Làm thế nào để tội phạm mạng thu thập thông tin để đặt mình vào vị trí tấn công hệ thống CNTT? Làm thế nào để một hacker thành công trong việc gửi email giả đến càng nhiều nhân viên của một công ty càng tốt? Họ thường thành công bằng cách nhắm vào mắt xích yếu nhất trong chuỗi khái niệm bảo mật: con người. Đó là lý do tại sao nhân viên biết vị trí của họ trong các biện pháp hiệu quả chống lại các sự cố an toàn thông tin là vô cùng quan trọng. Và họ phải nhìn những rủi ro và cơ hội của an toàn thông tin từ một góc độ khác, có ý thức hơn. Từ khóa: nhận thức về bảo mật. Một bài viết của khách bởi Arwid Zang, Giám đốc điều hành của greenhats.com
NỘI DUNG
- Các trang web giống như những cuốn sách mở
- Đơn giản là nguy hiểm nhất
- Địa chỉ email: "Thủ phủ" của lừa đảo
- Nhận thức về bảo mật: Con ngựa thành Troy chính thức xuất hiện
- Sự cố an toàn thông tin: Một ví dụ thực tế
- Bảo mật thông tin: Nhân viên là yếu tố thành công
- Tất cả và cuối cùng: Nhạy cảm nhân viên trước các cuộc tấn công
- ISO 27001: Nhận thức như một phần của danh mục các biện pháp
- Một sự cố bảo mật thông tin thường có nghĩa là hỗn loạn
- Cửa hậu vào hệ thống của bạn
- Thiếu nhận thức: hoàn hảo cho một cuộc tấn công có chủ đích
- Giảm thiểu xác suất xảy ra
Các trang web giống như những cuốn sách mở
Bảo mật CNTT và bảo mật thông tin được biết đến là hai đôi giày khá khác nhau, nhưng các đường nét vẫn có thể bị mờ. Rõ ràng, các sự cố bảo mật CNTT thường xuyên dẫn đến các sự cố an toàn thông tin. Chắc chắn rồi, nếu tôi là một tin tặc xâm phạm mạng công ty, tôi sẽ phải ngồi trước màn hình, nhắm mắt co giật để tránh nhặt một phần thông tin này hay một phần khác không dành cho tôi.
Tuy nhiên, cũng có thể tội phạm mạng ban đầu thu thập thông tin mà về lâu dài cho phép chúng tấn công hệ thống CNTT của nạn nhân mà chúng đã chọn ngay từ đầu.
Tại nền tảng kiểm tra bảo mật greenhats.com, công việc hàng ngày của chúng tôi là hack các công ty, xác định các lỗ hổng và sửa chúng trước khi bọn tội phạm tìm thấy chúng.
Đúng với phương châm “Chuyện gì thì nói nấy”, trong bài viết này tôi xin giải thích cặn kẽ cho các bạn một phương pháp tấn công có ảnh hưởng đến tất cả mọi người. Và cùng với bạn, tôi muốn giải quyết câu hỏi: Tại sao tôi thực sự nói với bạn tất cả những điều này?
Sự cố an toàn thông tin: Đơn giản là nguy hiểm nhất
Tất nhiên, chúng ta đang nói về cái gọi là "cuộc tấn công lừa đảo" - đừng lo lắng, tôi sẽ cố gắng bổ sung thêm cho bạn bất kỳ từ vựng nước ngoài và từ vựng CNTT nào. Tôi thậm chí không cần chúng, bởi vì lừa đảo không phải là một cuộc tấn công kỹ thuật, mà là một cuộc tấn công vào liên kết yếu nhất trong chuỗi (hầu hết) mọi khái niệm bảo mật. Một cuộc tấn công vào con người.
Cứ cho là tôi muốn tấn công bạn. Sau đó, tôi không chỉ ngồi một cách bừa bãi vào sổ ghi chép của mình và bắt đầu gõ trên bảng điều khiển màu đen. Không, trước tiên tôi cần ... chính xác! Thông tin và dữ liệu cá nhân. Điêu nay bao gôm:
- Địa chỉ email của công ty bạn
- Tên nhân viên CNTT của bạn
- Chữ ký email
- Thông tin về danh tính công ty của bạn
- Một chủ đề thú vị đối với nhân viên của bạn
Về nguyên tắc, lừa đảo không phải là một cuộc tấn công kỹ thuật, mà là một cuộc tấn công vào mắt xích yếu nhất trong chuỗi (gần như) mọi khái niệm bảo mật.
