Incidenti informacijske sigurnosti: Zaposlenici kao faktor uspjeha

SADRŽAJ

• Web stranice su poput otvorenih knjiga
• Jednostavno je najopasnije
• E-mail adrese: "Kapital" phishinga
• Sigurnosna svijest: Trojanski konj službeno dolazi
• Incidenti informacijske sigurnosti: primjer iz stvarnog života
• Informacijska sigurnost: Zaposlenici kao faktor uspjeha
• Sve u svemu i kraj svega: senzibilizirajte zaposlenike na napade
• ISO 27001: Svijest kao dio kataloga mjera
• Incident informacijske sigurnosti obično znači kaos
• Stražnja vrata u vaš sustav
• Nedostatak svijesti: savršeno za ciljani napad
• Smanjite vjerojatnost pojavljivanja

Web stranice su poput otvorenih knjiga

Poznato je da su informatička sigurnost i informacijska sigurnost dva prilično različita para cipela, ali granice još uvijek mogu postati nejasne. Jasno je da IT sigurnosni incidenti redovito dovode do informacijskih sigurnosnih incidenata. Naravno, ako sam haker koji ugrožava poslovnu mrežu, morao bih sjediti ispred ekrana grčevito zatvorenih očiju kako bih izbjegao pokupiti jednu ili drugu informaciju koja nije bila namijenjena meni.

Međutim, također je moguće da kibernetički kriminalci u početku prikupe informacije koje im, dugoročno gledano, omogućuju da napadnu IT sustave svoje odabrane žrtve.

Na platformi za sigurnosne provjere greenhats.com, naš je svakodnevni posao hakirati tvrtke, identificirati ranjivosti i popraviti ih prije nego što ih kriminalci pronađu.

Vjeran motu "Hajde samo da razgovaramo o tome", u ovom članku želim vam detaljno objasniti metodu napada koja utječe na sve. I zajedno s vama želim se pozabaviti pitanjem: Zašto vam zapravo sve ovo govorim?

Incidenti informacijske sigurnosti: Jednostavno je najopasnije

Govorimo, naravno, o takozvanom "phishing napadu" - ne brinite, pokušat ću vas poštedjeti više stranih riječi i informatičkog vokabulara. Meni ih niti ne trebaju, jer phishing nije tehnički napad, već napad na najslabiju kariku u lancu (gotovo) svakog sigurnosnog koncepta. Napad na ljude.

Pretpostavimo da te želim napasti. Tada neću samo nasumično sjesti za svoju bilježnicu i početi tipkati na crnim konzolama. Ne, prvo trebam... upravo to! Informacije i osobni podaci. Ovo uključuje:

• E-mail adrese vaše tvrtke
• Imena vašeg IT osoblja
• Potpisi e-pošte
• Podaci o vašem korporativnom identitetu
• Tema koja je zanimljiva vašim zaposlenicima

Pod pretpostavkom da ne znam ništa osim naziva vaše tvrtke, prirodno prvo odem na web stranicu, pročitam i naučim sve što se može naučiti. Prije svega me zanimaju e-mail adrese i kontakt osobe vašeg IT-a. Zato što u sljedećem napadu želim poslati lažni e-mail što većem broju zaposlenika (čije mi adrese trebaju) izbjegavajući da ga pošaljem i IT-u.

E-mail adrese: "Kapital" phishing napada.

Nakon što pronađem nekoliko adresa e-pošte, izvodim obrazac. Na primjer, "ime.prezime@uzoraktvrtke.com" Pa pokušavam otkriti logiku kako se adresa e-pošte zaposlenika može zaključiti iz njihovog imena.

Onda opet odlazim na internet - ovaj put na društvene mreže. Ne govorim o "zlim" igračima kao što je Facebook & Co. XING i LinkedIn su mnogo zanimljiviji.

