Információbiztonsági incidensek: A munkavállalók mint sikertényező

TARTALOM

• A weboldalak olyanok, mint a nyitott könyvek
• Az egyszerű a legveszélyesebb
• Az e-mail címek: Az adathalászat "tőkéje
• Biztonságtudatosság: A trójai faló hivatalosan is megjelenik
• Információbiztonsági incidensek: A való életből vett példa
• Információbiztonság: Az alkalmazottak mint sikertényező
• A minden és minden: a munkavállalók érzékenyítése a támadásokra
• ISO 27001: A tudatosság mint az intézkedéskatalógus része
• Egy információbiztonsági incidens általában káoszt jelent
• A hátsó ajtó a rendszerbe
• A tudatosság hiánya: tökéletes egy célzott támadáshoz
• Minimalizálja a bekövetkezés valószínűségét

A weboldalak olyanok, mint a nyitott könyvek

Az IT-biztonság és az információbiztonság köztudottan két egészen más cipőpár, de a határok mégis elmosódhatnak. Nyilvánvaló, hogy az informatikai biztonsági incidensek rendszeresen információbiztonsági incidensekhez vezetnek. Persze, ha egy hacker kompromittál egy vállalati hálózatot, akkor görcsösen lehunyt szemmel kellene ülnöm a képernyő előtt, hogy ne szedjek fel egy-egy olyan információt, amelyet nem nekem szántak.

Az is lehetséges azonban, hogy a kiberbűnözők kezdetben olyan információkat gyűjtenek, amelyek hosszú távon lehetővé teszik számukra, hogy egyáltalán megtámadják a kiválasztott áldozat informatikai rendszereit.

A greenhats.com biztonsági ellenőrzési platformon a mi mindennapi munkánk a vállalatok feltörése, a sebezhetőségek azonosítása és kijavítása, mielőtt a bűnözők rájuk találnának.

A "Beszéljünk csak róla" mottóhoz hűen ebben a cikkben egy olyan támadási módszert szeretnék részletesen ismertetni, amely mindenkit érint. És önökkel együtt szeretnék foglalkozni a kérdéssel: Miért is mondom el mindezt nektek?

Információbiztonsági incidensek: Az egyszerű a legveszélyesebb

Természetesen az úgynevezett "adathalász-támadásról" beszélünk - ne aggódjatok, igyekszem megkímélni benneteket a további idegen szavaktól és informatikai szókincstől. Nincs is szükségem rájuk, mert az adathalászat nem technikai támadás, hanem (szinte) minden biztonsági koncepció leggyengébb láncszemének megtámadása. Az emberek elleni támadás.

Tegyük fel, hogy meg akarom támadni Önt. Akkor nem ülök le véletlenül a notebookomhoz, és nem kezdek el gépelni a fekete konzolokon. Nem, először is szükségem van... pontosan! Információkra és személyes adatokra. Ezek közé tartozik:

• A cég e-mail címei
• Az informatikai személyzet neve
• E-mail aláírások
• A vállalati arculatára vonatkozó információk
• Az alkalmazottai számára érdekes téma

Feltételezve, hogy a céged nevén kívül semmit sem tudok, természetesen először felkeresem a honlapot, elolvasom és megtanulok mindent, amit lehet. Mindenekelőtt érdekelnek az informatikusok e-mail címei és kapcsolattartói. Ugyanis a következő támadás során egy hamis e-mailt szeretnék elküldeni a lehető legtöbb alkalmazottnak (akiknek a címére szükségem van), miközben a lehető legkevésbé szeretném elkerülni, hogy az IT-nek is elküldjem.

E-mail címek: Az adathalász-támadás "tőkéje".

Amint találok néhány e-mail címet, levezetem a mintát. Például: "firstname.lastname@samplecompany.com" Így próbálom megfejteni a logikát, hogy a névből hogyan lehet levezetni az alkalmazott e-mail címét.

Ezután ismét az internetre indulok - ezúttal a közösségi hálózatokra. Nem a "gonosz" szereplőkről beszélek, mint a Facebook & Co. A XING és a LinkedIn sokkal érdekesebbek.

