Πώς οι εγκληματίες του κυβερνοχώρου συλλέγουν πληροφορίες για να βρεθούν σε θέση να επιτεθούν σε συστήματα ΤΠ; Πώς καταφέρνει ένας χάκερ να στείλει ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου σε όσο το δυνατόν περισσότερους υπαλλήλους μιας εταιρείας; Συχνά πετυχαίνουν στοχεύοντας τον πιο αδύναμο κρίκο στην αλυσίδα μιας έννοιας ασφάλειας: τους ανθρώπους. Αυτός είναι ο λόγος για τον οποίο είναι απίστευτα σημαντικό για τους εργαζόμενους να γνωρίζουν τη θέση τους στα αποτελεσματικά μέτρα κατά των περιστατικών ασφάλειας πληροφοριών. Και πρέπει να βλέπουν τους κινδύνους και τις ευκαιρίες της ασφάλειας των πληροφοριών από μια διαφορετική, πιο συνειδητή οπτική γωνία. Η λέξη-κλειδί: ευαισθητοποίηση σε θέματα ασφάλειας. Ένα φιλοξενούμενο άρθρο του Arwid Zang, διευθύνοντος συμβούλου της greenhats.com

Loading...

Οι δικτυακοί τόποι είναι σαν ανοιχτά βιβλία

Η ασφάλεια πληροφορικής και η ασφάλεια πληροφοριών είναι γνωστό ότι είναι δύο εντελώς διαφορετικά ζευγάρια παπουτσιών, αλλά τα όρια μπορούν ακόμα να θολώσουν. Είναι σαφές ότι τα περιστατικά ασφάλειας ΤΠ οδηγούν τακτικά σε περιστατικά ασφάλειας πληροφοριών. Σίγουρα, αν είμαι χάκερ που παραβιάζει ένα εταιρικό δίκτυο, θα πρέπει να κάθομαι μπροστά στην οθόνη με τα μάτια μου κλειστά σπασμωδικά για να αποφύγω να πάρω τη μία ή την άλλη πληροφορία που δεν προοριζόταν για μένα.

Ωστόσο, είναι επίσης πιθανό οι εγκληματίες του κυβερνοχώρου να συλλέγουν αρχικά πληροφορίες που, μακροπρόθεσμα, τους επιτρέπουν να επιτεθούν εξαρχής στα συστήματα πληροφορικής του θύματος που έχουν επιλέξει.

Στην πλατφόρμα ελέγχων ασφαλείας greenhats.com, η καθημερινή μας δουλειά είναι να χακάρουμε εταιρείες, να εντοπίζουμε τρωτά σημεία και να τα διορθώνουμε πριν τα βρουν οι εγκληματίες.

Πιστός στο σύνθημα "Ας μιλήσουμε γι' αυτό", σε αυτό το άρθρο θα ήθελα να σας εξηγήσω λεπτομερώς μια μέθοδο επίθεσης που αφορά όλους. Και μαζί με εσάς, θα ήθελα να απαντήσω στο ερώτημα: Γιατί σας τα λέω όλα αυτά;

Περιστατικά ασφάλειας πληροφοριών: Η απλότητα είναι η πιο επικίνδυνη

Μιλάμε, φυσικά, για τη λεγόμενη "επίθεση phishing" - μην ανησυχείτε, θα προσπαθήσω να σας απαλλάξω από περισσότερες ξένες λέξεις και λεξιλόγιο πληροφορικής. Δεν τα χρειάζομαι καν, διότι το phishing δεν είναι τεχνική επίθεση, αλλά επίθεση στον πιο αδύναμο κρίκο στην αλυσίδα (σχεδόν) κάθε έννοιας ασφάλειας. Μια επίθεση στους ανθρώπους.

Ας υποθέσουμε ότι θέλω να σας επιτεθώ. Τότε δεν κάθομαι τυχαία στο σημειωματάριό μου και δεν αρχίζω να πληκτρολογώ σε μαύρες κονσόλες. Όχι, πρώτα χρειάζομαι... ακριβώς! Πληροφορίες και προσωπικά δεδομένα. Αυτά περιλαμβάνουν:

  • διευθύνσεις ηλεκτρονικού ταχυδρομείου της εταιρείας σας
  • Ονόματα του προσωπικού πληροφορικής σας
  • Υπογραφές ηλεκτρονικού ταχυδρομείου
  • Πληροφορίες σχετικά με την εταιρική σας ταυτότητα
  • Ένα θέμα που είναι ενδιαφέρον για τους υπαλλήλους σας
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email
Loading...

