Incidenty informačnej bezpečnosti: Zamestnanci ako faktor úspechu

OBSAH

• Webové stránky sú ako otvorené knihy
• Jednoduchosť je najnebezpečnejšia
• E-mailové adresy: "Kapitál" phishingu
• Bezpečnostné povedomie: Trojský kôň prichádza oficiálne
• Incidenty informačnej bezpečnosti: Príklad zo života
• Informačná bezpečnosť: Zamestnanci ako faktor úspechu
• Všetko a koniec: Vnímavosť zamestnancov voči útokom
• ISO 27001: Informovanosť ako súčasť katalógu opatrení
• Incident v oblasti informačnej bezpečnosti zvyčajne znamená chaos
• Zadné dvierka do vášho systému
• Nedostatočná informovanosť: ideálny nástroj na cielený útok
• Minimalizujte pravdepodobnosť výskytu

Webové stránky sú ako otvorené knihy

Je známe, že IT bezpečnosť a informačná bezpečnosť sú dva úplne odlišné páry topánok, ale hranice sa stále môžu rozostriť. Je jasné, že incidenty v oblasti IT bezpečnosti pravidelne vedú k incidentom v oblasti informačnej bezpečnosti. Iste, ak som hacker, ktorý kompromituje firemnú sieť, musel by som sedieť pred obrazovkou s kŕčovito zatvorenými očami, aby som nezachytil tú či onú informáciu, ktorá nebola určená mne.

Je však tiež možné, že kybernetickí zločinci spočiatku zhromažďujú informácie, ktoré im z dlhodobého hľadiska umožňujú v prvom rade zaútočiť na IT systémy vybranej obete.

V platforme na bezpečnostné kontroly greenhats.com je našou každodennou úlohou hackerské útoky na spoločnosti, identifikácia zraniteľností a ich oprava skôr, ako ich nájdu zločinci.

Verný heslu "Len o tom hovorme" by som vám v tomto článku chcel podrobne vysvetliť spôsob útoku, ktorý sa týka každého. A spolu s vami by som sa chcel venovať otázke: Prečo vám to všetko vlastne hovorím?

Incidenty informačnej bezpečnosti: Jednoduché je najnebezpečnejšie

Hovoríme, samozrejme, o takzvanom "phishingovom útoku" - nebojte sa, pokúsim sa vás ušetriť ďalších cudzích slov a slovíčok z oblasti IT. Ani ich nepotrebujem, pretože phishing nie je technický útok, ale útok na najslabší článok reťaze (takmer) každého bezpečnostného konceptu. Útok na ľudí.

Predpokladajme, že chcem zaútočiť na vás. Potom si len tak náhodne nesadnem k notebooku a nezačnem písať na čierne konzoly. Nie, najprv potrebujem... presne! Informácie a osobné údaje. To zahŕňa:

• E-mailové adresy vašej spoločnosti
• Mená vašich IT pracovníkov
• E-mailové podpisy
• Informácie o vašej firemnej identite
• Téma, ktorá je zaujímavá pre vašich zamestnancov

Za predpokladu, že okrem názvu vašej spoločnosti nič neviem, prirodzene najprv prejdem na webovú stránku, prečítam si ju a dozviem sa všetko, čo sa dozvedieť dá. Predovšetkým ma zaujímajú e-mailové adresy a kontaktné osoby vášho IT. Pretože pri nasledujúcom útoku chcem poslať falošný e-mail čo najväčšiemu počtu zamestnancov (ktorých adresy potrebujem) a zároveň sa čo najviac vyhnúť tomu, aby som ho poslal aj IT oddeleniu.

E-mailové adresy: "Kapitál" phishingového útoku.

Keď nájdem niekoľko e-mailových adries, odvodím vzor. Napríklad "[email protected]". Snažím sa teda rozlúštiť logiku, ako sa dá e-mailová adresa zamestnanca odvodiť z jeho mena.

Potom opäť vyrážam na internet - tentoraz na sociálne siete. Nehovorím o "zlých" hráčoch, ako je Facebook a spol. XING a LinkedIn sú oveľa zaujímavejšie.

