datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

資訊安全事件:員工是成功的因素

Arwid Zang

白帽駭客
10月 25 , 2022
# 組織的資訊安全

網路犯罪分子是如何收集訊息,使自己處於攻擊IT系統的位置?駭客是如何成功地向一個公司的員工發送假郵件的?他們往往透過瞄准安全概念鏈中最薄弱的環節而取得成功:人。這就是為什麼員工知道他們在防止資訊安全事件的有效措施中的地位是無比重要的。而且他們必須從一個不同的、更有意識的角度來看待資訊安全的風險和機會。關鍵字:安全意識。Managing Director of greenhats.com, Arwid Zang 的邀稿文章

内容

網站就像一本打開的書

眾所周知,IT安全和資訊安全是兩雙截然不同的鞋子,但兩者的界限仍然會變得模糊不清。很明顯,IT安全事件經常導致資訊安全事件。當然,如果我是一個入侵企業網路的駭客,我必須坐在螢幕前以避免拿起一個或另一個不是為我準備的資訊。

然而,也有可能網路罪犯最初收集的資訊,從長遠來看,使他們能夠首先攻擊他們選擇的受害者的IT系統。

在安全檢查平台greenhats.com,我們的日常工作是入侵公司,鑑別漏洞,並在犯罪分子發現它們之前修復它們。

本著 "有話好好說 "的座右銘,在這篇文章中,我想向你詳細解釋一種影響所有人的攻擊方法。而且,我想和你一起解決這個問題。我為什麼要告訴你這一切?

 

資訊安全事件:簡單是最危險的

我們談論的當然是所謂的 "網路釣魚攻擊"--別擔心,我會盡量讓你免去更多的外來詞和IT詞彙。我甚至不需要它們,因為網路釣魚不是一種技術攻擊,而是對(幾乎)每個安全概念鏈中最薄弱環節的攻擊。一種對人的攻擊。

讓我們假設我想攻擊你。那麼我就不會胡亂地坐在我的電腦前打字。不,首先我需要的是......確切地說!訊息和個人資料。這包括:

  • 貴公司的電子郵件地址
  • 你的IT人員的姓名
  • 電子郵件簽名
  • 關於你的企業形象的訊息
  • 一個對你的員工來說有趣的話題
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email

原則上,網路釣魚不是一種技術攻擊,而是對(幾乎)每一個安全概念鏈中最薄弱環節的攻擊。

一種對人的攻擊。

假設我除了知道你們公司的名字外什麼都不知道,我自然會先去網站,閱讀並學習所有可以學習的東西。最重要的是,我對你們IT部門的電子郵件地址和聯絡人感興趣。因為在下面的攻擊中,我想向盡可能多的員工(我需要他們的地址)發送一封假的電子郵件,同時盡可能避免把它也發送給IT部門。

 

電子郵件地址:釣魚攻擊的 "資本"。

一旦我找到幾個電子郵件地址,我就會導出這個模式。例如, "firstname.lastname@samplecompany.com" ,因此,我試圖發現員工的電子郵件地址如何從他們的名字推論出來的邏輯。

然後我又上網了--這次是去了社交網路。我說的不是像Facebook & Co.這樣的 "邪惡 "玩家。XING和LinkedIn要有趣得多。

我在那裡搜尋你的公司,看看哪些人說他們為這家公司工作。這樣我就得到了一個名字的列表,我們可以利用確定的模式從中推論出地址。同時,我已經可以從社交網路的個人資料中看出,你的哪些同事有可能根據他們的專業經驗和IT興趣來鑑別我即將進行的攻擊。

這些同事將不會收到我的任何假郵件。

 

安全意識:特洛伊木馬正式出現了

現在我知道了我的攻擊目標,我想把自己冒充成 貴公司的員工。要做到這一點,我首先與你取得聯繫。透過官方管道,例如作為一個潛在客戶。我給你寫一封電子郵件,要求你提供報價。你回覆我--最好是提供一個產品組合或類似的東西。

你的回覆為我提供了有價值的訊息。

  • 你的電子郵件簽名是什麼樣子的?
  • 你使用什麼字體?
  • 你在文件中把你的標章放在哪裡?
  • 你如何突出標題?
  • 你使用什麼顏色?
  • 還有,還有,還有...

到目前為止,這並不是什麼高科技。但要注意的是--技巧來了。讓我們假設你的公司叫 "SampleCompany",在網路上可以找到 "Samplecompany.com"。然後我現在在網路上尋找一個網址,這個網址看起來與你的網址非常相似。例如 "samplecompany.eu"。我買下這個網址(其實只花了幾歐元),現在可以在上面建立我的攻擊。

實踐中的 ISO 27001 - 附錄 A

DQS 稽核指南(根據 ISO 27001:2013)

選定措施的稽核問題和可能的證據。

不僅是一個清單!