Κατ' αρχήν, το phishing δεν είναι μια τεχνική επίθεση, αλλά μια επίθεση στον πιο αδύναμο κρίκο στην αλυσίδα (σχεδόν) κάθε έννοιας ασφάλειας.

Μια επίθεση στους ανθρώπους.

Υποθέτοντας ότι δεν γνωρίζω τίποτα άλλο εκτός από το όνομα της εταιρείας σας, φυσικά πηγαίνω πρώτα στον ιστότοπο, διαβάζω και μαθαίνω ό,τι υπάρχει να μάθω. Πάνω απ' όλα, ενδιαφέρομαι για τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τα πρόσωπα επικοινωνίας της πληροφορικής σας. Διότι στην παρακάτω επίθεση, θέλω να στείλω ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου σε όσο το δυνατόν περισσότερους υπαλλήλους (των οποίων τις διευθύνσεις χρειάζομαι), αποφεύγοντας όσο το δυνατόν περισσότερο να το στείλω και στην IT.

Διευθύνσεις ηλεκτρονικού ταχυδρομείου: Το "κεφάλαιο" μιας επίθεσης phishing.

Μόλις βρω μερικές διευθύνσεις ηλεκτρονικού ταχυδρομείου, εξάγεται το μοτίβο. Για παράδειγμα, "firstname.lastname@samplecompany.com" Προσπαθώ λοιπόν να αποκαλύψω τη λογική του πώς η διεύθυνση ηλεκτρονικού ταχυδρομείου του υπαλλήλου μπορεί να συναχθεί από το όνομά του.

Στη συνέχεια βγαίνω ξανά στο Διαδίκτυο - αυτή τη φορά στα κοινωνικά δίκτυα. Δεν μιλάω για τους "κακούς" παίκτες όπως το Facebook & Co. Το XING και το LinkedIn είναι πολύ πιο ενδιαφέροντα.

Loading...

Εκεί αναζητώ την εταιρεία σας και κοιτάζω ποιοι άνθρωποι δηλώνουν ότι εργάζονται για την εταιρεία αυτή. Με αυτόν τον τρόπο λαμβάνω έναν κατάλογο ονομάτων από τον οποίο μπορούμε να αντλήσουμε διευθύνσεις χρησιμοποιώντας το αναγνωρισμένο μοτίβο. Ταυτόχρονα, μπορώ ήδη να καταλάβω από τα προφίλ στα κοινωνικά δίκτυα ποιοι από τους συναδέλφους σας θα μπορούσαν ενδεχομένως να αναγνωρίσουν την επερχόμενη επίθεσή μου με βάση την επαγγελματική τους εμπειρία και τα ενδιαφέροντά τους στον τομέα της πληροφορικής.

Αυτοί οι συνάδελφοι δεν θα λάβουν κανένα ψεύτικο μήνυμα από εμένα.

Ευαισθητοποίηση σε θέματα ασφάλειας: Ο δούρειος ίππος έρχεται επίσημα

Τώρα που γνωρίζω τον στόχο της επίθεσής μου, θέλω να παρουσιαστώ ως υπάλληλος της εταιρείας σας. Για να το κάνω αυτό, θα έρθω πρώτα σε επαφή μαζί σας. Μέσω επίσημων διαύλων, για παράδειγμα ως δυνητικός πελάτης. Σας γράφω ένα μήνυμα ηλεκτρονικού ταχυδρομείου και σας ζητώ μια προσφορά. Μου απαντάτε - ιδανικά με ένα χαρτοφυλάκιο προϊόντων ή κάτι παρόμοιο.

Η απάντησή σας μου παρέχει πολύτιμες πληροφορίες:

  • Πώς είναι η υπογραφή σας στο ηλεκτρονικό σας ταχυδρομείο;
  • Τι γραμματοσειρές χρησιμοποιείτε;
  • Πού τοποθετείτε το λογότυπό σας στα έγγραφα;
  • Πώς τονίζετε τις επικεφαλίδες;
  • Τι χρώματα χρησιμοποιείτε;
  • Και, και, και, και...

Μέχρι στιγμής, δεν είναι επιστήμη πυραύλων. Αλλά προσέξτε - εδώ έρχεται το κόλπο. Ας υποθέσουμε ότι η εταιρεία σας ονομάζεται "SampleCompany" και μπορεί να βρεθεί στο Διαδίκτυο στη διεύθυνση "samplecompany.com". Στη συνέχεια, αναζητώ τώρα μια διεύθυνση στο Διαδίκτυο, η οποία μοιάζει πολύ με τη διεύθυνσή σας. Για παράδειγμα, "samplecompany.eu". Αγοράζω αυτή τη διεύθυνση (κοστίζει πραγματικά μόνο μερικά ευρώ) και μπορώ τώρα να χτίσω την επίθεσή μου σε αυτήν.