Tam vyhľadám vašu spoločnosť a pozriem sa, ktorí ľudia uvádzajú, že pre túto spoločnosť pracujú. Takto získam zoznam mien, z ktorých môžeme pomocou identifikovaného vzoru odvodiť adresy. Zároveň už z profilov na sociálnych sieťach viem zistiť, ktorí z vašich kolegov by mohli potenciálne rozpoznať môj pripravovaný útok na základe svojich profesionálnych skúseností a záujmov v oblasti IT.

Títo kolegovia odo mňa nedostanú žiadnu falošnú poštu.

Bezpečnostné povedomie: Trojský kôň prichádza oficiálne

Teraz, keď už poznám cieľ svojho útoku, chcem sa vydávať za zamestnanca vašej spoločnosti. Na tento účel s vami najprv nadviažem kontakt. Prostredníctvom oficiálnych kanálov, napríklad ako potenciálny zákazník. Napíšem vám e-mail a požiadam vás o cenovú ponuku. Vy odpoviete - ideálne s portfóliom produktov alebo podobne.

Vaša odpoveď mi poskytne cenné informácie:

• Ako vyzerá váš e-mailový podpis?
• Aké písma používate?
• Kde v dokumentoch umiestňujete svoje logo?
• Ako zvýrazňujete nadpisy?
• Aké farby používate?
• A, a, a, a...

Zatiaľ to nie je žiadna raketová veda. Ale pozor - prichádza trik. Predpokladajme, že vaša spoločnosť sa volá "SampleCompany" a nájdete ju na internete na adrese "samplecompany.com". Potom teraz vyhľadám na internete adresu, ktorá vyzerá veľmi podobne ako vaša adresa. Napríklad "samplecompany.eu". Túto adresu si kúpim (naozaj to stojí len pár eur) a teraz na nej môžem postaviť svoj útok.

Pretože z adresy "[email protected]" môžem posielať e-maily s vaším podpisom, ktoré vyzerajú, akoby prišli priamo od vás. Je mi jedno, aké mená alebo synonymá použijem ako odosielateľa, pretože technicky je to jedno.

Incidenty informačnej bezpečnosti: Príklad z reálneho života

Váš obchodný manažér nie je váš obchodný manažér

Toto môže byť naozaj nebezpečné, ak sa napríklad vydávam za správcu vášho IT. Napíšem vám a všetkým vašim kolegom e-mail, v ktorom vás upozorním napríklad na nový videoportál na vzdialené stretnutia, kde by sa mali všetci zamestnanci raz autentifikovať, aby sa skontrolovalo, či boli prenesené existujúce kontakty.

Alebo keď vám ako asistentka generálneho riaditeľa napíšem a vysvetľujem, že vianočný večierok bol zrušený kvôli pandémii, ale namiesto toho vedenie vyžrebuje päť úplne nových iPhonov. Aby sa zabezpečilo, že každý skončí v lotérii len raz, požiadajte každého zamestnanca, aby sa raz overil na priloženom portáli - výhercov potom vyhlásime koncom decembra.

Falošná oblasť prihlásenia: Detská hra v čase digitalizácie

Bez ohľadu na to, ktorý spôsob si vyberiem - musím vám poslať odkaz, ktorý vedie na uvedený "portál". Ten by potom mohol byť "raffle.samplecompany.eu" alebo "portal.samplecompany.eu".

Aj v tomto bode môžem dať voľný priebeh svojej kreativite. Keďže príslušnú stránku vlastním, musím tam len vytvoriť niečo, čo bude pre vás a vašich kolegov vyzerať dôveryhodne. V prípade súťaže napríklad peknú prihlasovaciu oblasť v dizajne vašej spoločnosti, s vaším logom a možno malým Santa Clausom. Alebo nejaké padajúce hviezdy.

Heslá skončia u útočníka - v obyčajnom texte

Samozrejme, bezpečnosť je na mojom portáli najvyššou prioritou! Všetko je výborne zašifrované a je znemožnené, aby tretie strany prečítali vaše vstupné údaje. Zadávate predsa používateľské mená a heslá, čo sú citlivé informácie. Z technického hľadiska je to všetko absolútne seriózne. Vaše údaje sa prenášajú bezpečne a končia v tých najlepších rukách - v mojich.

