Incidenty informační bezpečnosti: Zaměstnanci jako faktor úspěchu

OBSAH

• Webové stránky jsou jako otevřené knihy
• Jednoduchost je nejnebezpečnější
• E-mailové adresy: "Kapitál" phishingu
• Bezpečnostní povědomí: Trojský kůň přichází oficiálně
• Incidenty v oblasti informační bezpečnosti: Příklad ze života
• Informační bezpečnost: Zaměstnanci jako faktor úspěchu
• Všechno a všechno: Vnímavost zaměstnanců vůči útokům
• ISO 27001: Informovanost jako součást katalogu opatření
• Incident v oblasti bezpečnosti informací obvykle znamená chaos
• Zadní vrátka do vašeho systému
• Nedostatečná informovanost: ideální pro cílený útok
• Minimalizujte pravděpodobnost výskytu

Webové stránky jsou jako otevřené knihy

Je známo, že IT bezpečnost a informační bezpečnost jsou dva zcela odlišné páry bot, ale přesto se hranice mohou stírat. Je zřejmé, že incidenty v oblasti IT bezpečnosti pravidelně vedou k incidentům v oblasti informační bezpečnosti. Jistě, pokud jsem hacker, který kompromituje firemní síť, musel bych sedět před obrazovkou s křečovitě zavřenýma očima, abych nezachytil tu či onu informaci, která mi nebyla určena.

Je však také možné, že kybernetičtí zločinci zpočátku shromažďují informace, které jim z dlouhodobého hlediska umožňují napadnout především IT systémy vybrané oběti.

Na platformě pro bezpečnostní kontroly greenhats.com je naší každodenní prací nabourávat se do společností, identifikovat zranitelnosti a opravovat je dříve, než je najdou zločinci.

Věrný heslu "Jen o tom mluvme" bych vám v tomto článku rád podrobně vysvětlil způsob útoku, který se týká každého. A společně s vámi bych se rád věnoval otázce: Proč vám to všechno vlastně říkám?

Incidenty v oblasti informační bezpečnosti: Jednoduché je nejnebezpečnější

Řeč je samozřejmě o takzvaném "phishingovém útoku" - nebojte se, pokusím se vás ušetřit dalších cizích slov a slovíček z oblasti IT. Ani je nepotřebuji, protože phishing není technický útok, ale útok na nejslabší článek řetězu (téměř) každé bezpečnostní koncepce. Útok na lidi.

Předpokládejme, že chci zaútočit na vás. Pak si nesednu jen tak náhodně k notebooku a nezačnu psát na černé konzole. Ne, nejprve potřebuji... přesně! Informace a osobní údaje. To zahrnuje:

• E-mailové adresy vaší společnosti
• Jména vašich IT pracovníků
• E-mailové podpisy
• Informace o vaší firemní identitě
• Téma, které je zajímavé pro vaše zaměstnance

Za předpokladu, že neznám nic kromě názvu vaší společnosti, jdu samozřejmě nejprve na webové stránky, přečtu si je a dozvím se vše, co se dozvědět dá. Především mě zajímají e-mailové adresy a kontaktní osoby vašeho IT. Protože při následujícím útoku chci poslat falešný e-mail co největšímu počtu zaměstnanců (jejichž adresy potřebuji) a zároveň se co nejvíce vyhnout tomu, abych ho poslal i IT oddělení.

E-mailové adresy: "Kapitál" phishingového útoku.

Jakmile najdu několik e-mailových adres, odvodím vzor. Například "firstname.lastname@samplecompany.com" Snažím se tedy odhalit logiku toho, jak lze e-mailovou adresu zaměstnance odvodit z jeho jména.

Pak se znovu vydávám na internet - tentokrát na sociální sítě. Nemluvím o "zlých" hráčích, jako je Facebook a spol. XING a LinkedIn jsou mnohem zajímavější.