Επειδή από το "firstname.lastname@samplecompany.eu" μπορώ να στέλνω μηνύματα ηλεκτρονικού ταχυδρομείου με την υπογραφή σας που μοιάζουν σαν να προέρχονται απευθείας από εσάς. Δεν με ενδιαφέρει τι ονόματα ή συνώνυμα χρησιμοποιώ ως αποστολέα, γιατί τεχνικά δεν έχει καμία διαφορά.

Περιστατικά ασφάλειας πληροφοριών: Παράδειγμα από την πραγματική ζωή

Ο διευθυντής της επιχείρησής σας δεν είναι ο διευθυντής της επιχείρησής σας

Αυτό μπορεί να είναι πραγματικά επικίνδυνο αν προσποιηθώ ότι είμαι ο διαχειριστής της πληροφορικής σας, για παράδειγμα. Γράφω ένα μήνυμα ηλεκτρονικού ταχυδρομείου σε εσάς και σε όλους τους συναδέλφους σας, στο οποίο εφιστώ την προσοχή σας, για παράδειγμα, σε μια νέα πύλη βίντεο για απομακρυσμένες συναντήσεις, όπου όλοι οι υπάλληλοι θα πρέπει, παρακαλώ, να πιστοποιηθούν μία φορά για να ελέγξουν αν οι υπάρχουσες επαφές έχουν μεταφερθεί.

Ή όταν σας γράφω ως βοηθός του διευθύνοντος συμβούλου σας και σας εξηγώ ότι το χριστουγεννιάτικο πάρτι ακυρώθηκε λόγω της πανδημίας, αλλά αντ' αυτού κληρώνονται από τη διοίκηση πέντε ολοκαίνουργια iPhone. Για να διασφαλίσετε ότι ο καθένας θα καταλήξει μόνο μία φορά στο τσουκάλι της λοταρίας, παρακαλείστε να ζητήσετε από κάθε υπάλληλο να πιστοποιηθεί μία φορά στη συνημμένη πύλη - οι νικητές θα ανακοινωθούν στη συνέχεια στα τέλη Δεκεμβρίου.

Ψεύτικη περιοχή σύνδεσης: Παιδικό παιχνίδι στην εποχή της ψηφιοποίησης

Ανεξάρτητα από τη μέθοδο που θα επιλέξω - πρέπει να σας στείλω έναν σύνδεσμο που οδηγεί στην εν λόγω "πύλη". Αυτό θα μπορούσε να είναι τότε "raffle.samplecompany.eu" ή "portal.samplecompany.eu".

Επίσης, σε αυτό το σημείο μπορώ να αφήσω ελεύθερη τη δημιουργικότητά μου. Εφόσον μου ανήκει η αντίστοιχη σελίδα, πρέπει απλώς να φτιάξω εκεί κάτι που να φαίνεται αξιόπιστο σε εσάς και τους συναδέλφους σας. Στην περίπτωση του διαγωνισμού, για παράδειγμα, μια ωραία περιοχή σύνδεσης στο σχέδιο της εταιρείας σας, με το λογότυπό σας και ίσως έναν μικρό Άγιο Βασίλη. Ή μερικά πεφταστέρια.

Οι κωδικοί πρόσβασης καταλήγουν στον επιτιθέμενο - σε απλό κείμενο

Φυσικά, η ασφάλεια αποτελεί ύψιστη προτεραιότητα στη διαδικτυακή μου πύλη! Τα πάντα είναι άριστα κρυπτογραφημένα και καθίσταται αδύνατο για τρίτους να διαβάσουν την εισαγωγή σας. Εξάλλου, εισάγετε ονόματα χρηστών και κωδικούς πρόσβασης, που είναι ευαίσθητες πληροφορίες. Από τεχνική άποψη, όλα αυτά είναι απολύτως σοβαρά. Τα δεδομένα σας μεταφέρονται με ασφάλεια και καταλήγουν στα καλύτερα χέρια - τα δικά μου.

Παρεμπιπτόντως, η πολυπλοκότητα του κωδικού πρόσβασής σας είναι εντελώς άσχετη με μια τέτοια επίθεση- καταλήγει σε απλό κείμενο στον επιτιθέμενο. Και να θυμάστε ότι (ακόμη και αν είναι ελάχιστα πιο πολύπλοκες) μια μεγάλη ποικιλία λύσεων 2 παραγόντων μπορεί να "ψαχτεί", αν προσαρμόσω ανάλογα την πύλη μου.

