사이버 범죄자는 어떻게 정보를 수집하여 IT 시스템을 공격할 수 있습니까? 해커는 어떻게 회사의 가능한 한 많은 직원에게 가짜 이메일을 보내는 데 성공합니까? 보안 개념의 사슬에서 가장 약한 고리인 사람을 표적으로 삼아 성공하는 경우가 많습니다. 그렇기 때문에 직원들이 정보 보안 사고에 대한 효과적인 조치에서 자신의 위치를 아는 것이 매우 중요합니다. 그리고 정보 보안의 위험과 기회를 다른 관점에서 보다 의식적인 관점에서 바라봐야 합니다. 키워드: 보안 인식. greenhats.com의 Managing Director인 Arwid Zang의 게스트 기사

Loading...

웹 사이트는 열린 책과 같습니다.

IT 보안 및 정보 보안은 두 쌍의 신발이 매우 다른 것으로 알려져 있지만 여전히 선이 흐려질 수 있습니다. 분명히 IT 보안 사고는 정기적으로 정보 보안 사고로 이어집니다. 물론, 내가 기업 네트워크를 손상시키는 해커라면, 나는 한 가지 정보 또는 나를 위해 의도되지 않은 다른 정보를 집어 들지 않기 위해 경련적으로 눈을 감고 화면 앞에 앉아 있어야합니다.

그러나 사이버 범죄자가 처음에는 정보를 수집하여 장기적으로 선택한 피해자의 IT 시스템을 공격 할 수도 있습니다.

보안 검사 플랫폼 greenhats.com 에서 우리의 일상 업무는 회사를 해킹하고, 취약점을 식별하고, 범죄자가 발견하기 전에 수정하는 것입니다.

"그냥 그것에 대해 이야기합시다"라는 모토에 충실한이 기사에서는   모든 사람에게 영향을 미치는 공격 방법을 자세히 설명하고자  합니다. 그리고 여러분과 함께, 저는 이 질문을 말씀드리고 싶습니다: 왜 제가 실제로  이 모든 것을 여러분에게 말하고 있습니까?

 

정보 보안 사건 : 단순함이 가장 위험합니다.

물론 우리는 소위 "피싱 공격"에 대해 이야기하고 있습니다 - 걱정하지 마십시오, 나는 더 이상 외국 단어와 IT 어휘를 아끼지 않으려 고 노력할 것입니다. 피싱은 기술적 인 공격이 아니라 (거의) 모든 보안 개념의 체인에서 가장 약한 링크에 대한 공격이기 때문에 나는 그것들을 필요로하지 않습니다. 사람들에 대한 공격.

내가 너를 공격하고 싶다고 가정 해 봅시다. 그런 다음 노트북에 우연히 앉아서 검은 색 콘솔에 타이핑을 시작하지 않습니다. 아니, 먼저 내가 필요해. 정확하게! 정보 및 개인 데이터. 여기에는 다음이 포함됩니다.

  • 회사의 이메일 주소
  • IT 직원의 이름
  • 이메일 서명
  • 회사 ID에 대한 정보
  • 직원들에게 흥미로운 주제
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email
Loading...

원칙적으로 피싱은 기술적 공격이 아니라 (거의) 모든 보안 개념의 사슬에서 가장 약한 링크에 대한 공격입니다.

사람들에 대한 공격입니다.

나는 당신의 회사 이름 외에는 아무것도 모른다고 가정하고 자연스럽게 먼저 웹사이트에 가서 거기에 있는 모든 것을 읽고 배웁니다. 무엇보다 IT 담당자의 이메일 주소와 연락처에 관심이 있습니다. 왜냐하면 다음 공격에서 나는 가능한 한 많은 직원들에게 가짜 이메일을 보내고 싶기 때문입니다.

 

이메일 주소: 피싱 공격의 "수도"입니다.

몇 개의 이메일 주소를 찾으면 패턴을 도출합니다. 예를 들어 "firstname.lastname@samplecompany.com"과 같이 직원의 이메일 주소를 이름에서 추론하는 방법에 대한 논리를 설명하려고 합니다.