Tam vyhledám vaši společnost a podívám se, kteří lidé uvádějí, že pro tuto společnost pracují. Tímto způsobem získám seznam jmen, ze kterých můžeme pomocí zjištěného vzoru odvodit adresy. Zároveň už z profilů na sociálních sítích poznám, kteří z vašich kolegů by mohli potenciálně rozpoznat můj chystaný útok na základě svých profesních zkušeností a zájmů v oblasti IT.

Tito kolegové ode mě žádný falešný mail nedostanou.

Povědomí o bezpečnosti: Trojský kůň přichází oficiálně

Nyní, když znám cíl svého útoku, chci se vydávat za zaměstnance vaší společnosti. Za tímto účelem s vámi nejprve navážu kontakt. Oficiální cestou, například jako potenciální zákazník. Napíšu vám e-mail a požádám vás o cenovou nabídku. Vy odpovíte - ideálně s portfoliem produktů nebo podobně.

Vaše odpověď mi poskytne cenné informace:

• Jak vypadá váš e-mailový podpis?
• Jaká písma používáte?
• Kam v dokumentech umisťujete své logo?
• Jak zvýrazňujete nadpisy?
• Jaké barvy používáte?
• A, a, a, a...

Zatím to není žádná věda. Ale pozor - přichází trik. Předpokládejme, že se vaše společnost jmenuje "SampleCompany" a na internetu ji najdete na adrese "samplecompany.com". Pak nyní hledám na internetu adresu, která vypadá velmi podobně jako vaše adresa. Například "samplecompany.eu". Tuto adresu si koupím (stojí to opravdu jen pár eur) a nyní na ní mohu postavit svůj útok.

Protože z adresy "firstname.lastname@samplecompany.eu" mohu odesílat e-maily s vaším podpisem, které vypadají, jako by přišly přímo od vás. Je mi jedno, jaká jména nebo synonyma použiji jako odesílatele, protože technicky je to jedno.

Incidenty v oblasti informační bezpečnosti: Příklad z reálného života

Váš obchodní manažer není váš obchodní manažer

To může být opravdu nebezpečné, pokud se například vydávám za správce vašeho IT. Napíšu vám a všem vašim kolegům e-mail, ve kterém vás upozorním například na nový videoportál pro vzdálené schůzky, kde by se všichni zaměstnanci měli jednou autentizovat, abyste si ověřili, zda byly přeneseny stávající kontakty.

Nebo když vám jako asistentka ředitele napíšu a vysvětlím, že vánoční večírek byl kvůli pandemii zrušen, ale místo toho vedení vylosuje pět zbrusu nových iPhonů. Abychom zajistili, že každý skončí v loterii jen jednou, požádejte prosím každého zaměstnance, aby se jednou ověřil na přiloženém portálu - výherci pak budou vyhlášeni na konci prosince.

Falešná přihlašovací oblast: Dětská hra v době digitalizace

Bez ohledu na to, jaký způsob zvolím - musím vám poslat odkaz, který vede na zmíněný "portál". Ten by pak mohl být "raffle.samplecompany.eu" nebo "portal.samplecompany.eu".

V tomto okamžiku také mohu dát volný průchod své kreativitě. Protože příslušná stránka patří mně, musím tam jen vytvořit něco, co bude pro vás a vaše kolegy vypadat důvěryhodně. V případě soutěže například pěknou přihlašovací oblast v designu vaší společnosti, s vaším logem a třeba malým Santa Clausem. Nebo nějaké padající hvězdy.

Hesla končí u útočníka - v prostém textu

Bezpečnost je samozřejmě na mém portálu nejvyšší prioritou! Vše je skvěle zašifrováno a třetím stranám je znemožněno číst vaše vstupní údaje. Vždyť zadáváte uživatelská jména a hesla, což jsou citlivé informace. Z technického hlediska je to všechno naprosto seriózní. Vaše data jsou přenášena bezpečně a končí v těch nejlepších rukou - v mých.

