Bezbednosni incidenti: Zaposleni kao faktor uspeha

SADRŽAJ

• Veb lokacije su kao otvorene knjige
• Jednostavno je najopasnije
• Email adresa: epicentar za phishing
• Svest o bezbednosti: Trojanski konj dolazi oficijelnim kanalima 
• Incidenti u oblasti bezbednosti informacija: primer iz prakse
• Bezbednost informacija: Zaposleni kao faktor uspeha
• Mesto početka i kraja: Dignite svest zaposlenih o opasnostima
• ISO 27001: Svest kao deo mera
• Incident bezbednosti informacija obično znači haos
• Ulazak u vaš sistem na zadnja vrata
• Nedostatak svesti: savršeno za ciljani napad
• Smanjite verovatnoću dešavanja

Veb lokacije su kao otvorene knjige

Poznato je da su IT bezbednost i bezbednost informacija dva sasvim različita termina, sa nejasnom granicom izeđu njih. Jasno je da IT bezbednosni incidenti redovno dovode do incidenata bezbednosti informacija. Naravno, ukoliko sam haker koji treba da kompromituje mrežu neke kompanije, morao bih da sedim ispred ekrana sa grčevito zatvorenim očima‚ pred informacijama koje mi nisu namenjene.

Međutim, takođe je moguće da hakeri u početku samo prikupljaju informacije koje im omogućavaju da napadnu IT sisteme svoje odabrane žrtve.

Na platformi za bezbednosne provere greenhats.com, naš svakodnevni posao je da hakujemo kompanije, identifikujemo osetljive informacije i popravimo ih pre nego što dođe do krađe podataka.

Baš u stilu „Hajde da proćaskamo“, u ovom članku bih želeo da vam detaljno objasnim metod napada koji pogađa sve. I da se zajedno pozabavimo pitanjem: Zašto ja vama zapravo sve ovo govorim?

Incidenti u oblasti bezbednosti informacija: Jednostavno je najopasnije

Govorimo, naravno, o takozvanom „phishing" napadu. Fišing nije tehnički napad, već napad na najslabiju kariku u lancu (skoro) svakog bezbednosnog koncepta. Napad na ljude.

Pretpostavimo da želim da te napadnem. Onda neću samo da sednem nasumično za svoj notebook i da kucam na tastaturi. Ne, prvo mi treba... TAČNO! Informacije i lični podaci. Ovo uključuje:

• E-mail adrese vaše kompanije
• Imena vašeg IT osoblja
• Potpisi e-pošte
• Informacije o vašem korporativnom identitetu
• Tema koja je interesantna vašim zaposlenima

Pod pretpostavkom da ne znam ništa osim imena vaše kompanije, naravno prvo idem na veb stranicu, pročitam i naučim sve potrebno. Pre svega, zanimaju me e-mail adrese i kontakt osobe vašeg IT-a. Zato što u sledećem koraku želim da pošaljem lažnu e-poštu što većem broju zaposlenih (čije su mi adrese potrebne), a da istovremeno izbegnem slanje mejla  IT-u.

E-mail adresa: Epicentar phishing napada.

Kada pronađem nekoliko adresa e-pošte, kreiram obrazac. Na primer, „ime.prezime@samplecompani.com“ Pokušavam da otkrijem logiku kako se adresa e-pošte zaposlenih izvodi iz njihovih imena.

Onda ponovo odlazim na internet - ovog puta na društvene mreže. Ne govorim o lošim igračima kao što su Facebook & Co. XING i LinkedIn su mi mnogo zanimljiviji.

Tamo tražim vašu firmu i posmatram ljude koji navode da rade za kompaniju. Na ovaj način dobijam listu imena iz kojih mogu da izvedem adrese koristeći utvrđeni obrazac. Istovremeno, već na profilima na društvenim mrežama mogu da zaključim ko bi od vaših kolega potencijalno mogao da prepozna moj nadolazeći napad, a na osnovu njihovog profesionalnog iskustva i IT interesovanja.