Tamo tražim vašu tvrtku i gledam koji ljudi navode da rade za tu tvrtku. Na ovaj način dobivam popis imena iz kojih možemo izvesti adrese pomoću identificiranog uzorka. Istodobno, već po profilima na društvenim mrežama mogu zaključiti tko bi od vaših kolega na temelju svog profesionalnog iskustva i informatičkih interesa potencijalno mogao prepoznati moj nadolazeći napad.

Ovi kolege neće dobiti lažnu poštu od mene.

Sigurnosna svijest: Trojanski konj službeno dolazi

Sada kada znam svoju metu napada, želim se predstavljati kao zaposlenik vaše tvrtke. Da bih to učinio, prvo uspostavljam kontakt s vama. Službenim putem, primjerice kao potencijalni kupac. Pišem vam e-mail i tražim ponudu. Vi odgovarate - idealno portfeljem proizvoda ili slično.

Vaš odgovor mi daje vrijedne informacije:

• Kako izgleda vaš e-mail potpis?
• Koje fontove koristite?
• Gdje stavljate svoj logo u dokumentima?
• Kako ističete naslove?
• Koje boje koristite?
• I, i, i...

Za sada, to nije raketna znanost. Ali pazite - ovdje dolazi trik. Pretpostavimo da se vaša tvrtka zove "SampleCompany" i da se može pronaći na internetu na "samplecompany.com". Zatim tražim adresu na Internetu, koja je vrlo slična vašoj adresi. Na primjer "samplecompany.eu". Kupio sam ovu adresu (stvarno košta samo nekoliko eura) i sada mogu graditi svoj napad na njoj.

Jer s "ime.prezime@samplecompany.eu" mogu slati e-mailove s vašim potpisom koji izgledaju kao da dolaze izravno od vas. Nije me briga koja imena ili sinonime koristim kao pošiljatelja, jer tehnički nema razlike.

Incidenti informacijske sigurnosti: primjer iz stvarnog života

Vaš poslovni upravitelj nije vaš poslovni upravitelj

Ovo može biti jako opasno ako se, na primjer, pretvaram da sam administrator vašeg IT-a. Pišem e-mail tebi i svim tvojim kolegama, u kojem ti skrećem pozornost, na primjer, na novi video portal za sastanke na daljinu, gdje se svi zaposlenici trebaju jednom autentificirati kako bi provjerili jesu li postojeći kontakti preneseni.

Ili kad vam pišem kao pomoćnik vašeg glavnog direktora i objašnjavam da je božićni domjenak otkazan zbog pandemije, ali umjesto toga uprava izvlači pet potpuno novih iPhonea. Kako biste bili sigurni da će svi završiti u lutriji samo jednom, zamolite svakog zaposlenika da se jednom autentificira na priloženom portalu - dobitnici će tada biti objavljeni krajem prosinca.

Područje za lažnu prijavu: dječja igra u vrijeme digitalizacije

Bez obzira koju metodu odaberem - moram vam poslati link koji vodi do navedenog "portala". To bi onda moglo biti "raffle.samplecompany.eu" ili "portal.samplecompany.eu".

Također u ovom trenutku mogu dati na volju svojoj kreativnosti. Budući da posjedujem odgovarajuću stranicu, samo moram tamo napraviti nešto što vama i vašim kolegama izgleda vrijedno povjerenja. U slučaju natječaja, na primjer, lijepo mjesto za prijavu u dizajnu vaše tvrtke, s vašim logom i možda malim Djedom Mrazom. Ili neke zvijezde padalice.

Lozinke završavaju kod napadača – u običnom tekstu

Naravno, sigurnost je na prvom mjestu na mom portalu! Sve je izvrsno šifrirano i trećim je stranama onemogućeno čitanje vašeg unosa. Uostalom, unosite korisnička imena i lozinke, što je osjetljiv podatak. S tehničke točke gledišta, sve je to apsolutno ozbiljno. Vaši podaci se prenose sigurno i završavaju u najboljim rukama - mojima.