Ασφάλεια πληροφοριών: Οι εργαζόμενοι ως παράγοντας επιτυχίας

Σας υποσχέθηκα να ξεκαθαρίσω το πιο σημαντικό ερώτημα στο τέλος: Γιατί σας τα λέω όλα αυτά; Η απάντηση είναι η εξής: Ποιος άλλος;

Είναι σημαντικό να καταλάβετε ότι η επίθεση που περιγράφω δεν είναι -από καθαρά τεχνική άποψη- καθόλου επίθεση. Σας γράφω ένα μήνυμα ηλεκτρονικού ταχυδρομείου από μια διεύθυνση που στην πραγματικότητα μου ανήκει. Δεν υπάρχει καν κάποιο συνημμένο σε αυτό, πόσο μάλλον κακόβουλο λογισμικό. Σας ανακατευθύνει σε μια σελίδα στο Διαδίκτυο, η οποία δεν προσπαθεί να θέσει σε κίνδυνο το σύστημά σας. Και όπως περιέγραψα προηγουμένως, αυτή η ιστοσελίδα είναι επίσης απόλυτα ασφαλής και όλη η κυκλοφορία είναι βέλτιστα κρυπτογραφημένη.

Το ίδιο συμβαίνει και με άλλους (αξιόπιστους) ιστότοπους στους οποίους συνδέεστε. Και όπως ακριβώς εισάγετε τον προσωπικό σας κωδικό πρόσβασης στο LinkedIn ή στο XING για να πιστοποιήσετε τον εαυτό σας, έτσι τον εισάγετε τώρα και στον ιστότοπό μου.

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search
Loading...

Από τεχνικής άποψης, οι phishers δεν πλαστογραφούν τα μηνύματα ηλεκτρονικού ταχυδρομείου. Πλαστογραφούν ολόκληρη την εταιρεία σας. Και αυτός ακριβώς είναι ο λόγος για τον οποίο τα τεχνικά μέτρα προστασίας δεν λειτουργούν. Η λύση είναι να αναγνωρίσετε και να αποτρέψετε την επίθεση - και αυτό εξαρτάται από εσάς.

Είναι σημαντικό να καταλάβετε ότι από τεχνική άποψη, δεν πλαστογραφώ ένα μήνυμα ηλεκτρονικού ταχυδρομείου. Πλαστογραφώ ολόκληρη την εταιρεία σας.

Και αυτός ακριβώς είναι ο λόγος για τον οποίο τα τεχνικά μέτρα προστασίας δεν λειτουργούν. Η λύση έγκειται στον εντοπισμό και την αποτροπή της επίθεσης - και αυτό εξαρτάται από εσάς. Όπως και τα κατάλληλα μέτρα για την ευαισθητοποίηση των εργαζομένων προς αυτή την κατεύθυνση.

Διότι αν στήσω αυτό το σενάριο νοικοκυρεμένα, ο εντοπισμός της επίθεσης είναι δυνατός μόνο αν παρατηρήσετε τη διαφορά στη διεύθυνση, δηλαδή στην περίπτωσή μας το ".eu" αντί για το δικό σας ".com". Γνωρίζω ότι ο ένας ή ο άλλος από εσάς είναι πλέον απολύτως βέβαιος ότι έχει την απαραίτητη επισκόπηση για να το κάνει αυτό ακόμη και στην αγχωτική καθημερινή του εργασία. Ως εκ τούτου, θα ήθελα να δώσω στους πιο προχωρημένους από εσάς λίγη τροφή για σκέψη:

Θα αναγνωρίζατε επίσης το "samplecompany.com" ως ψεύτικο; Μια μικρή συμβουλή: Το "l" δεν είναι ένα L αλλά το ελληνικό γράμμα "Iota". Για το ανθρώπινο μάτι δεν υπάρχει καμία διαφορά μεταξύ τους, ο υπολογιστής σας πιθανώς το βλέπει λίγο διαφορετικά. Μπορώ να σας διαβεβαιώσω ότι σε όλες τις επιθέσεις phishing που έχουμε προσομοιώσει για εταιρείες, δεν υπήρξε ούτε ένας πελάτης όπου κανένας υπάλληλος δεν αποκάλυψε τα δεδομένα του.

Το Α και το Ω: Ευαισθητοποίηση των εργαζομένων στις επιθέσεις

Το ερώτημα λοιπόν δεν είναι αν οι συνάδελφοί σας θα έπεφταν θύμα μιας τέτοιας επίθεσης. Το ερώτημα είναι πολύ περισσότερο πόσοι υπάλληλοι θα αναγνωρίσουν την επίθεση, πόσο γρήγορα θα την αναφέρουν στο ΙΤ και πόσο χρόνο έχει το ΙΤ για να ανταποκριθεί.