Một cuộc tấn công vào con người.
Giả sử tôi không biết bất cứ điều gì ngoại trừ tên công ty của bạn, trước tiên, tôi tự nhiên vào trang web, đọc và tìm hiểu mọi thứ cần học. Trên hết, tôi quan tâm đến địa chỉ e-mail và những người liên hệ với CNTT của bạn. Bởi vì trong cuộc tấn công sau, tôi muốn gửi một email giả đến càng nhiều nhân viên càng tốt (những người mà tôi cần địa chỉ) đồng thời tránh gửi nó đến CNTT càng nhiều càng tốt.
Địa chỉ email: "Thủ phủ" của một cuộc tấn công lừa đảo.
Khi tôi tìm thấy một vài địa chỉ email, tôi tìm ra mẫu. Ví dụ: "firstname.lastname@samplecompany.com" Vì vậy, tôi cố gắng khám phá ra logic về cách địa chỉ email của nhân viên có thể được suy ra từ tên của họ.
Sau đó, tôi lại kết nối Internet - lần này là các mạng xã hội. Tôi không nói về những người chơi "xấu xa" như Facebook & Co. XING và LinkedIn thú vị hơn nhiều.
Ở đó, tôi tìm kiếm công ty của bạn và xem những người nào nói rằng họ làm việc cho công ty này. Bằng cách này, tôi nhận được một danh sách các tên mà từ đó chúng ta có thể lấy các địa chỉ bằng cách sử dụng mẫu đã xác định. Đồng thời, từ các hồ sơ trên mạng xã hội, tôi có thể biết được đồng nghiệp nào của bạn có khả năng nhận ra cuộc tấn công sắp tới của tôi dựa trên kinh nghiệm chuyên môn và sở thích CNTT của họ.
Những đồng nghiệp này sẽ không nhận được bất kỳ thư giả mạo nào từ tôi.
Nhận thức về bảo mật: Con ngựa thành Troy chính thức xuất hiện
Bây giờ tôi đã biết mục tiêu tấn công của mình, tôi muốn đóng giả mình là nhân viên của công ty bạn. Để làm điều này, trước tiên tôi liên hệ với bạn. Thông qua các kênh chính thức, ví dụ như một khách hàng tiềm năng. Tôi viết cho bạn một e-mail và yêu cầu báo giá. Bạn trả lời - lý tưởng nhất là với một danh mục sản phẩm hoặc tương tự.
Câu trả lời của bạn cung cấp cho tôi thông tin có giá trị:
- Chữ ký email của bạn trông như thế nào?
- Bạn sử dụng phông chữ nào?
- Bạn đặt logo của mình ở đâu trong các tài liệu?
- Làm thế nào để bạn làm nổi bật các tiêu đề?
- Bạn sử dụng màu gì?
- Và, và, và ...
Cho đến nay, nó không phải là khoa học tên lửa. Nhưng hãy coi chừng - đây là mẹo. Giả sử rằng công ty của bạn được gọi là "SampleCompany" và có thể được tìm thấy trên Internet tại "samplecompany.com". Sau đó, bây giờ tôi tìm kiếm một địa chỉ trên Internet, địa chỉ này trông rất giống với địa chỉ của bạn. Ví dụ "samplecompany.eu". Tôi mua địa chỉ này (nó thực sự chỉ tốn một vài euro) và bây giờ có thể xây dựng cuộc tấn công của tôi vào nó.
ISO 27001 trong thực tế - Phụ lục A
DQS Hướng dẫn đánh giá (dựa vào ISO 27001:2013)
Các câu hỏi đánh giá và bằng chứng có thể có đối với các biện pháp đã chọn.Hơn cả một danh sách đánh giá.
Từ các chuyên gia trong lĩnh vực.
Bởi vì từ "firstname.lastname@samplecompany.eu", tôi có thể gửi e-mail có chữ ký của bạn trông như thể chúng đến trực tiếp từ bạn. Tôi không quan tâm đến tên hoặc từ đồng nghĩa mà tôi sử dụng với tư cách là người gửi, bởi vì về mặt kỹ thuật, nó không có gì khác biệt.