Mimochodem, složitost vašeho hesla je při takovém útoku zcela irelevantní; skončí v prostém textu u útočníka. A mějte na paměti, že (i když minimálně složitější) lze "phishingovat" nejrůznější dvoufaktorová řešení, pokud tomu přizpůsobím svůj portál.

Informační zabezpečení: V případě, že se jedná o přístup k internetu, je třeba se zaměřit na tzv: Zaměstnanci jako faktor úspěchu

Slíbil jsem vám, že nejdůležitější otázku objasním na závěr: Proč vám to všechno říkám? Odpověď zní: Komu jinému?

Je důležité pochopit, že útok, který popisuji, není - z čistě technického hlediska - vůbec útokem. Píšu vám e-mail z adresy, která mi skutečně patří. Není v něm ani žádná příloha, natož malware. Jste přesměrováni na stránku na internetu, která se nesnaží kompromitovat váš systém. A jak jsem již popsal, tato stránka je také dokonale zabezpečena a veškerý provoz je optimálně šifrován.

Stejně tak je tomu i u ostatních (renomovaných) stránek, na které se přihlašujete. A stejně jako na LinkedIn nebo XING zadáváte své soukromé heslo, abyste se ověřili, zadáváte ho nyní i na mém webu.

Je důležité si uvědomit, že z technického hlediska e-mail nefalšuji. Padělám celou vaši společnost.

A právě proto technická ochranná opatření nefungují. Řešení spočívá v odhalení a zabránění útoku - a to je na vás. Stejně jako vhodná opatření ke zvýšení povědomí zaměstnanců v tomto směru.

Protože pokud tento scénář přehledně nastavím, odhalení útoku je možné pouze díky tomu, že si všimnete rozdílu v adrese, tedy v našem případě ".eu" místo vašeho ".com". Je mi jasné, že ten či onen z vás si je nyní naprosto jistý, že má potřebný přehled, aby to zvládl i při své každodenní stresující práci. Proto bych chtěl pokročilejším z vás dát trochu podnět k zamyšlení:

Poznali byste také, že "samplecompany.com" je podvrh? Malá nápověda: "l" není písmeno L, ale řecké písmeno "Iota". Pro lidské oko mezi nimi není žádný rozdíl, váš počítač to pravděpodobně vidí trochu jinak. Mohu vás ujistit, že při všech phishingových útocích, které jsme pro firmy simulovali, se nenašel jediný zákazník, u kterého by žádný zaměstnanec neprozradil své údaje.

Základní a nejdůležitější: Vnímejte zaměstnance na útoky

Otázka tedy nezní, zda by vaši kolegové na takový útok naletěli. Mnohem více jde o to, kolik zaměstnanců útok rozpozná, jak rychle ho nahlásí IT oddělení a kolik času má IT oddělení na reakci.

Právě zde se zaměstnanec stává faktorem úspěchu pro větší bezpečnost informací a IT bezpečnost z hlediska bezpečnostního povědomí.

Nechci být jedním z těch bílých hackerů, kteří si své strategie nechávají pro sebe a těší se z katastrofálních výsledků takových útoků. Mnohem raději bych společně s vámi přispěl k tomu, aby vaše společnost byla o něco bezpečnější.

Nyní je řada na vás: To, co jsem vám právě popsal, je jen jedním z mnoha příkladů, jak lze lidi a jejich někdy nedbalé zacházení s informacemi zneužít a využít k tomu, aby na nich útočník vydělal. IT oddělení se proti tomu mohou chránit jen v omezené míře nebo vůbec; to je jejich práce. Vymýšlejte útoky sami, přemýšlejte o tom, jak byste mohli unést své kolegy, a udělejte z toho téma u (virtuálního) oběda.

ISO 27001: Informovanost jako součást katalogu opatření

A pak svou firmu pravidelně podrobujte zkoušce a zajistěte, aby informovanost byla součástí bezpečnostního plánu. Čteme-li poněkud mezi řádky, najdete to i v mezinárodně uznávané normě pro systém řízení bezpečnosti informací (ISMS).

