Incidenti sigurnosti informacija: Zaposlenici kao faktor uspjeha

SADRŽAJ

• Web stranice su kao otvorene knjige
• Jednostavno je najopasnije
• Email adrese: "Kapital" phishinga
• Sigurnosna svijest: Trojanski konj dolazi službeno
• Incidenti sigurnosti informacija: Primjer iz pravog života
• Sigurnost informacija: Zaposlenici kao faktor uspjeha
• Sve i kraj svega: Senzibilizirajte zaposlenike na napade
• ISO 27001: Svijest kao dio kataloga mjera
• Incident sigurnosti informacija uglavnom znači haos
• Stražnja vrata u vaš sistem
• Nedostatak svijesti: savršeno za ciljani napad
• Minimizirajte vjerovatnoću nastanka

Web stranice su kao otvorene knjige

Poznato je da su IT sigurnost i sigurnost informacija dva sasvim različita para cipela, ali linije se i dalje mogu zamagliti. Jasno je da IT sigurnosni incidenti redovno dovode do incidenata sigurnosti informacija. Naravno, ako sam haker koji kompromituje korporativnu mrežu, morao bih da sjedim ispred ekrana sa grčevito zatvorenim očima da ne bih pokupio jednu ili drugu informaciju koja mi nije bila namijenjena.

Međutim, moguće je i da sajber kriminalci u početku prikupljaju informacije koje im, dugoročno gledano, omogućavaju da napadnu IT sisteme njihove odabrane žrtve.

Na platformi za sigurnosne provjere greenhats.com, naš svakodnevni posao je da hakujemo kompanije, identifikujemo ranjivosti i popravimo ih prije nego što ih kriminalci pronađu.

Vijeran motu "Hajde da pričamo o tome", u ovom članku bih vam želio detaljno objasniti metod napada koji pogađa sve. I zajedno sa vama želim da se pozabavim pitanjem: zašto vam zapravo sve ovo govorim?

Incidenti sigurnosti informacija: Jednostavno je najopasnije

Govorimo, naravno, o takozvanom "phishing napadu" - ne brinite, pokušat ću da vas poštedim više stranih riječi i IT riječnika. Meni nisu ni potrebni, jer phishing nije tehnički napad, već napad na najslabiju kariku u lancu (skoro) svakog sigurnosnog koncepta. Napad na ljude.

Pretpostavimo da želim da te napadnem. Onda ne sjednem nasumično za svoju notebook i počnem kucati na crnim konzolama. Ne, prvo mi treba... tačno! Informacije i lični podaci. Ovo uključuje:

• E-mail adrese vaše kompanije
• Imena vašeg IT osoblja
• Email potpisi
• Informacije o vašem korporativnom identitetu
• Tema koja je interesantna za vaše zaposlene

Pod pretpostavkom da ne znam ništa osim naziva vaše kompanije, naravno prvo odem na web stranicu, pročitam i naučim sve što se može naučiti. Prije svega, zanimaju me e-mail adrese i kontakt osobe vašeg IT-a. Zato što u sljedećem napadu želim poslati lažni e-mail što većem broju zaposlenih (koje adrese mi trebaju) a izbjegavajući što je više moguće slanje i IT-u.

Email adrese: "Kapital" phishing napada

Kada pronađem nekoliko e-mail adresa, izvodim obrazac. Na primjer, "ime.prezime@samplecompany.com" Zato pokušavam otkriti logiku kako se  e-mail adresa zaposlenika može zaključiti iz njihovog imena.

Onda opet odlazim na internet - ovaj put na društvene mreže. Ne govorim o "zlim" igračima kao što su Facebook & Co. XING i LinkedIn su mnogo zanimljiviji.

Tamo tražim vašu firmu i gledam koji ljudi navode da rade za ovu firmu. Na ovaj način dobijam listu imena iz kojih možemo da izvedemo adrese koristeći identifikovani obrazac. Istovremeno, već po profilima na društvenim mrežama mogu zaključiti ko bi od vaših kolega potencijalno mogao prepoznati moj nadolazeći napad na osnovu njihovog profesionalnog iskustva i informatičkih interesovanja.

