Инциденти, свързани с информационната сигурност: Служителите като фактор за успех

СЪДЪРЖАНИЕ

• Уебсайтовете са като отворени книги
• Най-опасно е простото
• Имейл адреси: "Капиталът" на фишинга
• Информираност за сигурността: Троянският кон се появява официално
• Инциденти, свързани с информационната сигурност: Пример от реалния живот
• Информационна сигурност: Служителите като фактор за успех
• Всичко и всички: да се повишава чувствителността на служителите към атаките
• ISO 27001: Информираността като част от каталога с мерки
• Инцидент, свързан с информационната сигурност, обикновено означава хаос
• Задната врата във вашата система
• Липса на осведоменост: идеално място за целенасочена атака
• Намалете до минимум вероятността от възникване

Уебсайтовете са като отворени книги

Известно е, че ИТ сигурността и информационната сигурност са два съвсем различни чифта обувки, но все пак границите могат да се размият. Ясно е, че инцидентите в областта на ИТ сигурността редовно водят до инциденти в областта на информационната сигурност. Разбира се, ако съм хакер, който компрометира корпоративна мрежа, би трябвало да седя пред екрана с конвулсивно затворени очи, за да избегна извличането на една или друга информация, която не е предназначена за мен.

Възможно е обаче и киберпрестъпниците първоначално да събират информация, която в дългосрочен план им позволява да атакуват ИТ системите на избраната от тях жертва на първо място.

В платформата за проверки на сигурността greenhats.com ежедневната ни работа е да хакваме компании, да идентифицираме уязвимости и да ги отстраняваме, преди престъпниците да са ги открили.

Верен на мотото "Нека просто поговорим за това", в тази статия бих искал да ви обясня подробно един метод на атака, който засяга всички. И заедно с вас бих искал да отговоря на въпроса: Защо всъщност ви разказвам всичко това?

Инциденти, свързани с информационната сигурност: Простият е най-опасен

Става дума, разбира се, за така наречената "фишинг атака" - не се притеснявайте, ще се опитам да ви спестя повече чужди думи и IT лексика. Те дори не са ми необходими, защото фишингът не е техническа атака, а атака срещу най-слабото звено във веригата на (почти) всяка концепция за сигурност. Атака срещу хората.

Да предположим, че искам да ви атакувам. Тогава не просто сядам безразборно на лаптопа си и започвам да пиша на черни конзоли. Не, първо ми трябва... точно! Информация и лични данни. Това включва:

• Имейл адреси на вашата компания
• Имената на ИТ персонала ви
• Имейл подписи
• Информация за вашата корпоративна идентичност
• Тема, която е интересна за вашите служители

Ако приемем, че не знам нищо друго освен името на вашата компания, естествено първо отивам на уебсайта, чета и научавам всичко, което има да се научи. Преди всичко се интересувам от електронните адреси и лицата за контакт на ИТ отдела ви. Защото при следващата атака искам да изпратя фалшив имейл до възможно най-много служители (чиито адреси са ми необходими), като същевременно избягвам, доколкото е възможно, изпращането му и до ИТ отдела.

Имейл адреси: "Капиталът" на една фишинг атака.

След като намеря няколко имейл адреса, извеждам модела. Например, "firstname.lastname@samplecompany.com" Така се опитвам да разгадая логиката на това как имейл адресът на служителя може да бъде изведен от името му.

След това отново се отправям към интернет - този път към социалните мрежи. Не говоря за "злите" играчи като Facebook & Co. XING и LinkedIn са много по-интересни.

Там търся вашата компания и гледам кои хора заявяват, че работят за тази компания. По този начин получавам списък с имена, от които можем да извлечем адреси, използвайки идентифицирания модел. В същото време от профилите в социалните мрежи вече мога да разбера кои ваши колеги потенциално биха могли да разпознаят предстоящата ми атака въз основа на професионалния си опит и ИТ интереси.

Тези колеги няма да получат никаква фалшива поща от мен.

Информираност за сигурността: Троянският кон се появява официално

Сега, след като вече знам целта на атаката си, искам да се представя за служител на вашата компания. За да направя това, първо установявам контакт с вас. По официални канали, например като потенциален клиент. Пиша ви електронно писмо и ви моля за оферта. Вие отговаряте - в идеалния случай с продуктово портфолио или нещо подобно.

Отговорът ви ми предоставя ценна информация:

• Как изглежда подписът на електронната Ви поща?
• Какви шрифтове използвате?
• Къде поставяте логото си в документите?
• Как подчертавате заглавията?
• Какви цветове използвате?
• И още, и още, и още...