그런 다음 다시 인터넷을 사용합니다. 이번에는 소셜 네트워크로 이동합니다. Facebook & Co. XING 및 LinkedIn과 같은 "사악한" 플레이어에 대해 말하는 것이 아닙니다. 훨씬 더 흥미롭습니다.

Loading...

거기에서 나는 당신의 회사를 검색하고 어떤 사람들이이 회사에서 일한다고 말하는지 봅니다. 이렇게하면 식별 된 패턴을 사용하여 주소를 파생시킬 수있는 이름 목록을 얻을 수 있습니다. 동시에, 나는 이미 소셜 네트워크의 프로필에서 동료 중 어느 것이 전문적인 경험과 IT 관심사에 따라 다가오는 공격을 잠재적으로 인식 할 수 있는지 알 수 있습니다.

이 동료들은 나에게서 가짜 메일을받지 못할 것입니다.

 

보안 인식 : 트로 목마가 공식적으로 등장합니다.

이제 공격 대상을 알았으므로 회사 직원으로 자신을 가장하고 싶습니다. 이렇게하기 위해, 나는 먼저 당신과 접촉합니다. 공식 채널을 통해, 예를 들어 잠재 고객으로. 나는 당신에게 이메일을 쓰고 견적을 요청합니다. 당신은 대답합니다 - 이상적으로 제품 포트폴리오 또는 이와 유사한 것으로 응답합니다.

귀하의 답변은 귀중한 정보를 제공합니다 :

  • 전자 메일 서명은 어떻게 생겼습니까?
  • 어떤 글꼴을 사용합니까?
  • 문서에 로고를 어디에 배치합니까?
  • 제목을 어떻게 강조 표시합니까?
  • 어떤 색상을 사용합니까?
  • 그리고, 그리고, 그리고...

지금까지는 로켓 과학이 아닙니다. 그러나 조심하십시오 - 여기에 트릭이 있습니다.  귀사가 "SampleCompany"라고 불리며 인터넷에서 "samplecompany.com"에서 찾을 수 있다고 가정 해 봅시다. 그런 다음 이제 인터넷에서 주소와 매우 유사하게 보이는 주소를 찾습니다. 예를 들어 "samplecompany.eu"입니다. 나는이 주소를 구입하고 (실제로 단지 몇 유로의 비용이 든다) 이제 그것에 대한 나의 공격을 구축할 수있다

"firstname.lastname@samplecompany.eu"에서 서명이 포함 된 전자 메일을 보낼 수 있기 때문에 마치 직접 온 것처럼 보입니다. 기술적으로 아무런 차이가 없기 때문에 발신자로 사용하는 이름이나 동의어는 신경 쓰지 않습니다.

 

정보 보안 사고: 실제 사례

비즈니스 관리자가 귀하의 비즈니스 관리자가 아닙니다.

 예를 들어 IT의 관리자 인 척하면 정말 위험 할 수 있습니다. 나는 당신과 당신의 모든 동료에게 전자 메일을 쓰고, 예를 들어 원격 회의를위한 새로운 비디오 포털에 관심을 끌며, 모든 직원은 기존 연락처가 이전되었는지 확인하기 위해 한 번 인증해야합니다.

또는 전무 이사의 조수로 편지를 쓰고 크리스마스 파티가 전염병으로 인해 취소되었지만 대신 다섯 개의 새로운 iPhone이 경영진에 의해 추첨되고 있다고 설명 할 때. 모든 사람이 복권 냄비에 한 번만 들어갈 수 있도록하려면 각 직원에게 첨부 된 포털에서 한 번 인증하도록 요청하십시오 - 당첨자는 12 월 말에 발표됩니다.

가짜 로그인 영역 : 디지털화의 시대에 아이의 놀이

어떤 방법을 선택하든 - 나는 당신에게 "포털"로 연결되는 링크를 보내야합니다. 그러면 "raffle.samplecompany.eu" 또는 "portal.samplecompany.eu"이 될 수 있습니다.

또한이 시점에서 나는 창의력에 자유로운 고삐를 줄 수 있습니다. 해당 페이지를 소유하고 있기 때문에  귀하와 동료에게 신뢰할 수있는 것을 만들어야합니다. 콘테스트의 경우, 예를 들어, 로고와 약간의 산타 클로스와 함께 회사 디자인의 멋진 로그인 영역. 또는 일부 슈팅 스타.