Sự cố an toàn thông tin: Một ví dụ thực tế
Người quản lý doanh nghiệp của bạn không phải là người quản lý doanh nghiệp của bạn
Ví dụ: điều này có thể thực sự nguy hiểm nếu tôi giả vờ là quản trị viên CNTT của bạn. Tôi viết e-mail cho bạn và tất cả đồng nghiệp của bạn, trong đó tôi thu hút sự chú ý của bạn, chẳng hạn như cổng video mới cho các cuộc họp từ xa, nơi tất cả nhân viên vui lòng xác thực một lần để kiểm tra xem các địa chỉ liên hệ hiện có đã được chuyển chưa.
Hoặc khi tôi viết thư cho bạn với tư cách là trợ lý cho giám đốc điều hành của bạn và giải thích rằng bữa tiệc Giáng sinh đã bị hủy do đại dịch, nhưng thay vào đó là năm chiếc iPhone mới tinh đang được ban quản lý giảm giá. Để đảm bảo rằng tất cả mọi người chỉ tham gia xổ số một lần, vui lòng yêu cầu mỗi nhân viên xác thực một lần tại cổng thông tin đính kèm - người chiến thắng sau đó sẽ được công bố vào cuối tháng 12.
Khu vực đăng nhập giả mạo: Trò chơi của trẻ em trong thời đại số hóa
Cho dù tôi chọn phương pháp nào - tôi phải gửi cho bạn một liên kết dẫn đến "cổng thông tin" đã nói. Sau đó, giá trị này có thể là "raffle.samplecompany.eu" hoặc "portal.samplecompany.eu".
Cũng tại thời điểm này, tôi có thể tự do kiểm soát sự sáng tạo của mình. Vì tôi sở hữu trang tương ứng, tôi chỉ cần xây dựng một cái gì đó ở đó trông đáng tin cậy đối với bạn và đồng nghiệp của bạn. Trong trường hợp của cuộc thi, ví dụ: một khu vực đăng nhập đẹp trong thiết kế của công ty bạn, với biểu tượng của bạn và có thể là một ông già Noel nhỏ. Hoặc một số ngôi sao băng.
Mật khẩu kết thúc với kẻ tấn công - ở dạng văn bản thuần túy
Tất nhiên, bảo mật là ưu tiên hàng đầu trên cổng thông tin của tôi! Mọi thứ đều được mã hóa xuất sắc và các bên thứ ba không thể đọc thông tin đầu vào của bạn. Sau cùng, bạn đang nhập tên người dùng và mật khẩu, đó là thông tin nhạy cảm. Từ quan điểm kỹ thuật, tất cả điều này là hoàn toàn nghiêm trọng. Dữ liệu của bạn được chuyển một cách an toàn và cuối cùng sẽ nằm trong tay tốt nhất - của tôi.
Nhân tiện, độ phức tạp của mật khẩu của bạn hoàn toàn không liên quan trong một cuộc tấn công như vậy; nó kết thúc bằng văn bản thuần túy với kẻ tấn công. Và hãy nhớ rằng (ngay cả khi phức tạp hơn một chút), rất nhiều giải pháp 2 yếu tố có thể bị "lừa đảo" nếu tôi điều chỉnh cổng thông tin của mình cho phù hợp.
Bảo mật thông tin: Nhân viên là yếu tố thành công
Tôi đã hứa với bạn sẽ làm rõ câu hỏi quan trọng nhất ở phần cuối: Tại sao tôi lại nói với bạn tất cả những điều này? Câu trả lời là: Còn ai nữa?
Điều quan trọng là phải hiểu rằng cuộc tấn công mà tôi đang mô tả - từ quan điểm kỹ thuật thuần túy - hoàn toàn không phải là một cuộc tấn công. Tôi đang viết cho bạn một email từ một địa chỉ thực sự thuộc về tôi. Thậm chí không có tệp đính kèm trong đó, chứ đừng nói đến phần mềm độc hại. Bạn được chuyển hướng đến một trang trên Internet không cố gắng xâm phạm hệ thống của bạn. Và như tôi đã mô tả trước đó, trang web này cũng được bảo mật hoàn hảo và tất cả lưu lượng truy cập được mã hóa tối ưu.
Đây là cách xảy ra với các trang web (uy tín) khác mà bạn đăng nhập. Và cũng giống như bạn nhập mật khẩu cá nhân của mình tại LinkedIn hoặc XING để xác thực bản thân, bạn nhập mật khẩu đó ngay bây giờ tại trang web của tôi.
