Інциденти інформаційної безпеки: Співробітники як фактор успіху

ЗМІСТ

• Веб-сайти - як відкриті книги
• Простота найбільш небезпечна
• Адреси електронної пошти: "капітал" фішингу
• Поінформованість про безпеку: Троянський кінь з'являється офіційно
• Інциденти інформаційної безпеки: Приклад із реального життя
• Інформаційна безпека: Співробітники як фактор успіху
• Все і вся: інформування співробітників про атаки
• ISO 27001: поінформованість як частина каталогу заходів
• Інцидент інформаційної безпеки зазвичай означає хаос
• Чорний хід у вашу систему
• Відсутність обізнаності: ідеальний варіант для цілеспрямованої атаки
• Мінімізуйте ймовірність виникнення

Веб-сайти як відкриті книги

Відомо, що ІТ-безпека та інформаційна безпека - це дві абсолютно різні пари взуття, але кордони все ж таки можуть бути розмиті. Очевидно, що інциденти у сфері ІТ-безпеки регулярно призводять до інцидентів у сфері інформаційної безпеки. Звичайно, якщо я хакер, який зламує корпоративну мережу, мені доведеться сидіти перед екраном із судорожно закритими очима, щоб не отримати ту чи іншу інформацію, яка мені не призначалася.

Однак не виключено, що кіберзлочинці спочатку збирають інформацію, яка у довгостроковій перспективі дозволяє їм атакувати ІТ-системи обраної ними жертви.

На платформі перевірки безпеки greenhats.com наша повсякденна робота полягає в тому, щоб зламувати компанії, виявляти вразливості та усувати їх, перш ніж їх знайдуть злочинці.

Вірний гасло "Давайте просто поговоримо про це", в цій статті я хотів би докладно розповісти вам про метод атаки, який зачіпає кожного. І разом з вами я хотів би відповісти на запитання: Чому, власне, я вам розповідаю все це?

Інциденти інформаційної безпеки: Просте - найнебезпечніше

Йдеться, звичайно ж, про так звану "фішингову атаку" - не хвилюйтеся, я постараюся позбавити вас від іноземних слів та IT-лексики. Вони мені навіть не потрібні, тому що фішинг – це не технічна атака, а атака на найслабшу ланку у ланцюзі (майже) кожної концепції безпеки. Атака на людей.

Припустимо, я хочу напасти на вас. Тоді я не просто безсистемно сяду за ноутбук та почну друкувати на чорних консолях. Ні, спочатку мені потрібна... саме! Інформація та особисті дані. Це включає в себе:

• Адреси електронної пошти вашої компанії
• Імена ваших ІТ-фахівців
• Підписи електронної пошти
• Інформація про ваш фірмовий стиль
• Тема цікава для ваших співробітників

Якщо припустити, що я не знаю нічого, крім назви вашої компанії, я, природно, спочатку зайду на сайт, прочитаю та дізнаюся про все, що можна дізнатися. Насамперед мене цікавлять адреси електронної пошти та контактні особи вашого IT-відділу. Тому що в наступній атаці я хочу відправити підроблений лист якомога більшій кількості співробітників (чиї адреси мені потрібні), уникаючи, наскільки це можливо, надсилання листа до ІТ-відділу.

Адреси електронної пошти: "капітал" фішингової атаки.

Як тільки я знаходжу кілька адрес електронної пошти, я обчислюю шаблон. Наприклад, "firstname.lastname@samplecompany.com". Таким чином я намагаюся зрозуміти логіку того, як можна вивести адресу електронної пошти співробітника з його імені.

Потім я знову вирушаю в Інтернет – цього разу до соціальних мереж. Я не говорю про таких "злих" гравців, як Facebook & Co. XING та LinkedIn набагато цікавіше.

Там я шукаю вашу компанію та дивлюся, які люди вказують, що вони працюють у цій компанії. Таким чином, я отримую список імен, з якого можна вивести адреси, використовуючи виявлений шаблон. У той же час за профілями в соціальних мережах я вже можу сказати, хто з ваших колег потенційно може розпізнати мою атаку, що готується, виходячи з їхнього професійного досвіду та інтересів у сфері інформаційних технологій.

Ці колеги не отримають від мене жодних фальшивих листів.

Поінформованість про безпеку: Троянський кінь приходить офіційно

Тепер, коли я знаю мету своєї атаки, я хочу видати себе за співробітника вашої компанії. Для цього я спершу встановлюю з вами контакт. Офіційними каналами, наприклад, як потенційний клієнт. Я пишу вам електронний лист і запитую ціну. Ви відповідаєте - в ідеалі з портфоліо продукції або чимось подібним.