Usput, složenost vaše lozinke potpuno je nebitna u takvom napadu; završava u običnom tekstu kod napadača. I imajte na umu da (čak i ako su minimalno složenija) širok izbor dvofaktorskih rješenja može biti "phishing" ako prilagodim svoj portal u skladu s tim.

Informacijska sigurnost: Zaposlenici kao faktor uspjeha

Obećao sam ti da ću na kraju razjasniti najvažnije pitanje: Zašto ti sve ovo govorim? Odgovor je: Tko drugi?

Važno je razumjeti da napad koji opisujem - s čisto tehničke točke gledišta - uopće nije napad. Pišem vam e-mail s adrese koja zapravo pripada meni. U njemu nema čak ni privitka, a kamoli malwarea. Preusmjereni ste na stranicu na internetu koja ne pokušava kompromitirati vaš sustav. I kao što sam ranije opisao, ova stranica je također savršeno osigurana i sav promet je optimalno šifriran.

Tako je s drugim (uglednim) stranicama na koje se prijavljujete. I baš kao što unosite svoju privatnu lozinku na LinkedIn ili XING da biste se autentificirali, sada je unesite na moju stranicu.

Važno je razumjeti da s tehničke točke gledišta ne krivotvorim e-poštu. Ja stvaram cijelu vašu tvrtku.

I upravo zato mjere tehničke zaštite ne djeluju. Rješenje leži u otkrivanju i sprječavanju napada – a to ovisi o vama. Baš kao i odgovarajuće mjere za podizanje svijesti zaposlenika u tom smjeru.

Jer ako uredno postavim ovaj scenarij, otkrivanje napada moguće je samo uočavanjem razlike u adresi, dakle u našem slučaju ".eu" umjesto vašeg ".com". Svjestan sam da je jedan ili drugi od vas sada apsolutno siguran da imate potreban pregled da to učinite čak iu svom stresnom svakodnevnom poslu. Stoga bih naprednijima od vas želio dati malo materijala za razmišljanje:

Biste li i vi prepoznali "samplecompany.com" kao lažnjak? Mali savjet: "l" nije L nego grčko slovo "jota". Za ljudsko oko nema razlike među njima, vaše računalo to vjerojatno vidi malo drugačije. Uvjeravam vas da u svim napadima krađe identiteta koje smo simulirali za tvrtke, nije bilo nijednog klijenta kojem niti jedan zaposlenik nije otkrio svoje podatke.

Sve u svemu i kraj svega: Senzibilizirajte zaposlenike na napade

Dakle, nije pitanje bi li vaši kolege nasjeli na takav napad. Puno je veće pitanje koliko će zaposlenika prepoznati napad, koliko brzo će ga prijaviti IT-u i koliko vremena IT ima da odgovori.

Upravo tu zaposlenik postaje čimbenik uspjeha za više informacijske sigurnosti i IT sigurnosti u smislu svijesti o sigurnosti.

Ne želim biti jedan od onih bijelih hakera koji svoje strategije drže za sebe i uživaju u katastrofalnim rezultatima takvih napada. Mnogo više bih želio doprinijeti zajedno s vama da vaša tvrtka bude malo sigurnija.

Sada je na vama red: ovo što sam vam upravo opisao samo je jedan primjer mnogih načina na koje se ljudi i njihovo ponekad nemarno rukovanje informacijama mogu iskoristiti i iskoristiti za stvaranje profita kao napadača. IT odjeli mogu zaštititi od toga samo u ograničenoj mjeri ili nikako; to je njihov posao. Sami smislite napade, razmislite o tome kako biste mogli preoteti svoje kolege i učiniti to temom za (virtualnim) stolom za ručak.

ISO 27001: Svijest kao dio kataloga mjera

Zatim redovito testirajte svoju tvrtku i učinite podizanje svijesti dijelom svog sigurnosnog plana. Čitajući nešto između redaka, to ćete također pronaći u međunarodno priznatom standardu za sustav upravljanja sigurnošću informacija (ISMS).

