Insiden keamanan informasi: Karyawan sebagai faktor keberhasilan

Isi

• Situs web seperti buku terbuka
• Sederhana itu paling berbahaya
• Alamat email: "Modal" phishing
• Kesadaran Keamanan: Kuda Trojan datang secara resmi
• Insiden Keamanan Informasi: Contoh nyata
• Keamanan informasi: Karyawan sebagai faktor keberhasilan
• The be-all and end-all: Membuat karyawan peka terhadap serangan
• ISO 27001: Kesadaran sebagai bagian dari pedoman tindakan
• Insiden keamanan informasi biasanya berarti kekacauan
• Pintu belakang ke sistem Anda
• Kurangnya kesadaran: sempurna untuk serangan yang ditargetkan
• Minimalkan kemungkinan terjadinya

Situs web seperti buku terbuka

Keamanan TI dan keamanan informasi dikenal sebagai dua pasang sepatu yang sangat berbeda, tetapi garisnya masih bisa kabur. Jelas, insiden keamanan TI secara teratur menyebabkan insiden keamanan informasi. Tentu, jika saya seorang peretas yang membahayakan jaringan perusahaan, saya harus duduk di depan layar dengan mata terpejam untuk menghindari mengambil satu informasi atau informasi lain yang tidak dimaksudkan untuk saya.

Namun, mungkin juga penjahat cyber pada awalnya mengumpulkan informasi yang, dalam jangka panjang, memungkinkan mereka untuk menyerang sistem TI dari korban yang mereka pilih.

Di platform pemeriksaan keamanan greenhats.com, pekerjaan sehari-hari kami adalah meretas perusahaan, mengidentifikasi kerentanan, dan memperbaikinya sebelum penjahat menemukannya.

Sesuai dengan moto "Mari kita bicarakan saja", dalam artikel ini saya ingin menjelaskan kepada Anda secara rinci metode serangan yang mempengaruhi semua orang. Dan bersama Anda, saya ingin menjawab pertanyaan: Mengapa saya benar-benar menceritakan semua ini kepada Anda?
 

Insiden Keamanan Informasi: Sederhana adalah yang paling berbahaya

Kita berbicara, tentu saja, tentang apa yang disebut "serangan phishing" - jangan khawatir, saya akan mencoba memberi Anda lebih banyak kata asing dan kosakata IT. Saya bahkan tidak membutuhkannya, karena phishing bukanlah serangan teknis, tetapi serangan pada tautan terlemah dalam rantai (hampir) setiap konsep keamanan. Sebuah serangan terhadap orang-orang.

Anggap saja aku ingin menyerangmu. Kemudian saya tidak hanya duduk sembarangan di notebook saya dan mulai mengetik di konsol hitam. Tidak, pertama saya perlu ... persis! Informasi dan data pribadi. Ini termasuk:

• Alamat email perusahaan Anda
• Nama staf TI Anda
• Tanda tangan email
• Informasi tentang identitas perusahaan Anda
• Topik yang menarik bagi karyawan Anda
   

Dengan asumsi saya tidak tahu apa-apa kecuali nama perusahaan Anda, tentu saja saya pertama-tama pergi ke situs web, membaca dan mempelajari segala sesuatu yang perlu dipelajari. Di atas segalanya, saya tertarik dengan alamat email dan orang yang dapat dihubungi dari TI Anda. Karena pada serangan berikutnya, saya ingin mengirim email palsu ke sebanyak mungkin karyawan (yang alamatnya saya butuhkan) sambil menghindari sebisa mungkin mengirimkannya ke IT juga.

Alamat email: "Modal" dari serangan phishing.

Setelah saya menemukan beberapa alamat email, saya mendapatkan polanya. Misalnya, "namadepan.namabelakang@samplecompany.com" Jadi saya mencoba untuk membedakan logika bagaimana alamat email karyawan dapat disimpulkan dari nama mereka.

Lalu saya pergi ke Internet lagi - kali ini ke jejaring sosial. Saya tidak berbicara tentang pemain "jahat" seperti Facebook & Co. XING dan LinkedIn jauh lebih menarik.

Di sana saya mencari perusahaan Anda dan melihat orang-orang mana yang menyatakan bahwa mereka bekerja untuk perusahaan ini. Dengan cara ini saya mendapatkan daftar nama dari mana kita dapat memperoleh alamat menggunakan pola yang diidentifikasi. Pada saat yang sama, saya sudah dapat mengetahui dari profil di jejaring sosial rekan Anda mana yang berpotensi mengenali serangan saya yang akan datang berdasarkan pengalaman profesional dan minat TI mereka.

