Tietoturvaloukkaukset: Työntekijät menestystekijänä

SISÄLTÖ

• Verkkosivustot ovat kuin avoimia kirjoja
• Yksinkertainen on vaarallisinta
• Sähköpostiosoitteet: Phishingin "pääoma
• Tietoturvatietoisuus: Troijan hevonen tulee virallisesti
• Tietoturvatapahtumat: Esimerkki tosielämästä
• Tietoturva: Työntekijät menestystekijänä
• Kaiken A ja O: Herkistetään työntekijät hyökkäyksille.
• ISO 27001: Tietoisuus osana toimenpideluetteloa.
• Tietoturvaloukkaus merkitsee yleensä kaaosta
• Takaportti järjestelmään
• Tietoisuuden puute: täydellinen kohde kohdennetulle hyökkäykselle
• Minimoi tapahtuman todennäköisyys

Verkkosivut ovat kuin avoimia kirjoja

Tietoturva ja tietoturva ovat tunnetusti kaksi aivan eri kenkäparia, mutta rajat voivat silti hämärtyä. On selvää, että tietoturvaloukkaukset johtavat säännöllisesti tietoturvaloukkauksiin. Toki, jos olen hakkeri, joka murtautuu yrityksen verkkoon, minun pitäisi istua ruudun edessä silmät kouristavasti kiinni, jotta en saisi haltuuni yhtä tai toista tietoa, jota ei ollut tarkoitettu minulle.

On kuitenkin myös mahdollista, että verkkorikolliset keräävät aluksi tietoja, joiden avulla he voivat pitkällä aikavälillä hyökätä valitsemansa uhrin IT-järjestelmiin.

Tietoturvatarkastusalustalla greenhats.com päivittäinen työmme on murtautua yrityksiin, tunnistaa haavoittuvuudet ja korjata ne ennen kuin rikolliset löytävät ne.

Mottomme "Puhutaan vain siitä" mukaisesti haluan tässä artikkelissa selittää sinulle yksityiskohtaisesti hyökkäysmenetelmän, joka koskee kaikkia. Ja yhdessä kanssanne haluaisin vastata kysymykseen: Miksi minä itse asiassa kerron teille kaiken tämän?

Tietoturvaloukkaukset: Yksinkertainen on vaarallisinta

Puhumme tietysti niin sanotusta "phishing-hyökkäyksestä" - älä huoli, yritän säästää sinua muilta vierasperäisiltä sanoilta ja IT-sanastolta. En edes tarvitse niitä, koska phishing ei ole tekninen hyökkäys, vaan hyökkäys (lähes) jokaisen tietoturvakonseptin ketjun heikointa lenkkiä vastaan. Hyökkäys ihmisiä vastaan.

Oletetaan, että haluan hyökätä sinua vastaan. Silloin en vain istu sattumanvaraisesti kannettavani ääreen ja ala kirjoittaa mustilla konsoleilla. Ei, ensin tarvitsen... täsmälleen! Tietoja ja henkilötietoja. Näihin kuuluvat:

• Yrityksenne sähköpostiosoitteet
• IT-henkilöstönne nimet
• Sähköpostin allekirjoitukset
• Yrityksenne identiteettiä koskevat tiedot
• Työntekijöitäsi kiinnostava aihe

Olettaen, etten tiedä mitään muuta kuin yrityksenne nimen, menen luonnollisesti ensin verkkosivuille, luen ja opettelen kaiken, mitä siellä on opittavaa. Ennen kaikkea olen kiinnostunut tietotekniikkayhtiönne sähköpostiosoitteista ja yhteyshenkilöistä. Koska seuraavassa hyökkäyksessä haluan lähettää väärennetyn sähköpostin mahdollisimman monelle työntekijälle (joiden osoitteet tarvitsen) ja välttää samalla mahdollisimman paljon sen lähettämistä myös IT-osastolle.

Sähköpostiosoitteet: Phishing-hyökkäyksen "pääoma".