Ваша відповідь надає мені цінну інформацію:

• Як виглядає ваш електронний підпис?
• Які шрифти ви використовуєте?
• Де ви розміщуєте свій логотип у документах?
• Як ви виділяєте заголовки?
• Які кольори ви використовуєте?
• І, і, і...

Поки що це ракетобудування. Але будьте обережні - тут криється каверза. Припустимо, що ваша компанія називається SampleCompany і її можна знайти в Інтернеті за адресою samplecompany.com. Тепер я шукаю в Інтернеті адресу, яка дуже схожа на вашу адресу. Наприклад, "samplecompany.eu". Я купую цю адресу (насправді це коштує лише кілька євро) і тепер можу будувати свою атаку на ній.

Тому що з адреси "firstname.lastname@samplecompany.eu" я можу надсилати електронні листи з вашим підписом, які будуть виглядати так, ніби вони прийшли безпосередньо від вас. Мені все одно, які імена або синоніми я використовую як відправник, тому що технічно це не має жодного значення.

Інциденти інформаційної безпеки: Приклад із реального життя

Ваш бізнес-менеджер – не ваш бізнес-менеджер

Це може бути дійсно небезпечно, якщо я, наприклад, вдаю адміністратором вашої ІТ-служби. Я пишу електронний лист вам і всім вашим колегам, в якому звертаю вашу увагу, наприклад, на новий відеопортал для віддалених зустрічей, де всі співробітники повинні пройти одноразову автентифікацію, щоб перевірити, чи були перенесені контакти.

Або коли я пишу вам як помічник вашого керуючого директора і пояснюю, що різдвяна вечірка скасована через пандемію, але натомість керівництво розігрує п'ять новеньких iPhone. Щоб переконатися, що кожен опиниться в лотерейному котлі лише один раз, попросіть кожного співробітника один раз авторизуватись на прикріпленому порталі – переможці будуть оголошені наприкінці грудня.

Область підроблених логінів: Дитяча гра за часів цифровізації

Незалежно від того, який метод я виберу - я мушу надіслати вам посилання, що веде на вказаний "портал". Це може бути "raffle.samplecompany.eu" або "portal.samplecompany.eu".

Також на цьому етапі я можу дати волю своїй творчості. Оскільки відповідна сторінка належить мені, я просто повинен створити там щось, що здасться вам і вашим колегам, які заслуговують на довіру. У випадку конкурсу, наприклад, красива область входу в систему в дизайні вашої компанії, з вашим логотипом і, можливо, маленьким Санта-Клаусом. Або кілька падаючих зірок.

Паролі потрапляють до зловмисника – відкритим текстом

Звісно, ​​безпека є головним пріоритетом на моєму порталі! Все добре зашифровано, і треті особи не можуть прочитати введені вами дані. Адже ви вводите імена користувачів та паролі, а це конфіденційна інформація. З технічного погляду все це абсолютно серйозно. Ваші дані передаються надійно та потрапляють у найкращі руки – мої.

До речі, складність вашого пароля зовсім не має значення при такій атаці; він потрапляє до зловмисника відкритим текстом. І майте на увазі, що (навіть при мінімальному ускладненні) різні двофакторні рішення можуть бути "підроблені", якщо я відповідним чином адаптую свій портал.

Інформаційна безпека: Співробітники як фактор успіху

Насамкінець я обіцяв прояснити найважливіше питання: Навіщо я вам усе це розповідаю? Відповідь така: А кому ж ще?

Важливо зрозуміти, що атака, яку я описую - з суто технічної точки зору - зовсім не атака. Я пишу вам листа з адреси, яка насправді належить мені. У ньому немає навіть вкладень, не кажучи вже про шкідливі програми. Вас перенаправляють на сторінку в Інтернеті, яка не намагається компрометувати вашу систему. І, як я вже описував раніше, цей сайт також добре захищений, а весь трафік оптимально зашифрований.

Так само і з іншими (авторитетними) сайтами, на які ви заходите. І так само, як ви вводите свій особистий пароль на LinkedIn або XING для автентифікації, ви вводите його на моєму сайті.

Важливо розуміти, що з технічного погляду я не підробляю електронного листа. Я підробляю вашу компанію.

І саме тому технічні заходи не працюють. Рішення полягає у виявленні та запобіганні атакі - і це залежить від вас. Так само, як і відповідні заходи щодо підвищення обізнаності співробітників у цьому напрямку.