ISO/IEC 27001, na primjer, zahtijeva da osigurate svijest, a time i senzibilizaciju najslabije karike u lancu o tome kako postupati s informacijama vaše tvrtke (poglavlje 7.3 i dodatak 7.2.2). Ovo počinje s nečim tako jednostavnim kao što je adresa e-pošte. Drugi regulatorni ili pravni zahtjevi, poput GDPR-a, također ciljaju na preventivni pristup izbjegavanja incidenata.

Ispunite zahtjeve standarda s mjerama podizanja svijesti, kao što su smjernice, obuka, komunikacija o novostima u tijeku ili čak simulirani phishing napadi, kao što radimo za naše klijente. I: Budite iskreni prema sebi i zapitajte se koliko su vaše prethodne mjere obuke bile uspješne u pripremi za hitan slučaj kao što je ovaj koji sam upravo opisao.

Incident informacijske sigurnosti obično znači kaos

Dok smo kod teme iskrenosti: Kako biste zapravo reagirali na incident informacijske sigurnosti izazvan kibernetičkim napadom? Doduše, tema reaktivne sigurnosti uvijek je pomalo neugodna, ali o tome treba govoriti.

Ljudi to vole zamisliti kao vježbu za dojavu požara - u nekom trenutku radnog vremena neočekivano zazvoni zvono, svi uredno i mirno napuste zgradu, malo pričekaju vani i popričaju s kolegama o vremenu, a nakon neko vrijeme se svi smiju vratiti i usput mogu popiti kavu.

Ali nije tako.

Moj tim je već kontaktiralo nekoliko tvrtki u kojima je bio napad i mogu vam obećati: Kaos je. Čak i nekoliko dana nakon stvarnog događaja. Između ostalog, to je zato što moderni hakeri iskorištavaju aroganciju svojih žrtava.

Želim vam ovo objasniti, pa se vratimo našem napadu krađe identiteta. Recimo da se ja kao napadač uspijem daljinski spojiti na informatički sustav nekog od vaših kolega koristeći njegovu lozinku. Mislite li da ne bih znao da je netko u vašoj tvrtki primijetio da je ovdje došlo do napada i prijavio ga IT-u? U najboljem slučaju, vi osobno, toga sam potpuno svjestan.

Incidenti informacijske sigurnosti: stražnja vrata u vaš sustav

Zato radim dvije stvari: Prvo, radim nešto očito što smeta vašoj tvrtki i daje vam nešto za raditi. Na primjer, šaljem spam e-poruke vašim kupcima u ime vašeg kolege. To se ističe i daje vama i vašem IT odjelu nešto za raditi. Sada možete izvući sve svoje planove za nepredviđene situacije i proraditi sliku incidenta informacijske sigurnosti – savršenu sa svojim IT predstavnicima. Uključujući i sofisticirane marketinške mjere koje će uglancati ukaljani imidž do novog visokog sjaja i možda učiniti da kao "preživjeli" izgledate još bolje nego prije. Profesionalci to mogu.

Ali u isto vrijeme, kao napadač, pokušavam postaviti stražnji ulaz u sustav koji vaš IT neće primijetiti u cijeloj toj galami. To je kao da uđem u draguljarnicu, prevrnem najveću vitrinu i potajno trpam svo skupocjeno prstenje i satove u džep dok svi jurišaju na polomljene komade.

Nepotrebno je reći da je moja stražnja vrata iznimno teško pronaći ako ne znate što tražite. I onda ne radim ništa. Tjednima, mjesecima.