來自該領域的專家。

免費下載稽核指南

因為從 "firstname.lastname@samplecompany.eu",我可以發送帶有你簽名的電子郵件,看起來就像直接來自於你。我不在乎我用什麼名字或同義詞作為發件人,因為從技術上講,這沒有什麼區別。

 

資訊安全事件:一個現實生活中的例子

你的業務經理不是你的業務經理

例如,如果我假裝是你們IT部門的管理員,這可能真的很危險。我給你和你的所有同事寫了一封電子郵件,其中我提醒你注意,例如,一個用於遠端會議的新視訊網站,在那裡所有的員工請認證一次,檢查現有的聯絡人是否已經轉移。

或者,當我以總經理助理的身份給你寫信,並解釋由於疫情,聖誕晚會被取消了,而是由管理階層抽出五部全新的iPhone手機。為了確保每個人最後只中一次獎,請要求每個員工在所附的入口網站上認證一次--然後在12月底宣布獲獎者。

假的登錄區:數位化時代的兒戲

無論我選擇哪種方法--我都必須給你發送一個連結,讓你進入上述 "網站"。這可能是 "raffle.samplecompany.eu "或 "portal.samplecompany.eu"。

另外,在這一點上,我可以自由發揮我的創造力。由於我擁有相對應的頁面,我只需要在那裡建立一些對你和你的同事來說看起來值得信賴的東西。在比賽的情況下,例如,一個漂亮的登錄區,採用 貴公司的設計,有你的標誌,也許還有一個小聖誕老人。或者一些流星。

密碼最終落入攻擊者之手--以純文字形式出現

當然,安全是我的入口網站的重中之重。所有的東西都被很好地加密了,第三方不可能讀取你的輸入。畢竟,你輸入的是用戶名稱和密碼,這是敏感資訊。從技術角度來看,這一切絕對是認真的。你的資料被安全地傳輸,並最終落入最好的手中--我的手中。

順便說一下,在這樣的攻擊中,你的密碼的複雜度是完全不相關的;它最終會以純文字形式出現在攻擊者那裡。而且,請記住,(即使是最小的更複雜的)各種各樣的2因素解決方案可以被 "釣魚",如果我相應地調整我的入口網站。

 

資訊安全:員工是成功的因素

我答應過你,要在最後澄清一個最重要的問題。我為什麼要告訴你這一切?答案是:還有誰?

重要的是要明白,我所描述的攻擊--從純粹的技術角度來看--根本就不是攻擊。我從一個實際上屬於我的網址寫了一封電子郵件給你。其中甚至沒有附件,更沒有惡意軟體。你被重新定向到網路上的一個頁面,該頁面並不試圖破壞你的系統。正如我前面所描述的,這個網站也是完全安全的,所有流量都是最佳的加密。

這就是你登錄的其他(有信譽的)網站的情況。就像你在LinkedIn或XING輸入你的私人密碼來驗證你的身份一樣,你現在也在我的網站上輸入它。

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search

從技術角度來看,釣魚者不會偽造電子郵件。他們偽造的是你的整個公司。而這正是技術保護措施不起作用的原因。解決方案是鑑別和防止攻擊 - 這取決於你。

重要的是要明白,從技術角度來看,我不是在偽造一封電子郵件。我是在偽造你的整個公司。

而這正是技術保護措施不起作用的原因。解決方案在於檢測和預防攻擊--而這取決於你。就像採取適當的措施,提高員工在這個方向上的意識。

因為如果我整齊地設置了這個場景,檢測攻擊只能透過注意到地址的不同來實現,所以在我們的案例中是".eu "而不是你的".com"。我知道,你們中的某一個人現在絕對確信,即使在你們緊繃的日常工作中,你們也有必要的概述來做到這一點。因此,我想給你們中更高級的人一點思考的余地。

你是否也能認出 "samplecompany.com "是一個假的?一個小提示:"l "不是一個L,而是希臘字母 "Iota"。對於人的眼睛來說,它們之間沒有區別,你的電腦可能會看到它有點不同。我可以向你保證,在我們為公司模擬的所有網路釣魚攻擊中,沒有一個客戶的員工洩露他們的資料。

 

萬全之策:提高員工對攻擊的敏感度

因此,問題不在於你的同事是否會被這種攻擊所欺騙。問題更多的是有多少員工會認識到這種攻擊,他們會以多快的速度向IT部門報告,以及IT部門有多少時間來應對。

這正是員工在安全意識方面成為更多資訊安全和IT安全的成功因素的地方。

我不想成為那些把自己的策略藏在心裡,享受這種攻擊的災難性結果的白帽駭客之一。我更想和你一起做出貢獻,使你的公司更安全一些。

實踐中的 ISO 27001 - 附錄 A

DQS 稽核指南(根據 ISO 27001:2013)

選定措施的稽核問題和可能的證據。

不僅是一個清單!