Αυτό ακριβώς είναι το σημείο όπου ο εργαζόμενος γίνεται παράγοντας επιτυχίας για περισσότερη ασφάλεια πληροφοριών και ασφάλεια ΤΠ όσον αφορά την ευαισθητοποίηση σε θέματα ασφάλειας.

Δεν θέλω να είμαι ένας από αυτούς τους white-hackers που κρατούν τις στρατηγικές τους για τον εαυτό τους και απολαμβάνουν τα καταστροφικά αποτελέσματα τέτοιων επιθέσεων. Πολύ περισσότερο θα ήθελα να συνεισφέρω μαζί σας για να γίνει η εταιρεία σας λίγο πιο ασφαλής.

Τώρα είναι η σειρά σας: Αυτό που μόλις σας περιέγραψα είναι μόνο ένα παράδειγμα από τους πολλούς τρόπους με τους οποίους οι άνθρωποι και ο ενίοτε αμελής χειρισμός των πληροφοριών τους μπορούν να αξιοποιηθούν και να χρησιμοποιηθούν για να αποκομίσουν κέρδος ως επιτιθέμενοι. Τα τμήματα πληροφορικής μπορούν να προστατεύσουν από αυτό μόνο σε περιορισμένο βαθμό ή και καθόλου- αυτή είναι η δουλειά τους. Σκεφτείτε μόνοι σας επιθέσεις, σκεφτείτε πώς θα μπορούσατε να καταλάβετε τους συναδέλφους σας και κάντε το θέμα θέμα στο (εικονικό) τραπέζι του γεύματος.

ISO 27001: Ευαισθητοποίηση ως μέρος του καταλόγου μέτρων

Και στη συνέχεια, δοκιμάστε την εταιρεία σας σε τακτική βάση και κάντε την ευαισθητοποίηση μέρος του σχεδίου ασφαλείας σας. Διαβάζοντας κάπως ανάμεσα στις γραμμές, θα το βρείτε επίσης στο διεθνώς αναγνωρισμένο πρότυπο για ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS).

Το πρότυποISO/IEC 27001, για παράδειγμα, απαιτεί από εσάς να εξασφαλίσετε την ευαισθητοποίηση και συνεπώς την ευαισθητοποίηση του πιο αδύναμου κρίκου της αλυσίδας σχετικά με τον τρόπο χειρισμού των πληροφοριών της εταιρείας σας (Κεφάλαιο 7.3 και Παράρτημα 7.2.2). Αυτό ξεκινά με κάτι τόσο απλό όσο μια διεύθυνση ηλεκτρονικού ταχυδρομείου. Άλλες κανονιστικές ή νομικές απαιτήσεις, όπως ο ΓΚΠΔ, στοχεύουν επίσης στην προληπτική προσέγγιση της αποφυγής περιστατικών.

"Ένα ISMS σύμφωνα με το ISO 27001 ορίζει απαιτήσεις, κανόνες και μεθόδους για τη διασφάλιση της ασφάλειας των πληροφοριών που αξίζει να προστατεύονται στις επιχειρήσεις. Το πρότυπο παρέχει ένα μοντέλο για την εισαγωγή, την εφαρμογή, την παρακολούθηση και τη βελτίωση του επιπέδου προστασίας. Στόχος είναι ο εντοπισμός πιθανών κινδύνων για την εταιρεία, η ανάλυσή τους και η δυνατότητα ελέγχου τους μέσω κατάλληλων μέτρων. Το ISO 27001 διατυπώνει τις απαιτήσεις για ένα τέτοιο σύστημα διαχείρισης, οι οποίες ελέγχονται στο πλαίσιο μιας εξωτερικής διαδικασίας πιστοποίησης. Το πρότυπο είναι διαθέσιμο στον δικτυακό τόπο του ISO."

Ανταποκριθείτε στις απαιτήσεις του προτύπου με μέτρα ευαισθητοποίησης, όπως οδηγίες, εκπαίδευση, επικοινωνία σχετικά με τρέχουσες ειδήσεις ή ακόμη και προσομοιωμένες επιθέσεις phishing, όπως κάνουμε για τους πελάτες μας. Και: Να είστε ειλικρινείς με τον εαυτό σας και να αναρωτηθείτε πόσο επιτυχημένα ήταν τα προηγούμενα εκπαιδευτικά σας μέτρα όσον αφορά την προετοιμασία σας για μια κατάσταση έκτακτης ανάγκης όπως αυτή που μόλις περιέγραψα.

Man and a woman with a laptop in a server room
Loading...

ISO 27001 - Questions and answers

Οι πολύτιμες πληροφορίες είναι ο χρυσός του σήμερα - και ως εκ τούτου επίσης ένα περιουσιακό στοιχείο που πρέπει να προστατευθεί στην εταιρεία σας. Το ISO 27001 επιφυλάσσει πολλές λύσεις.