Дотук това не е наука за ракетите. Но внимавайте - ето го и трикът. Да предположим, че Вашата компания се нарича "Примерна компания" и може да бъде намерена в интернет на адрес "samplecompany.com". Тогава сега търся адрес в интернет, който изглежда много подобен на вашия адрес. Например "samplecompany.eu". Купувам този адрес (наистина струва само няколко евро) и вече мога да изградя атаката си върху него.

Защото от "firstname.lastname@samplecompany.eu" мога да изпращам имейли с Вашия подпис, които изглеждат така, сякаш идват директно от Вас. Не ме интересува какви имена или синоними използвам като подател, защото от техническа гледна точка това няма никакво значение.

Инциденти, свързани с информационната сигурност: Пример от реалния живот

Вашият бизнес мениджър не е Вашият бизнес мениджър

Това може да бъде наистина опасно, ако се преструвам на администратор на ИТ отдела Ви, например. Пиша електронно писмо до Вас и до всички Ваши колеги, в което обръщам внимание например на нов видеопортал за дистанционни срещи, в който всички служители трябва да се удостоверят веднъж, за да проверят дали съществуващите контакти са прехвърлени.

Или когато Ви пиша в качеството си на асистент на изпълнителния директор и Ви обяснявам, че коледното парти е отменено поради пандемията, но за сметка на това пет чисто нови iPhone-а се разиграват от ръководството. За да сте сигурни, че всеки ще попадне в лотарийната банка само веднъж, моля помолете всеки служител да се удостовери веднъж в приложения портал - след това победителите ще бъдат обявени в края на декември.

Фалшива зона за влизане в системата: Детска игра във времената на дигитализация

Без значение кой метод ще избера - трябва да ви изпратя връзка, която води до споменатия "портал". В такъв случай това може да бъде "raffle.samplecompany.eu" или "portal.samplecompany.eu".

Също така в този момент мога да дам свобода на творчеството си. Тъй като притежавам съответната страница, просто трябва да изградя там нещо, което да изглежда надеждно за вас и Вашите колеги. В случая с конкурса, например, хубава зона за вход в дизайна на Вашата компания, с вашето лого и може би малко Дядо Коледа. Или няколко падащи звезди.

Паролите се озовават при нападателя - в обикновен текст

Разбира се, сигурността е основен приоритет на моя портал! Всичко е отлично криптирано и е направено невъзможно трети лица да прочетат въведените от Вас данни. В крайна сметка въвеждате потребителски имена и пароли, което е чувствителна информация. От техническа гледна точка всичко това е абсолютно сериозно. Данните Ви се прехвърлят сигурно и се озовават в най-добрите ръце - моите.

Между другото, сложността на паролата Ви е напълно без значение при такава атака; тя се озовава в обикновен текст при нападателя. И имайте предвид, че (дори и да са минимално по-сложни) най-различни 2-факторни решения могат да бъдат "измамени", ако адаптирам портала си по съответния начин.

Информационна сигурност: Служителите като фактор за успех

Обещах Ви да изясня най-важния въпрос накрая: Защо Ви казвам всичко това? Отговорът е: Кой друг?

Важно е да разберете, че атаката, която описвам, - от чисто техническа гледна точка - изобщо не е атака. Пиша ви имейл от адрес, който всъщност ми принадлежи. В него няма дори прикачен файл, да не говорим за зловреден софтуер. Пренасочени сте към страница в интернет, която не се опитва да компрометира системата Ви. И както описах по-рано, този сайт също е перфектно защитен и целият трафик е оптимално криптиран.

Така е и с другите (реномирани) сайтове, в които влизате. И точно както въвеждате личната си парола в LinkedIn или XING, за да се удостоверите, така я въвеждате и сега в моя сайт.

Важно е да се разбере, че от техническа гледна точка аз не фалшифицирам електронна поща. Аз подправям цялата Ви компания.

И точно затова техническите мерки за защита не работят. Решението е в откриването и предотвратяването на атаката - и това зависи от Вас. Както и подходящи мерки за повишаване на осведомеността на служителите в тази посока.

Защото, ако подредя този сценарий грижливо, откриването на атаката е възможно само чрез забелязване на разликата в адреса, така че в нашия случай ".eu" вместо вашия ".com". Наясно съм, че сега един или друг от Вас е абсолютно сигурен, че има необходимия обзор, за да направи това дори в напрегнатото си работно ежедневие. Затова бих искал да дам на по-напредналите от вас малко храна за размисъл:

Бихте ли разпознали и "samplecompany.com" като фалшификат? Малка подсказка: буквата "l" не е L, а гръцката буква "Iota". За човешкото око няма разлика между тях, но компютърът ви вероятно ги вижда малко по-различно. Мога да ви уверя, че при всички фишинг атаки, които сме симулирали за компании, не е имало нито един клиент, при който нито един служител да не е разкрил данните си.