Mimochodom, zložitosť vášho hesla je pri takomto útoku úplne irelevantná; heslo skončí u útočníka v čistom texte. A nezabúdajte, že (aj pri minimálnej zložitosti) sa dá "phishnúť" široká škála 2-faktorových riešení, ak tomu prispôsobím svoj portál.

Informačná bezpečnosť: Zamestnanci ako faktor úspechu

Sľúbil som vám, že na záver objasním najdôležitejšiu otázku: Prečo vám to všetko hovorím? Odpoveď znie: Komu inému?

Je dôležité pochopiť, že útok, ktorý opisujem, nie je - z čisto technického hľadiska - vôbec útokom. Píšem vám e-mail z adresy, ktorá mi skutočne patrí. Nie je v ňom dokonca ani žiadna príloha, nieto ešte škodlivý softvér. Ste presmerovaní na stránku na internete, ktorá sa nesnaží kompromitovať váš systém. A ako som už opísal, táto stránka je tiež dokonale zabezpečená a všetka prevádzka je optimálne šifrovaná.

Takto je to aj s ostatnými (renomovanými) stránkami, na ktoré sa prihlasujete. A rovnako ako zadávate svoje súkromné heslo na LinkedIn alebo XING, aby ste sa overili, zadávate ho teraz aj na mojej stránke.

Je dôležité pochopiť, že z technického hľadiska nefalšujem e-mail. Falšujem celú vašu spoločnosť.

A práve preto technické ochranné opatrenia nefungujú. Riešenie spočíva v odhalení a zabránení útoku - a to je na vás. Rovnako ako vhodné opatrenia na zvýšenie povedomia zamestnancov v tomto smere.

Pretože ak tento scenár nastavím elegantne, odhalenie útoku je možné len tak, že si všimnete rozdiel v adrese, teda v našom prípade ".eu" namiesto vášho ".com". Je mi jasné, že jeden alebo druhý z vás si je teraz absolútne istý, že má potrebný prehľad, aby to dokázal aj pri každodennej stresujúcej práci. Preto by som chcel pokročilejším z vás dať trochu podnetu na zamyslenie:

Rozpoznali by ste aj vy "samplecompany.com" ako falošný? Malá nápoveda: "l" nie je písmeno L, ale grécke písmeno "Iota". Pre ľudské oko medzi nimi nie je žiadny rozdiel, váš počítač to pravdepodobne vidí trochu inak. Môžem vás ubezpečiť, že pri všetkých phishingových útokoch, ktoré sme pre spoločnosti simulovali, sa nenašiel ani jeden zákazník, pri ktorom by žiadny zamestnanec neodhalil svoje údaje.

Všetko a koniec: Vnímavosť zamestnancov voči útokom

Otázka teda nestojí tak, či by vaši kolegovia naleteli na takýto útok. Otázkou je oveľa viac to, koľko zamestnancov útok rozpozná, ako rýchlo ho nahlásia IT oddeleniu a koľko času má IT oddelenie na reakciu.

Práve tu sa zamestnanec stáva faktorom úspechu pre väčšiu informačnú bezpečnosť a bezpečnosť IT z hľadiska bezpečnostného povedomia.

Nechcem patriť k tým bielym hackerom, ktorí si svoje stratégie nechávajú pre seba a tešia sa z katastrofálnych výsledkov takýchto útokov. Oveľa viac by som chcel spolu s vami prispieť k tomu, aby bola vaša spoločnosť o niečo bezpečnejšia.

Teraz je rad na vás: To, čo som vám práve opísal, je len jeden z mnohých príkladov, ako možno zneužiť ľudí a ich niekedy nedbalé zaobchádzanie s informáciami a využiť ich na zisk ako útočník. Oddelenia IT sa proti tomu môžu chrániť len v obmedzenej miere alebo vôbec; to je ich úloha. Sami vymýšľajte útoky, premýšľajte o tom, ako by ste mohli uniesť svojich kolegov a urobiť z toho tému pri (virtuálnom) obedňajšom stole.

ISO 27001: Informovanosť ako súčasť katalógu opatrení

A potom svoju spoločnosť pravidelne podrobujte testom a urobte z informovanosti súčasť svojho bezpečnostného plánu. Keď čítate trochu medzi riadkami, nájdete to aj v medzinárodne uznávanej norme pre systém riadenia informačnej bezpečnosti (ISMS).