來自該領域的專家。

免費下載稽核指南

現在輪到你了。我剛才向你描述的只是一個例子,在許多方面,人們和他們有時對訊息的疏忽處理可以被利用,並被用來作為攻擊者獲利。IT部門只能在有限的範圍內防止這種情況的發生,或者根本不可能,這就是他們的工作。自己想辦法攻擊,想想如何劫持你的同事,讓它成為(虛擬)午餐桌上的一個話題。

 

ISO 27001:意識是措施目錄的一部分

然後,讓你的公司定期接受測試,讓意識成為安全計劃的一部分。從字裡行間看,你也會在國際公認的資訊安全管理系統(ISMS)標準中發現這一點。

例如,ISO/IEC 27001要求你確保意識,從而使安全鏈中最薄弱的環節對如何處理你公司的訊息有敏感認識(7.3章和附件7.2.2)。這要從電子郵件地址這樣簡單的事情開始。其他監管或法律要求,如GDPR,也針對避免事件的預防方法。

ISO/IEC 27001:2013 資訊技術 - 安全技術 - 資訊安全管理系統 - 要求

修訂版已於 2022 年 10 月 25 日發佈。我們將繼續增加有關變更的訊息。

"根據ISO 27001的ISMS定義了確保公司中值得保護的資訊安全的要求、規則和方法。該標準提供了一個導入、實施、監測和改善保護水準的模型。其目的是鑑別公司的潛在風險,對其進行分析,並透過適當的措施使其可以控制。ISO 27001制定了這種管理系統的要求,作為外部驗證流程的一部分進行稽核。該標準可從ISO網站獲得。"

透過提高認識的措施來符合標準的要求,例如指南、訓練、關於正在進行的新聞溝通,甚至是模擬的網路釣魚攻擊,就像我們為客戶做的那樣。還有。對自己誠實一點,問問自己,你以前的訓練措施在為我剛才所說的那種緊急情況做準備方面有多成功。

Man and a woman with a laptop in a server room

ISO 27001 - 問與答

有價值的訊息是當今的黃金--因此也是你公司需要保護的資產。ISO 27001有許多解決方案。

關於 ISO27001 的最重要問題的答案:就在這裡

資訊安全事件通常意味著混亂

當我們談到誠實的話題時:對於網路攻擊引發的資訊安全事件,你究竟會如何反應?無可否認,反應式安全的話題總是讓人有點不舒服,但這是應該談論的事情。

人們喜歡把它想像成火災演習--在工作時間的某個時刻,鈴聲突然響起,每個人都有秩序地、平靜地離開大樓,在外面等一會兒,和同事們聊一聊天氣,過了一會兒,大家被允許回來,在路上可以喝杯咖啡。

但事實並非如此。

有幾家發生過攻擊的公司已經聯絡過我的團隊了,我可以向你保證。它是混亂的。甚至在實際事件發生的幾天後。除其他原因外,這是因為現代駭客利用了他們受害者的傲慢。

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention

讓意識成為你安全概念的一部分,讓你的公司定期接受測試。從字裡行間看,你也會在國際公認的資訊安全管理系統標準ISO 27001中發現這一點。

我想向你解釋這一點,所以讓我們回到我們的網路釣魚攻擊。假設我,作為攻擊者,設法用你同事的密碼遠端連接到他們的IT系統。你認為我不會知道你們公司有人注意到這裡發生了攻擊並向IT部門報告嗎?最好的情況是,你親自做,我完全意識到這一點。

 

資訊安全事件:進入系統的後門

這就是為什麼我做了兩件事。第一,我做一些明顯的事情,讓你的公司惱火,讓你有事可做。例如,我以你同事的名義向你的客戶發送垃圾郵件。這很突出,讓你和你的IT部門有事情可做。現在你可以把你所有的應急計劃從櫃子裡拿出來,和你的IT代表一起把資訊安全事件處理得繪聲繪色。包括複雜的行銷措施,將被破壞的形象擦亮到一個新的高光澤度,也許讓你作為一個 "倖存者 "看起來比以前更好。專業人士可以做到這一點。

但與此同時,作為一個攻擊者,我正試圖為一個系統設置一個後門,而你的IT部門在所有的喧囂中不會注意到。這就像進入一家珠寶店,打翻最大的陳列櫃,在大家都在撲向破碎的碎片時,偷偷地把所有昂貴的戒指和手錶放進我的口袋。

不用說,如果你不知道你在找什麼,我的後門是極難找到的。然後我就什麼都不做了。幾個星期,幾個月。

"我透過你的網路,悄悄地工作。我分散開--我等待......"