Тому що якщо я акуратно викладу цей сценарій, то виявити атаку можна лише помітивши різницю на адресі, тобто в нашому випадку ".eu" замість вашого ".com". Я знаю, що один з вас зараз абсолютно впевнений, що у вас є необхідний огляд, щоб зробити це навіть у вашій напруженій повсякденній роботі. Тому я хотів би дати більш просунутим із вас трохи їжі для роздумів:

Чи могли б ви також розпізнати "samplecompany.com" як підробку? Невелика підказка: "l" - це "L", а грецька буква "Iota". Для людського ока між ними немає жодної різниці, ваш комп'ютер, ймовірно, бачить це трохи інакше. Можу вас запевнити, що у всіх атаках фішингу, які ми моделювали для компаній, не було жодного клієнта, який би не розкрив свої дані.

Все і вся: інформувати співробітників про атаки

Тому питання не в тому, чи ваші колеги трапляться на таку атаку. Питання полягає в тому, скільки співробітників розпізнають атаку, як швидко вони повідомлять про неї в ІТ-відділ і скільки часу ІТ-відділ є для реагування.

Саме тут співробітник стає фактором успіху для інформаційної безпеки та ІТ-безпеки у плані поінформованості про безпеку.

Я не хочу бути одним із тих білих хакерів, які тримають свої стратегії при собі та насолоджуються катастрофічними результатами таких атак. Набагато більше я хотів би разом з вами зробити свій внесок у те, щоб зробити вашу компанію трохи більш захищеною.

Тепер ваша черга: Те, що я щойно описав вам, є лише одним із прикладів безлічі способів, за допомогою яких люди та їх часом недбале поводження з інформацією можуть бути використані для отримання прибутку зловмисниками. ІТ-відділи можуть захистити від цього лише обмеженою мірою або не захистити взагалі; це їхня робота. Вигадуйте атаки самі, думайте про те, як ви можете захопити своїх колег і зробити це темою за (віртуальним) обіднім столом.

ISO 27001: поінформованість як частина каталогу заходів

А потім регулярно перевіряйте свою компанію на міцність та зробіть поінформованість частиною плану безпеки. Читаючи трохи між рядками, ви також знайдете це у міжнародно визнаному стандарті для системи управління інформаційною безпекою (ISMS).

ISO/IEC 27001, наприклад, вимагає, щоб ви забезпечили обізнаність і, отже, поінформованість найслабшої ланки в ланцюзі про те, як поводитися з інформацією вашої компанії (глава 7.3 та додаток 7.2.2). Це починається з такої простої речі, як адреса електронної пошти. Інші нормативні чи юридичні вимоги, такі як GDPR, також націлені на превентивний підхід до запобігання інцидентам.

Виконуйте вимоги стандарту за допомогою заходів щодо підвищення обізнаності, таких як рекомендації, навчання, інформування про поточні новини або навіть імітація атак фішингу, як ми це робимо для наших клієнтів. І ще: Будьте чесні з собою і запитайте себе, наскільки успішно ваші попередні заходи з навчання підготували вас до надзвичайної ситуації, подібної до тієї, яку я щойно описав.

Інцидент інформаційної безпеки зазвичай означає хаос

Якщо ми вже заговорили про чесність: як би ви насправді відреагували на інцидент інформаційної безпеки, викликаний кібератакою? Зізнатися, тема реактивної безпеки завжди трохи некомфортна, але це те, що слід говорити.

Людям подобається думати про це як про навчальну пожежну тривогу - в якийсь момент у робочий час несподівано лунає дзвінок, все організовано і спокійно покидають будівлю, трохи чекають на вулиці і базікають із колегами про погоду, а через деякий час усім дозволяють повернутися до будівлі. і дорогою вони можуть випити кави.

Але все негаразд.

З моєю командою вже зв'язалося кілька компаній, де відбулася атака, і я можу вам гарантувати: Це хаос. Навіть за кілька днів після фактичної події. Навіть тому, що сучасні хакери користуються самовпевненістю своїх жертв.

Я хочу пояснити вам це, тому давайте повернемося до нашої атаки фішинга. Припустимо, що мені, як зловмиснику, вдалося віддалено підключитися до ІТ-системи одного з ваших колег, використовуючи його пароль. Думаєте, я не дізнаюся, що хтось у вашій компанії помітив, що тут була атака, і повідомив про це IT-відділ? У кращому разі, ви особисто це зробите, я чудово про це знаю.

Інциденти інформаційної безпеки: Чорний хід у вашу систему

Тому я роблю дві речі: По-перше, я роблю щось очевидне, що дратує вашу компанію та дає вам привід для дій. Наприклад, я розсилаю спам електронною поштою вашим клієнтам від імені вашого колеги. Це виділяється і дає вам та вашому ІТ-відділу привід для роботи. Тепер ви можете дістати з шафи всі свої плани на випадок непередбачених обставин та разом зі своїми ІТ-фахівцями опрацювати інцидент інформаційної безпеки. Включаючи складні маркетингові заходи, які відполірують потьмянілий образ до нового блиску і, можливо, змусять вас виглядати ще краще, ніж раніше. Фахівці можуть це зробити.