Rekan-rekan ini tidak akan menerima surat palsu dari saya.

Kesadaran Keamanan: Kuda Trojan datang secara resmi

Sekarang saya tahu target serangan saya, saya ingin menyamar sebagai karyawan perusahaan Anda. Untuk melakukan ini, pertama-tama saya menghubungi Anda. Melalui jalur resmi, misalnya sebagai calon pelanggan. Saya menulis email kepada Anda dan meminta penawaran. Anda membalas - idealnya dengan portofolio produk atau serupa.

Balasan Anda memberi saya informasi berharga:

• Seperti apa tanda tangan email Anda?
• Font apa yang Anda gunakan?
• Di mana Anda menempatkan logo Anda di dokumen?
• Bagaimana Anda menyorot judul?
• Warna apa yang Anda gunakan?
• Dan, dan, dan...
   

Sejauh ini, itu bukan rocket science. Tapi hati-hati - inilah triknya. Mari kita asumsikan bahwa perusahaan Anda bernama "SampleCompany" dan dapat ditemukan di Internet di "samplecompany.com". Lalu saya sekarang mencari alamat di Internet, yang terlihat sangat mirip dengan alamat Anda. Misalnya "samplecompany.eu". Saya membeli alamat ini (biayanya hanya beberapa euro) dan sekarang dapat membangun serangan saya di atasnya.

Karena dari "firstname.lastname@samplecompany.eu" saya dapat mengirim email dengan tanda tangan Anda yang seolah-olah berasal langsung dari Anda. Saya tidak peduli nama atau sinonim apa yang saya gunakan sebagai pengirim, karena secara teknis tidak ada bedanya.

Insiden keamanan informasi: Contoh nyata

Manajer bisnis Anda bukan manajer bisnis Anda

Ini bisa sangat berbahaya jika saya berpura-pura menjadi admin TI Anda, misalnya. Saya menulis email kepada Anda dan semua kolega Anda, di mana saya menarik perhatian Anda, misalnya, ke portal video baru untuk rapat jarak jauh, di mana semua karyawan harus mengautentikasi sekali untuk memeriksa apakah kontak yang ada telah ditransfer.

Atau ketika saya menulis kepada Anda sebagai asisten direktur pelaksana Anda dan menjelaskan bahwa pesta Natal telah dibatalkan karena pandemi, tetapi lima iPhone baru sedang diundi oleh manajemen. Untuk memastikan bahwa setiap orang berakhir di pot lotre hanya sekali, harap minta setiap karyawan untuk mengautentikasi satu kali di portal terlampir - pemenang akan diumumkan pada akhir Desember.

Area login palsu: Permainan anak-anak di masa digitalisasi

Tidak peduli metode mana yang saya pilih - saya harus mengirimi Anda tautan yang mengarah ke "portal" tersebut. Ini kemudian bisa menjadi "raffle.samplecompany.eu" atau "portal.samplecompany.eu".

Juga pada titik ini saya dapat memberikan kebebasan untuk kreativitas saya. Karena saya memiliki halaman yang sesuai, saya hanya perlu membuat sesuatu di sana yang terlihat dapat dipercaya oleh Anda dan kolega Anda. Dalam kasus kontes, misalnya, area login yang bagus dalam desain perusahaan Anda, dengan logo Anda dan mungkin sedikit Sinterklas. Atau beberapa bintang jatuh.

Kata sandi berakhir di penyerang - dalam teks biasa

Tentu saja, keamanan adalah prioritas utama di portal saya! Semuanya dienkripsi dengan sangat baik dan tidak mungkin bagi pihak ketiga untuk membaca masukan Anda. Lagi pula, Anda memasukkan nama pengguna dan kata sandi, yang merupakan informasi sensitif. Dari sudut pandang teknis, semua ini benar-benar serius. Data Anda ditransfer dengan aman dan berakhir di tangan terbaik - milik saya.

Omong-omong, kerumitan kata sandi Anda sama sekali tidak relevan dalam serangan semacam itu; itu berakhir dalam teks biasa dengan penyerang. Dan perlu diingat bahwa (bahkan jika minimal lebih kompleks) berbagai solusi 2 faktor dapat "di-phishing" jika saya menyesuaikan portal saya.