Kun löydän muutaman sähköpostiosoitteen, johdan kuvion. Esimerkiksi "firstname.lastname@samplecompany.com". Yritän siis irrottaa logiikan siitä, miten työntekijän sähköpostiosoite voidaan päätellä hänen nimestään.

Sitten lähden taas internetiin - tällä kertaa sosiaalisiin verkostoihin. En puhu "pahoista" toimijoista, kuten Facebook & Co. XING ja LinkedIn ovat paljon mielenkiintoisempia.

Siellä etsin yritystäsi ja katson, ketkä ihmiset ilmoittavat työskentelevänsä kyseisessä yrityksessä. Näin saan luettelon nimistä, joista voimme johtaa osoitteita tunnistetun mallin avulla. Samalla voin jo sosiaalisten verkostojen profiileista päätellä, ketkä kollegoistasi voisivat mahdollisesti tunnistaa tulevan hyökkäykseni heidän työkokemuksensa ja tietotekniikan kiinnostuksen kohteidensa perusteella.

Nämä kollegat eivät saa minulta väärennettyä sähköpostia.

Tietoturvatietoisuus: Troijalainen hevonen tulee virallisesti

Nyt kun tiedän hyökkäykseni kohteen, haluan esiintyä yrityksesi työntekijänä. Tätä varten otan ensin yhteyttä teihin. Virallisten kanavien kautta, esimerkiksi potentiaalisena asiakkaana. Kirjoitan teille sähköpostia ja pyydän tarjousta. Te vastaatte - mieluiten tuotevalikoiman tai vastaavan kanssa.

Vastauksestasi saan arvokasta tietoa:

• Miltä sähköpostisi allekirjoitus näyttää?
• Mitä fontteja käytät?
• Mihin sijoitatte logonne asiakirjoissa?
• Miten korostat otsikoita?
• Mitä värejä käytät?
• Ja, ja, ja, ja...

Toistaiseksi se ei ole rakettitiedettä. Mutta varo - nyt tulee temppu. Oletetaan, että yrityksesi nimi on "SampleCompany" ja se löytyy Internetistä osoitteesta "samplecompany.com". Sitten etsin nyt Internetistä osoitteen, joka näyttää hyvin samankaltaiselta kuin sinun osoitteesi. Esimerkiksi "samplecompany.eu". Ostan tämän osoitteen (se maksaa vain muutaman euron) ja voin nyt rakentaa hyökkäykseni sen varaan.

Koska osoitteesta "firstname.lastname@samplecompany.eu" voin lähettää allekirjoituksellasi varustettuja sähköpostiviestejä, jotka näyttävät siltä kuin ne olisivat tulleet suoraan sinulta. En välitä, mitä nimiä tai synonyymejä käytän lähettäjänä, koska sillä ei ole teknisesti mitään merkitystä.

Tietoturvaloukkaukset: Esimerkki tosielämästä

Yritysjohtajasi ei ole yritysjohtajasi

Tämä voi olla todella vaarallista, jos teeskentelen olevani esimerkiksi tietotekniikkasi ylläpitäjä. Kirjoitan sinulle ja kaikille kollegoillesi sähköpostiviestin, jossa kiinnitän huomionne esimerkiksi uuteen etäkokouksia varten perustettuun videoportaaliin, jossa kaikkien työntekijöiden pitäisi tunnistautua kerran, jotta he voivat tarkistaa, onko olemassa olevat yhteystiedot siirretty.

Tai kun kirjoitan sinulle toimitusjohtajan assistenttina ja selitän, että joulujuhlat on peruttu pandemian vuoksi, mutta sen sijaan johto arpoo viisi upouutta iPhonea. Varmistaaksesi, että kaikki päätyvät arvontapottiin vain kerran, pyydä jokaista työntekijää kirjautumaan kerran oheiseen portaaliin - voittajat ilmoitetaan sitten joulukuun lopussa.