Ott rákeresek a cégére, és megnézem, hogy mely emberek állítják, hogy ennek a cégnek dolgoznak. Így kapok egy névlistát, amiből az azonosított minta alapján címeket tudunk levezetni. Ugyanakkor a közösségi hálózatokban található profilokból már meg tudom állapítani, hogy az Ön munkatársai közül kik azok, akik szakmai tapasztalatuk és informatikai érdeklődésük alapján potenciálisan felismerhetik a közelgő támadásomat.

Ezek a kollégák nem fognak tőlem hamis levelet kapni.

Biztonsági tudatosság: A trójai faló hivatalosan jön

Most, hogy már ismerem a támadásom célpontját, az Ön vállalatának alkalmazottjaként akarom kiadni magam. Ehhez először felveszem Önnel a kapcsolatot. Hivatalos csatornákon keresztül, például potenciális ügyfélként. Írok önnek egy e-mailt, és árajánlatot kérek. Ön válaszol - ideális esetben egy termékportfólióval vagy hasonlóval.

Az Ön válasza értékes információkkal lát el engem:

• Hogyan néz ki az Ön e-mail aláírása?
• Milyen betűtípusokat használ?
• Hol helyezi el a logóját a dokumentumokban?
• Hogyan emeli ki a címsorokat?
• Milyen színeket használ?
• És, és, és, és...

Eddig ez nem egy rakétatudomány. De vigyázz - most jön a trükk. Tegyük fel, hogy a céged neve "SampleCompany", és az interneten a "samplecompany.com" címen található. Akkor most keresek egy címet az interneten, ami nagyon hasonlít az Ön címéhez. Például "samplecompany.eu". Megveszem ezt a címet (ez tényleg csak néhány euróba kerül), és most már építhetem rá a támadásomat.

Mert a "firstname.lastname@samplecompany.eu" címről olyan e-maileket tudok küldeni az Ön aláírásával, amelyek úgy néznek ki, mintha közvetlenül Öntől érkeztek volna. Nem érdekel, hogy milyen neveket vagy szinonimákat használok feladónak, mert technikailag nincs különbség.

Információbiztonsági incidensek: A való életből vett példa

Az üzleti vezetője nem az üzleti vezetője

Ez akkor lehet igazán veszélyes, ha például úgy teszek, mintha az Ön informatikai adminisztrátora lennék. Írok egy e-mailt Önnek és az összes kollégájának, amelyben felhívom a figyelmét például egy új, távoli megbeszélésekre szolgáló videoportálra, ahol minden alkalmazottnak egyszer hitelesítenie kell magát, hogy ellenőrizze, átvették-e a meglévő kapcsolatokat.

Vagy amikor az ügyvezető igazgató asszisztenseként írok Önnek, és elmagyarázom, hogy a világjárvány miatt elmarad a karácsonyi parti, de helyette öt vadonatúj iPhone-t sorsol ki a vezetőség. Annak érdekében, hogy mindenki csak egyszer kerüljön a sorsolási kasszába, kérem, hogy minden alkalmazottat kérjen meg, hogy egyszer hitelesítse magát a mellékelt portálon - a nyerteseket ezután december végén jelentjük be.

Hamis bejelentkezési terület: Gyerekjáték a digitalizáció idején

Bármelyik módszert is választom - el kell küldenem egy linket, amely az említett "portálra" vezet. Ez aztán lehet "raffle.samplecompany.eu" vagy "portal.samplecompany.eu".

Ezen a ponton is szabad kezet adhatok a kreativitásomnak. Mivel a megfelelő oldal az enyém, csak fel kell építenem oda valamit, ami megbízhatónak tűnik az Ön és kollégái számára. A verseny esetében például egy szép bejelentkezési felületet a céged dizájnjában, a logóddal és esetleg egy kis Mikulással. Vagy néhány hullócsillaggal.

A jelszavak a támadónál kötnek ki - egyszerű szövegben

Természetesen a biztonság a portálomon is kiemelt fontosságú! Minden kiválóan titkosítva van, és lehetetlenné tesszük, hogy harmadik fél elolvashassa a bevitelét. Elvégre felhasználóneveket és jelszavakat adsz meg, ami érzékeny információ. Technikai szempontból mindez teljesen komoly. Az Ön adatai biztonságosan kerülnek átvitelre, és a legjobb kezekbe kerülnek - az enyémekbe.

Egyébként a jelszavad összetettsége teljesen lényegtelen egy ilyen támadás során; az egyszerű szövegben a támadónál köt ki. És ne feledje, hogy (még ha minimálisan összetettebb is) a legkülönfélébb 2-faktoros megoldások "phished" lehetnek, ha a portálomat ennek megfelelően alakítom.