Основното и най-важното: Осведомете служителите за атаките

Така че въпросът не е дали колегите Ви биха се хванали на такава атака. Въпросът е много по-скоро колко от служителите ще разпознаят атаката, колко бързо ще съобщят за нея на ИТ отдела и колко време има ИТ отделът, за да реагира.

Точно тук служителят се превръща във фактор за успех повече за информационната сигурност и ИТ сигурността по отношение на информираността за сигурността.

Не искам да бъда един от онези бели хакери, които пазят стратегиите си за себе си и се радват на катастрофалните резултати от подобни атаки. Много повече бих искал да допринеса заедно с Вас, за да направим Вашата компания малко по-сигурна.

Сега е Ваш ред: Това, което току-що Ви описах, е само един пример от многото начини, по които хората и тяхното понякога небрежно боравене с информация могат да бъдат използвани и използвани за реализиране на печалба като атакуващ. ИТ отделите могат да се предпазят от това само в ограничена степен или изобщо не могат; това е тяхна работа. Сами измисляйте атаки, помислете как бихте могли да похитите колегите си и превърнете това в тема на (виртуалната) маса за обяд.

ISO 27001: Информираността като част от каталога с мерки

А след това подложете компанията си на редовен тест и направете осведомеността част от плана за сигурност. Четейки донякъде между редовете, ще откриете това и в международно признатия стандарт за система за управление на информационната сигурност (СУИС).

ISO/IEC 27001 например изисква да осигурите осведоменост и по този начин да повишите чувствителността на най-слабото звено във веригата за това как да се борави с информацията на вашата компания (глава 7.3 и приложение 7.2.2). Това започва с нещо толкова просто като имейл адрес. Други регулаторни или законови изисквания, като например GDPR, също са насочени към превантивния подход за избягване на инциденти.

Отговаряйте на изискванията на стандарта с мерки за повишаване на осведомеността, като насоки, обучение, комуникация за текущи новини или дори симулирани фишинг атаки, както правим за нашите клиенти. И: Бъдете честни със себе си и се запитайте доколко успешни са били предишните ви мерки за обучение, за да ви подготвят за извънредна ситуация като тази, която току-що описах.

Инцидент, свързан със сигурността на информацията, обикновено означава хаос

Докато сме на темата за честността: Как всъщност бихте реагирали на инцидент, свързан с информационната сигурност, предизвикан от кибератака? Признаваме, че темата за реактивната сигурност винаги е малко неудобна, но това е нещо, за което трябва да се говори.

Хората обичат да мислят за това като за тренировка на пожарната аларма - в някакъв момент през работното време неочаквано се звъни, всички напускат сградата организирано и спокойно, изчакват малко навън и разговарят с колегите си за времето, а след известно време на всички се разрешава да се върнат и по пътя могат да си вземат кафе.

Но това не е така.

С екипа ми вече се свързаха няколко компании, в които е имало нападение, и мога да Ви уверя: Това е хаос. Дори няколко дни след действителното събитие. Наред с други причини, това е така, защото съвременните хакери се възползват от арогантността на своите жертви.

Искам да ви обясня това, затова нека се върнем към нашата фишинг атака. Да кажем, че аз, като нападател, успявам да се свържа дистанционно с информационните системи на някой от вашите колеги, като използвам неговата парола. Мислите ли, че няма да знам, че някой във Вашата компания забелязва, че тук е имало атака, и съобщава за нея на ИТ отдела? В най-добрия случай, Вие лично го правите, аз съм напълно наясно с това.

Инциденти, свързани с информационната сигурност: Задната врата във Вашата система

Ето защо правя две неща: Първо, правя нещо очевидно, което дразни компанията Ви и Ви дава повод за действие. Например, изпращам спам имейли на клиентите Ви от името на Ваш колега. Това се откроява и дава на Вас и на ИТ отдела ви нещо за вършене. Сега можете да извадите от гардероба всичките си планове за действие при извънредни ситуации и да работите върху инцидента, свързан с информационната сигурност, по картинка с Вашите ИТ представители. Включително сложни маркетингови мерки, които ще излъскат накърнения имидж до нов висок блясък и може би ще ви накарат да изглеждате дори по-добре като "оцелял" от преди. Професионалистите могат да направят това.

