Как киберпреступники собирают информацию, чтобы поставить себя в положение для атаки на ИТ-системы? Как хакеру удается разослать поддельные электронные письма как можно большему числу сотрудников компании? Они часто добиваются успеха, выбирая в качестве мишени самое слабое звено в цепи концепции безопасности - людей. Вот почему сотрудникам невероятно важно знать свое место в эффективных мерах против инцидентов информационной безопасности. И они должны смотреть на риски и возможности информационной безопасности с другой, более осознанной точки зрения. Ключевое слово: осведомленность о безопасности. Гостевая статья Арвида Занга, управляющего директора greenhats.com
КОНТЕНТ
- Веб-сайты - как открытые книги
- Простота наиболее опасна
- Адреса электронной почты: "капитал" фишинга
- Осведомленность о безопасности: Троянский конь появляется официально
- Инциденты информационной безопасности: Пример из реальной жизни
- Информационная безопасность: Сотрудники как фактор успеха
- Все и вся: информирование сотрудников об атаках
- ISO 27001: осведомленность как часть каталога мер
- Инцидент информационной безопасности обычно означает хаос
- Черный ход в вашу систему
- Отсутствие осведомленности: идеальный вариант для целенаправленной атаки
- Минимизируйте вероятность возникновения
Веб-сайты как открытые книги
Известно, что ИТ-безопасность и информационная безопасность - это две совершенно разные пары обуви, но границы все же могут быть размыты. Очевидно, что инциденты в сфере ИТ-безопасности регулярно приводят к инцидентам в сфере информационной безопасности. Конечно, если я хакер, взламывающий корпоративную сеть, мне придется сидеть перед экраном с судорожно закрытыми глазами, чтобы не получить ту или иную информацию, которая мне не предназначалась.
Однако не исключено, что киберпреступники изначально собирают информацию, которая в долгосрочной перспективе позволяет им атаковать ИТ-системы выбранной ими жертвы.
На платформе проверки безопасности greenhats.com наша повседневная работа заключается в том, чтобы взламывать компании, выявлять уязвимости и устранять их до того, как их найдут преступники.
Верный девизу "Давайте просто поговорим об этом", в этой статье я хотел бы подробно рассказать вам о методе атаки, который затрагивает каждого. И вместе с вами я хотел бы ответить на вопрос: Почему, собственно, я рассказываю вам все это?
Инциденты информационной безопасности: Простое - самое опасное
Речь идет, конечно же, о так называемой "фишинговой атаке" - не волнуйтесь, я постараюсь избавить вас от иностранных слов и IT-лексики. Они мне даже не нужны, потому что фишинг - это не техническая атака, а атака на самое слабое звено в цепи (почти) каждой концепции безопасности. Атака на людей.
Предположим, я хочу напасть на вас. Тогда я не просто бессистемно сяду за ноутбук и начну печатать на черных консолях. Нет, сначала мне нужна... именно! Информация и личные данные. Это включает в себя:
- адреса электронной почты вашей компании
- Имена ваших ИТ-специалистов
- Подписи электронной почты
- Информация о вашем фирменном стиле
- Тема, интересная для ваших сотрудников
В принципе, фишинг - это не техническая атака, а атака на самое слабое звено в цепи (почти) каждой концепции безопасности.
Атака на людей.
Если предположить, что я не знаю ничего, кроме названия вашей компании, я, естественно, сначала зайду на сайт, прочитаю и узнаю все, что можно узнать. Прежде всего, меня интересуют адреса электронной почты и контактные лица вашего IT-отдела. Потому что в следующей атаке я хочу отправить поддельное письмо как можно большему числу сотрудников (чьи адреса мне нужны), избегая, насколько это возможно, отправки письма в ИТ-отдел.
Адреса электронной почты: "капитал" фишинговой атаки.
Как только я нахожу несколько адресов электронной почты, я вычисляю шаблон. Например, "[email protected]". Таким образом, я пытаюсь понять логику того, как можно вывести адрес электронной почты сотрудника из его имени.
Затем я снова отправляюсь в Интернет - на этот раз в социальные сети. Я не говорю о таких "злых" игроках, как Facebook & Co. XING и LinkedIn гораздо интереснее.
