Incydenty związane z bezpieczeństwem informacji: Pracownicy jako czynnik sukcesu

CONTENT

• Strony internetowe są jak otwarte książki
• Proste jest najbardziej niebezpieczne
• Adresy e-mail: "kapitał" phishingu
• Świadomość bezpieczeństwa: Koń trojański pojawia się oficjalnie
• Incydenty związane z bezpieczeństwem informacji: Przykład z życia wzięty
• Bezpieczeństwo informacji: Pracownicy jako czynnik sukcesu
• Wszystko co najlepsze: uwrażliwienie pracowników na ataki
• ISO 27001: Świadomość jako część katalogu środków
• Incydent związany z bezpieczeństwem informacji oznacza zazwyczaj chaos
• Tylne drzwi do Twojego systemu
• Brak świadomości: idealne miejsce na atak ukierunkowany
• Minimalizacja prawdopodobieństwa wystąpienia

Witryny są jak otwarte książki

Wiadomo, że bezpieczeństwo IT i bezpieczeństwo informacji to dwie całkiem różne pary butów, ale linie te wciąż mogą się zacierać. Oczywiście, incydenty związane z bezpieczeństwem IT regularnie prowadzą do incydentów związanych z bezpieczeństwem informacji. Jasne, gdybym był hakerem naruszającym sieć korporacyjną, musiałbym siedzieć przed ekranem z konwulsyjnie zamkniętymi oczami, żeby nie wyłapać tej czy innej informacji, która nie była przeznaczona dla mnie.

Możliwe jest jednak również, że cyberprzestępcy początkowo zbierają informacje, które w dłuższej perspektywie umożliwiają im zaatakowanie systemów informatycznych wybranej przez nich ofiary.

W platformie kontroli bezpieczeństwa greenhats.com, nasza codzienna praca polega na hakowaniu firm, identyfikowaniu luk w zabezpieczeniach i naprawianiu ich, zanim znajdą je przestępcy.

Wierny mottu "Let's just talk about it", w tym artykule chciałbym szczegółowo wyjaśnić Wam metodę ataku, która dotyczy każdego. I wspólnie z Tobą chciałbym odpowiedzieć na pytanie: Dlaczego właściwie mówię Ci o tym wszystkim?

Incydenty związane z bezpieczeństwem informacji: Proste jest najbardziej niebezpieczne

Mowa oczywiście o tak zwanym "ataku phishingowym" - nie martwcie się, postaram się oszczędzić Wam kolejnych obcych słów i słownictwa informatycznego. Nawet ich nie potrzebuję, bo phishing to nie atak techniczny, ale atak na najsłabsze ogniwo w łańcuchu (prawie) każdej koncepcji bezpieczeństwa. Atak na ludzi.

Załóżmy, że chcę Cię zaatakować. Wtedy nie siadam chaotycznie przy laptopie i nie zaczynam pisać na czarnych konsolach. Nie, najpierw potrzebuję... dokładnie! Informacji i danych osobowych. Obejmuje to:

• Adresy e-mail twojej firmy
• Nazwiska pracowników IT
• Podpisy emaili
• Informacje o Twojej tożsamości korporacyjnej
• Temat, który jest interesujący dla Twoich pracowników

Zakładając, że nie wiem nic poza nazwą Twojej firmy, naturalnie najpierw wchodzę na stronę internetową, czytam i uczę się wszystkiego, co jest do nauczenia. Przede wszystkim interesują mnie adresy mailowe i osoby kontaktowe Twojego IT. Ponieważ w poniższym ataku chcę wysłać fałszywy e-mail do jak największej liczby pracowników (których adresy są mi potrzebne), jednocześnie unikając w miarę możliwości wysyłania go również do IT.

Adresy e-mail: "kapitał" ataku phishingowego.

Po znalezieniu kilku adresów e-mail, wyprowadzam wzór. Na przykład "firstname.lastname@samplecompany.com" Staram się więc zdezorientować logikę, jak można wywnioskować adres e-mail pracownika z jego nazwiska.

Potem znów ruszam do Internetu - tym razem do sieci społecznościowych. Nie mówię tu o "złych" graczach typu Facebook & Co. XING i LinkedIn są znacznie bardziej interesujące.