Từ quan điểm kỹ thuật, những kẻ lừa đảo không giả mạo e-mail. Họ giả mạo toàn bộ công ty của bạn. Và đó chính xác là lý do tại sao các biện pháp bảo vệ kỹ thuật không hoạt động. Giải pháp là nhận ra và ngăn chặn cuộc tấn công - và điều đó tùy thuộc vào bạn.
Điều quan trọng là phải hiểu rằng từ quan điểm kỹ thuật, tôi không giả mạo một email. Tôi đang giả mạo toàn bộ công ty của bạn.
Và đó chính xác là lý do tại sao các biện pháp bảo vệ kỹ thuật không hoạt động. Giải pháp nằm ở việc phát hiện và ngăn chặn cuộc tấn công - và điều đó tùy thuộc vào bạn. Cũng như các biện pháp thích hợp để nâng cao nhận thức của nhân viên theo hướng này.
Bởi vì nếu tôi thiết lập kịch bản này một cách gọn gàng, việc phát hiện cuộc tấn công chỉ có thể bằng cách nhận thấy sự khác biệt trong địa chỉ, vì vậy trong trường hợp của chúng tôi là ".eu" thay vì ".com" của bạn. Tôi biết rằng giờ đây người này hay người kia của bạn hoàn toàn chắc chắn rằng bạn có cái nhìn tổng quan cần thiết để thực hiện điều này ngay cả trong công việc căng thẳng hàng ngày. Vì vậy, tôi muốn cung cấp cho các bạn cao cấp hơn một chút thức ăn để suy nghĩ:
Bạn cũng có nhận ra "samplecompany.com" là hàng giả không? Gợi ý một chút: Chữ "l" không phải là chữ L mà là chữ cái Hy Lạp "Iota". Đối với mắt người không có sự khác biệt giữa chúng, máy tính của bạn có thể nhìn thấy nó hơi khác một chút. Tôi có thể đảm bảo với bạn rằng trong tất cả các cuộc tấn công lừa đảo mà chúng tôi đã mô phỏng cho các công ty, chưa có một khách hàng nào mà không có nhân viên nào tiết lộ dữ liệu của họ.
Tất cả và cuối cùng: Nhân viên trước các cuộc tấn công
Vì vậy, câu hỏi không phải là liệu các đồng nghiệp của bạn có rơi vào tình huống bị tấn công như vậy hay không. Câu hỏi đặt ra là có bao nhiêu nhân viên sẽ nhận ra cuộc tấn công, họ sẽ báo cáo nó với CNTT nhanh như thế nào và CNTT có bao nhiêu thời gian để phản hồi.
Đây chính xác là nơi mà nhân viên trở thành nhân tố thành công để bảo mật thông tin hơn và bảo mật CNTT về nhận thức bảo mật.
Tôi không muốn trở thành một trong số những hacker da trắng giữ chiến lược cho riêng mình và tận hưởng kết quả thảm hại của những cuộc tấn công như vậy. Tôi muốn đóng góp nhiều hơn nữa cùng với bạn để làm cho công ty của bạn an toàn hơn một chút.
ISO 27001 trong thực tế - Phụ lục A
DQS Hướng dẫn đánh giá ( dựa vào ISO 27001:2013)
Các câu hỏi đánh giá và bằng chứng có thể có đối với các biện pháp đã chọn.
Hơn cả một danh sách đánh giá!
Từ các chuyên gia trong lĩnh vực.
Bây giờ đến lượt bạn: Những gì tôi vừa mô tả cho bạn chỉ là một ví dụ về nhiều cách mà mọi người và việc xử lý thông tin đôi khi cẩu thả của họ có thể bị khai thác và sử dụng để kiếm lợi như một kẻ tấn công. Các bộ phận CNTT chỉ có thể bảo vệ chống lại điều này ở một mức độ hạn chế hoặc hoàn toàn không; đó là công việc của họ. Tự nghĩ ra các cuộc tấn công, nghĩ về cách bạn có thể cướp đồng nghiệp của mình và biến nó thành chủ đề trên bàn ăn trưa (ảo).
ISO 27001: Nhận thức như một phần của danh mục các biện pháp
Và sau đó, hãy đưa công ty của bạn đi kiểm tra một cách thường xuyên và coi nhận thức là một phần trong kế hoạch bảo mật của bạn. Đọc phần nào giữa các dòng, bạn cũng sẽ tìm thấy điều này trong tiêu chuẩn được quốc tế công nhận cho hệ thống quản lý bảo mật thông tin (ISMS).