Там я ищу вашу компанию и смотрю, какие люди указывают, что они работают в этой компании. Таким образом, я получаю список имен, из которого мы можем вывести адреса, используя выявленный шаблон. В то же время по профилям в социальных сетях я уже могу сказать, кто из ваших коллег потенциально может распознать мою готовящуюся атаку, исходя из их профессионального опыта и интересов в сфере информационных технологий.
Эти коллеги не получат от меня никаких фальшивых писем.
Информированность о безопасности: Троянский конь приходит официально
Теперь, когда я знаю цель своей атаки, я хочу выдать себя за сотрудника вашей компании. Для этого я сначала устанавливаю с вами контакт. По официальным каналам, например, как потенциальный клиент. Я пишу вам электронное письмо и запрашиваю цену. Вы отвечаете - в идеале с портфолио продукции или чем-то подобным.
Ваш ответ предоставляет мне ценную информацию:
- Как выглядит ваша электронная подпись?
- Какие шрифты вы используете?
- Где вы размещаете свой логотип в документах?
- Как вы выделяете заголовки?
- Какие цвета вы используете?
- И, и, и...
Пока что это не ракетостроение. Но будьте осторожны - здесь кроется подвох. Предположим, что ваша компания называется "SampleCompany" и ее можно найти в Интернете по адресу "samplecompany.com". Теперь я ищу в Интернете адрес, который очень похож на ваш адрес. Например, "samplecompany.eu". Я покупаю этот адрес (на самом деле это стоит всего несколько евро) и теперь могу строить свою атаку на нем.
Потому что с адреса "[email protected]" я могу отправлять электронные письма с вашей подписью, которые будут выглядеть так, как будто они пришли непосредственно от вас. Мне все равно, какие имена или синонимы я использую в качестве отправителя, потому что технически это не имеет никакого значения.
Инциденты информационной безопасности: Пример из реальной жизни
Ваш бизнес-менеджер - не ваш бизнес-менеджер
Это может быть действительно опасно, если я, например, притворяюсь администратором вашей ИТ-службы. Я пишу электронное письмо вам и всем вашим коллегам, в котором обращаю ваше внимание, например, на новый видеопортал для удаленных встреч, где все сотрудники должны пройти однократную аутентификацию, чтобы проверить, были ли перенесены существующие контакты.
Или когда я пишу вам как помощник вашего управляющего директора и объясняю, что рождественская вечеринка отменена из-за пандемии, но вместо этого руководство разыгрывает пять новеньких iPhone. Чтобы убедиться, что каждый окажется в лотерейном котле только один раз, попросите каждого сотрудника один раз авторизоваться на прикрепленном портале - победители будут объявлены в конце декабря.
Область поддельных логинов: Детская игра во времена цифровизации
Независимо от того, какой метод я выберу - я должен отправить вам ссылку, ведущую на указанный "портал". Это может быть "raffle.samplecompany.eu" или "portal.samplecompany.eu".
Также на этом этапе я могу дать волю своему творчеству. Поскольку соответствующая страница принадлежит мне, я просто должен создать там что-то, что покажется вам и вашим коллегам заслуживающим доверия. В случае с конкурсом, например, красивая область входа в систему в дизайне вашей компании, с вашим логотипом и, возможно, маленьким Санта-Клаусом. Или несколько падающих звезд.
Пароли попадают к злоумышленнику - открытым текстом
Конечно же, безопасность является главным приоритетом на моем портале! Все отлично зашифровано, и третьи лица не могут прочитать введенные вами данные. Ведь вы вводите имена пользователей и пароли, а это конфиденциальная информация. С технической точки зрения все это абсолютно серьезно. Ваши данные передаются надежно и попадают в самые лучшие руки - мои.
Кстати, сложность вашего пароля совершенно не имеет значения при такой атаке; он попадает к злоумышленнику открытым текстом. И имейте в виду, что (даже при минимальном усложнении) самые разные двухфакторные решения могут быть "подделаны", если я соответствующим образом адаптирую свой портал.
Информационная безопасность: Сотрудники как фактор успеха
В конце я обещал прояснить самый важный вопрос: Зачем я вам все это рассказываю? Ответ таков: А кому же еще?