Tam wyszukuję Twoją firmę i patrzę, które osoby podają, że pracują w tej firmie. W ten sposób otrzymuję listę nazwisk, z których możemy wyprowadzić adresy za pomocą zidentyfikowanego wzorca. Jednocześnie na podstawie profili w sieciach społecznościowych mogę już stwierdzić, którzy z Twoich kolegów mogliby potencjalnie rozpoznać mój nadchodzący atak na podstawie ich doświadczenia zawodowego i zainteresowań IT.

Ci koledzy nie otrzymają ode mnie żadnej fałszywej poczty.

Świadomość bezpieczeństwa: Koń trojański pojawia się oficjalnie

Teraz, gdy znam już cel mojego ataku, chcę podszyć się pod pracownika Twojej firmy. Aby to zrobić, najpierw nawiązuję z Tobą kontakt. Poprzez oficjalne kanały, na przykład jako potencjalny klient. Piszę do Ciebie maila i proszę o wycenę. Odpowiadasz - najlepiej z portfolio produktów lub podobnym.

Twoja odpowiedź dostarcza mi cennych informacji:

• Jak wygląda Twoja sygnatura e-mailowa?
• Jakich czcionek używasz?
• Gdzie umieszczasz swoje logo w dokumentach?
• Jak podkreślasz nagłówki?
• Jakich kolorów używasz?
• I, i, i...

Jak na razie nie jest to rocket science. Ale uważaj - tu pojawia się podstęp. Załóżmy, że Twoja firma nazywa się "SampleCompany" i można ją znaleźć w Internecie pod adresem "samplecompany.com". Następnie szukam teraz w Internecie adresu, który wygląda bardzo podobnie do Twojego adresu. Na przykład "samplecompany.eu". Kupuję ten adres (to naprawdę kosztuje tylko kilka euro) i mogę teraz zbudować na nim mój atak.

Ponieważ z adresu "firstname.lastname@samplecompany.eu" mogę wysyłać e-maile z Twoim podpisem, które wyglądają tak, jakby pochodziły bezpośrednio od Ciebie. Nie obchodzi mnie, jakich nazwisk lub synonimów używam jako nadawcy, ponieważ technicznie nie robi to żadnej różnicy.

Incydenty związane z bezpieczeństwem informacji: Przykład z życia wzięty

Twój menedżer biznesowy nie jest twoim menedżerem biznesowym

To może być naprawdę niebezpieczne, jeśli na przykład podam się za administratora Twojego IT. Piszę e-mail do Ciebie i wszystkich Twoich współpracowników, w którym zwracam uwagę np. na nowy portal wideo do zdalnych spotkań, gdzie wszyscy pracownicy powinni się raz uwierzytelnić, aby sprawdzić, czy dotychczasowe kontakty zostały przeniesione.

Albo kiedy piszę do Ciebie jako asystentka dyrektora zarządzającego i wyjaśniam, że przyjęcie świąteczne zostało odwołane z powodu pandemii, ale w zamian kierownictwo firmy rozda pięć nowiutkich iPhone'ów. Aby upewnić się, że wszyscy trafią do puli loterii tylko raz, poproś każdego pracownika o jednokrotne uwierzytelnienie się na załączonym portalu - zwycięzcy zostaną ogłoszeni pod koniec grudnia.

Obszar fałszywego logowania: Dziecinna zabawa w czasach cyfryzacji

Niezależnie od tego, którą metodę wybiorę - muszę przesłać Ci link, który prowadzi do wspomnianego "portalu". Może to być "raffle.samplecompany.eu" lub "portal.samplecompany.eu".

Również w tym momencie mogę dać upust swojej kreatywności. Ponieważ jestem właścicielem odpowiedniej strony, muszę tylko zbudować tam coś, co będzie wyglądało wiarygodnie dla Ciebie i Twoich kolegów. W przypadku konkursu, na przykład, ładny obszar logowania w designie Twojej firmy, z Twoim logo i może małym Mikołajem. Albo jakieś strzelające gwiazdki.

Hasła trafiają do atakującego - w postaci zwykłego tekstu

Oczywiście bezpieczeństwo jest na moim portalu najwyższym priorytetem! Wszystko jest świetnie zaszyfrowane i uniemożliwione osobom trzecim odczytanie Twoich danych wejściowych. W końcu wprowadzasz nazwy użytkowników i hasła, czyli wrażliwe informacje. Z technicznego punktu widzenia wszystko to jest absolutnie poważne. Twoje dane są przesyłane bezpiecznie i trafiają w najlepsze ręce - moje.