Ví dụ, ISO / IEC 27001 yêu cầu bạn phải đảm bảo nhận thức và do đó nhạy cảm với mắt xích yếu nhất trong chuỗi về cách xử lý thông tin của công ty bạn (Chương 7.3 và Phụ lục 7.2.2). Điều này bắt đầu với một cái gì đó đơn giản như một địa chỉ email. Các yêu cầu pháp lý hoặc quy định khác, chẳng hạn như GDPR, cũng nhắm vào cách tiếp cận phòng ngừa để tránh sự cố.
ISO/IEC 27001:2013 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu
Phiên bản sửa đổi được xuất bản vào ngày 25 tháng 10 năm 2022. Chúng tôi sẽ tiếp tục bổ sung thông tin về những thay đổi khi có sẵn.
"Hệ thống ISMS theo ISO 27001 xác định các yêu cầu, quy tắc và phương pháp để đảm bảo an toàn cho thông tin đáng được bảo vệ trong các công ty. Tiêu chuẩn này cung cấp một mô hình để giới thiệu, thực hiện, giám sát và cải thiện mức độ bảo vệ. Mục đích là để xác định các rủi ro tiềm ẩn đối với công ty, phân tích và kiểm soát chúng thông qua các biện pháp thích hợp. ISO 27001 xây dựng các yêu cầu đối với hệ thống quản lý như vậy, được đánh giá như một phần của quá trình chứng nhận bên ngoài. Tiêu chuẩn có sẵn từ trang web của ISO. "
Đáp ứng các yêu cầu của tiêu chuẩn với các biện pháp nâng cao nhận thức, chẳng hạn như hướng dẫn, đào tạo, giao tiếp về tin tức đang diễn ra hoặc thậm chí là các cuộc tấn công lừa đảo mô phỏng, như chúng tôi làm đối với khách hàng của mình. Và: Hãy thành thật với bản thân và tự hỏi bản thân rằng các biện pháp huấn luyện trước đây của bạn đã thành công như thế nào trong việc chuẩn bị cho bạn trong trường hợp khẩn cấp như biện pháp tôi vừa nêu.
ISO 27001 - Câu hỏi và câu trả lời
Thông tin có giá trị là vàng ngày nay - và do đó cũng là tài sản cần được bảo vệ trong công ty của bạn. ISO 27001 có nhiều giải pháp trong cửa hàng.
Một sự cố bảo mật thông tin thường có nghĩa là hỗn loạn
Trong khi chúng ta đang nói về chủ đề trung thực: Bạn thực sự sẽ phản ứng như thế nào trước một sự cố bảo mật thông tin do một cuộc tấn công mạng gây ra? Phải thừa nhận rằng chủ đề về bảo mật phản ứng luôn có một chút khó chịu, nhưng đó là điều nên được nói đến.
Mọi người thích nghĩ về nó giống như một cuộc diễn tập báo cháy - vào một thời điểm nào đó trong giờ làm việc, một tiếng chuông bất ngờ vang lên, mọi người rời khỏi tòa nhà một cách trật tự và bình tĩnh, đợi ra ngoài một chút và trò chuyện với đồng nghiệp về tình hình thời tiết, và sau đó. một lúc mọi người được phép quay lại và trên đường đi họ có thể uống cà phê.
Nhưng nó không phải như vậy.
Nhóm của tôi đã được liên hệ với một số công ty nơi xảy ra một cuộc tấn công, và tôi có thể hứa với bạn: Đó là sự hỗn loạn. Thậm chí vài ngày sau sự kiện thực tế. Trong số các lý do khác, đó là vì các hacker hiện đại lợi dụng sự kiêu ngạo của nạn nhân.
Hãy nâng cao nhận thức về khái niệm bảo mật của bạn và yêu cầu công ty của bạn thường xuyên đưa vào thử nghiệm. Đọc phần nào giữa các dòng, bạn cũng sẽ tìm thấy điều này trong tiêu chuẩn được quốc tế công nhận cho hệ thống quản lý an ninh thông tin, ISO 27001.
Tôi muốn giải thích điều này với bạn, vì vậy hãy quay lại cuộc tấn công lừa đảo của chúng tôi. Giả sử rằng tôi, với tư cách là kẻ tấn công, quản lý để kết nối từ xa với một trong các hệ thống CNTT của đồng nghiệp của bạn bằng mật khẩu của họ. Bạn có nghĩ rằng tôi sẽ không biết rằng ai đó trong công ty của bạn nhận thấy rằng có một cuộc tấn công ở đây và báo cáo nó cho bộ phận CNTT? Trường hợp tốt nhất, cá nhân bạn làm, tôi hoàn toàn nhận thức được điều đó.