Ove kolege neće primiti nikakvu lažnu poštu od mene.

Sigurnosna svijest: Trojanski konj dolazi službeno 

Sada kada znam svoju metu napada, želim da se lažno predstavljam kao zaposlenik vaše kompanije. Da bih to učinio, prvo stupam u kontakt s vama. Preko službenih kanala, na primjer kao potencijalni kupac. Pišem ti na e-mail i tražim ponudu. Vi odgovarate - idealno s portfeljem proizvoda ili slično.

Vaš odgovor mi pruža vrijedne informacije:

• Kako izgleda vaš email potpis?
• Koje fontove koristite?
• Gdje postavljate svoj logo u dokumentima?
• Kako ističete naslove?
• Koje boje koristite?
• I, i, i...

Za sada, to nije raketna nauka. Ali pazite - evo trika. Pretpostavimo da se vaša kompanija zove "SampleCompany" i da se može naći na Internetu na "samplecompany.com". Onda sada tražim adresu na internetu, koja izgleda vrlo slično vašoj adresi. Na primjer "samplecompany.eu". Kupujem ovu adresu (košta zaista samo nekoliko eura) i sada mogu da izgradim svoj napad na njoj.

Jer sa "ime.prezime@samplecompany.eu" mogu slati e-mailove sa vašim potpisom koji izgledaju kao da su došli direktno od vas. Nije me briga koja imena ili sinonime koristim kao pošiljalac, jer tehnički nema razlike.

Incidenti sigurnosti informacija: Primjer iz pravog života

Vaš poslovni menadžer nije vaš poslovni menadžer

Ovo može biti stvarno opasno ako se, na primjer, pretvaram da sam administrator vašeg IT-a. Pišem e-mail vama i svim vašim kolegama, u kojem vam skrećem pažnju, na primjer, na novi video portal za sastanke na daljinu, gdje svi zaposleni treba da se jednom autentifikuju kako bi provjerili da li su postojeći kontakti prebačeni.

Ili kada vam pišem kao pomoćnik vašeg generalnog direktora i objasnim da je božićna zabava otkazana zbog pandemije, ali umjesto toga uprava izvlači pet potpuno novih iPhonea. Kako biste bili sigurni da će svi završiti u lutriji samo jednom, zamolite svakog zaposlenika da se jednom autentifikuje na priloženom portalu - dobitnici će tada biti objavljeni krajem decembra.

Područje lažne prijave: Dječja igra u doba digitalizacije

Bez obzira koji metod odaberem - moram vam poslati link koji vodi do navedenog "portala". To bi onda moglo biti "raffle.samplecompany.eu" ili "portal.samplecompany.eu".

Također u ovom trenutku mogu dati slobodu svojoj kreativnosti. Pošto sam vlasnik odgovarajuće stranice, samo moram da napravim nešto što će vama i vašim kolegama izgledati od povjerenja. U slučaju konkursa, na primjer, lijepo mesto za prijavu u dizajnu vaše kompanije, sa vašim logom i možda malim Djeda Mrazom. Ili neke zvijezde padalice.

Pasvordi završavaju kod napadača - u običnom tekstu

Naravno, sigurnost je prioritet na mom portalu! Sve je odlično šifrovano i onemogućeno je trećim stranama da pročitaju vaš unos. Na kraju krajeva, unosite korisnička imena i lozinke, što je osjetljiva informacija. Sa tehničke tačke gledišta, sve je ovo apsolutno ozbiljno. Vaši podaci se sigurno prenose i završavaju u najboljim rukama - mojim.

Inače, složenost vaše lozinke je potpuno nebitna u takvom napadu; završava u običnom tekstu kod napadača. I imajte na umu da (čak i ako je minimalno složenija) široka lepeza 2-faktorskih rješenja može biti "phishing" ako prilagodim svoj portal u skladu s tim.