Információbiztonság: Az alkalmazottak mint sikertényező

Ígértem, hogy a végén tisztázom a legfontosabb kérdést: Miért mondom el mindezt? A válasz a következő: Ki másért?

Fontos megérteni, hogy az általam leírt támadás - tisztán technikai szempontból - egyáltalán nem támadás. Egy olyan címről írok neked e-mailt, amely valójában az enyém. Még csak melléklet sincs benne, nemhogy rosszindulatú program. Átirányítjuk Önt egy internetes oldalra, amely nem próbálja veszélyeztetni a rendszerét. És ahogy korábban már leírtam, ez az oldal is tökéletesen védett, és minden adatforgalom optimálisan titkosított.

Így van ez más (jó hírű) oldalakkal is, amelyekre bejelentkezel. És ahogyan a LinkedIn vagy a XING oldalain is megadod a privát jelszavadat, hogy hitelesítsd magad, úgy most az én oldalamon is megadod.

Fontos megérteni, hogy technikai szempontból nem hamisítok e-mailt. Az egész vállalatát hamisítom.

És pontosan ezért nem működnek a technikai védelmi intézkedések. A megoldás a támadás felismerésében és megelőzésében rejlik - és ez csak Önön múlik. Csakúgy, mint a megfelelő intézkedések a munkavállalók ez irányú tudatosságának növelésére.

Mert ha szépen felállítom ezt a forgatókönyvet, a támadás felderítése csak úgy lehetséges, ha észreveszik a címben lévő különbséget, tehát esetünkben a ".eu" helyett az Ön ".com" címét. Tisztában vagyok vele, hogy egyik-másikotok most már teljesen biztos benne, hogy a stresszes mindennapi munkában is megvan a szükséges áttekintés ehhez. Ezért a haladóbbaknak szeretnék egy kis gondolatébresztőt adni:

Ti is felismernétek a "samplecompany.com" nevű céget hamisítványnak? Egy kis tipp: Az "l" nem egy L, hanem a görög "Iota" betű. Az emberi szem számára nincs különbség a kettő között, az Ön számítógépe valószínűleg kicsit másképp látja. Biztosíthatom, hogy az összes adathalász támadás során, amelyet cégek számára szimuláltunk, nem volt olyan ügyfél, akinek egyetlen alkalmazottja sem fedte volna fel az adatait.

A mindenség: érzékenyítse az alkalmazottakat a támadásokra

A kérdés tehát nem az, hogy a munkatársai bedőlnének-e egy ilyen támadásnak. A kérdés sokkal inkább az, hogy hány alkalmazott fogja felismerni a támadást, milyen gyorsan jelentik azt az IT-nek, és mennyi idő áll az IT rendelkezésére a válaszadásra.

Pontosan ez az a pont, ahol a munkavállaló a biztonságtudatosság szempontjából több információbiztonság és IT-biztonság sikertényezőjévé válik.

Nem szeretnék azok közé a fehér hackerek közé tartozni, akik megtartják maguknak a stratégiájukat, és élvezik az ilyen támadások katasztrofális eredményeit. Sokkal inkább szeretnék Önnel együtt hozzájárulni ahhoz, hogy vállalata egy kicsit biztonságosabbá váljon.

Most Önön a sor! Amit most leírtam önnek, csak egy példa arra, hogy az emberek és az információkkal való néha hanyag bánásmódjukat milyen sokféleképpen lehet kihasználni és támadóként haszonszerzésre felhasználni. Az informatikai részlegek csak korlátozottan vagy egyáltalán nem tudnak védekezni ez ellen; ez az ő feladatuk. Találjon ki saját maga támadásokat, gondolja végig, hogyan lehetne eltéríteni a kollégáit, és tegye ezt témává a (virtuális) ebédlőasztalnál.

ISO 27001: A tudatosság mint az intézkedéskatalógus része

Aztán tegye rendszeresen próbára a vállalatát, és tegye a tudatosságot a biztonsági terv részévé. A sorok között olvasva némileg ezt is megtalálja a nemzetközileg elismert információbiztonsági irányítási rendszerre (ISMS) vonatkozó szabványban.