Важно понять, что атака, которую я описываю, - с чисто технической точки зрения - вовсе не атака. Я пишу вам письмо с адреса, который на самом деле принадлежит мне. В нем нет даже вложений, не говоря уже о вредоносных программах. Вас перенаправляют на страницу в Интернете, которая не пытается скомпрометировать вашу систему. И, как я уже описывал ранее, этот сайт также отлично защищен, а весь трафик оптимально зашифрован.
Так же обстоит дело и с другими (авторитетными) сайтами, на которые вы заходите. И точно так же, как вы вводите свой личный пароль на LinkedIn или XING для аутентификации, вы вводите его и на моем сайте.
С технической точки зрения, фишеры не подделывают электронные письма. Они подделывают всю вашу компанию. И именно поэтому технические меры защиты не работают. Решение состоит в том, чтобы распознать и предотвратить атаку - и это зависит от вас.
Важно понимать, что с технической точки зрения я не подделываю электронное письмо. Я подделываю всю вашу компанию.
И именно поэтому технические меры защиты не работают. Решение заключается в обнаружении и предотвращении атаки - и это зависит от вас. Так же, как и соответствующие меры по повышению осведомленности сотрудников в этом направлении.
Потому что если я аккуратно изложу этот сценарий, то обнаружить атаку можно только заметив разницу в адресе, то есть в нашем случае ".eu" вместо вашего ".com". Я знаю, что один или другой из вас сейчас абсолютно уверен, что у вас есть необходимый обзор, чтобы сделать это даже в вашей напряженной повседневной работе. Поэтому я хотел бы дать более продвинутым из вас немного пищи для размышлений:
Смогли бы вы также распознать "samplecompany.com" как подделку? Небольшая подсказка: "l" - это не "L", а греческая буква "Iota". Для человеческого глаза между ними нет никакой разницы, ваш компьютер, вероятно, видит это немного по-другому. Могу вас заверить, что во всех фишинговых атаках, которые мы моделировали для компаний, не было ни одного клиента, который бы не раскрыл свои данные.
Все и вся: информировать сотрудников об атаках
Поэтому вопрос не в том, попадутся ли ваши коллеги на такую атаку. Вопрос заключается в том, сколько сотрудников распознают атаку, как быстро они сообщат о ней в ИТ-отдел и сколько времени у ИТ-отдела есть для реагирования.
Именно здесь сотрудник становится фактором успеха для информационной безопасности и ИТ-безопасности в плане осведомленности о безопасности.
Я не хочу быть одним из тех белых хакеров, которые держат свои стратегии при себе и наслаждаются катастрофическими результатами таких атак. Гораздо больше я хотел бы вместе с вами внести свой вклад в то, чтобы сделать вашу компанию немного более защищенной.
Теперь ваша очередь: То, что я только что описал вам, является лишь одним из примеров множества способов, с помощью которых люди и их порой небрежное обращение с информацией могут быть использованы для получения прибыли злоумышленниками. ИТ-отделы могут защитить от этого лишь в ограниченной степени или не защитить вообще; это их работа. Придумывайте атаки сами, думайте о том, как вы можете захватить своих коллег и сделать это темой за (виртуальным) обеденным столом.
ISO 27001: осведомленность как часть каталога мер
А затем регулярно проверяйте свою компанию на прочность и сделайте информированность частью плана безопасности. Читая немного между строк, вы также найдете это в международно признанном стандарте для системы управления информационной безопасностью (ISMS).
ISO/IEC 27001, например, требует, чтобы вы обеспечили осведомленность и, следовательно, информированность самого слабого звена в цепи о том, как обращаться с информацией вашей компании (глава 7.3 и приложение 7.2.2). Это начинается с такой простой вещи, как адрес электронной почты. Другие нормативные или юридические требования, такие как GDPR, также нацелены на превентивный подход к предотвращению инцидентов.
"ISMS в соответствии с ISO 27001 определяет требования, правила и методы обеспечения безопасности информации, которую стоит защищать в компаниях. Стандарт предоставляет модель для внедрения, реализации, мониторинга и улучшения уровня защиты. Цель - выявить потенциальные риски для компании, проанализировать их и сделать контролируемыми с помощью соответствующих мер. Стандарт ISO 27001 формулирует требования к такой системе управления, которые проверяются в рамках внешнего процесса сертификации. Стандарт доступен на сайте ISO."