Przy okazji, złożoność twojego hasła jest całkowicie nieistotna w takim ataku; kończy się w czystym tekście u atakującego. I pamiętaj, że (nawet jeśli minimalnie bardziej skomplikowane) szeroki wachlarz rozwiązań 2-factor może być "phished", jeśli odpowiednio dostosuję swój portal.

Bezpieczeństwo informacji: Pracownicy jako czynnik sukcesu

Obiecałem Ci, że na koniec wyjaśnię najważniejsze pytanie: Po co ja Ci to wszystko mówię? Odpowiedź brzmi: Komu jeszcze?

Ważne jest, aby zrozumieć, że atak, który opisuję, jest - z czysto technicznego punktu widzenia - wcale nie jest atakiem. Piszę do Ciebie e-mail z adresu, który rzeczywiście należy do mnie. Nie ma w nim nawet załącznika, nie mówiąc już o złośliwym oprogramowaniu. Zostajesz przekierowany na stronę w Internecie, która nie próbuje skompromitować Twojego systemu. I tak jak opisałem wcześniej, strona ta jest również doskonale zabezpieczona, a cały ruch jest optymalnie szyfrowany.

Tak jest z innymi (renomowanymi) stronami, na które się logujesz. I tak jak na LinkedIn czy XING wpisujesz swoje prywatne hasło, aby się uwierzytelnić, tak teraz wpisujesz je na mojej stronie.

Ważne jest, aby zrozumieć, że z technicznego punktu widzenia nie fałszuję wiadomości e-mail. Podrabiam całą Twoją firmę.

I właśnie dlatego techniczne środki ochrony nie działają. Rozwiązanie leży w wykrywaniu i zapobieganiu atakowi - i to zależy od Ciebie. Podobnie jak odpowiednie działania zwiększające świadomość pracowników w tym kierunku.

Bo jeśli zgrabnie ustawię ten scenariusz, to wykrycie ataku jest możliwe tylko poprzez zauważenie różnicy w adresie, czyli w naszym przypadku ".eu" zamiast Waszego ".com". Jestem świadomy, że jeden lub drugi z Was jest teraz absolutnie pewny, że ma niezbędny przegląd, aby zrobić to nawet w swojej stresującej codziennej pracy. Dlatego chciałbym dać tym bardziej zaawansowanym z Was trochę do myślenia:

Czy rozpoznalibyście również "samplecompany.com" jako fałszywkę? Mała podpowiedź: "l" to nie jest L, ale grecka litera "Iota". Dla ludzkiego oka nie ma między nimi różnicy, Twój komputer prawdopodobnie widzi to nieco inaczej. Mogę Cię zapewnić, że we wszystkich atakach phishingowych, które symulowaliśmy dla firm, nie było ani jednego klienta, w którym żaden pracownik nie ujawnił swoich danych.

Wszystko co najlepsze: uwrażliwić pracowników na ataki

Pytanie nie brzmi więc, czy Twoi współpracownicy dadzą się nabrać na taki atak. Pytanie brzmi o wiele bardziej, ilu pracowników rozpozna atak, jak szybko zgłoszą go do IT i ile czasu IT ma na reakcję.

To jest właśnie miejsce, w którym pracownik staje się czynnikiem sukcesu dla bardziej bezpieczeństwa informacji i bezpieczeństwa IT w zakresie świadomości bezpieczeństwa.

Nie chcę być jednym z tych white-hackerów, którzy zachowują swoje strategie dla siebie i cieszą się z katastrofalnych skutków takich ataków. O wiele bardziej chciałbym przyczynić się razem z Tobą do tego, aby Twoja firma była nieco bardziej bezpieczna.

Teraz twoja kolej: To, co właśnie Ci opisałem, jest tylko jednym z wielu przykładów, na jakie ludzie i ich niekiedy niedbałe obchodzenie się z informacjami mogą zostać wykorzystani i użyci do osiągnięcia zysków jako atakujący. Działy IT mogą chronić przed tym tylko w ograniczonym stopniu lub wcale; to ich zadanie. Sam wymyślaj ataki, zastanów się, jak mógłbyś porwać swoich kolegów i uczynić z tego temat przy (wirtualnym) stole obiadowym.

ISO 27001: Świadomość jako część katalogu środków

A potem regularnie wystawiaj swoją firmę na próbę i uczyń świadomość częścią swojego planu bezpieczeństwa. Czytając nieco między wierszami, znajdziesz to również w uznanej na całym świecie normie dotyczącej systemu zarządzania bezpieczeństwem informacji (ISMS).