AzISO/IEC 27001 például megköveteli, hogy gondoskodjon a tudatosságról, és ezáltal a leggyengébb láncszem érzékenyítéséről a vállalat információinak kezelésével kapcsolatban (7.3. fejezet és 7.2.2. melléklet). Ez olyan egyszerű dologgal kezdődik, mint az e-mail cím. Más szabályozási vagy jogi követelmények, mint például a GDPR, szintén az incidensek elkerülésének megelőző megközelítését célozzák.

Teljesítse a szabvány követelményeit tudatosságnövelő intézkedésekkel, például iránymutatásokkal, képzésekkel, a folyamatban lévő hírekről szóló kommunikációval, vagy akár szimulált adathalász-támadásokkal, ahogyan azt ügyfeleink esetében is tesszük. És: Legyen őszinte önmagához, és kérdezze meg, hogy a korábbi képzési intézkedései mennyire voltak sikeresek az általam vázolthoz hasonló vészhelyzetre való felkészülésben.

Egy információbiztonsági incidens általában káoszt jelent

Ha már az őszinteségnél tartunk: Ön hogyan reagálna valójában egy kibertámadás által kiváltott információbiztonsági incidensre? Bevalljuk, a reaktív biztonság témája mindig egy kicsit kényelmetlen, de erről beszélni kell.

Az emberek szeretnek úgy gondolni rá, mint egy tűzriadó-gyakorlatra - a munkaidő egy bizonyos pontján váratlanul megszólal a csengő, mindenki rendezetten és nyugodtan elhagyja az épületet, egy kicsit kint várakozik és beszélget a kollégákkal az időjárásról, majd egy idő után mindenki visszajöhet, és útközben megihat egy kávét.

De ez nem így van.

A csapatomat már megkereste néhány cég, ahol támadás történt, és megígérhetem: Káosz van. Még több nappal a tényleges esemény után is. Többek között azért, mert a modern hackerek kihasználják áldozataik arroganciáját.

Ezt szeretném elmagyarázni, ezért térjünk vissza az adathalász-támadásunkhoz. Tegyük fel, hogy nekem, mint támadónak sikerül távolról csatlakoznom az egyik kolléga informatikai rendszeréhez az ő jelszavával. Gondolod, hogy nem tudnám, hogy valaki a cégednél észreveszi, hogy itt támadás történt, és jelenti az IT-nek? A legjobb esetben is személyesen, teljesen tisztában vagyok vele.

Információbiztonsági incidensek: A hátsó ajtó a rendszerébe

Ezért teszek két dolgot: Először is, valami nyilvánvaló dolgot teszek, ami bosszantja a cégét, és ad valami tennivalót. Például spam e-maileket küldök az ügyfeleinek a kollégája nevében. Ez feltűnő, és ad önnek és az informatikai osztályának valami tennivalót. Most már előveheted az összes vészhelyzeti tervedet a szekrényből, és az informatikai képviselőiddel együtt képletesen feldolgozhatod az információbiztonsági incidenst. Beleértve a kifinomult marketingintézkedéseket, amelyek új fényesre csiszolják a megkopott imidzset, és talán még jobb színben tüntetik fel Önt, mint "túlélőt", mint korábban. A szakemberek képesek erre.

De ugyanakkor támadóként megpróbálok egy hátsó ajtót létrehozni egy olyan rendszerbe, amelyet az informatikusok nem vesznek észre a nagy felhajtásban. Olyan ez, mintha bemennék egy ékszerboltba, feldönteném a legnagyobb vitrint, és titokban zsebre vágnám az összes drága gyűrűt és órát, miközben mindenki a törött darabokra veti magát.

Mondanom sem kell, hogy a hátsó ajtómat rendkívül nehéz megtalálni, ha nem tudod, mit keresel. És akkor nem csinálok semmit. Hetekig, hónapokig.

Most megpróbálom átdolgozni magam a vállalati hálózatodon, csendben. Mindenféle "zajos" szoftveres szkennerek nélkül, amelyek kimerítik a hálózatodat és riasztják a biztonsági rendszeredet. Teljesen manuálisan, kvázi old school. Egyébként itt válik el a búza a pelyvától a hacker oldalon. Ha a hálózatod csak tesztforgatókönyvekben volt kitéve a biztonsági szkennereknek, akkor ez most egyáltalán nem fog segíteni neked. Szétszórom magam és várok - türelmesen. Megpróbálom azonosítani, hogy mikor és hogyan készülnek a biztonsági mentések, ki kivel kommunikál, és hol a legérzékenyebb a szervezeted. A mi példánkban ezt valószínűleg éjszaka teszem - vagy legalábbis a fő munkaidő után, amikor még kevésbé valószínű, hogy megfigyelnek. És természetesen minden nap eltüntetem a nyomaimat.