암호는 공격자와 함께 끝납니다 - 일반 텍스트로

물론 보안은 내 포털에서 최우선 과제입니다! 모든 것이 훌륭하게 암호화 되어 있으며 타사에서 귀하의 입력을 읽을 수 없게됩니다. 결국, 당신은 민감한 정보 인 사용자 이름과 암호를 입력하고 있습니다. 기술적 인 관점에서 볼 때, 이 모든 것은 절대적으로 심각합니다. 귀하의 데이터는 안전하게 전송되며 결국 최고의 손에 달려 있습니다.

그건 그렇고, 암호의 복잡성은 그러한 공격에서 완전히 관련이 없습니다. 그것은 공격자와 함께 일반 텍스트로 끝납니다. 그리고 (최소한으로 더 복잡하더라도) 포털을 적절하게 조정하면 다양한 2 요인 솔루션이 "피싱"될 수 있음을 명심하십시오.

 

정보 보안: 성공 요인으로서의 직원

나는 마지막에 가장 중요한 질문을 정리하겠다고 약속했다: 왜 내가 이 모든 것을 너희에게 말하고 있느냐? 대답은 : 다른 누구?

내가 설명하고있는 공격은 순전히 기술적 인 관점에서 볼 때 공격이 아니라는 것을 이해하는 것이 중요합니다. 나는 당신에게 실제로 나에게 속한 주소에서 이메일을 쓰고 있습니다. 악성 코드는 물론 첨부 파일도 없습니다. 시스템을 손상시키지 않으려는 인터넷의 페이지로 리디렉션됩니다. 그리고 앞에서 설명했듯이이 사이트는 완벽하게 보호되며 모든 트래픽이 최적으로 암호화됩니다.

이것이 로그온하는 다른 (평판이 좋은) 사이트와 함께하는 방법입니다. 그리고 자신을 인증하기 위해 LinkedIn 또는 XING에 개인 암호를 입력하는 것처럼 지금 내 사이트에 입력하십시오.

 

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search
Loading...

기술적 관점에서 , 피셔는 전자 메일을 위조하지 않습니다. 그들은 당신의 회사 전체를 가짜로 만듭니다.  이것이 바로 기술적 보호 조치가 작동하지 않는 이유입니다. 해결책은 공격을 인식하고 예방하는 것입니다 - 그리고 그것은 당신에게 달려 있습니다.

기술적 인 관점에서 이메일을 위조하지 않는다는 것을 이해하는 것이 중요합니다. 나는 당신의 회사 전체를 위조하고 있습니다.

이것이 바로 기술적 보호 조치가 작동하지 않는 이유입니다. 해결책은 공격을 탐지하고 예방하는 데 있습니다 - 그리고 그것은 당신에게 달려 있습니다. 이 방향으로 직원의 인식을 높이기위한 적절한 조치와 같습니다.

이 시나리오를 깔끔하게 설정하면 주소의 차이를 알아 차리면 공격을 탐지 할 수 있으므로 우리의 경우 ". 당신의 ".com"대신 eu". 나는 여러분 중 한 명 또는 다른 사람이 스트레스가  많은 일상 업무에서조차도이 작업을 수행하는 데 필요한 개요를 가지고 있다고 절대적으로 확신한다는 것을 알고 있습니다. 그러므로 나는 더 진보 된 사람들에게 생각을위한 약간의 음식을주고 싶습니다.

당신은 또한 "samplecompany.com"을 가짜로 인식 할 것입니까? 약간의 힌트 : "l"은 L이 아니라 그리스어 문자 "Iota"입니다. 인간의 눈에는 그들 사이에 차이가 없으며, 컴퓨터는 아마도 그것을 조금 다르게 볼 것입니다. 회사를 위해 시뮬레이션 한 모든 피싱 공격에서 직원이 데이터를 공개하지 않은 고객은 단 한 명도 없었습니다.

 

모든 것이 되고 끝이 나는: 직원들이 공격에 민감하게 반응하도록

따라서 문제는 동료가 그러한 공격에 빠질 것인지 여부가 아닙니다. 문제는 얼마나 많은 직원이 공격을 인식하는지, 얼마나 빨리 IT에 보고할 것인지, 그리고 IT가 얼마나 많은 시간을 대응해야 하는지입니다.