Ένα περιστατικό ασφάλειας πληροφοριών σημαίνει συνήθως χάος

Μιας και μιλάμε για ειλικρίνεια: Πώς θα αντιδρούσατε στην πραγματικότητα σε ένα περιστατικό ασφάλειας πληροφοριών που προκλήθηκε από μια επίθεση στον κυβερνοχώρο; Ομολογουμένως, το θέμα της αντιδραστικής ασφάλειας είναι πάντα λίγο άβολο, αλλά είναι κάτι που πρέπει να συζητηθεί.

Στους ανθρώπους αρέσει να το σκέφτονται σαν μια άσκηση συναγερμού πυρκαγιάς - κάποια στιγμή κατά τη διάρκεια του ωραρίου εργασίας, χτυπάει απροσδόκητα ένα κουδούνι, όλοι εγκαταλείπουν το κτίριο με τάξη και ηρεμία, περιμένουν για λίγο έξω και συζητούν με τους συναδέλφους για τον καιρό, και μετά από λίγο επιτρέπεται σε όλους να επιστρέψουν μέσα και στο δρόμο μπορούν να πιουν έναν καφέ.

Αλλά δεν είναι έτσι.

Η ομάδα μου έχει ήδη έρθει σε επαφή με μερικές εταιρείες όπου υπήρξε επίθεση και μπορώ να σας υποσχεθώ: Είναι χάος. Ακόμη και αρκετές ημέρες μετά το πραγματικό συμβάν. Μεταξύ άλλων, αυτό συμβαίνει επειδή οι σύγχρονοι χάκερ εκμεταλλεύονται την αλαζονεία των θυμάτων τους.

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention
Loading...

Κάντε την ευαισθητοποίηση μέρος της έννοιας της ασφάλειάς σας και βάλτε την εταιρεία σας να δοκιμάζεται τακτικά. Διαβάζοντας κάπως ανάμεσα στις γραμμές, αυτό θα το βρείτε και στο διεθνώς αναγνωρισμένο πρότυπο για ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών, το ISO 27001.

Θέλω να σας το εξηγήσω αυτό, γι' αυτό ας επιστρέψουμε στην επίθεση phishing. Ας υποθέσουμε ότι εγώ, ως επιτιθέμενος, καταφέρνω να συνδεθώ εξ αποστάσεως στα συστήματα πληροφορικής ενός συναδέλφου σας χρησιμοποιώντας τον κωδικό πρόσβασής του. Νομίζετε ότι δεν θα ξέρω ότι κάποιος στην εταιρεία σας αντιλαμβάνεται ότι εδώ έγινε μια επίθεση και το αναφέρει στο τμήμα πληροφορικής; Στην καλύτερη περίπτωση, το κάνετε εσείς προσωπικά, το γνωρίζω πλήρως αυτό.

Περιστατικά ασφάλειας πληροφοριών: Η κερκόπορτα στο σύστημά σας

Γι' αυτό το λόγο κάνω δύο πράγματα: Πρώτον, κάνω κάτι προφανές που ενοχλεί την εταιρεία σας και σας δίνει κάτι να κάνετε. Για παράδειγμα, στέλνω μηνύματα spam στους πελάτες σας στο όνομα του συναδέλφου σας. Αυτό ξεχωρίζει και δίνει σε εσάς και στο τμήμα πληροφορικής σας κάτι να κάνετε. Τώρα μπορείτε να βγάλετε όλα τα σχέδια έκτακτης ανάγκης από το ντουλάπι και να επεξεργαστείτε το περιστατικό ασφάλειας πληροφοριών με την εικόνα που θα έχετε με τους εκπροσώπους πληροφορικής σας. Συμπεριλαμβανομένων εξελιγμένων μέτρων μάρκετινγκ που θα γυαλίσουν την αμαυρωμένη εικόνα σε μια νέα υψηλή στιλπνότητα και ίσως σας κάνουν να φαίνεστε ακόμα καλύτεροι ως "επιζώντες" από ό,τι πριν. Οι επαγγελματίες μπορούν να το κάνουν αυτό.

Αλλά την ίδια στιγμή, ως επιτιθέμενος, προσπαθώ να στήσω μια κερκόπορτα σε ένα σύστημα που το ΙΤ σας δεν θα προσέξει μέσα σε όλη αυτή τη φασαρία. Είναι σαν να μπαίνω σε ένα κοσμηματοπωλείο, να ρίχνω τη μεγαλύτερη βιτρίνα και να βάζω κρυφά όλα τα ακριβά δαχτυλίδια και ρολόγια στην τσέπη μου, ενώ όλοι πέφτουν πάνω στα σπασμένα κομμάτια.