Väärennetty kirjautumisalue: Lastenleikkiä digitalisaation aikana

Valitsinpa minkä menetelmän tahansa - minun on lähetettävä sinulle linkki, joka johtaa mainittuun "portaaliin". Tämä voisi olla "raffle.samplecompany.eu" tai "portal.samplecompany.eu".

Myös tässä vaiheessa voin antaa luovuudelleni vapaat kädet. Koska omistan kyseisen sivun, minun on vain rakennettava sinne jotain, joka näyttää luotettavalta teidän ja kollegoidenne silmissä. Kilpailun tapauksessa esimerkiksi hieno kirjautumisalue yrityksenne designissa, jossa on logonne ja ehkä pieni joulupukki. Tai muutama tähdenlento.

Salasanat päätyvät hyökkääjälle - pelkkänä tekstinä

Tietenkin turvallisuus on portaalissani ykkösprioriteetti! Kaikki on erinomaisesti salattu, ja kolmansien osapuolten on mahdotonta lukea syöttösi. Syötät nimittäin käyttäjätunnuksia ja salasanoja, jotka ovat arkaluonteisia tietoja. Teknisestä näkökulmasta kaikki tämä on ehdottoman vakavaa. Tietosi siirretään turvallisesti ja päätyvät parhaisiin käsiin - minun käsiini.

Salasanasi monimutkaisuudella ei muuten ole tällaisessa hyökkäyksessä mitään merkitystä; se päätyy pelkkänä tekstinä hyökkääjälle. Ja pidä mielessä, että (vaikka minimaalisesti monimutkaisempi) monenlaisia 2-tekijäratkaisuja voidaan "phishing", jos mukautan portaalini vastaavasti.

Tietoturva: Työntekijät menestystekijänä

Lupasin lopuksi selvittää tärkeimmän kysymyksen: Miksi kerron teille tämän kaiken? Vastaus on seuraava: Kuka muu?

On tärkeää ymmärtää, että kuvaamani hyökkäys ei ole - puhtaasti teknisestä näkökulmasta katsottuna - lainkaan hyökkäys. Kirjoitan sinulle sähköpostia osoitteesta, joka todella kuuluu minulle. Siinä ei ole edes liitetiedostoa, haittaohjelmista puhumattakaan. Sinut ohjataan Internetissä olevalle sivulle, joka ei yritä vaarantaa järjestelmääsi. Ja kuten aiemmin kuvailin, myös tämä sivusto on täysin suojattu ja kaikki liikenne on salattu optimaalisesti.

Näin on myös muilla (hyvämaineisilla) sivustoilla, joille kirjaudut. Ja aivan kuten syötät yksityisen salasanasi LinkedInissä tai XINGissä tunnistaaksesi itsesi, syötät sen nyt minun sivustollani.

On tärkeää ymmärtää, että teknisestä näkökulmasta katsottuna en väärennä sähköpostia. Väärennän koko yritystäsi.

Ja juuri siksi tekniset suojaustoimenpiteet eivät toimi. Ratkaisu on hyökkäyksen havaitsemisessa ja estämisessä - ja se on sinusta kiinni. Aivan kuten asianmukaiset toimenpiteet työntekijöiden tietoisuuden lisäämiseksi tähän suuntaan.

Koska jos asetan tämän skenaarion siististi, hyökkäyksen havaitseminen on mahdollista vain huomaamalla ero osoitteessa, eli meidän tapauksessamme ".eu" sinun ".com" -osoitteesi sijaan. Olen tietoinen siitä, että jompikumpi teistä on nyt täysin varma, että teillä on tarvittava yleiskuva tämän tekemiseen jopa stressaavassa arkityössänne. Siksi haluaisin antaa edistyneemmille teistä hieman ajattelemisen aihetta:

Tunnistaisitteko tekin "samplecompany.com" väärennökseksi? Pieni vinkki: "l" ei ole L-kirjain vaan kreikkalainen kirjain "Iota". Ihmissilmä ei huomaa eroa, mutta tietokoneesi näkee sen luultavasti hieman eri tavalla. Voin vakuuttaa sinulle, että kaikissa yrityksille simuloimissamme phishing-hyökkäyksissä ei ole ollut yhtään asiakasta, jonka työntekijä ei olisi paljastanut tietojaan.