Але в той же час, як зловмисник, я намагаюся встановити чорний хід у систему, яку ваші ІТ-фахівці не помітять у всій цій метушні. Це все одно, що зайти в ювелірний магазин, розгромити найбільшу вітрину і таємно покласти всі дорогі кільця і ​​годинники в кишеню, поки всі накидаються на розбиті вироби.

Немає потреби говорити, що мій чорний хід дуже важко знайти, якщо не знаєш, що шукаєш. А потім нічого не роблю. Тижнями, місяцями.

Зараз я намагаюся прокласти собі шлях через вашу корпоративну мережу безшумно. Без жодних "шумних" програмних сканерів, які виснажать вашу мережу і попередять ваші системи безпеки. Повністю вручну, квазі-стара школа. До речі, саме тут пшениця відокремлюється від полови на стороні хакерів. Якщо ваша мережа піддавалася впливу сканерів безпеки лише у тестових сценаріях, зараз це нічим не допоможе. Я розосереджуюсь і чекаю – терпляче. Я намагаюся визначити, коли та як створюються резервні копії, хто з ким спілкується і де ваша організація найчутливіша. У нашому прикладі я, мабуть, роблю це вночі - або принаймні після основних робочих годин, коли ймовірність того, що мене помітять, ще менша. І, звичайно, я замітаю сліди щодня.

І ось – через кілька місяців – відбувається великий інцидент у сфері інформаційної безпеки. Цілком несподівано для вашої компанії. Наприклад, я використовую один із численних троянців-шифрувальників, щоб шантажувати вас. "Випадково", але завдяки моїй попередній роботі, він запускається під найвищими привілеями, обходить ваші заходи безпеки і першим поширюється на системи з вашими найважливішими файлами. І якщо за весь той час, що мав, я помітив слабке місце у вашій системі резервного копіювання... Як я вже сказав, хаос.

Відсутність обізнаності: ідеальний варіант для цілеспрямованої атаки

Так, ми все ще знаходимося в нашому прикладі, але це аж ніяк не Голівуд. Це звичайна практика і ключова причина того, чому ми досі так часто чуємо та читаємо про компанії, що борються з такими троянцями-шифрувальниками. Кілька років тому вони були більш-менш розв'язані в Інтернеті, і їхніми жертвами ставали лише найслабші вівці у стаді: компанії, які мали слабкий технічний захист зовні.

Сьогодні ситуація змінилася. Для атак на компанії використовується непоінформованість співробітників, і тільки коли жертва повністю контролюється, йде автоматизоване програмне забезпечення для атак.

Я, як і раніше, вважаю, що проактивні заходи ІТ-безпеки і, зокрема, сильна поінформованість про безпеку є найважливішими складовими частинами концепції ІТ-безпеки будь-якої компанії - просто існує дуже багато прикладів і конкретних випадків, що підтверджують це. Тим не менш, добре розвинене розуміння безпеки також включає розуміння того, що можна постраждати. До таких людей я відношу себе. І якщо це станеться, ви маєте бути готові.

Мінімізація ймовірності виникнення

Я навмисно включив у свій виступ приклад із пожежною сигналізацією. Це готує компанію до того, що, незважаючи на всі запобіжні заходи, пожежа таки станеться. Деякі компанії також мають щось подібне до інцидентів інформаційної безпеки та інцидентів ІТ-безпеки. І якщо для вас це буде занадто великою удачею (у кожному конкретному випадку це залежить від компанії), у мене все ж таки є для вас порада:

Якщо ви проводите тести на проникнення або інші симуляції атак у рамках проактивних заходів безпеки, не задовольняйтеся простим усуненням знайдених уразливостей. Завжди запитуйте: Чи використовувалася ця вразливість у минулому? Чи були встановлені бекдори?

Або, інакше кажучи, ставтеся до кожної "знахідки" із серйозністю реального інциденту інформаційної безпеки. Таким чином, ви мінімізуєте ймовірність виникнення інциденту і одночасно піддасте випробуванню ваші плани реактивної безпеки, які, як я щиро бажаю, вам ніколи не знадобляться. Наприклад, пожежна сигналізація.

Все це є частиною поінформованості і водночас лише частиною цілого. Однак, маючи цей важливий компонент, ви можете з надією посміхнутися мені, коли я запитаю: "Якщо я завтра докладу всіх зусиль, чи зможу я застати вас зненацька?" Сподіваюся.

Довіра та компетентність

Наші тексти та брошури написані виключно нашими експертами за стандартами чи аудиторами з багаторічним досвідом роботи. Якщо у вас є питання щодо змісту тексту або наших послуг автору, будь ласка, не соромтеся звертатися до нас.