NormaISO/IEC 27001 wymaga na przykład zapewnienia świadomości, a tym samym uwrażliwienia najsłabszego ogniwa łańcucha na sposób postępowania z informacjami firmy (rozdział 7.3 i załącznik 7.2.2). Zaczyna się to od czegoś tak prostego jak adres e-mail. Inne wymogi regulacyjne lub prawne, takie jak GDPR, również ukierunkowane są na podejście prewencyjne polegające na unikaniu incydentów.

Spełnij wymagania normy za pomocą środków zwiększających świadomość, takich jak wytyczne, szkolenia, komunikacja o bieżących nowościach, a nawet symulowane ataki phishingowe, tak jak robimy to dla naszych klientów. I: Bądź ze sobą szczery i zadaj sobie pytanie, na ile skuteczne były Twoje dotychczasowe działania szkoleniowe w przygotowaniu Cię do sytuacji kryzysowej, takiej jak ta, którą właśnie przedstawiłem.

Incydent związany z bezpieczeństwem informacji oznacza zazwyczaj chaos

Skoro jesteśmy przy temacie szczerości: jak właściwie zareagowałbyś na incydent bezpieczeństwa informacji wywołany cyberatakiem? Co prawda temat bezpieczeństwa reaktywnego jest zawsze nieco niewygodny, ale jest to coś, o czym powinno się mówić.

Ludzie lubią myśleć o tym jak o ćwiczeniach alarmu przeciwpożarowego - w pewnym momencie w godzinach pracy niespodziewanie rozlega się dzwonek, wszyscy opuszczają budynek w uporządkowany i spokojny sposób, czekają trochę na zewnątrz i gawędzą z kolegami o pogodzie, a po chwili wszyscy mogą wrócić do środka i po drodze mogą złapać kawę.

Ale to nie jest tak.

Z moim zespołem kontaktowało się już kilka firm, w których doszło do ataku i mogę obiecać: To jest chaos. Nawet kilka dni po faktycznym wydarzeniu. Między innymi dlatego, że współcześni hakerzy wykorzystują arogancję swoich ofiar.

Chcę Ci to wyjaśnić, więc wróćmy do naszego ataku phishingowego. Powiedzmy, że mnie, jako atakującemu, udaje się zdalnie podłączyć do systemu informatycznego jednego z Twoich kolegów, używając jego hasła. Czy myślisz, że nie wiedziałbym, że ktoś w Twojej firmie zauważył, że doszło tu do ataku i zgłosił to do IT? W najlepszym wypadku robisz to osobiście, jestem tego w pełni świadomy.

Incydenty związane z bezpieczeństwem informacji: Tylne drzwi do twojego systemu

Dlatego robię dwie rzeczy: Po pierwsze, robię coś oczywistego, co denerwuje twoją firmę i daje ci coś do zrobienia. Na przykład, wysyłam spam do Twoich klientów w imieniu Twojego kolegi. To się wyróżnia i daje tobie i twojemu działowi IT coś do zrobienia. Teraz możesz wyciągnąć z szafy wszystkie swoje plany awaryjne i wraz z przedstawicielami IT opracować obrazowo incydent bezpieczeństwa informacji. W tym wyrafinowane środki marketingowe, które wypolerują nadszarpnięty wizerunek na nowy, wysoki połysk i być może sprawią, że będziesz wyglądał jeszcze lepiej jako "ocalały" niż wcześniej. Profesjonaliści mogą to zrobić.

Ale w tym samym czasie, jako atakujący, próbuję ustawić backdoor do systemu, który twój IT nie zauważy w całym tym zamieszaniu. To jak wejście do sklepu jubilerskiego, przewrócenie największej gabloty i potajemne włożenie wszystkich drogich pierścionków i zegarków do mojej kieszeni, podczas gdy wszyscy rzucają się na połamane kawałki.

Nie muszę dodawać, że moje tylne drzwi są niezwykle trudne do znalezienia, jeśli nie wiesz, czego szukasz. A potem nic nie robię. Przez tygodnie, przez miesiące.