Kaiken A ja O: Herkistetään työntekijät hyökkäyksille.

Kysymys ei siis ole siitä, lankeaisivatko kollegasi tällaiseen hyökkäykseen. Kysymys on pikemminkin siitä, kuinka moni työntekijä tunnistaa hyökkäyksen, kuinka nopeasti he ilmoittavat siitä IT:lle ja kuinka paljon aikaa IT:llä on aikaa reagoida.

Juuri tässä kohtaa työntekijästä tulee menestystekijä tietoturvan ja tietoturvan tietoturvatietoisuuden lisäämiseksi.

En halua olla yksi niistä valkoisista hakkereista, jotka pitävät strategiansa omana tietonaan ja nauttivat tällaisten hyökkäysten katastrofaalisista tuloksista. Paljon enemmänkin haluaisin osallistua yhdessä kanssasi siihen, että yrityksesi olisi hieman turvallisempi.

Nyt on sinun vuorosi: Se, mitä juuri kuvailin sinulle, on vain yksi esimerkki monista tavoista, joilla ihmisiä ja heidän joskus huolimatonta tiedonkäsittelyään voidaan hyödyntää ja käyttää hyödyksi hyökkääjinä. Tietotekniikkaosastot voivat suojautua tätä vastaan vain rajoitetusti tai eivät lainkaan; se on niiden tehtävä. Keksikää itse hyökkäyksiä, miettikää, miten voisitte kaapata kolleganne ja tehkää siitä aihe (virtuaalisessa) lounaspöydässä.

ISO 27001: Tietoisuus osana toimenpideluetteloa.

Laita sitten yrityksesi säännöllisesti testiin ja tee tietoisuudesta osa turvallisuussuunnitelmaasi. Kun luet hieman rivien välistä, löydät tämän myös kansainvälisesti tunnustetusta tietoturvallisuuden hallintajärjestelmän (ISMS) standardista.

EsimerkiksiISO/IEC 27001 edellyttää, että varmistat tietoisuuden ja siten ketjun heikoimman lenkin herkistämisen siitä, miten yrityksesi tietoja käsitellään (luku 7.3 ja liite 7.2.2). Tämä alkaa niinkin yksinkertaisesta asiasta kuin sähköpostiosoitteesta. Myös muut sääntely- tai oikeudelliset vaatimukset, kuten yleinen tietosuoja-asetus, kohdistuvat ennaltaehkäisevään lähestymistapaan eli vaaratilanteiden välttämiseen.

Täytä standardin vaatimukset tietoisuustoimenpiteillä, kuten ohjeistuksella, koulutuksella, jatkuvista uutisista tiedottamisella tai jopa simuloiduilla phishing-hyökkäyksillä, kuten me teemme asiakkaillemme. Ja: Ole rehellinen itsellesi ja kysy itseltäsi, miten hyvin aiemmat koulutustoimenpiteesi ovat onnistuneet valmistamaan sinua juuri kuvaamani kaltaiseen hätätilanteeseen.

Tietoturvahäiriö tarkoittaa yleensä kaaosta

Kun nyt kerran rehellisyydestä puhutaan: Miten itse asiassa reagoisit tietoturvaloukkauksen aiheuttamaan tietoturvaloukkaukseen? Myönnettäköön, että reaktiivisen tietoturvan aihe on aina hieman epämiellyttävä, mutta siitä pitäisi puhua.