Keamanan informasi: Karyawan sebagai faktor keberhasilan

Saya berjanji kepada Anda untuk menjernihkan pertanyaan paling penting di bagian akhir: Mengapa saya memberi tahu Anda semua ini? Jawabannya adalah: Siapa lagi?

Penting untuk dipahami bahwa serangan yang saya gambarkan adalah - dari sudut pandang teknis murni - bukan serangan sama sekali. Saya menulis email kepada Anda dari alamat yang sebenarnya milik saya. Bahkan tidak ada attachment di dalamnya, apalagi malware. Anda akan diarahkan ke halaman di Internet yang tidak mencoba mengganggu sistem Anda. Dan seperti yang saya jelaskan sebelumnya, situs ini juga diamankan dengan sempurna dan semua lalu lintas dienkripsi secara optimal.

Beginilah keadaannya dengan situs (reputasi) lain yang Anda masuki. Dan sama seperti Anda memasukkan kata sandi pribadi Anda di LinkedIn atau XING untuk mengotentikasi diri Anda sendiri, Anda memasukkannya sekarang di situs saya.

Penting untuk dipahami bahwa dari sudut pandang teknis, saya tidak memalsukan email. Saya menempa seluruh perusahaan Anda.

Dan itulah mengapa tindakan perlindungan teknis tidak berhasil. Solusinya terletak pada mendeteksi dan mencegah serangan - dan itu terserah Anda. Sama seperti langkah-langkah yang tepat untuk meningkatkan kesadaran karyawan ke arah ini.

Karena jika saya mengatur skenario ini dengan rapi, mendeteksi serangan hanya mungkin dengan memperhatikan perbedaan alamat, jadi dalam kasus kami ".eu" bukan ".com" Anda. Saya sadar bahwa salah satu dari Anda sekarang benar-benar yakin bahwa Anda memiliki gambaran umum yang diperlukan untuk melakukan ini bahkan dalam pekerjaan sehari-hari yang penuh tekanan. Oleh karena itu, saya ingin memberi Anda sedikit bahan untuk dipikirkan:

Apakah Anda juga mengenali "samplecompany.com" sebagai palsu? Sedikit petunjuk: "l" bukan L tapi huruf Yunani "Iota". Untuk mata manusia tidak ada perbedaan di antara keduanya, komputer Anda mungkin melihatnya sedikit berbeda. Saya dapat meyakinkan Anda bahwa dalam semua serangan phishing yang telah kami simulasikan untuk perusahaan, tidak ada satu pelanggan pun yang tidak mengungkapkan data mereka kepada karyawan.

The be-all and end-all: Membuat karyawan peka terhadap serangan

Jadi pertanyaannya bukanlah apakah rekan-rekan Anda akan terkena serangan seperti itu. Pertanyaannya lebih pada berapa banyak karyawan yang akan mengenali serangan itu, seberapa cepat mereka akan melaporkannya ke TI, dan berapa banyak waktu yang dimiliki TI untuk merespons.

Di sinilah karyawan menjadi faktor sukses untuk lebih banyak keamanan informasi dan keamanan TI dalam hal kesadaran keamanan.

Saya tidak ingin menjadi salah satu dari "white-hacker" yang menyimpan strategi mereka sendiri dan menikmati hasil malapetaka dari serangan semacam itu. Lebih banyak lagi saya ingin berkontribusi bersama Anda untuk membuat perusahaan Anda sedikit lebih aman.

Sekarang giliran Anda: Apa yang baru saja saya jelaskan kepada Anda hanyalah salah satu contoh dari banyak cara di mana orang-orang dan penanganan informasi mereka yang terkadang lalai dapat dieksploitasi dan digunakan untuk mendapatkan keuntungan sebagai penyerang. Departemen TI hanya dapat melindungi terhadap hal ini sampai batas tertentu atau tidak sama sekali; itu pekerjaan mereka. Pikirkan serangan sendiri, pikirkan bagaimana Anda bisa membajak rekan kerja Anda dan menjadikannya topik di meja makan siang (virtual).

ISO 27001: Kesadaran sebagai bagian dari panduan tindakan

Dan kemudian, uji perusahaan Anda secara teratur dan jadikan kesadaran sebagai bagian dari rencana keamanan Anda. Membaca sedikit yang tersirat, Anda juga akan menemukan ini dalam standar yang diakui secara internasional untuk sistem manajemen keamanan informasi (ISMS).