Sigurnost informacija: Zaposlenici kao faktor uspjeha

Obećao sam vam da ću na kraju razjasniti najvažnije pitanje: Zašto vam sve ovo govorim? Odgovor je: Ko drugi?

Važno je shvatiti da napad koji opisujem - sa čisto tehničke tačke gledišta - uopšte nije napad. Pišem vam e-mail sa adrese koja zapravo pripada meni. U njemu nema čak ni priloga, a kamoli zlonamjernog softvera. Preusmjereni ste na stranicu na Internetu koja ne pokušava da kompromituje vaš sistem. I kao što sam ranije opisao, ova stranica je također savršeno osigurana i sav promet je optimalno šifriran.

Tako je sa drugim (renomiranim) sajtovima na koje se prijavite. I baš kao što unosite svoj privatni pasvord na LinkedIn ili XING da biste se autentifikovali, sada ga unosite na mojoj web stranici.

Važno je shvatiti da sa tehničke tačke gledišta, ja ne falsifikujem e-mail. Ja falsifikujem cijelu tvoju kompaniju.

I upravo zato mjere tehničke zaštite ne funkcionišu. Rješenje je u otkrivanju i sprječavanju napada - a to je na vama. Baš kao i odgovarajuće mjere za podizanje svijesti zaposlenih u ovom pravcu.

Jer ako uredno postavim ovaj scenario, otkrivanje napada moguće je samo uočavanjem razlike u adresi, dakle u našem slučaju ".eu" umjesto vašeg ".com". Svjestan sam da je jedan ili drugi od vas sada potpuno siguran da imate neophodan pregled da to radite čak i u svom stresnom svakodnevnom poslu. Stoga bih naprednijima od vas dao malo hrane za razmišljanje:

Da li biste također prepoznali "samplecompany.com" kao lažnjak? Mali nagoveštaj: "l" nije L, već grčko slovo "jota". Za ljudsko oko nema razlike između njih, vaš računar to vjerovatno vidi malo drugačije. Uvjeravam vas da u svim phishing napadima koje smo simulirali za kompanije, nije bilo nijednog klijenta kojem nijedan zaposlenik nije otkrio svoje podatke.

Sve i kraj svega: Senzibilizirajte zaposlenike na napade

Dakle, nije pitanje da li bi vaše kolege nasjele na takav napad. Mnogo je više pitanje koliko će zaposlenika prepoznati napad, koliko brzo će ga prijaviti IT-u i koliko vremena IT ima da odgovori.

Upravo tu zaposlenik postaje faktor uspjeha za veću sigurnost informacija i IT sigurnost u smislu svijesti o sigurnosti.

Ne želim biti jedan od onih bijelih hakera koji svoje strategije drže za sebe i uživaju u katastrofalnim rezultatima takvih napada. Mnogo više želim da doprinesem zajedno sa vama da vaša kompanija bude malo sigurnija.

Sada je vaš red: ovo što sam vam upravo opisao je samo jedan primjer mnogih načina na koje ljudi i njihovo ponekad nemarno rukovanje informacijama mogu biti iskorištavani i korišteni za ostvarivanje profita kao napadač. IT odjeli mogu zaštititi od ovoga samo u ograničenoj mjeri ili nikako; to je njihov posao. Smislite sami napade, razmislite kako biste mogli da hakujete svoje kolege i da to postane tema za (virtuelnim) stolom za ručak.

ISO 27001: Svijest kao dio kataloga mjera

A zatim, redovno testirajte svoju kompaniju i učinite svjesnost dijelom svog sigurnosnog plana. Čitajući nešto između redova, ovo ćete pronaći i u međunarodno priznatom standardu za sistem upravljanja sigurnosti informacija (ISMS).