Ovi zaposleni neće dobiti nikakvu lažnu poštu od mene.

Svest o bezbednosti: Trojanski konj dolazi oficijelnim kanalima

Kada postavim svoju metu za napad, prvo želim da se predstavljam kao zaposleni vaše kompanije. Da bih to uradio, prvo stupam u kontakt sa vama. Preko zvaničnih kanala, na primer kao potencijalni kupac. Pišem vam e-mail i tražim zvaničnu ponudu. Vi odgovarate – idealno sa portfoliom proizvoda ili sličnim.

Vaš odgovor mi pruža značajne informacije:

• Kako izgleda vaš e-mail potpis?
• Koje fontove koristite?
• Gde postavljate svoj logo u dokumentima?
• Kako ističete naslove?
• Koje boje koristite?
• Itd...

Za sada, to i nije neka nauka. Ali pazite – evo trika. Pretpostavimo da se vaša kompanija zove „NekaFirma“ i da se može naći na Internetu na „nekafirma.com“. U sledećem koraku, tražim adresu na Internetu, koja izgleda veoma slično vašoj adresi. Na primer „nekafirma.eu“. Ili još srodnije za srpsko tržište "nekafirma.me". Kupujem ovu adresu (to zapravo košta samo nekoliko evra) i sada mogu na njoj da gradim svoj napad.

Pošto sa adrese „ime.prezime@nekafirma.eu“ mogu da šaljem e-mailove sa vašim potpisom koji izgledaju kao da su došli direktno od vas. Nije bitno koja imena ili sinonime koristim kao pošiljalac, jer tehnički i nema razlike.

Bezbednosni incidenti: primer iz realne prakse 

Vaš poslovni menadžer nije vaš poslovni menadžer

Ovo može biti zaista opasno ako se, na primer, predstavljam kao administrator vašeg IT-a. Pišem e-mail vama i svim vašim kolegama, u kojem vam skrećem pažnju, na primer, na novi video portal za sastanke na daljinu, gde svi zaposleni treba da se jednom uloguju kako bi proverili da li su postojeći kontakti prebačeni.

Ili kada vam pišem kao pomoćnik vašeg generalnog direktora i objasnim da je božićna zabava otkazana zbog pandemije, ali umesto toga rukovodstvo izvlači pet potpuno novih iPhone-a. Da biste bili sigurni da će se svi prijaviti za lutriju samo jednom, zamolite svakog zaposlenog da se jednom prijavi na priloženom portalu - pobednike ćemo objaviti krajem decembra.

Lažno mesto za log-in: Dečija igra u vreme digitalizacije

Bez obzira koji metod odaberem - moram da vam pošaljem link koji vodi do navedenog "portala". To bi onda moglo biti „prijave.nekafirma.eu“ ili „portal.nekafirma.eu“.

U ovom trenutku mogu dati slobodu svojoj kreativnosti. Pošto posedujem odgovarajuću stranicu, samo moram da napravim nešto što će vama i vašim kolegama izgledati sigurno. U slučaju takmičenja, na primer, lepo mesto za prijavu u dizajnu vaše kompanije, sa vašim logom i možda malim Deda Mrazom. Ili neke zvezde padalice i sneška.

Lozinke završavaju kod napadača - u običnom tekstu

Naravno, bezbednost je prioritet na mom portalu! Sve je odlično šifrovano i trećim licima je onemogućeno da pročitaju vaš unos. Na kraju krajeva, unosite korisnička imena i lozinke, što je osetljiva informacija. Sa tehničke tačke gledišta, sve ovo je apsolutno ozbiljno. Vaši podaci se prenose bezbedno i završavaju u najboljim rukama - mojim.

Inače, složenost vaše lozinke je potpuno nebitna u takvom napadu; završava u običnom tekstu kod napadača. I imajte na umu da (čak i ako je minimalno složenija) širok spektar logovanja u 2 koraka može biti „razbijen“ ako prilagodim svoj portal u skladu sa tim.