이것은 직원이 보안 인식 측면에서 더 많은 정보 보안 및 IT 보안의 성공 요인이되는 곳입니다.

나는  자신의 전략을 스스로 지키고 그러한 공격의 비참한 결과를 즐기는 백인 해커 중 한 명이되고 싶지 않습니다. 훨씬 더 많은 것을 당신과 함께 기여하여 회사를 좀 더 안전하게 만들고 싶습니다.

이제 그것은 당신의 차례입니다 : 내가 방금 당신에게 설명한 것은 사람들과 때로는 부주의한  정보 처리가 악용되어 공격자로서 이익을 창출하는 데 사용될 수있는 여러 가지 방법의 한 예일뿐입니다. IT 부서는 제한된 범위 내에서만 이를 방지하거나 전혀 보호할 수 없습니다. 그것이 그들의 직업입니다. 자신을 공격하고, 동료를 납치하여 (가상) 점심 테이블에서 주제로 삼을 수있는 방법에 대해 생각해보십시오.

 

ISO 27001: 측정 카탈로그의 일부로서의 인식

그런 다음 회사를 정기적으로 테스트하고 보안 계획의 일부에 대한 인식을 확인하십시오. 라인 사이를 어느 정도 읽으면 정보 보안 관리 시스템 (ISMS)에 대한 국제적으로 인정받는 표준에서도 찾을 수 있습니다.

예를 들어, ISO / IEC 27001은 회사 정보를 처리하는 방법에 대한 체인에서 가장 약한 링크에 대한 인식과 민감성을 보장해야합니다 (7.3 장 및 부록 7.2.2). 이것은 이메일 주소처럼 간단한 것으로 시작됩니다. GDPR과 같은 다른 규제 또는 법적 요구 사항도 사고 회피의 예방 적 접근 방식을 목표로합니다

"ISO 27001에 따른 ISMS는 기업에서 보호할 가치가 있는 정보의 보안을 보장하기 위한 요구 사항, 규칙 및 방법을 정의합니다. 이 표준은 보호 수준을 도입, 구현, 모니터링 및 개선하기 위한 모델을 제공합니다. 목표는 잠재적 위험을 식별하는 것입니다. 회사는 이를 분석하고 적절한 조치를 통해 제어할 수 있도록 합니다. ISO 27001은 외부 인증 프로세스의 일부로 심사되는 이러한 관리 시스템에 대한 요구 사항을 공식화합니다. 표준은 ISO 웹사이트에서 제공됩니다."

가이드라인, 교육, 진행 중인 뉴스에 대한 커뮤니케이션 또는 시뮬레이션된 피싱 공격과 같은 인식 조치로 표준 요구 사항을 충족합니다. 그리고: 자신에게 정직하고 내가 방금 설명한 것과 같은 비상 사태에 대비하는 데 이전 훈련 조치가 얼마나 성공적이었는지 자문해 보십시오.

Man and a woman with a laptop in a server room
Loading...

ISO 27001 - 질문과 답변

가치 있는 정보는 오늘날의 금이며 따라서 회사에서 보호해야 할 자산이기도 합니다. ISO 27001에는 많은 솔루션이 저장되어 있습니다.

정보 보안 사건은 일반적으로 혼란을 의미합니다.

우리가 정직의 주제에있는 동안: 사이버 공격으로 촉발 된 정보 보안 사건에 실제로 어떻게 반응 할 것입니까? 분명히 반응 형 보안의 주제는 항상 약간 불편하지만 이야기해야 할 사항입니다.

사람들은 화재 경보 훈련처럼 생각하기를 좋아합니다 - 근무 시간 중 어느 시점에서 예기치 않게 종소리가 울리고, 모두가 질서 정연하고 차분한 방식으로 건물을 떠나고, 밖에서 잠시 기다렸다가 날씨에 대해 동료들과 이야기를 나누고, 잠시 후 모든 사람들이 커피를 마실 수있는 길로 돌아올 수 있습니다.

그러나 그것은 그런 것이 아닙니다.