Ihmiset ajattelevat sitä mielellään palohälytysharjoituksen tapaan - jossain vaiheessa työaikaa kello soi yllättäen, kaikki poistuvat rakennuksesta järjestyksessä ja rauhallisesti, odottavat hetken ulkona ja keskustelevat kollegoiden kanssa säästä, ja jonkin ajan kuluttua kaikki saavat palata takaisin sisälle ja voivat matkalla käydä kahvilla.

Mutta näin ei ole.

Tiimiini on jo otettu yhteyttä parista yrityksestä, joissa on tapahtunut hyökkäys, ja voin luvata teille: Se on kaaos. Jopa useita päiviä varsinaisen tapahtuman jälkeen. Muun muassa siksi, että nykyaikaiset hakkerit käyttävät hyväkseen uhriensa ylimielisyyttä.

Haluan selittää tämän sinulle, joten palataanpa takaisin phishing-hyökkäykseemme. Oletetaan, että minä hyökkääjänä onnistun muodostamaan etäyhteyden jonkun kollegasi IT-järjestelmään käyttämällä hänen salasanaansa. Luuletko, etten tietäisi, että joku yrityksessäsi huomaa, että tässä on tapahtunut hyökkäys, ja ilmoittaa siitä IT-osastolle? Parhaassa tapauksessa teet sen henkilökohtaisesti, olen täysin tietoinen siitä.

Tietoturvatapahtumat: Takaportti järjestelmääsi

Siksi teen kaksi asiaa: Ensinnäkin teen jotain ilmeistä, joka ärsyttää yritystäsi ja antaa sinulle jotain tekemistä. Lähetän esimerkiksi roskapostiviestejä asiakkaillesi kollegasi nimissä. Se pistää silmään ja antaa sinulle ja IT-osastollesi jotain tekemistä. Nyt voit vetää kaikki varasuunnitelmasi esiin kaapista ja käydä tietoturvaloukkauksen läpi kuvankauniisti IT-edustajiesi kanssa. Mukaan lukien hienostuneet markkinointitoimenpiteet, jotka kiillottavat tahriintuneen imagon uuteen kiiltoon ja saavat sinut kenties näyttämään entistäkin paremmalta "selviytyjältä". Ammattilaiset pystyvät tähän.

Mutta samaan aikaan hyökkääjänä yritän luoda takaoven järjestelmään, jota IT-osastosi ei huomaa kaikessa hälinässä. Se on kuin menisi korukauppaan, kaataisi suurimman vitriinin ja laittaisi salaa kaikki kalliit sormukset ja kellot taskuuni, kun kaikki hyökkäävät rikkinäisten palojen kimppuun.

Sanomattakin on selvää, että takaoveani on äärimmäisen vaikea löytää, jos ei tiedä, mitä etsii. Ja sitten en tee mitään. Viikkoihin, kuukausiin.

Nyt yritän raivata tieni läpi yritysverkkosi, hiljaa. Ilman mitään "meluisia" ohjelmistoskannereita, jotka uuvuttavat verkkonne ja hälyttävät turvajärjestelmänne. Täysin manuaalisesti, ikään kuin vanhan koulukunnan tapaan. Tässä muuten erotetaan vehnä akanoista hakkereiden puolella. Jos verkkosi oli alttiina tietoturvaskannereille vain testiskenaarioissa, siitä ei ole nyt mitään apua. Levittäydyn ja odotan - kärsivällisesti. Yritän selvittää, milloin ja miten varmuuskopioita tehdään, kuka kommunikoi kenen kanssa ja missä organisaatiosi on kaikkein arkaluonteisin. Esimerkissämme teen tämän luultavasti yöllä - tai ainakin ydintyöajan jälkeen, jolloin minua on vielä epätodennäköisempää tarkkailla. Ja tietysti peitän jälkeni joka päivä.