Περιττό να πω ότι η πίσω πόρτα μου είναι εξαιρετικά δύσκολο να βρεθεί αν δεν ξέρεις τι ψάχνεις. Και τότε δεν κάνω τίποτα. Για εβδομάδες, για μήνες.

"Εργάζομαι μέσα στο δίκτυό σου, αθόρυβα. Απλώνομαι - και περιμένω ..."

Τώρα προσπαθώ να δουλέψω μέσα στο εταιρικό σας δίκτυο, αθόρυβα. Χωρίς "θορυβώδεις" σαρωτές λογισμικού, οι οποίοι θα εξαντλήσουν το δίκτυό σας και θα ειδοποιήσουν τα συστήματα ασφαλείας σας. Εντελώς χειροκίνητα, οιονεί old school. Παρεμπιπτόντως, εδώ είναι που διαχωρίζεται η ήρα από το σιτάρι από την πλευρά των χάκερ. Αν το δίκτυό σας ήταν εκτεθειμένο σε σαρωτές ασφαλείας μόνο σε δοκιμαστικά σενάρια, αυτό δεν θα σας βοηθήσει καθόλου τώρα. Απλώνομαι και περιμένω - υπομονετικά. Προσπαθώ να εντοπίσω πότε και πώς γίνονται τα αντίγραφα ασφαλείας, ποιος επικοινωνεί με ποιον και πού είναι πιο ευαίσθητος ο οργανισμός σας. Στο παράδειγμά μας, το κάνω αυτό πιθανότατα τη νύχτα - ή τουλάχιστον μετά τις βασικές ώρες εργασίας, όταν είναι ακόμη λιγότερο πιθανό να με παρατηρήσουν. Και, φυσικά, καλύπτω τα ίχνη μου κάθε μέρα.

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search
Loading...

Ταπροληπτικά μέτρα ασφάλειας ΤΠ και, ιδίως, η έντονη ευαισθητοποίηση σε θέματα ασφάλειας αποτελούν τα σημαντικότερα δομικά στοιχεία της έννοιας της ασφάλειας ΤΠ κάθε εταιρείας. Παρ' όλα αυτά, μια ανεπτυγμένη ευαισθητοποίηση σε θέματα ασφάλειας περιλαμβάνει επίσης την κατανόηση του γεγονότος ότι μπορεί να συμβεί και σε εσάς. Και αν αυτό συμβεί, θα πρέπει να είστε προετοιμασμένοι.

Και τότε - μήνες αργότερα - συμβαίνει το μεγάλο περιστατικό ασφάλειας πληροφοριών. Εντελώς ξαφνικά για την εταιρεία σας. Για παράδειγμα, χρησιμοποιώ στη συνέχεια έναν από τους πολυάριθμους δούρειους ίππους κρυπτογράφησης για να σας εκβιάσω. "Συμπτωματικά", όμως, λόγω της προκαταρκτικής μου εργασίας, τρέχει με τα υψηλότερα προνόμια, παρακάμπτει τα μέτρα ασφαλείας σας και εξαπλώνεται πρώτα στα συστήματα με τα πιο σημαντικά αρχεία σας. Και αν, σε όλο αυτό το διάστημα που είχα, παρατήρησα μια αδυναμία στο σύστημα δημιουργίας αντιγράφων ασφαλείας σας... Όπως είπα, χάος.

Έλλειψη ευαισθητοποίησης: ιδανικό για μια στοχευμένη επίθεση

Ναι, είμαστε ακόμα στο παράδειγμά μας, αλλά αυτό δεν είναι σε καμία περίπτωση το Χόλιγουντ. Αυτή είναι μια κοινή πρακτική και ένας βασικός λόγος για τον οποίο εξακολουθούμε να ακούμε και να διαβάζουμε τόσο συχνά για εταιρείες που παλεύουν με τέτοιου είδους Trojans κρυπτογράφησης. Πριν από μερικά χρόνια, αυτά είχαν λίγο-πολύ εξαπολυθεί στο Διαδίκτυο και μόνο τα πιο αδύναμα πρόβατα του κοπαδιού έπεφταν θύματά τους: οι εταιρείες που είχαν αδύναμη τεχνική ασφάλεια εξωτερικά.

Τα πράγματα είναι διαφορετικά σήμερα. Η έλλειψη ευαισθητοποίησης των υπαλλήλων χρησιμοποιείται για τη στοχοποίηση των εταιρειών και μόνο όταν το θύμα ελέγχεται πλήρως αναπτύσσεται το αυτοματοποιημένο λογισμικό επίθεσης.