Bezbednost informacija: Zaposleni kao faktor uspeha

Obećao sam vam da ću na kraju razjasniti najvažnije pitanje: Zašto vam sve ovo govorim? Odgovor je: A ko bi drugi?

Važno je razumeti da napad koji opisujem nije – sa čisto tehničke tačke gledišta – uopšte nije napad. Pišem vam imejl sa adrese koja zapravo pripada meni. U njemu nema čak ni priloga, a kamoli malvera. Bićete preusmereni na stranicu na Internetu koja ne pokušava da ugrozi vaš sistem. I kao što sam ranije opisao, ovaj sajt je takođe savršeno obezbeđen i sav saobraćaj je optimalno šifrovan.

Tako je sa drugim (renomiranim) sajtovima na koje se prijavljujete. I baš kao što unosite svoju privatnu lozinku na LinkedIn ili X ING da biste se prijavili, sada je unosite na mojoj veb stranici.

Važno je razumeti da sa tehničke tačke gledišta, ja ne falsifikujem imejl. Falsifikovao sam celu tvoju kompaniju.

I upravo zato mere tehničke zaštite ne funkcionišu. Rešenje je u otkrivanju i sprečavanju napada - a to je na vama. Baš kao i odgovarajuće mere za podizanje svesti zaposlenih u ovom pravcu.

Jer ako uredno postavim ovaj scenario, otkrivanje napada moguće je samo primećivanjem razlike u adresi, dakle u našem slučaju „.eu“ umesto vašeg „.com“. Svestan sam da je neko od vas u ovom trenutku potpuno siguran da ima mogućnost da to primeti, čak i u svakodnevnim poslovnim stresnim situacijama. Zato bih želeo da naprednijima od vas malo začinim razmišljanje:

Da li biste takođe prepoznali „nekaflrma.com“ kao lažnu? Mali nagoveštaj: "l" nije i, već latinično malo slovo "L". Za ljudsko oko nema velike razlike između njih, vaš računar to verovatno vidi malo drugačije. Uveravam vas da u svim phishing napadima koje smo simulirali za kompanije, nije bilo ni jednog klijenta kojem barem jedan zaposleni nije otkrio svoje podatke.

Mesto početka i kraja: Dignite svest zaposlenih o opasnostima

Ovde nije pitanje da li bi vaše kolege nasele na moj napad. Mnogo je značajnije pitanje koliko će zaposlenih prepoznati napad, koliko brzo će ga prijaviti IT-u i za koliko će IT odgovoriti.

Upravo tu svaki zaposleni postaje faktor uspeha za veću bezbednost informacija i IT bezbednost u smislu podizanja svesti o bezbednosti.

Ne želim da budem jedan od onih "legalnih" hakera koji svoje strategije čuvaju samo za sebe i uživaju u katastrofalnim rezultatima svojih napada. Mnogo više bih želeo da zajedno sa vama doprinesem da vaša kompanija bude malo bezbednija.

Sada je red na vas: ovo što sam vam upravo opisao je samo jedan od primera načina na koje ljudi i njihovo ponekad nemarno rukovanje informacijama mogu biti iskorišćeni od strane napadača za ostvarivanje profita. IT odeljenja mogu da zaštite od ovoga samo u malom obimu ili uopšte ne; a to je njihov posao. Smislite sami napade, razmislite kako biste mogli da napadnete svoje kolege i neka to postane tema za (virtuelnim) stolom.

ISO 27001: Svest kao deo mera

Nakon toga, redovno testirajte svoju kompaniju i učinite svest delom svoga bezbednosnog plana. Čitajući pomalo između redova, ovo ćete takođe pronaći u međunarodno priznatom standardu za sistem menadžmenta bezbednošću informacija (ISMS).