Napríklad norma ISO/IEC 27001 vyžaduje, aby ste zabezpečili informovanosť, a tým aj senzibilizáciu najslabšieho článku reťazca o tom, ako zaobchádzať s informáciami vašej spoločnosti (kapitola 7.3 a príloha 7.2.2). Začína sa to niečím takým jednoduchým, ako je e-mailová adresa. Na preventívny prístup predchádzania incidentom sa zameriavajú aj ďalšie regulačné alebo právne požiadavky, ako napríklad nariadenie GDPR.

Splňte požiadavky normy pomocou opatrení na zvyšovanie povedomia, ako sú usmernenia, školenia, komunikácia o prebiehajúcich novinkách alebo dokonca simulované phishingové útoky, ako to robíme pre našich zákazníkov. A: Buďte k sebe úprimní a spýtajte sa sami seba, nakoľko úspešné boli vaše predchádzajúce školiace opatrenia pri príprave na núdzovú situáciu, akú som práve načrtol.

Incident v oblasti informačnej bezpečnosti zvyčajne znamená chaos

Keď už sme pri úprimnosti: Ako by ste vlastne reagovali na incident informačnej bezpečnosti vyvolaný kybernetickým útokom? Priznávame, že téma reaktívnej bezpečnosti je vždy trochu nepríjemná, ale je to niečo, o čom by sa malo hovoriť.

Ľudia si to radi predstavujú ako cvičný požiarny poplach - v určitom okamihu počas pracovnej doby nečakane zazvoní zvonček, všetci usporiadane a pokojne opustia budovu, chvíľu čakajú vonku a rozprávajú sa s kolegami o počasí a po chvíli sa všetci môžu vrátiť dovnútra a cestou si môžu dať kávu.

Ale takto to nie je.

Môj tím už kontaktovalo niekoľko spoločností, v ktorých došlo k útoku, a môžem vám sľúbiť: Je to chaos. Dokonca aj niekoľko dní po skutočnej udalosti. Okrem iného aj preto, že moderní hackeri využívajú aroganciu svojich obetí.

Chcem vám to vysvetliť, takže sa vráťme k nášmu phishingovému útoku. Povedzme, že mne ako útočníkovi sa podarí na diaľku pripojiť k IT systému jedného z vašich kolegov pomocou jeho hesla. Myslíte si, že by som nevedel, že si niekto vo vašej spoločnosti všimol, že tu došlo k útoku, a nahlásil to oddeleniu IT? V najlepšom prípade to urobíte vy osobne, som si toho plne vedomý.

Incidenty informačnej bezpečnosti: Zadné dvierka do vášho systému

Preto robím dve veci: Po prvé, urobím niečo očividné, čo vašu spoločnosť naštve a dá vám to zabrať. Napríklad pošlem spamové e-maily vašim zákazníkom v mene vášho kolegu. To vynikne a dá vám a vášmu oddeleniu IT čo robiť. Teraz môžete vytiahnuť zo skrine všetky svoje pohotovostné plány a spolu so svojimi zástupcami IT pracovať na incidente informačnej bezpečnosti obrazne povedané. Vrátane sofistikovaných marketingových opatrení, ktoré vyleštia pošramotený imidž do nového vysokého lesku a možno budete ako "preživší" vyzerať ešte lepšie ako predtým. Profesionáli to dokážu.

Ale zároveň sa ako útočník snažím nastaviť zadné dvierka do systému, ktoré si vaše IT oddelenie v celom tom zhonu nevšimne. Je to ako vojsť do klenotníctva, prevrátiť najväčšiu vitrínu a tajne si dať všetky drahé prstene a hodinky do vrecka, zatiaľ čo sa všetci vrhajú na rozbité kusy.

Netreba dodávať, že moje zadné dvierka je mimoriadne ťažké nájsť, ak neviete, čo hľadáte. A potom nerobím nič. Celé týždne, celé mesiace.