Выполняйте требования стандарта с помощью мер по повышению осведомленности, таких как рекомендации, обучение, информирование о текущих новостях или даже имитация фишинговых атак, как мы это делаем для наших клиентов. И еще: Будьте честны с собой и спросите себя, насколько успешно ваши предыдущие меры по обучению подготовили вас к чрезвычайной ситуации, подобной той, которую я только что описал.
ISO 27001 - Questions and answers
Ценная информация - это сегодняшнее золото, а значит, и актив, который необходимо защищать в вашей компании. ISO 27001 предлагает множество решений.
Инцидент информационной безопасности обычно означает хаос
Раз уж мы заговорили о честности: как бы вы на самом деле отреагировали на инцидент информационной безопасности, вызванный кибератакой? Признаться, тема реактивной безопасности всегда немного некомфортна, но это то, о чем следует говорить.
Людям нравится думать об этом как об учебной пожарной тревоге - в какой-то момент в рабочее время неожиданно раздается звонок, все организованно и спокойно покидают здание, немного ждут на улице и болтают с коллегами о погоде, а через некоторое время всем разрешают вернуться в здание и по дороге они могут выпить кофе.
Но все не так.
С моей командой уже связались несколько компаний, где произошла атака, и я могу вам обещать: Это хаос. Даже спустя несколько дней после фактического события. В том числе и потому, что современные хакеры пользуются самонадеянностью своих жертв.
Сделайте осведомленность частью вашей концепции безопасности и регулярно подвергайте свою компанию испытаниям. Читая немного между строк, вы также найдете это в международно признанном стандарте системы управления информационной безопасностью ISO 27001.
Я хочу объяснить вам это, поэтому давайте вернемся к нашей фишинговой атаке. Предположим, что мне, как злоумышленнику, удалось удаленно подключиться к ИТ-системе одного из ваших коллег, используя его пароль. Думаете, я не узнаю, что кто-то в вашей компании заметил, что здесь была атака, и сообщил об этом в IT-отдел? В лучшем случае, вы лично это сделаете, я прекрасно об этом осведомлен.
Инциденты информационной безопасности: Черный ход в вашу систему
Поэтому я делаю две вещи: Во-первых, я делаю что-то очевидное, что раздражает вашу компанию и дает вам повод для действий. Например, я рассылаю спам по электронной почте вашим клиентам от имени вашего коллеги. Это выделяется и дает вам и вашему ИТ-отделу повод для работы. Теперь вы можете достать из шкафа все свои планы на случай непредвиденных обстоятельств и вместе со своими ИТ-специалистами проработать инцидент информационной безопасности. Включая сложные маркетинговые меры, которые отполируют потускневший образ до нового блеска и, возможно, заставят вас выглядеть "выжившим" еще лучше, чем раньше. Профессионалы могут это сделать.
Но в то же время, как злоумышленник, я пытаюсь установить черный ход в систему, который ваши ИТ-специалисты не заметят во всей этой суматохе. Это все равно что зайти в ювелирный магазин, разгромить самую большую витрину и тайно положить все дорогие кольца и часы в карман, пока все набрасываются на разбитые изделия.
Нет нужды говорить, что мой черный ход очень трудно найти, если не знаешь, что ищешь. А потом я ничего не делаю. Неделями, месяцами.
"Я прокладываю себе путь через вашу сеть, тихо. Я распространяюсь - и жду...".
Сейчас я пытаюсь проложить себе путь через вашу корпоративную сеть, бесшумно. Без всяких "шумных" программных сканеров, которые истощат вашу сеть и предупредят ваши системы безопасности. Полностью вручную, квази-старая школа. Кстати, именно здесь пшеница отделяется от плевел на стороне хакеров. Если ваша сеть подвергалась воздействию сканеров безопасности только в тестовых сценариях, сейчас это вам ничем не поможет. Я рассредоточиваюсь и жду - терпеливо. Я пытаюсь определить, когда и как создаются резервные копии, кто с кем общается и где ваша организация наиболее чувствительна. В нашем примере я, вероятно, делаю это ночью - или, по крайней мере, после основных рабочих часов, когда вероятность того, что меня заметят, еще меньше. И, конечно, я заметаю следы каждый день.