ISO/IEC 27001, zahteva od vas da obezbedite svest, a samim tim i osetljivost najslabije karike u lancu o načinu postupanja sa informacijama vaše kompanije (Poglavlje 7.3 i Aneks 7.2.2). Ovo počinje nečim jednostavnim kao što je adresa e-pošte. Drugi regulatorni ili pravni zahtevi, kao što je GDPR, takođe ciljaju na preventivni pristup sprečavanju incidenata.

Ispunite zahteve standarda merama za podizanje svesti, kao što su smernice, obuke, komunikacija o tekućim novostima, ili čak simulirani phishing napadi, kao što mi radimo za naše klijente. I: Budite iskreni prema sebi i zapitajte se koliko su vaše prethodne obuke o merama bile uspešne u pripremi za hitan slučaj, kao što je ovaj koji sam upravo naveo.

Incident bezbednosti informacija obično znači haos

Dok pričamo o iskrenosti: kako biste zapravo reagovali na incident u vezi sa bezbednošću informacija, izazvan sajber napadom? Doduše, tema reaktivne bezbednosti je uvek pomalo neprijatna, ali i o tome treba pričati.

Ljudi na to gledaju kao vežbu za dojavu požara – u nekom trenutku tokom radnog vremena neočekivano zazvoni zvono, svi uredno i mirno napuštaju zgradu, sačekaju malo napolju i ćaskaju sa kolegama o vremenu, a posle nekog vremena svima je dozvoljeno da se vrate na svoja radna mesta.

Ali nije tako.

Moj tim je već kontaktirao nekoliko kompanija u kojima je došlo do napada i mogu vam reći: Haos je. Čak i nekoliko dana nakon stvarnog događaja. Zapravo, to je zato što savremeni hakeri iskorišćavaju aroganciju svojih žrtava.

Želim ovo da vam objasnim, pa da se vratimo na naš phishing napad. Recimo da ja, kao napadač, uspevam da se na daljinu povežem na IT sistem nekog od vaših kolega koristeći negovu lozinku. Mislite li da ne bih znao da neko u vašoj kompaniji primeti da je ovde došlo do napada i da to prijavi IT? U najboljem slučaju, vi lično, potpuno sam svestan toga.

Ulazak u vaš sistem na zadnja vrata

Zato radim dve stvari: Prvo, radim nešto očigledno "providno", što nervira vašu kompaniju, i daje vam nešto da radite. Na primer, šaljem neželjenu e-poštu vašim klijentima u ime vašeg kolege. To se ističe i momentalno upošljava vas i vaše IT odeljenje. Sada možete da izvučete sve svoje planove za vanredne situacije iz ormara, i da prođete kroz celu situaciju u vezi sa bezbednošću informacija - savršena slika sa vašim IT predstavnicima. Uključujući sofisticirane marketinške mere koje će uglačati narušenu sliku do novog visokog sjaja, i možda čak učiniti da izgledate još bolje kao „preživeli“ nego ranije. Profesionalci to umeju.

Ali istovremeno, kao napadač, pokušavam da kroz zadnja vrata proguram sistem koji vaš IT neće primetiti u čitavoj gužvi. To je kao da uđem u juvelirnicu, prevrnem najveću vitrinu i potajno stavim sve skupo prstenje i satove u džep dok svi raščišćavaju polomljene komade vitrine.

Nepotrebno je reći da je moja zadnja vrata izuzetno teško pronaći ako ne znate šta tražite.

I onda ne radim ništa.

Nedeljama, mesecima.

Sada pokušavam da se probijem kroz vašu korporativnu mrežu, u tišini. Bez ikakvih "bučnih" softverskih skenera, koji će iscrpeti vašu mrežu i alarmirati vaše bezbednosne sisteme. Potpuno ručno, kvazi stara škola. Inače, tu se na hakerskoj strani odvaja žito od kukolja. Ako je vaša mreža bila izložena bezbednosnim skenerima samo u probnim scenarijima, to vam sada uopšte nije od pomoći. Širim se i čekam – strpljivo. Pokušavam da identifikujem kada i kako se prave rezervne kopije, ko sa kim komunicira i gde je vaša organizacija najosetljivija. U našem primeru, to verovatno radim noću - ili barem posle glavnog radnog vremena, kada je još manje verovatno da ću biti primećen.