És akkor - hónapokkal később - bekövetkezik a nagy információbiztonsági incidens. Teljesen váratlanul a céged számára. Például aztán a számos titkosítási trójai egyikével megzsarolom Önt. "Véletlenül" azonban - az én előzetes munkám miatt - a legmagasabb jogosultságok alatt fut, megkerüli az Ön biztonsági intézkedéseit, és először a legfontosabb fájlokat tartalmazó rendszerekre terjed át. És ha az eltelt idő alatt észrevettem egy gyenge pontot a biztonsági mentési rendszerében... Ahogy mondtam, káosz.

A tudatosság hiánya: tökéletes egy célzott támadáshoz

Igen, még mindig a mi példánkban vagyunk, de ez semmiképpen sem Hollywood. Ez egy általános gyakorlat, és az egyik fő oka annak, hogy még mindig olyan gyakran hallunk és olvasunk olyan vállalatokról, amelyek ilyen titkosítási trójaiakkal küzdenek. Néhány évvel ezelőtt ezek többé-kevésbé elszabadultak az interneten, és csak a nyáj leggyengébb bárányai estek áldozatul: azok a cégek, amelyek kívülről gyenge technikai biztonsággal rendelkeztek.

Ma már más a helyzet. Az alkalmazottak tájékozatlanságát használják ki a vállalatok célpontjainak kiválasztására, és csak akkor vetik be az automatizált támadószoftvert, amikor az áldozatot már teljesen ellenőrzés alatt tartják.

Továbbra is úgy gondolom, hogy a proaktív IT-biztonsági intézkedések és különösen az erős biztonságtudatosság a legfontosabb építőkövei bármely vállalat IT-biztonsági koncepciójának - egyszerűen túl sok példa és konkrét eset van, amely ezt alátámasztja. Mindazonáltal a jól fejlett biztonságtudatosság magában foglalja annak megértését is, hogy lehetséges, hogy az embereket megfertőzhetik. Magamat is ide sorolom. És ha ez megtörténik, akkor fel kell készülni.

Az előfordulási valószínűség minimalizálása

Szándékosan vontam be észrevételeimbe a tűzjelző példáját. Ez felkészíti a vállalatot arra az esetre, ha minden megelőző intézkedés ellenére mégis kitör a tűz. Néhány vállalatnál az információbiztonsági incidensekre és az IT-biztonsági incidensekre is van valami hasonló. És ha ez egy kicsit túl sok lenne Önnek (ez tényleg mindig a cégtől függ minden egyes esetben), akkor még mindig van egy tippem az Ön számára:

Amennyiben a proaktív biztonsági intézkedések részeként behatolásteszteket vagy egyéb támadásszimulációkat hajt végre, ne elégedjen meg azzal, hogy egyszerűen kijavítja a talált sebezhetőségeket. Mindig tegye fel a kérdést: Ezt a sebezhetőséget a múltban már kihasználták? Telepítettek-e hátsó ajtókat?

Vagy másképpen fogalmazva, kezeljen minden "felfedezést" egy tényleges információbiztonsági incidens komolyságával. Így minimálisra csökkentheti a bekövetkezés valószínűségét, miközben próbára teszi a reaktív biztonsági terveit - amelyekre őszintén kívánom, hogy soha ne legyen szüksége -. Mint a tűzjelző.

Mindez a tudatosság része, ugyanakkor csak egy része az egésznek. Ezzel a fontos összetevővel azonban remélhetőleg mosolyoghat rám, amikor megkérdezem: "Ha holnap elszánom magam, el tudnám-e kapni rosszul?". Remélhetőleg.

Bizalom és szakértelem

Szövegeinket és brosúráinkat kizárólag szabványügyi szakértőink vagy sokéves tapasztalattal rendelkező auditoraink írják. Ha bármilyen kérdése van a szöveg tartalmával vagy a szerzőnek nyújtott szolgáltatásainkkal kapcsolatban, kérjük, forduljon hozzánk bizalommal.