Teraz sa snažím v tichosti prepracovať cez vašu firemnú sieť. Bez akýchkoľvek "hlučných" softvérových skenerov, ktoré by vyčerpali vašu sieť a upozornili vaše bezpečnostné systémy. Úplne ručne, kvázi zo starej školy. Mimochodom, práve tu sa na strane hackerov oddeľuje zrno od pliev. Ak bola vaša sieť vystavená bezpečnostným skenerom len v testovacích scenároch, teraz vám to vôbec nepomôže. Roztiahnem sa a čakám - trpezlivo. Snažím sa zistiť, kedy a ako sa zálohuje, kto s kým komunikuje a kde je vaša organizácia najcitlivejšia. V našom príklade to pravdepodobne robím v noci - alebo aspoň po hlavnom pracovnom čase, keď je ešte menšia pravdepodobnosť, že budem pozorovaný. A, samozrejme, každý deň za sebou zahladzujem stopy.

A potom - o niekoľko mesiacov neskôr - nastane veľký incident v oblasti informačnej bezpečnosti. Pre vašu spoločnosť úplne nečakane. Potom napríklad použijem jeden z mnohých šifrovacích trójskych koní, aby vás vydieral. "Zhodou okolností" však vďaka mojej predbežnej práci beží pod najvyššími oprávneniami, obchádza vaše bezpečnostné opatrenia a šíri sa do systémov s vašimi najdôležitejšími súbormi ako prvý. A ak som si za ten čas, čo som mal k dispozícii, všimol slabinu vo vašom zálohovacom systéme... Ako som povedal, chaos.

Nedostatočné povedomie: ideálne na cielený útok

Áno, stále sme v našom príklade, ale v žiadnom prípade to nie je Hollywood. Ide o bežnú prax a kľúčový dôvod, prečo stále tak často počujeme a čítame o spoločnostiach, ktoré bojujú s takýmito šifrovacími trójskymi koňmi. Pred niekoľkými rokmi boli tieto na internete viac-menej vypustené a ich obeťou sa stali len najslabšie ovečky zo stáda: spoločnosti, ktoré mali slabé technické zabezpečenie zvonka.

Dnes je situácia iná. Na zacielenie na spoločnosti sa využíva nedostatočná informovanosť zamestnancov a až keď je obeť plne pod kontrolou, nasadí sa automatizovaný útočný softvér.

Stále som presvedčený, že proaktívne opatrenia v oblasti bezpečnosti IT a najmä silné bezpečnostné povedomie sú najdôležitejšími stavebnými kameňmi koncepcie bezpečnosti IT každej spoločnosti - existuje jednoducho príliš veľa príkladov a konkrétnych prípadov, ktoré to potvrdzujú. Napriek tomu dobre vyvinuté bezpečnostné povedomie zahŕňa aj pochopenie, že je možné byť ovplyvnený. Do tejto skupiny zahŕňam aj seba. A ak sa to stane, mali by ste byť pripravení.

Minimalizácia pravdepodobnosti výskytu

Do svojich poznámok som zámerne zaradil príklad požiarneho poplachu. Pripravuje to spoločnosť na prípad, že napriek všetkým proaktívnym opatreniam požiar predsa len vypukne. Niektoré spoločnosti majú niečo podobné aj v prípade incidentov informačnej bezpečnosti a incidentov IT bezpečnosti. A ak by to pre vás bolo príliš veľa (v každom jednotlivom prípade to naozaj vždy závisí od spoločnosti), mám pre vás ešte jeden tip:

Ak v rámci proaktívnych bezpečnostných opatrení zavediete penetračné testy alebo iné simulácie útokov, neuspokojte sa s jednoduchou opravou nájdených zraniteľností. Vždy si položte otázku: Bola táto zraniteľnosť zneužitá už v minulosti? Boli nainštalované zadné vrátka?

Alebo inak povedané, ku každému "nálezu" pristupujte s vážnosťou skutočného incidentu informačnej bezpečnosti. Týmto spôsobom minimalizujete pravdepodobnosť výskytu a zároveň otestujete svoje reaktívne bezpečnostné plány - ktoré si úprimne želám, aby ste nikdy nepotrebovali. Podobne ako požiarny poplach.

Toto všetko je súčasťou informovanosti a zároveň len časťou celku. Vďaka tejto dôležitej súčasti sa však na mňa môžete snáď usmiať, keď sa vás opýtam: "Keby som sa zajtra zamyslel, mohol by som vás zastihnúť na nesprávnom mieste?" Dúfajme.

Dôvera a odbornosť

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo audítori s dlhoročnými skúsenosťami. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre autora, neváhajte nás kontaktovať.