Sự cố bảo mật thông tin: Cửa hậu vào hệ thống của bạn
Đó là lý do tại sao tôi làm hai điều: Thứ nhất, tôi làm một việc hiển nhiên khiến công ty của bạn khó chịu và giao cho bạn một việc gì đó để làm. Ví dụ: tôi gửi email spam cho khách hàng của bạn dưới danh nghĩa đồng nghiệp của bạn. Điều đó nổi bật và mang lại cho bạn và bộ phận CNTT của bạn một số việc phải làm. Giờ đây, bạn có thể rút tất cả các kế hoạch dự phòng của mình ra khỏi tủ và giải quyết sự cố an toàn thông tin hoàn hảo với các đại diện CNTT của bạn. Bao gồm các biện pháp tiếp thị tinh vi sẽ đánh bóng hình ảnh bị xỉn màu lên một độ bóng cao mới và có thể khiến bạn trông tuyệt vời hơn như một "người sống sót" so với trước đây. Các chuyên gia có thể làm điều này.
Nhưng đồng thời, với tư cách là một kẻ tấn công, tôi đang cố gắng thiết lập một cửa sau cho một hệ thống mà CNTT của bạn sẽ không nhận thấy trong tất cả các hubbub. Nó giống như việc đi vào một cửa hàng trang sức, đập vào tủ trưng bày lớn nhất, và bí mật bỏ tất cả những chiếc nhẫn và đồng hồ đắt tiền vào túi của tôi trong khi mọi người đang lấy những mảnh vỡ.
Không cần phải nói, cửa sau của tôi cực kỳ khó tìm nếu bạn không biết mình đang tìm gì. Và sau đó tôi không làm bất cứ điều gì. Trong nhiều tuần, trong nhiều tháng.
"Tôi làm việc theo cách của tôi thông qua mạng của bạn, lặng lẽ. Tôi tản ra - và tôi chờ đợi ..."
Bây giờ tôi đang cố gắng làm việc theo cách của mình thông qua mạng công ty của bạn, một cách âm thầm. Không có bất kỳ máy quét phần mềm "ồn ào" nào, điều này sẽ làm cạn kiệt mạng của bạn và cảnh báo hệ thống an ninh của bạn. Hoàn toàn thủ công, gần như trường học cũ. Nhân tiện, đây là nơi lúa mì được tách khỏi trấu về phía hacker. Nếu mạng của bạn chỉ được tiếp xúc với máy quét bảo mật trong các tình huống thử nghiệm, thì lúc này nó sẽ không giúp được gì cho bạn. Tôi trải ra và chờ đợi - kiên nhẫn. Tôi cố gắng xác định thời điểm và cách thức thực hiện sao lưu, ai giao tiếp với ai và nơi tổ chức của bạn nhạy cảm nhất. Trong ví dụ của chúng tôi, tôi có thể làm điều này vào ban đêm - hoặc ít nhất là sau giờ làm việc chính, khi tôi thậm chí còn ít bị quan sát hơn. Và, tất nhiên, tôi bao gồm các bài hát của tôi mỗi ngày.
Các biện pháp bảo mật CNTT chủ động và đặc biệt, nhận thức rõ rệt về bảo mật là những nền tảng quan trọng nhất trong khái niệm bảo mật CNTT của bất kỳ công ty nào. Tuy nhiên, nhận thức về bảo mật được phát triển tốt cũng bao gồm sự hiểu biết rằng điều đó có thể xảy ra với bạn. Và nếu điều đó xảy ra, bạn nên chuẩn bị.
Và sau đó - nhiều tháng sau - sự cố bảo mật thông tin lớn xảy ra. Hoàn toàn không có màu xanh cho công ty của bạn. Ví dụ, sau đó tôi sử dụng một trong nhiều Trojan mã hóa để tống tiền bạn. Tuy nhiên, "thật trùng hợp", do công việc sơ khai của tôi, nó chạy dưới các đặc quyền cao nhất, bỏ qua các biện pháp bảo mật của bạn và lây lan sang hệ thống có các tệp liên quan nhất của bạn trước tiên. Và nếu, trong tất cả thời gian tôi có, tôi nhận thấy một điểm yếu trong hệ thống sao lưu của bạn ... Như tôi đã nói, sự hỗn loạn.