우리 팀은 이미 공격이 있었던 몇 개의 회사에 의해 연락을 받았으며, 나는 당신에게 약속 할 수 있습니다 : 그것은 혼돈입니다. 실제 사건이 있은 지 며칠 후도. 다른 이유들 중에서도, 현대 해커들이 희생자들의 오만함을 이용하기 때문이다.

 

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention
Loading...

보안 개념의 일부에 대한 인식을 확인하고 회사를 정기적으로 테스트하도록 하십시오. 라인 사이를 어느 정도 읽으면 정보 보안 관리 시스템에 대한 국제적으로 인정받는 표준 인 ISO 27001에서도 찾을 수 있습니다.

나는 이것을 당신에게 설명하고 싶기 때문에 피싱 공격으로 돌아가 봅시다. 공격자로서 암호를 사용하여 동료의 IT 시스템 중 하나에 원격으로 연결할 수 있다고 가정 해 보겠습니다. 회사의 누군가가 여기에 공격이 있다는 것을 알아 차리고 IT에보고한다는 것을 알지 못할 것이라고 생각하십니까? 가장 좋은 경우, 당신은 개인적으로, 나는 그것을 완전히 알고 있습니다.

 

정보 보안 인시던트: 시스템 백도어

그래서 저는 두 가지 일을합니다 : 첫째, 나는 당신의 회사를 귀찮게하고 당신에게 할 일을 제공하는 명백한 일을합니다. 예를 들어, 동료의 이름으로 고객에게 스팸 이메일을 보냅니다. 이는 눈에 띄며 귀하와 귀하의 IT 부서에 할 일을 제공합니다. 이제 모든 비상 계획을 옷장에서 꺼내 IT 담당자와 완벽하게 함께 정보 보안 사고를 완벽하게 처리 할 수 있습니다. 변색 된 이미지를 새로운 고광택으로 연마하고 이전보다 "생존자"로서 더 잘 보이게하는 정교한 마케팅 조치를 포함합니다. 전문가가이 작업을 수행 할 수 있습니다.

그러나 동시에 공격자로서 IT가 모든 허브에서 눈치 채지 못할 시스템에 백도어를 설정하려고합니다. 그것은 보석 가게에 들어가서 가장 큰 진열장을 두드리고, 모두가 부서진 조각을 훔치는 동안 비밀리에 모든 비싼 반지와 시계를 내 주머니에 넣는 것과 같습니다.

말할 필요도없이, 당신이 찾고있는 것을 모른다면 내 뒷문은 찾기가 매우 어렵습니다. 그리고 나서 나는 아무것도하지 않습니다. 몇 주 동안, 몇 달 동안.

"나는 조용히 당신의 네트워크를 통해 일합니다. 나는 퍼집니다 - 그리고 나는 기다립니다 ..."

이제 저는 조용히 귀사의 네트워크를 통해 작업하려고 합니다. 네트워크를 고갈시키고 보안 시스템에 경고하는 "시끄러운" 소프트웨어 스캐너가 없습니다. 완전히 수동으로, 유사 올드 스쿨. 그건 그렇고, 이것은 밀이 해커 측의 왕겨에서 분리되는 곳입니다. 네트워크가 테스트 시나리오에서 보안 스캐너에만 노출된 경우 지금은 전혀 도움이 되지 않습니다. 나는 퍼졌고 나는 참을성 있게 기다립니다. 백업이 언제 어떻게 이루어지며 누가 누구와 통신하며 귀하의 조직이 가장 민감한 위치를 식별하려고 노력합니다. 우리의 예에서 나는 아마도 밤에 이것을 할 것입니다. 또는 적어도 내가 관찰될 가능성이 훨씬 적은 핵심 근무 시간 후에 합니다. 그리고 물론, 나는 매일 내 흔적을 덮습니다.

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search
Loading...

사전 예방적 IT 보안 조치, 특히 뚜렷한 보안 인식 은 모든 회사의 IT 보안 개념에서 가장 중요한 빌딩 블록입니다. 그럼에도 불구하고 잘 발달 된 보안 인식에는 귀하에게 발생할 수 있다는 이해도 포함됩니다. 그리고 그런 일이 일어나면, 당신은 준비되어야합니다.