ISO/IEC 27001, na primjer, zahtijeva od vas da osigurate svijest, a time i senzibilizaciju najslabije karike u lancu o tome kako postupati s informacijama vaše kompanije (Poglavlje 7.3 i Aneks 7.2.2). Ovo počinje nečim jednostavnim kao što je e-mail adresa. Drugi regulatorni ili pravni zahtjevi, kao što je GDPR, također ciljaju na preventivni pristup izbjegavanju incidenata.

Ispunite zahtjeve standarda mjerama svijesti, kao što su smjernice, obuka, komunikacija o tekućim vijestima, ili čak simulirani phishing napadi, kao što radimo za naše klijente. I: Budite iskreni prema sebi i zapitajte se koliko su vaše prethodne mjere obuke bile uspješne u pripremi za hitan slučaj kao što je ovaj koji sam upravo naveo.

Incident sigurnosti informacija uglavnom znači haos

Dok smo već kod teme iskrenosti: kako biste zapravo reagovali na incident u vezi sa sigurnosti informacija izazvan sajber napadom? Doduše, tema reaktivne sigurnosti je uvijek pomalo neugodna, ali o tome treba pričati.

Ljudi o tome vole da misle kao na vježbu za dojavu požara - u nekom trenutku tokom radnog vremena neočekivano zazvoni zvono, svi uredno i mirno napuštaju zgradu, malo sačekaju napolju i ćaskaju sa kolegama o vremenu, a nakon nekog vremena svima je dozvoljeno da se vrate i usput mogu popiti kafu.

Ali nije tako.

Moj tim je već kontaktiralo nekoliko kompanija u kojima je došlo do napada i mogu vam obećati: haos je. Čak i nekoliko dana nakon stvarnog događaja. Između ostalih razloga, to je zato što moderni hakeri iskorištavaju aroganciju svojih žrtava.

Želim vam ovo objasniti, pa se vratimo na naš phishing napad. Recimo da ja, kao napadač, uspijem da se daljinski povežem na IT sistem nekog od vaših kolega koristeći njihovu lozinku. Mislite li da ne bih znao da neko u vašoj kompaniji primijeti da je ovdje došlo do napada i da to prijavi IT? U najboljem slučaju, vi lično, potpuno sam svjestan toga.

Incident sigurnosti informacija: Stražnja vrata u vaš sistem

Zato radim dvije stvari: Prvo, radim nešto očigledno što nervira vašu kompaniju i daje vam nešto da radite. Na primjer, šaljem neželjenu poštu vašim klijentima u ime vašeg kolege. To se ističe i daje vama i vašem IT odjelu nešto da radite. Sada možete izvući sve svoje planove za nepredviđene situacije iz ormara i proći kroz sliku incidenta u vezi s sigurnosti informacija - savršenu sa svojim IT predstavnicima. Uključujući sofisticirane marketinške mjere koje će uglačati kamuflirani imidž do novog visokog sjaja i možda učiniti da izgledate još bolje kao "preživjeli" nego prije. Profesionalci to mogu.

Ali u isto vrijeme, kao napadač, pokušavam postaviti stražnja vrata u sistem koji vaš IT neće primijetiti u cijeloj gužvi. To je kao da uđem u draguljarnicu, prevrnem najveću vitrinu i potajno stavim sve skupo prstenje i satove u džep dok svi nabacuju polomljene komade.

Nepotrebno je reći da je moja stražnja vrata izuzetno teško pronaći ako ne znate šta tražite. I onda ništa ne radim. Sedmicama, mjesecima.

Sada pokušavam da se probijem kroz vašu korporativnu mrežu, u tišini. Bez ikakvih "bučnih" softverskih skenera, koji će iscrpiti vašu mrežu i upozoriti vaše sigurnosne sisteme. Potpuno ručno, skoro stara škola. Inače, tu se na hakerskoj strani odvaja žito od kukolja. Ako je vaša mreža bila izložena sigurnosnim skenerima samo u probnim scenarijima, to vam sada uopšte neće pomoći. Raširim se i čekam - strpljivo. Pokušavam utvrditi kada i kako se prave sigurnosne kopije, ko s kim komunicira i gdje je vaša organizacija najosjetljivija. U našem primjeru, to vjerovatno radim noću - ili barem nakon osnovnog radnog vremena, kada je još manje vjerovatno da ću biti posmatran. I, naravno, pratim svoje tragove svaki dan.