Проактивные меры ИТ-безопасности и, в частности, ярко выраженная осведомленность о безопасности являются важнейшими составными частями концепции ИТ-безопасности любой компании. Тем не менее, хорошо развитая осведомленность о безопасности также включает в себя понимание того, что это может случиться и с вами. И если это произойдет, вы должны быть готовы.
И вот - спустя несколько месяцев - происходит крупный инцидент в сфере информационной безопасности. Совершенно неожиданно для вашей компании. Например, я использую один из многочисленных троянцев-шифровальщиков, чтобы шантажировать вас. "Случайно", но благодаря моей предварительной работе, он запускается под самыми высокими привилегиями, обходит ваши меры безопасности и первым распространяется на системы с вашими наиболее важными файлами. И если за все то время, что у меня было, я заметил слабое место в вашей системе резервного копирования... Как я уже сказал, хаос.
Отсутствие осведомленности: идеальный вариант для целенаправленной атаки
Да, мы все еще находимся в нашем примере, но это отнюдь не Голливуд. Это обычная практика и ключевая причина того, почему мы до сих пор так часто слышим и читаем о компаниях, борющихся с такими троянцами-шифровальщиками. Несколько лет назад они были более или менее развязаны в Интернете, и их жертвами становились только самые слабые овцы в стаде: компании, которые имели слабую техническую защиту снаружи.
Сегодня ситуация изменилась. Для атак на компании используется неосведомленность сотрудников, и только когда жертва полностью контролируется, в ход идет автоматизированное программное обеспечение для атак.
Я по-прежнему считаю, что проактивные меры ИТ-безопасности и, в частности, сильная осведомленность о безопасности являются наиболее важными составными частями концепции ИТ-безопасности любой компании - просто существует слишком много примеров и конкретных случаев, подтверждающих это. Тем не менее, хорошо развитое понимание безопасности также включает в себя понимание того, что можно пострадать. К таким людям я отношу и себя. И если это произойдет, вы должны быть готовы.
Минимизация вероятности возникновения
Я намеренно включил в свое выступление пример с пожарной сигнализацией. Это готовит компанию к тому, что, несмотря на все упреждающие меры, пожар все-таки произойдет. Некоторые компании также имеют нечто подобное для инцидентов информационной безопасности и инцидентов ИТ-безопасности. И если для вас это будет слишком большой удачей (в каждом конкретном случае это зависит от компании), у меня все же есть для вас совет:
Если вы проводите тесты на проникновение или другие симуляции атак в рамках проактивных мер безопасности, не довольствуйтесь простым устранением найденных уязвимостей. Всегда задавайте вопрос: Использовалась ли эта уязвимость в прошлом? Были ли установлены бэкдоры?
"Не переставайте задавать вопросы".
Или, говоря иначе, относитесь к каждой "находке" с серьезностью реального инцидента информационной безопасности. Таким образом, вы минимизируете вероятность возникновения инцидента и одновременно подвергнете испытанию ваши планы реактивной безопасности, которые, как я искренне желаю, вам никогда не понадобятся. Например, пожарная сигнализация.
Все это является частью осведомленности и в то же время лишь частью целого. Однако, имея этот важный компонент, вы можете с надеждой улыбнуться мне, когда я спрошу: "Если я завтра приложу все усилия, смогу ли я застать вас врасплох?". Надеюсь.
Gern beantworten wir Ihre Fragen
С какими усилиями вам придется считаться при сертификации системы менеджмента информационной безопасности? Узнайте это без обязательств и бесплатно. Мы с нетерпением ждем разговора с вами.
Доверие и компетентность
Наши тексты и брошюры написаны исключительно нашими экспертами по стандартам или аудиторами с многолетним опытом работы. Если у вас есть вопросы по содержанию текста или нашим услугам автору, пожалуйста, не стесняйтесь обращаться к нам.
Рассылка DQS
Arwid Zang
Managing Director of the security platform "greenhats". IT security specialist, trainer and author specializing in white-hacking, awareness training, information security and proactive hardening of IT systems.