Εξακολουθώ να πιστεύω ότι τα προληπτικά μέτρα ασφάλειας ΤΠ και, ειδικότερα, η ισχυρή ευαισθητοποίηση σε θέματα ασφάλειας είναι τα πιο σημαντικά δομικά στοιχεία στην έννοια της ασφάλειας ΤΠ κάθε εταιρείας - υπάρχουν απλώς πάρα πολλά παραδείγματα και συγκεκριμένες περιπτώσεις που το επιβεβαιώνουν. Παρ' όλα αυτά, μια καλά αναπτυγμένη ευαισθητοποίηση σε θέματα ασφάλειας περιλαμβάνει επίσης την κατανόηση ότι είναι δυνατόν να επηρεαστεί κανείς. Συμπεριλαμβάνω και τον εαυτό μου σε αυτό. Και αν αυτό συμβεί, θα πρέπει να είστε προετοιμασμένοι.

Ελαχιστοποίηση της πιθανότητας εμφάνισης

Συμπεριέλαβα σκόπιμα το παράδειγμα του συναγερμού πυρκαγιάς στις παρατηρήσεις μου. Αυτό προετοιμάζει την εταιρεία για την περίπτωση που, παρά όλα τα προληπτικά μέτρα, ξεσπάσει όντως πυρκαγιά. Ορισμένες εταιρείες διαθέτουν επίσης κάτι τέτοιο για περιστατικά ασφάλειας πληροφοριών και περιστατικά ασφάλειας ΤΠ. Και αν αυτό θα ήταν λίγο υπερβολικό για εσάς (πραγματικά εξαρτάται πάντα από την εταιρεία σε κάθε μεμονωμένη περίπτωση), έχω ακόμα μια συμβουλή για εσάς:

Σε περίπτωση που εφαρμόσετε δοκιμές διείσδυσης ή άλλες προσομοιώσεις επιθέσεων ως μέρος των προληπτικών μέτρων ασφαλείας σας, μην αρκεστείτε στην απλή διόρθωση των ευπαθειών που θα βρείτε. Να θέτετε πάντα το ερώτημα: Έχει γίνει εκμετάλλευση αυτής της ευπάθειας στο παρελθόν; Έχουν εγκατασταθεί κερκόπορτες;

"Μην σταματάτε να κάνετε ερωτήσεις".

Ή, αλλιώς, αντιμετωπίστε κάθε "εύρημα" με τη σοβαρότητα ενός πραγματικού περιστατικού ασφάλειας πληροφοριών. Με αυτόν τον τρόπο, ελαχιστοποιείτε τις πιθανότητες εμφάνισης, ενώ παράλληλα θέτετε σε δοκιμασία τα αντιδραστικά σας σχέδια ασφαλείας - τα οποία εύχομαι ειλικρινά να μην χρειαστείτε ποτέ. Όπως ο συναγερμός πυρκαγιάς.

Όλα αυτά είναι μέρος της ευαισθητοποίησης και ταυτόχρονα μόνο ένα μέρος του συνόλου. Με αυτό το σημαντικό συστατικό, ωστόσο, μπορείτε ελπίζω να μου χαμογελάσετε όταν με ρωτάω: "Αν βάλω στο μυαλό μου αύριο, θα μπορούσα να σας πιάσω στο λάθος πόδι;". Ας ελπίσουμε ότι.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gern beantworten wir Ihre Fragen

Με τι είδους προσπάθεια πρέπει να υπολογίζετε κατά την πιστοποίηση του συστήματος διαχείρισης της ασφάλειας των πληροφοριών σας; Μάθετε το, χωρίς υποχρέωση και δωρεάν. Ανυπομονούμε να συζητήσουμε μαζί σας.

Εμπιστοσύνη και τεχνογνωσία

Τα κείμενα και τα φυλλάδιά μας γράφονται αποκλειστικά από τους ειδικούς μας σε θέματα προτύπων ή ελεγκτές με πολυετή εμπειρία. Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με το περιεχόμενο του κειμένου ή τις υπηρεσίες μας προς τον συγγραφέα, μη διστάσετε να επικοινωνήσετε μαζί μας.

Συγγραφέας
Arwid Zang

Διευθύνων Σύμβουλος της πλατφόρμας ασφαλείας "greenhats". Ειδικός σε θέματα ασφάλειας πληροφορικής, εκπαιδευτής και συγγραφέας με ειδίκευση στο white-hacking, την εκπαίδευση ευαισθητοποίησης, την ασφάλεια πληροφοριών και την προληπτική σκλήρυνση των συστημάτων πληροφορικής.

Loading...