Norma ISO/IEC 27001 například vyžaduje, abyste zajistili informovanost, a tedy i senzibilizaci nejslabšího článku řetězce o tom, jak zacházet s informacemi vaší společnosti (kapitola 7.3 a příloha 7.2.2). Začíná to něčím tak jednoduchým, jako je e-mailová adresa. Na preventivní přístup k předcházení incidentům se zaměřují i další regulační nebo právní požadavky, jako je GDPR.

Splňte požadavky normy pomocí osvětových opatření, jako jsou směrnice, školení, komunikace o probíhajících novinkách nebo dokonce simulované phishingové útoky, jak to děláme pro naše zákazníky. A: Buďte k sobě upřímní a zeptejte se sami sebe, jak úspěšná byla vaše předchozí školicí opatření při přípravě na mimořádné události, jako je ta, kterou jsem právě nastínil.

Incident v oblasti bezpečnosti informací obvykle znamená chaos

Když už jsme u té upřímnosti: Jak byste vlastně reagovali na incident informační bezpečnosti vyvolaný kybernetickým útokem? Připusťme, že téma reaktivní bezpečnosti je vždy trochu nepříjemné, ale je to něco, o čem by se mělo mluvit.

Lidé si to rádi představují jako cvičný požární poplach - v určitém okamžiku během pracovní doby se nečekaně rozezní zvonek, všichni spořádaně a v klidu opustí budovu, chvíli čekají venku a povídají si s kolegy o počasí a po chvíli se všichni mohou vrátit dovnitř a cestou si mohou dát kávu.

Ale takhle to není.

Můj tým už kontaktovalo několik firem, kde došlo k útoku, a mohu vám to slíbit: Je to chaos. A to i několik dní po skutečné události. Mimo jiné proto, že moderní hackeři využívají arogance svých obětí.

Chci vám to vysvětlit, takže se vraťme k našemu phishingovému útoku. Řekněme, že se mi jako útočníkovi podaří vzdáleně připojit k IT systému některého z vašich kolegů pomocí jeho hesla. Myslíte si, že bych nevěděl, že si někdo ve vaší firmě všiml, že zde došlo k útoku, a nenahlásil to oddělení IT? V lepším případě to uděláte vy osobně, jsem si toho plně vědom.

Incidenty informační bezpečnosti: Zadní vrátka do vašeho systému

Proto dělám dvě věci: Zaprvé, udělám něco zjevného, co vaši společnost naštve a dá vám to práci. Například rozesílám spamové e-maily vašim zákazníkům jménem vašeho kolegy. To vynikne a dá vám a vašemu IT oddělení něco na práci. Nyní můžete vytáhnout ze skříně všechny své pohotovostní plány a společně se svými IT zástupci obrazně řečeno vyřešit incident v oblasti bezpečnosti informací. Včetně sofistikovaných marketingových opatření, která vyleští pošramocenou image do nového vysokého lesku a možná budete jako "přeživší" vypadat ještě lépe než dosud. Profesionálové to dokážou.

Ale zároveň se jako útočník snažím nastavit zadní vrátka do systému, kterých si vaše IT oddělení ve všem tom shonu nevšimne. Je to jako vejít do klenotnictví, převrhnout největší vitrínu a tajně si strčit všechny drahé prsteny a hodinky do kapsy, zatímco se všichni vrhají na rozbité kusy.

Netřeba dodávat, že moje zadní dveře se hledají extrémně těžko, pokud nevíte, co hledáte. A já pak nedělám nic. Celé týdny, celé měsíce.