A onda - mjesecima kasnije - dolazi do velikog incidenta u vezi s sigurnosti informacija. Potpuno neočekivano za vašu kompaniju. Na primjer, tada koristim jedan od brojnih trojanaca za šifriranje da vas ucjenjujem. "Slučajno", međutim, zbog mog preliminarnog rada, radim pod najvišim privilegijama, zaobilazim vaše sigurnosne mjere i širim se na sisteme s vašim najrelevantnijim datotekama. I ako sam, za sve vrijeme koje sam imao, primjetio slabost u vašem rezervnom sistemu... Kao što sam rekao, haos.

Nedostatak svijesti: savršeno za ciljani napad

Da, još uvijek smo u našem primjeru, ali ovo nikako nije Hollywood. Ovo je uobičajena praksa i ključni razlog zašto još uvijek tako često čujemo i čitamo o kompanijama koje se bore s takvim trojancima za šifriranje. Prije nekoliko godina, ove su manje-više bile puštene na internet, a žrtve su bile samo najslabije ovce stada: kompanije koje su imale slabu tehničku sigurnost izvana.

Danas su stvari drugačije. Nedostatak svijesti zaposlenih se koristi za ciljanje kompanija i samo kada je žrtva potpuno kontrolisana postavlja se softver za automatizirani napad.

I dalje vjerujem da su proaktivne IT sigurnosne mjere, a posebno jaka svijest o sigurnosti, najvažniji građevinski blokovi u konceptu IT sigurnosti bilo koje kompanije - jednostavno postoji previše primjera i konkretnih slučajeva koji bi to potvrdili. Ipak, dobro razvijena svijest o sigurnosti također uključuje razumijevanje da je moguće biti pogođen. Uključujem i sebe u ovo. A ako se to dogodi, treba da budete spremni.

Minimizirajte vjerovatnoću nastanka

Namjerno sam u svoje komentare uključio primjer požarnog alarma. Ovo priprema kompaniju za događaj da, uprkos svim proaktivnim mjerama, izbije požar. Neke kompanije također imaju nešto poput ovoga za incidente u vezi s sigurnosti informacija i IT sigurnosnim incidentima. I ako bi to bilo malo previše dobro za vas (zaista uvijek zavisi od kompanije u svakom pojedinačnom slučaju), ipak imam savjet za vas:

Ako implementirate testove penetracije ili druge simulacije napada kao dio svojih proaktivnih sigurnosnih mjera, nemojte se zadovoljiti jednostavnim popravljanjem ranjivosti koje pronađete. Uvijek postavljajte pitanje: Da li je ova ranjivost korištena u prošlosti? Jesu li postavljena stražnja vrata?

Ili, drugačije rečeno, tretirajte svaki "nalaz" sa ozbiljnošću stvarnog incidenta u informacijskoj sigurnosti. Na taj način minimizirate vjerovatnoću pojave, a istovremeno stavljate svoje reaktivne sigurnosne planove - za koje iskreno želim da vam nikada ne zatrebaju - na test. Kao protivpožarni alarm.

Sve je to dio svijesti i istovremeno samo dio cjeline. Međutim, sa ovom važnom komponentom, nadam se da mi se možete nasmiješiti kada pitam: "Ako se sutra posvetim tome, mogu li te uhvatiti na pogrešnoj nozi?". Nadam se.

Povjerenje i ekspertiza

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili auditori sa dugogodišnjim iskustvom. Ako imate bilo kakva pitanja o tekstualnom sadržaju ili našim uslugama autoru, slobodno nas kontaktirajte.