Sada se pokušavam probiti kroz vašu korporativnu mrežu, tiho. Bez ikakvih "bučnih" softverskih skenera, koji će iscrpiti vašu mrežu i upozoriti vaše sigurnosne sustave. Potpuno ručno, kvazi old school. Inače, tu se na hakerskoj strani odvaja žito od kukolja. Ako je vaša mreža bila izložena samo sigurnosnim skenerima u testnim scenarijima, sada vam to uopće neće pomoći. Raširim se i čekam - strpljivo. Pokušavam identificirati kada i kako se izrađuju sigurnosne kopije, tko s kim komunicira i gdje je vaša organizacija najosjetljivija. U našem primjeru, vjerojatno to radim noću - ili barem nakon osnovnog radnog vremena, kada je još manje vjerojatno da ću biti promatran. I, naravno, svaki dan prikrivam tragove.

A onda - mjesecima kasnije - dogodi se veliki incident informacijske sigurnosti. Potpuno iznenada za vašu tvrtku. Na primjer, tada koristim jednog od brojnih trojanaca za šifriranje da vas ucjenjujem. "Slučajno", međutim, zbog mog preliminarnog rada, radi pod najvišim privilegijama, zaobilazi vaše sigurnosne mjere i prvo se širi na sustave s vašim najrelevantnijim datotekama. I ako sam, za sve ovo vrijeme koje sam imao, primijetio slabost u tvom rezervnom sustavu... Kao što sam rekao, kaos.

Nedostatak svijesti: savršeno za ciljani napad

Da, još uvijek smo u našem primjeru, ali ovo nikako nije Hollywood. Ovo je uobičajena praksa i ključni razlog zašto još uvijek tako često čujemo i čitamo o tvrtkama koje se bore s takvim trojancima za šifriranje. Prije nekoliko godina ovi su više-manje pušteni na internet, a žrtve su im bile samo najslabije ovce u stadu: tvrtke koje su izvana imale slabu tehničku sigurnost.

Danas su stvari drugačije. Nedostatak svijesti zaposlenika koristi se za ciljanje tvrtki i samo kada je žrtva potpuno kontrolirana, postavlja se automatizirani softver za napad.

I dalje vjerujem da su proaktivne IT sigurnosne mjere i, posebno, jaka svijest o sigurnosti najvažniji sastavni blokovi u konceptu IT sigurnosti bilo koje tvrtke - jednostavno ima previše primjera i konkretnih slučajeva koji to potvrđuju. Ipak, dobro razvijena svijest o sigurnosti uključuje i razumijevanje da je moguće biti pogođen. U ovo uključujem i sebe. A ako se to dogodi, trebali biste biti spremni.

Minimiziranje vjerojatnosti pojave

Namjerno sam uključio primjer protupožarnog alarma u svoje primjedbe. Time se tvrtka priprema za slučaj da unatoč svim preventivnim mjerama ipak izbije požar. Neke tvrtke također imaju nešto poput ovoga za incidente informacijske sigurnosti i IT sigurnosne incidente. A ako bi vam to bilo malo previše dobro (zaista uvijek ovisi o tvrtki u svakom pojedinačnom slučaju), ipak imam savjet za vas:

Ako implementirate testove prodora ili druge simulacije napada kao dio svojih proaktivnih sigurnosnih mjera, nemojte se zadovoljiti jednostavnim popravljanjem ranjivosti koje pronađete. Uvijek postavite pitanje: Je li ova ranjivost iskorištena u prošlosti? Jesu li postavljena stražnja vrata?

Ili, drugim riječima, tretirajte svaki "nalaz" s ozbiljnošću stvarnog incidenta informacijske sigurnosti. Na taj način minimizirate vjerojatnost pojave, a istovremeno stavljate svoje reaktivne sigurnosne planove - za koje iskreno želim da vam nikada ne zatrebaju - na test. Kao protivpožarni alarm.

Sve je to dio svijesti i ujedno samo dio cjeline. S ovom važnom komponentom, međutim, nadamo se da mi se možete nasmiješiti kada vas pitam: "Ako sutra razmislim o tome, mogu li vas uhvatiti na krivoj nozi?". Nadajmo se.

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za norme ili revizori s dugogodišnjim iskustvom. Ukoliko imate pitanja o sadržaju teksta ili našim uslugama autoru, slobodno nas kontaktirajte.