그리고 몇 달 후 - 큰 정보 보안 사건이 발생합니다. 회사의 파란색에서 완전히 벗어났습니다. 예를 들어, 수많은 암호화 트로이 목마 중 하나를 사용하여 협박합니다. 그러나 "우연히도"예비 작업으로 인해 가장 높은 권한으로 실행되고 보안 조치를 우회하며 가장 관련성이 높은 파일을 먼저 사용하는 시스템으로 확산됩니다. 그리고 내가 가진 모든 시간에, 나는 당신의 백업 시스템에서 약점을 발견했다면 ... 내가 말했듯이, 혼돈.

 

인식 부족: 표적 공격에 적합

예, 우리는 여전히 우리의 모범에 있지만, 이것은 어떤 식 으로든 할리우드가 아닙니다. 이것은 일반적인 관행이며 우리가 여전히 그러한 암호화 트로이 목마로 고생하는 회사에 대해 자주 듣고 읽는 주요 이유입니다. 몇 년 전, 이들은 인터넷에서 다소 풀려났고, 양떼 중 가장 약한 양들만이 그들에게 희생 되었습니다 : 외부에서 기술적 보안이 약한 회사.

오늘날 상황은 다릅니다. 직원에 대한 인식 부족은 회사를 표적으로 삼는 데 사용되며 피해자가 완전히 통제 될 때만 자동화 된 공격 소프트웨어가 배포됩니다.

저는 여전히 사전 예방적 IT 보안 조치, 특히 강력한 보안 인식이 모든 회사의 IT 보안 개념에서 가장 중요한 빌딩 블록이라고 믿습니다.이를 뒷받침하기에는 너무 많은 사례와 구체적인 사례가 있습니다. 그럼에도 불구하고 잘 발달 된 보안 인식에는 영향을받을 수 있다는 이해도 포함됩니다. 나는 이것에 나 자신을 포함시킨다. 그리고 그런 일이 일어나면, 당신은 준비되어야합니다

발생 확률 최소화

나는 의도적으로 내 발언에 화재 경보의 예를 포함시켰다. 이것은 모든 사전 예방 조치에도 불구하고 화재가 발생하는 사건에 대해 회사를 준비시킵니다. 일부 회사는 정보 보안 인시던트 및 IT 보안 인시던트에 대해서도 이와 같은 것을 가지고 있습니다. 그리고 그것이 당신에게 너무 좋은 일이라면 (그것은 정말로 항상 각각의 경우에 회사에 달려 있습니다), 나는 여전히 당신을위한 팁을 가지고 있습니다:

사전 예방적 보안 조치의 일환으로 침투 테스트 또는 기타 공격 시뮬레이션을 구현한다면, 발견한 취약성을 단순히 수정하는 데 안주하지 마십시오. 항상 질문하십시오 :이 취약점은 과거에 악용 되었습니까? 백도어가 설치되었습니까?

 

"질문을 멈추지 마세요."

또는 다른 말로 하면 모든 "발견"을 실제 정보 보안 사고의 심각성으로 취급합니다. 그렇게 하면 화재 경보기 테스트처럼 발생 가능성을 최소화하는 동시에 사후 대응 보안 계획을 테스트할 수 있습니다.

이 모든 것은 인식의 일부이며 동시에 전체의 일부일 뿐입니다. 하지만 이 중요한 구성 요소를 사용하면 "내일 생각하면 잘못된 발로 밟아도 될까요?"라고 물을 때 저희에게 미소를 지어주세요.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

귀하의 질문에 기꺼이 답변해 드리겠습니다.

정보보안경영시스템 인증 시 어떤 노력을 기울여야 합니까? 의무 요구사항 없이 무료로 알아보십시오. 우리는 당신과 이야기하기를 기대합니다.

신뢰와 전문성

당사의 텍스트 및 브로셔는 다년간의 경험을 가진 당사의 표준 전문가 또는 심사원이 독점적으로 작성했습니다. 텍스트 내용이나 저자에 대한 서비스에 대해 질문이 있으면 언제든지 저희에게 연락하십시오.

저자
아르위드 장

보안 플랫폼 "greenhats"의 Managing Director. IT 보안 전문가, 교육자 및 저자는 화이트해킹, 인식 교육, 정보 보안 및 IT 시스템의 사전 강화를 전문으로 합니다.

Loading...