Но в същото време, като нападател, се опитвам да създам задна вратичка към системата, която вашите ИТ специалисти няма да забележат в цялата суматоха. Това е все едно да вляза в бижутериен магазин, да преобърна най-голямата витрина и тайно да прибера всички скъпи пръстени и часовници в джоба си, докато всички се нахвърлят върху счупените парчета.

Излишно е да казвам, че задната ми врата е изключително трудна за намиране, ако не знаеш какво търсиш. И тогава аз не правя нищо. В продължение на седмици, месеци.

Сега се опитвам да си проправя път през вашата корпоративна мрежа, безшумно. Без никакви "шумни" софтуерни скенери, които ще изтощят мрежата Ви и ще предупредят системите Ви за сигурност. Изцяло ръчно, квази старата школа. Между другото, това е мястото, където се отделя житото от плявата от страна на хакерите. Ако мрежата Ви е била изложена на скенери за сигурност само в тестови сценарии, сега това няма да Ви помогне с нищо. Разпределям се и чакам - търпеливо. Опитвам се да установя кога и как се правят резервни копия, кой с кого комуникира и къде Вашата организация е най-чувствителна. В нашия пример вероятно правя това през нощта - или поне след основното работно време, когато е още по-малко вероятно да бъда наблюдаван. И, разбира се, прикривам следите си всеки ден.

И тогава - месеци по-късно - се случва големият инцидент, свързан с информационната сигурност. Напълно неочаквано за Вашата компания. Например, след това използвам един от многобройните троянски коне за криптиране, за да Ви изнудвам. "По стечение на обстоятелствата" обаче, заради предварителната ми работа, той работи с най-високи привилегии, заобикаля мерките Ви за сигурност и се разпространява първо в системите с най-важните Ви файлове. И ако през цялото време, с което разполагах, съм забелязал слабост във Вашата система за архивиране... Както казах, хаос.

Липса на осведоменост: идеална за целенасочена атака

Да, все още сме в нашия пример, но това в никакъв случай не е Холивуд. Това е често срещана практика и основна причина, поради която все още толкова често чуваме и четем за компании, които се борят с подобни троянски коне за криптиране. Преди няколко години те бяха повече или по-малко разгърнати в интернет и жертва на тях станаха само най-слабите овце от стадото: компаниите, които имаха слаба техническа сигурност отвън.

Днес нещата са различни. Липсата на осведоменост на служителите се използва, за да се насочат към компаниите, и едва когато жертвата е напълно контролирана, се внедрява автоматизираният софтуер за атаки.

Все още вярвам, че проактивните мерки за ИТ сигурност и по-специално силната осведоменост за сигурността са най-важните градивни елементи в концепцията за ИТ сигурност на всяка компания - просто има твърде много примери и конкретни случаи, които потвърждават това. Въпреки това добре развитата осведоменост за сигурността включва и разбирането, че е възможно да бъдем засегнати. В това число включвам и себе си. И ако това се случи, трябва да сте подготвени.

Минимизиране на вероятността от възникване

Умишлено включих примера с противопожарната аларма в забележките си. Така компанията се подготвя за случая, в който въпреки всички проактивни мерки все пак избухне пожар. В някои компании има нещо подобно и за инциденти, свързани с информационната сигурност и ИТ сигурността. И ако за вас това би било прекалено много (наистина винаги зависи от компанията във всеки отделен случай), все пак имам един съвет за вас:

Ако приложите тестове за проникване или други симулации на атаки като част от проактивните си мерки за сигурност, не се задоволявайте само с отстраняване на откритите уязвимости. Винаги си задавайте въпроса: Била ли е тази уязвимост използвана в миналото? Инсталирани ли са задни вратички?

Или, казано по друг начин, отнасяйте се към всяка "находка" със сериозността на действителен инцидент, свързан с информационната сигурност. По този начин ще сведете до минимум вероятността от възникване, като същевременно ще подложите на изпитание реактивните си планове за сигурност - от които искрено ви пожелавам никога да не се нуждаете. Като противопожарната аларма.

Всичко това е част от информираността и в същото време само част от цялото. С този важен компонент обаче, надявам се, можете да ми се усмихнете, когато ви попитам: "Ако утре се постарая, бих ли могъл да ви хвана накриво?". С надежда.

Доверие и експертиза

Нашите текстове и брошури са написани изключително от нашите експерти по стандарти или одитори с дългогодишен опит. Ако имате въпроси относно съдържанието на текста или нашите услуги за автора, моля, не се колебайте да се свържете с нас.