ISO/IEC 27001, misalnya, mengharuskan Anda untuk memastikan kesadaran dan dengan demikian sensitisasi mata rantai terlemah dalam rantai tentang cara menangani informasi perusahaan Anda (Bab 7.3 dan Lampiran 7.2.2). Ini dimulai dengan sesuatu yang sederhana seperti alamat email. Persyaratan peraturan atau hukum lainnya, seperti GDPR, juga menargetkan pendekatan pencegahan penghindaran insiden.

Penuhi persyaratan standar dengan langkah-langkah kesadaran, seperti pedoman, pelatihan, komunikasi tentang berita yang sedang berlangsung, atau bahkan simulasi serangan phishing, seperti yang kami lakukan untuk pelanggan kami. Dan: Jujurlah pada diri sendiri dan tanyakan pada diri sendiri seberapa sukses langkah-langkah pelatihan Anda sebelumnya dalam mempersiapkan Anda untuk keadaan darurat seperti yang baru saja saya uraikan.

Insiden keamanan informasi biasanya berarti kekacauan

Sementara kita membahas tentang kejujuran: Bagaimana sebenarnya reaksi Anda terhadap insiden keamanan informasi yang dipicu oleh serangan siber? Memang, topik keamanan reaktif selalu sedikit tidak nyaman, tetapi itu adalah sesuatu yang harus dibicarakan.

Orang suka menganggapnya seperti latihan alarm kebakaran - di beberapa titik selama jam kerja, bel berdering tiba-tiba, semua orang meninggalkan gedung dengan tertib dan tenang, menunggu di luar sebentar dan mengobrol dengan rekan kerja tentang cuaca, dan setelah itu beberapa saat semua orang diizinkan untuk masuk kembali dan dalam perjalanan mereka dapat mengambil kopi.

Tapi tidak seperti itu.

Tim saya telah dihubungi oleh beberapa perusahaan di mana ada serangan, dan saya dapat berjanji kepada Anda: Ini kekacauan. Bahkan beberapa hari setelah kejadian sebenarnya. Di antara alasan lain, itu karena peretas modern memanfaatkan arogansi korbannya.

Saya ingin menjelaskan ini kepada Anda, jadi mari kembali ke serangan phishing kita. Katakanlah saya, sebagai penyerang, berhasil terhubung dari jarak jauh ke salah satu sistem TI rekan Anda menggunakan kata sandi mereka. Apakah Anda pikir saya tidak akan tahu bahwa seseorang di perusahaan Anda mengetahui bahwa ada serangan di sini dan melaporkannya ke TI? Kasus terbaik, Anda lakukan secara pribadi, saya sepenuhnya menyadari itu.

Insiden Keamanan Informasi: Pintu belakang ke sistem Anda

Itu sebabnya saya melakukan dua hal: Pertama, saya melakukan sesuatu yang jelas-jelas mengganggu perusahaan Anda dan memberi Anda sesuatu untuk dilakukan. Misalnya, saya mengirim email spam ke pelanggan Anda atas nama kolega Anda. Itu menonjol dan memberi Anda dan departemen TI Anda sesuatu untuk dilakukan. Sekarang Anda dapat menarik semua rencana darurat Anda dari lemari dan bekerja melalui gambar insiden keamanan informasi-sempurna dengan perwakilan TI Anda. Termasuk langkah-langkah pemasaran canggih yang akan memoles citra ternoda menjadi kilau tinggi baru dan mungkin membuat Anda terlihat lebih baik sebagai "orang yang selamat" daripada sebelumnya. Profesional dapat melakukan ini.

Tetapi pada saat yang sama, sebagai penyerang, saya mencoba mengatur pintu belakang ke sistem yang tidak akan diperhatikan oleh TI Anda di semua keriuhan. Ini seperti pergi ke toko perhiasan, merobohkan etalase terbesar, dan diam-diam memasukkan semua cincin dan jam tangan mahal ke dalam saku saya sementara semua orang menerkam pecahannya.

Tak perlu dikatakan, pintu belakang saya sangat sulit ditemukan jika Anda tidak tahu apa yang Anda cari. Dan kemudian saya tidak melakukan apa-apa. Selama berminggu-minggu, berbulan-bulan.