Teď se snažím propracovat vaší firemní sítí, potichu. Bez "hlučných" softwarových skenerů, které by vyčerpaly vaši síť a upozornily bezpečnostní systémy. Zcela ručně, kvazi ze staré školy. Mimochodem, tady se na straně hackerů odděluje zrno od plev. Pokud byla vaše síť vystavena bezpečnostním skenerům pouze v testovacích scénářích, nyní vám to vůbec nepomůže. Rozprostřu se a čekám - trpělivě. Snažím se zjistit, kdy a jak se zálohuje, kdo s kým komunikuje a kde je vaše organizace nejcitlivější. V našem příkladu to pravděpodobně dělám v noci - nebo alespoň po hlavní pracovní době, kdy je ještě menší pravděpodobnost, že budu pozorován. A samozřejmě po sobě každý den zametám stopy.

A pak - o několik měsíců později - dojde k velkému incidentu v oblasti bezpečnosti informací. Pro vaši společnost zcela nečekaně. Například pak použiji jednoho z mnoha šifrovacích trojských koní, aby vás vydíral. "Shodou okolností" se však díky mé předběžné práci spustí pod nejvyššími právy, obejde vaše bezpečnostní opatření a rozšíří se do systémů s vašimi nejdůležitějšími soubory jako první. A jestli jsem si za tu dobu, co jsem to dělal, všiml nějaké slabiny ve vašem zálohovacím systému, tak to nevím. Jak jsem řekl, chaos.

Nedostatečné povědomí: ideální pro cílený útok

Ano, stále jsme v našem příkladu, ale v žádném případě to není Hollywood. Jedná se o běžnou praxi a klíčový důvod, proč stále tak často slyšíme a čteme o firmách, které se potýkají s takovými šifrovacími trojskými koni. Před několika lety byly na internetu víceméně vypuštěny a jejich obětí se staly jen ty nejslabší ovečky ze stáda: společnosti, které měly slabé technické zabezpečení navenek.

Dnes je situace jiná. K napadení firem se využívá nedostatečné informovanosti zaměstnanců a teprve když je oběť plně pod kontrolou, je nasazen automatizovaný útočný software.

Stále jsem přesvědčen, že proaktivní bezpečnostní opatření v oblasti IT a zejména silné bezpečnostní povědomí jsou nejdůležitějšími stavebními kameny koncepce bezpečnosti IT každé společnosti - příkladů a konkrétních případů, které to potvrzují, je prostě příliš mnoho. Nicméně k dobře vyvinutému bezpečnostnímu povědomí patří také pochopení, že je možné být ovlivněn. Do této kategorie počítám i sebe. A pokud se tak stane, měli byste být připraveni.

Minimalizace pravděpodobnosti výskytu

Záměrně jsem do svých poznámek zařadil příklad požárního poplachu. Připravuje totiž podnik na případ, že i přes všechna proaktivní opatření požár vypukne. Některé společnosti mají něco podobného i pro případy incidentů v oblasti bezpečnosti informací a IT. A pokud by to pro vás bylo až příliš (v každém jednotlivém případě opravdu vždy záleží na firmě), mám pro vás ještě jeden tip:

Pokud v rámci proaktivních bezpečnostních opatření zavedete penetrační testy nebo jiné simulace útoků, nespokojte se s pouhou opravou nalezených zranitelností. Vždy si položte otázku: Byla tato zranitelnost zneužita již v minulosti? Byla nainstalována zadní vrátka?

Nebo jinak řečeno, přistupujte ke každému "nálezu" s vážností skutečného incidentu v oblasti bezpečnosti informací. Tímto způsobem minimalizujete pravděpodobnost výskytu a zároveň otestujete své reaktivní bezpečnostní plány - které si upřímně přeji, abyste nikdy nepotřebovali -. Stejně jako požární poplach.

To vše je součástí informovanosti a zároveň jen částí celku. Díky této důležité součásti se však na mě snad můžete usmát, když se zeptám: "Kdybych se zítra zamyslel, mohl bych vás nachytat na švestkách?". Doufejme.

Důvěra a odbornost

Naše texty a brožury píší výhradně naši odborníci na normy nebo auditoři s dlouholetou praxí. Máte-li jakékoli dotazy k obsahu textu nebo k našim službám pro autora, neváhejte se na nás obrátit.