現在,我正試圖以我的方式穿過你的公司網路,悄無聲息地工作。沒有任何 "嘈雜 "的軟體掃描器,這將耗盡你的網路並提醒你的安全系統。完全手動,老派的。順便說一下,這就是駭客方面的麥子與糠秕的區別。如果你的網路只是在測試場景中暴露在安全掃描器面前,現在對你一點幫助都沒有。我分散開,我等待--耐心地等待。我試圖確定何時以及如何進行備份,誰與誰進行溝通,以及你的組織在哪裡最敏感。在我們的例子中,我可能在晚上做這件事--或者至少是在核心工作時間之後,那時我更不可能被觀察到。當然,我每天都會掩蓋我的蹤跡。

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search

主動的IT安全措施,尤其是明顯的安全意識,是任何公司IT安全概念中最重要的基本。然而,一個完善的安全意識還包括了解它可能發生在你身上。如果這種情況發生,你應該做好準備。

然後--幾個月後--發生了大的資訊安全事件。對你的公司來說完全是突如其來的。例如,我使用眾多加密木馬中的一個來勒索你。然而,"巧合的是,"由於我的前期工作,它在最高權限下運行,繞過了你的安全措施,並首先傳播到了擁有你最相關文件的系統。而且,如果在我所有的時間裡,我注意到了你的備份系統的一個弱點...就像我說的,一片混亂。

 

缺少意識:完美的目標攻擊

是的,我們仍然在我們的例子中,但這決不是好萊塢。這是一種常見的做法,也是我們仍然經常聽到和讀到公司與這種加密木馬鬥爭的一個關鍵原因。幾年前,這些東西或多或少地在網路上被釋放出來,只有羊群中最弱的羊才會成為它們的受害者:那些外部技術安全薄弱的公司。

今天情況不同了。員工的缺乏意識被用來針對公司,只有當受害者被完全控制時,才會部署自動攻擊軟體。

我仍然認為,主動的IT安全措施,特別是強烈的安全意識,是任何公司的IT安全概念中最重要的基石--簡直有太多的例子和實際案例可以證明這一點。然而,一個完善的安全意識還包括了解到有可能受到影響。我把自己也包括在其中。而如果這種情況發生,你應該做好準備。

將發生的機率降到最低

我在發言中特意加入了火災警報的例子。這為公司做好了準備,以應對儘管採取了所有的積極措施,但確實發生了火災。有些公司對於資訊安全事件和IT安全事件也有類似的東西。如果這對你來說有點過猶不及(這真的總是取決於公司在每個個案中的情況),我仍然有一個提示給你。

如果你實施滲透測試或其他攻擊模擬作為你主動安全措施的一部分,不要滿足於簡單地修復你發現的漏洞。總是要問這樣的問題。這個漏洞在過去是否被利用過?是否已經安裝了後門?

"不要停止問問題。"

或者,換一種方式,以實際資訊安全事件的嚴肅性來對待每一個 "發現"。這樣,你就可以把發生的機率降到最低,同時也讓你的反應性安全計劃--我真誠地希望你永遠不需要--經受考驗。就像火警警報一樣。

所有這些都是意識的一部分,同時也只是整體的一部分。然而,有了這個重要的組成部分,當我問道:"如果我明天用心去做,我能抓住你的錯誤嗎?"時,你可以對我微笑。希望如此。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

我們很樂意回答您的問題

在驗證資訊安全管理系統時,要估計到什麼樣的努力?了解一下,不用負擔義務,免費。我們期待著與您交流。

聯絡DQS

信任和專業知識

我們的內容和手冊是由我們的標準專家或具有多年經驗的稽核員獨家撰寫的。如果您對內容或我們對作者的服務有任何疑問,請隨時聯繫我們。

作者
Arwid Zang

安全平台 "greenhats "的常務董事。IT安全專家、講師和作者,專門從事白帽駭客、意識培訓、資訊安全和主動加固IT系統的工作。

有任何驗證相關問題?

我們歡迎您來信諮詢
聯絡我們