Sekarang saya mencoba untuk bekerja melalui jaringan perusahaan Anda, diam-diam. Tanpa pemindai perangkat lunak "berisik", yang akan menguras jaringan Anda dan memperingatkan sistem keamanan Anda. Sepenuhnya manual, sok jadul. Omong-omong, di sinilah gandum dipisahkan dari sekam di pihak peretas. Jika jaringan Anda hanya terkena pemindai keamanan dalam skenario pengujian, itu tidak akan membantu Anda sama sekali sekarang. Saya menyebar dan saya menunggu - dengan sabar. Saya mencoba mengidentifikasi kapan dan bagaimana pencadangan dibuat, siapa yang berkomunikasi dengan siapa, dan di mana organisasi Anda paling sensitif. Dalam contoh kita, saya mungkin melakukan ini di malam hari - atau setidaknya setelah jam kerja inti, ketika saya bahkan lebih kecil kemungkinannya untuk diamati. Dan, tentu saja, saya menutupi jejak saya setiap hari.

Dan kemudian - beberapa bulan kemudian - insiden keamanan informasi besar terjadi. Benar-benar tiba-tiba untuk perusahaan Anda. Misalnya, saya kemudian menggunakan salah satu dari banyak Trojan enkripsi untuk memeras Anda. "Kebetulan," namun, karena pekerjaan awal saya, ini berjalan di bawah hak istimewa tertinggi, melewati langkah-langkah keamanan Anda, dan menyebar ke sistem dengan file Anda yang paling relevan terlebih dahulu. Dan jika, sepanjang waktu yang saya miliki, saya melihat kelemahan dalam sistem cadangan Anda... Seperti yang saya katakan, kekacauan.

Kurangnya kesadaran: sempurna untuk serangan yang ditargetkan

Ya, kami masih dalam contoh kami, tetapi ini sama sekali bukan Hollywood. Ini adalah praktik umum dan alasan utama mengapa kami masih sering mendengar dan membaca tentang perusahaan yang berjuang dengan Trojan enkripsi semacam itu. Beberapa tahun yang lalu, ini kurang lebih dilepaskan di Internet, dan hanya domba terlemah dari kawanan yang menjadi korban mereka: perusahaan yang memiliki keamanan teknis yang lemah di luar.

Hal-hal yang berbeda hari ini. Kurangnya kesadaran karyawan digunakan untuk menargetkan perusahaan dan hanya ketika korban sepenuhnya dikendalikan adalah perangkat lunak serangan otomatis dikerahkan.

Saya masih percaya bahwa langkah-langkah keamanan TI proaktif dan, khususnya, kesadaran keamanan yang kuat adalah blok bangunan terpenting dalam konsep keamanan TI perusahaan mana pun - ada terlalu banyak contoh dan kasus nyata untuk mendukung hal ini. Namun demikian, kesadaran keamanan yang berkembang dengan baik juga mencakup pemahaman bahwa ada kemungkinan untuk terpengaruh. Saya termasuk diri saya dalam hal ini. Dan jika itu harus terjadi, Anda harus siap.

Meminimalkan kemungkinan terjadinya

Saya sengaja memasukkan contoh alarm kebakaran dalam sambutan saya. Ini mempersiapkan perusahaan untuk peristiwa yang, terlepas dari semua tindakan proaktif, kebakaran terjadi. Beberapa perusahaan juga memiliki sesuatu seperti ini untuk insiden keamanan informasi dan insiden keamanan TI. Dan jika itu akan menjadi hal yang terlalu baik untuk Anda (itu selalu tergantung pada perusahaan dalam setiap kasus), saya masih punya tip untuk Anda:

Jika Anda menerapkan tes penetrasi atau simulasi serangan lainnya sebagai bagian dari langkah-langkah keamanan proaktif Anda, jangan puas hanya dengan memperbaiki kerentanan yang Anda temukan. Selalu ajukan pertanyaan: Apakah kerentanan ini pernah dieksploitasi di masa lalu? Apakah backdoor sudah terpasang?

Atau, dengan kata lain, perlakukan setiap "temuan" dengan seriusnya insiden keamanan informasi yang sebenarnya. Dengan begitu, Anda meminimalkan kemungkinan terjadinya sambil juga menguji rencana keamanan reaktif Anda - yang saya harap Anda tidak pernah membutuhkannya - untuk diuji. Seperti alarm kebakaran.

Semua ini adalah bagian dari kesadaran dan pada saat yang sama hanya bagian dari keseluruhan. Namun, dengan komponen penting ini, semoga Anda dapat tersenyum kepada saya ketika saya bertanya, "Jika saya memikirkannya besok, dapatkah saya menangkap Anda di kaki yang salah?". Semoga. 

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh pakar standar atau auditor kami dengan pengalaman bertahun-tahun. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis, jangan ragu untuk menghubungi kami.