Teraz próbuję przejść przez twoją sieć firmową, po cichu. Bez żadnych "hałaśliwych" skanerów programowych, które wyczerpią sieć i zaalarmują systemy bezpieczeństwa. Całkowicie ręcznie, quasi old school. Przy okazji, to jest miejsce, w którym pszenica jest oddzielona od plew po stronie hakerów. Jeśli Twoja sieć była wystawiona na działanie skanerów bezpieczeństwa tylko w scenariuszach testowych, to teraz nic Ci to nie pomoże. Rozkładam się i czekam - cierpliwie. Staram się zidentyfikować, kiedy i jak tworzone są kopie zapasowe, kto z kim się komunikuje i gdzie Twoja organizacja jest najbardziej wrażliwa. W naszym przykładzie, prawdopodobnie robię to w nocy - lub przynajmniej po głównych godzinach pracy, kiedy mam jeszcze mniejsze szanse na bycie obserwowanym. I, oczywiście, codziennie zacieram ślady.

I wtedy - miesiące później - pojawia się wielki incydent związany z bezpieczeństwem informacji. Całkowicie z zaskoczenia dla Twojej firmy. Na przykład, używam wtedy jednego z licznych trojanów szyfrujących, aby Cię szantażować. "Przypadkowo" jednak, z powodu mojej wstępnej pracy, działa on pod najwyższymi uprawnieniami, omija Twoje zabezpieczenia i rozprzestrzenia się najpierw na systemy z Twoimi najbardziej istotnymi plikami. A jeśli przez cały ten czas, który miałem, zauważyłem słabość w twoim systemie kopii zapasowych... Jak już mówiłem, chaos.

Brak świadomości: idealne miejsce na atak ukierunkowany

Tak, wciąż jesteśmy w naszym przykładzie, ale to nie jest Hollywood w żadnym wypadku. To powszechna praktyka i kluczowy powód, dla którego wciąż tak często słyszymy i czytamy o firmach zmagających się z takimi trojanami szyfrującymi. Kilka lat temu były one mniej lub bardziej rozpętane w Internecie, a ich ofiarą padały tylko najsłabsze owce ze stada: firmy, które miały słabe zabezpieczenia techniczne na zewnątrz.

Dziś sprawy mają się inaczej. Brak świadomości pracowników jest wykorzystywany jako cel dla firm i dopiero gdy ofiara jest w pełni kontrolowana, wdrażane jest oprogramowanie do automatycznego ataku.

Nadal uważam, że proaktywne środki bezpieczeństwa IT, a w szczególności silna świadomość bezpieczeństwa są najważniejszymi elementami składowymi koncepcji bezpieczeństwa IT każdej firmy - jest po prostu zbyt wiele przykładów i konkretnych przypadków, aby to potwierdzić. Niemniej jednak dobrze rozwinięta świadomość bezpieczeństwa obejmuje również zrozumienie, że możliwe jest bycie poszkodowanym. Zaliczam do tego również siebie. A gdyby tak się stało, należy być przygotowanym.

Minimalizacja prawdopodobieństwa wystąpienia

Celowo w swoich uwagach zawarłem przykład alarmu pożarowego. Przygotowuje to firmę na wypadek, gdyby mimo wszystkich proaktywnych działań, pożar jednak wybuchł. Niektóre firmy mają coś takiego również w przypadku incydentów związanych z bezpieczeństwem informacji i bezpieczeństwem IT. A jeśli to byłoby dla Ciebie trochę za dużo (to naprawdę zawsze zależy od firmy w każdym indywidualnym przypadku), to mam dla Ciebie jeszcze radę:

Jeśli wdrożysz testy penetracyjne lub inne symulacje ataków jako część swoich proaktywnych środków bezpieczeństwa, nie zadowalaj się po prostu naprawą znalezionych podatności. Zawsze zadawajcie pytanie: Czy ta luka była wykorzystywana w przeszłości? Czy zostały zainstalowane backdoory?

Lub, mówiąc inaczej, traktuj każde "znalezisko" z powagą rzeczywistego incydentu bezpieczeństwa informacji. W ten sposób minimalizujesz prawdopodobieństwo wystąpienia, a jednocześnie wystawiasz na próbę swoje reaktywne plany bezpieczeństwa - których szczerze życzę, abyś nigdy nie potrzebował. Podobnie jak alarm przeciwpożarowy.

Wszystko to jest częścią świadomości i jednocześnie tylko częścią całości. Mając jednak ten ważny składnik, możecie z nadzieją uśmiechnąć się do mnie, gdy zapytam: "Gdybym jutro przyłożył się do tego, czy mógłbym złapać was na złej stopie?". Z nadzieją.

Zaufanie i fachowość

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub audytorów z wieloletnim doświadczeniem. Jeśli masz jakiekolwiek pytania dotyczące treści tekstu lub naszych usług dla autora, prosimy o kontakt.