I, naravno, prikrivam svoje tragove svakoga dana.

A onda - mesecima kasnije - dolazi do ogromnog incidenta u oblasti bezbednosti informacija. Potpuno neočekivano za vašu kompaniju. Na primer, tada koristim jednu od brojnih trojanskih tehnika za šifrovanje da vas ucenjujem. Sasvim „slučajno“, zbog mog prethodnog rada, ta tehnika sada radi sa najvišim privilegijama, zaobilazi sve vaše bezbednosne mere, i širi se na sisteme sa vašim najznačajnijim datotekama. A pošto sam, za sve vreme koje sam imao, primetio slabosti u vašem rezervnom sistemu...

Kao što sam rekao, haos.

Nedostatak svesti: savršeno za ciljani napad

Da, još uvek smo u našem primeru, ali ovo nikako nije Holivud. Ovo je uobičajena praksa i ključni razlog zašto još uvek tako često čujemo i čitamo o kompanijama koje se bore sa takvim trojanskim tehnikama za šifrovanje. Pre nekoliko godina, ove su manje-više bile ubacivane na Internet, a žrtve su bile samo najslabije ovce u stadu: kompanije koje su imale slabu eksternu tehničku bezbednost.

Danas su stvari drugačije. Nedostatak svesti zaposlenih se koristi za targetiranje i odabir kompanija, i samo kada je žrtva pod potpunom kontrolom, primenjuje se softver za automatizovani napad.

I dalje verujem da su proaktivne mere IT bezbednosti, a posebno jaka svest o bezbednosti, najvažniji elementi u konceptu IT bezbednosti bilo koje kompanije – jednostavno postoji previše primera i konkretnih slučajeva koji bi to potvrdili. Ipak, dobro razvijena svest o bezbednosti takođe uključuje razumevanje da je moguće biti pogođen. Uključujem i sebe u ovo. A u slučaju da se to dogodi, treba da budete spremni.

Smanjite verovatnoću dešavanja

Namerno sam u svoje napomene uključio primer protivpožarne uzbune. Ovo priprema preduzeće za događaj da, uprkos svim proaktivnim merama, izbije požar. Neke kompanije takođe imaju nešto slično za incidente u vezi sa bezbednošću informacija i IT bezbednosnim incidentima. I iako bi to bilo previše dobro za vas (zaista uvek zavisi od svake kompanijeponaosob, u svakom pojedinačnom slučaju), imam još jedan savet za vas:

Ako primenite testove penetracije ili druge simulacije napada kao deo svojih proaktivnih bezbednosnih mera, nemojte se zadovoljiti jednostavnim popravljanjem grešaka koje pronađete. Uvek postavljajte pitanje: Da li je ova ranjivost iskorišćavana u prošlosti? Da li je neko na zadnjim vratima?

Ili, drugačije rečeno, tretirajte svaki „nalaz“ sa ozbiljnošću stvarnog incidenta u oblasti bezbednosti informacija. Na taj način minimizirate verovatnoću pojave, a istovremeno stavljate svoje reaktivne bezbednosne planove - za koje iskreno želim da vam nikada ne zatrebaju - na test. Baš kao požarni alarm.

Sve je to deo svesti, i istovremeno samo deo celine. Međutim, sa ovom važnom komponentom, nadam se da mi se možete osmehnuti kada pitam: „Ako se sutra posvetim tome, da li bih mogao da te sapletem?“. Nadajmo se.

Poverenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili auditori sa dugogodišnjim iskustvom, a ponekad i cenjeni gosti. Ako imate bilo kakvih pitanja u vezi sa sadržajem teksta ili našim uslugama autoru, slobodno nas kontaktirajte.