Thiếu nhận thức: hoàn hảo cho một cuộc tấn công có chủ đích
Vâng, chúng tôi vẫn đang ở trong ví dụ của chúng tôi, nhưng đây không phải là Hollywood. Đây là một thực tế phổ biến và là lý do chính tại sao chúng ta vẫn nghe và đọc rất thường xuyên về các công ty đang gặp khó khăn với các loại Trojan mã hóa như vậy. Vài năm trước, những điều này ít nhiều đã được tung ra trên Internet, và chỉ những con cừu yếu ớt nhất trong đàn mới trở thành nạn nhân của chúng: những công ty có bảo mật kỹ thuật yếu bên ngoài.
Mọi thứ ngày nay đã khác. Sự thiếu ý thức của nhân viên được sử dụng để nhắm vào các công ty và chỉ khi nạn nhân hoàn toàn bị kiểm soát, phần mềm tấn công tự động mới được triển khai.
Tôi vẫn tin rằng các biện pháp bảo mật CNTT chủ động và đặc biệt, nhận thức bảo mật mạnh mẽ là nền tảng quan trọng nhất trong khái niệm bảo mật CNTT của bất kỳ công ty nào - đơn giản là có quá nhiều ví dụ và trường hợp cụ thể để hỗ trợ điều này. Tuy nhiên, nhận thức về bảo mật được phát triển tốt cũng bao gồm sự hiểu biết rằng nó có thể bị ảnh hưởng. Tôi bao gồm bản thân mình trong điều này. Và nếu điều đó xảy ra, bạn nên chuẩn bị.
Giảm thiểu xác suất xảy ra
Tôi cố tình đưa ví dụ về báo cháy vào phần nhận xét của mình. Điều này chuẩn bị cho công ty đối phó với trường hợp, bất chấp mọi biện pháp chủ động, một đám cháy vẫn bùng phát. Một số công ty cũng có một cái gì đó như thế này cho các sự cố bảo mật thông tin và sự cố bảo mật CNTT. Và nếu điều đó hơi quá đáng với bạn (nó thực sự luôn phụ thuộc vào công ty trong từng trường hợp riêng lẻ), tôi vẫn có một mẹo cho bạn:
Nếu bạn triển khai các thử nghiệm thâm nhập hoặc các mô phỏng tấn công khác như một phần của các biện pháp bảo mật chủ động của mình, đừng quyết định chỉ sửa các lỗ hổng bảo mật mà bạn tìm thấy. Luôn đặt câu hỏi: Có phải lỗ hổng này đã bị khai thác trong quá khứ? Các cửa hậu đã được cài đặt chưa?
"Không ngừng đặt câu hỏi."
Hay nói một cách khác, hãy coi mọi "phát hiện" với mức độ nghiêm trọng của một sự cố an toàn thông tin thực tế. Bằng cách đó, bạn giảm thiểu xác suất xảy ra đồng thời đưa các kế hoạch bảo mật phản ứng của bạn - mà tôi chân thành mong bạn không bao giờ cần - vào thử nghiệm. Giống như chuông báo cháy.
Tất cả điều này là một phần của nhận thức và đồng thời chỉ là một phần của tổng thể. Tuy nhiên, với thành phần quan trọng này, bạn có thể hy vọng mỉm cười với tôi khi tôi hỏi, "Nếu tôi đặt tâm trí vào ngày mai, liệu tôi có thể bắt nhầm chân bạn không?". Hy vọng.
Gern beantworten wir Ihre Fragen
Bạn phải tính đến những nỗ lực nào khi chứng nhận hệ thống quản lý an toàn thông tin của mình? Tìm hiểu, không có nghĩa vụ và miễn phí. Chúng tôi mong chờ được nói chuyện với bạn.
Tin tưởng và chuyên môn
Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên có nhiều năm kinh nghiệm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc các dịch vụ của chúng tôi đối với tác giả, vui lòng liên hệ với chúng tôi.
Bản tin DQS
Arwid Zang
Giám đốc điều hành của nền tảng bảo mật "greenhats". Chuyên gia bảo mật CNTT, nhà đào tạo và tác giả chuyên về white hacking , đào tạo nâng cao nhận thức, bảo mật thông tin và tăng cường chủ động hệ thống CNTT.