Ja sitten - kuukausia myöhemmin - tapahtuu suuri tietoturvaloukkaus. Täysin yllättäen yrityksellesi. Käytän sitten esimerkiksi yhtä lukuisista salaustroijalaisista kiristääkseni sinua. "Sattumalta", mutta ennakkotehtäväni ansiosta se toimii korkeimmilla etuoikeuksilla, ohittaa turvatoimenpiteesi ja leviää ensin järjestelmiin, joissa on tärkeimpiä tiedostojasi. Ja jos olen huomannut heikkouden varmuuskopiointijärjestelmässänne... Kuten sanoin, kaaos.

Tietoisuuden puute: täydellinen kohde kohdennetulle hyökkäykselle

Kyllä, olemme vielä esimerkissämme, mutta tämä ei suinkaan ole Hollywood. Tämä on yleinen käytäntö ja keskeinen syy siihen, miksi kuulemme ja luemme edelleen niin usein yrityksistä, jotka kamppailevat tällaisten salaustroijalaisten kanssa. Muutama vuosi sitten nämä päästettiin enemmän tai vähemmän valloilleen Internetissä, ja vain lauman heikoin lammas joutui niiden uhriksi: yritykset, joilla oli heikko tekninen tietoturva ulkopuolelta.

Nykyään asiat ovat toisin. Työntekijöiden tietämättömyyttä käytetään hyväksi yritysten kohteina, ja vasta kun uhri on täysin hallinnassa, otetaan käyttöön automaattinen hyökkäysohjelmisto.

Olen edelleen sitä mieltä, että ennakoivat tietoturvatoimenpiteet ja erityisesti vahva tietoturvatietoisuus ovat jokaisen yrityksen tietoturvakonseptin tärkeimpiä rakennuspalikoita - on yksinkertaisesti liian monta esimerkkiä ja konkreettista tapausta, jotka tukevat tätä. Hyvin kehittyneeseen tietoturvatietoisuuteen kuuluu kuitenkin myös ymmärrys siitä, että on mahdollista joutua hyökkäyksen kohteeksi. Lasken itseni tähän mukaan. Ja jos näin käy, sinun on syytä olla valmistautunut.

Tapahtuman todennäköisyyden minimointi

Otin tarkoituksella mukaan huomautuksiini esimerkin palohälyttimestä. Näin yritys valmistautuu siihen, että kaikista ennakoivista toimenpiteistä huolimatta tulipalo syttyy. Joillakin yrityksillä on jotain tällaista myös tietoturvaloukkausten ja tietoturvaloukkausten varalta. Ja jos tämä olisi sinulle hieman liikaa (se riippuu tosiaan aina yrityksestä kussakin yksittäistapauksessa), minulla on silti yksi vinkki sinulle:

Jos otat käyttöön penetraatiotestejä tai muita hyökkäyssimulaatioita osana ennakoivia turvatoimia, älä tyydy vain korjaamaan löytämiäsi haavoittuvuuksia. Esitä aina kysymys: Onko tätä haavoittuvuutta hyödynnetty aiemmin? Onko siihen asennettu takaovia?

Tai toisin sanottuna, suhtaudu jokaiseen "löydökseen" todellisen tietoturvaloukkauksen vakavuudella. Näin minimoit tapahtuman todennäköisyyden ja laitat samalla reaktiiviset turvallisuussuunnitelmasi - joita toivon vilpittömästi, ettet koskaan tarvitse - koetukselle. Kuten palohälytys.

Kaikki tämä on osa tietoisuutta ja samalla vain osa kokonaisuutta. Tämän tärkeän osatekijän ansiosta voitte kuitenkin toivottavasti hymyillä minulle, kun kysyn: "Jos panen huomenna hanttiin, voisinko saada teidät kiinni väärällä jalalla?". Toivottavasti.

Luottamus ja asiantuntemus

Tekstimme ja esitteemme ovat yksinomaan standardien asiantuntijoidemme tai auditoijiemme kirjoittamia, joilla on monen vuoden kokemus. Jos sinulla on kysyttävää tekstin sisällöstä tai palveluistamme kirjoittajalle, ota rohkeasti yhteyttä.