je zverejňovanie pracovných pozícií, kde môžete odhaliť, aké nástroje používate na vývoj alebo aké bezpečnostné špeciality hľadáte. „Existuje veľa spôsobov, ako sa môžu spoločnosti vystaviť. Existuje veľká plocha. Nielen web a nielen úmyselná komunikácia, “ povedal.
Taddeo varoval, že profesionálne mediálne webové stránky, ako napríklad LinkedIn, sú tiež rizikom pre tých, ktorí nie sú opatrní. Povedal, že protivníci vytvárajú falošné účty na takých webových stránkach, ktoré zakrývajú, kým skutočne sú, a potom využívajú informácie zo svojich kontaktov. „Čokoľvek zverejnia na sociálnych sieťach, môže to ohroziť zamestnávateľa, “ uviedol.
Vzhľadom na skutočnosť, že zlí herci, ktorí sa na vás zameriavajú, môžu byť po vašich údajoch alebo môžu byť po organizácii, s ktorou pracujete, otázkou nie je len to, ako sa chránite, ale ako tiež chránite svojho obchodného partnera? Je to komplikované skutočnosťou, že možno neviete, či by útočníci mohli byť po vašich údajoch, alebo vás len vidieť ako odrazový mostík a možno aj miesto oddychu pre ďalší útok.
Ako sa chrániť
V každom prípade môžete urobiť niekoľko krokov. Najlepším spôsobom, ako to dosiahnuť, je audit informácií. Vymenujte všetky kanály, ktoré vaša spoločnosť používa pre externú komunikáciu, medzi inými určite marketing, ale aj HR, PR a dodávateľský reťazec. Potom vytvorte audítorský tím, ktorý obsahuje zainteresované strany zo všetkých dotknutých kanálov, a začnite systematicky analyzovať, čo sa tam deje, s ohľadom na informácie, ktoré by mohli byť pre zlodejov údajov užitočné. Najprv začnite s webovou stránkou vašej spoločnosti:
- Teraz zvážte svoje cloudové služby rovnakým spôsobom. Je to často predvolená konfigurácia, vďaka ktorej sú vrcholoví riadiaci pracovníci správcov firiem v podnikových cloudových službách tretích strán, napríklad účty spoločnosti Google Analytics alebo Salesforce. Ak nepotrebujú takúto úroveň prístupu, zvážte ich presunutie do stavu používateľa a ponechanie úrovní administratívneho prístupu na zamestnancov IT, ktorých e-mailové prihlásenie by bolo ťažšie nájsť.
Preskúmajte web svojej spoločnosti, či neobsahuje informácie o práci, ktorú vykonávate, alebo o nástrojoch, ktoré používate. Napríklad obrazovka počítača, ktorá sa objaví na fotografii, môže obsahovať dôležité informácie. Skontrolujte fotografie výrobných zariadení alebo sieťovej infraštruktúry, ktoré môžu poskytnúť vodítka užitočné pre útočníkov.
Pozrite sa na zoznam zamestnancov. Máte uvedené e-mailové adresy svojich vedúcich pracovníkov? Tieto adresy poskytujú útočníkovi nielen potenciálnu prihlasovaciu adresu, ale aj spôsob podvádzania e-mailov odosielaných ostatným zamestnancom. Zvážte nahradenie odkazom na formulár alebo použite inú e-mailovú adresu na verejnú spotrebu ako na interné použitie.
Hovorí váš web, kto sú vaši zákazníci alebo partneri? To môže útočníkovi poskytnúť ďalší spôsob, ako zaútočiť na vašu organizáciu, ak má problémy s bezpečnosťou.
Skontrolujte svoje pracovné ponuky. Koľko prezradia o nástrojoch, jazykoch alebo iných aspektoch vašej spoločnosti? Zvážte prácu prostredníctvom personálnej spoločnosti, aby ste sa od týchto informácií oddelili.
Pozrite sa na svoju prítomnosť v sociálnych médiách a nezabudnite, že vaši protivníci sa určite budú snažiť získavať informácie prostredníctvom tohto kanála. Tiež si pozrite, koľko informácií o vašej spoločnosti odhalili vaši zamestnanci v príspevkoch. Nemôžete ovládať všetko o aktivitách vašich zamestnancov na sociálnych sieťach, ale môžete na to dohliadať.
Zvážte architektúru svojej siete. Spoločnosť Taddeo odporúča prístup podľa potreby, pri ktorom je prístup správcu udelený iba vtedy, keď je to potrebné a iba pre systém, ktorý vyžaduje pozornosť. Navrhuje použitie softvéru definovaného obvodu (SDP), ktorý bol pôvodne vyvinutý ministerstvom obrany USA. „Prístupové práva každého používateľa sa v konečnom dôsledku dynamicky menia na základe identity, zariadenia, siete a citlivosti aplikácií, “ uviedol. „Tieto sú poháňané ľahko nakonfigurovanými politikami. Zarovnaním prístupu do siete s prístupom k aplikáciám zostávajú používatelia plne produktívni, zatiaľ čo plocha útoku sa dramaticky zmenší.“
Nakoniec Taddeo povedal, že hľadá zraniteľné miesta spôsobené tieňovým IT. Pokiaľ to nehľadáte, môžete obísť svoju tvrdú bezpečnostnú prácu, pretože niekto nainštaloval bezdrôtový smerovač vo svojej kancelárii, aby mohol ľahšie využívať svoj osobný iPad v práci. Do tejto kategórie patria aj neznáme cloudové služby tretích strán. Vo veľkých organizáciách nie je neobvyklé, že vedúci oddelení jednoducho zaregistrujú svoje oddelenia pre pohodlné cloudové služby, aby obchádzali to, čo považujú za „byrokraciu“ v IT.
Môže to zahŕňať základné IT služby, ako napríklad používanie Dropbox Business ako sieťového úložiska alebo použitie inej marketingovej automatizačnej služby, pretože registrácia na oficiálny nástroj podporovaný spoločnosťou je príliš pomalý a vyžaduje vyplnenie príliš veľkého množstva formulárov. Softvérové služby, ako sú tieto, môžu vystaviť kvapky citlivých údajov bez toho, aby si ich IT uvedomovala. Uistite sa, že viete, aké aplikácie sa používajú vo vašej organizácii, kým a či ste pevne pod kontrolou, kto má prístup.
Audítorská práca, ako je táto, je zdĺhavá a niekedy časovo náročná, ale z dlhodobého hľadiska môže vyplatiť veľké dividendy. Kým za vami neprídu vaši protivníci, neviete, čo máte, čo by stálo za to ukradnúť. Preto musíte pristupovať k bezpečnosti spôsobom, ktorý je flexibilný a zároveň dávajte pozor na to, na čom záleží; a jediný spôsob, ako to dosiahnuť, je byť dôkladne informovaný o tom, čo sa vo vašej sieti beží.
