Ceea ce atacul de la rețeaua de energie rusă poate învăța fiecare profesionist

Până acum ați auzit că o anchetă comună a Biroului Federal de Investigații (FBI) și Departamentul SUA pentru Securitatea Internă a condus la un raport potrivit căruia operativii ruși au piratat companii care fac parte din rețeaua electrică din SUA. Atacurile sunt prezentate în detaliu într-un raport al Echipei de pregătire în caz de urgență a computerului (US-CERT) care descrie modul în care atacatorii au putut să pătrundă în instalațiile energetice și ce au făcut cu informațiile pe care le-au furat.

Ceea ce nu se regăsea în rapoartele mass-media a fost un fapt care ar trebui să creeze îngrijorare unui profesionist în domeniul IT, indiferent dacă lucrează pentru o întreprindere mică pentru întreprinderi mijlocii (SMB) sau pentru o organizație mai mare. Acest fapt: Calea exploatată de atacatori a trecut prin parteneri mai mici ai țintei finale. Și-au început atacul prin pătrunderea în apărarea acelor parteneri mai mici, deoarece probabil că aveau apărarea mai slabă, apoi au folosit informații și resurse strânse de acolo pentru a ataca următoarea instalație din linie.

Anatomia unui atac de phishing inteligent

Un mijloc principal de a avea acces la partenerul mai mic a fost să găsească informații publice, care, atunci când sunt alături de alte informații, ar oferi nivelul de detaliu necesar pentru următorul pas. De exemplu, un atacator ar putea examina site-ul web al unei companii care își desfășoară activitatea cu ținta finală și acolo poate găsi adresa de e-mail a unui executiv superior fie la compania partenerului, fie la ținta finală. Apoi, atacatorul ar putea examina alte informații de pe ambele site-uri web ale companiei pentru a vedea care este relația, ce servicii sunt furnizate de către cine și ceva despre structura fiecărei companii.

Înarmat cu aceste informații, atacatorul poate începe să trimită e-mailuri de phishing extrem de convingătoare din ceea ce pare a fi o adresă de e-mail legitimă; cele cu detalii suficient de artizanale, care ar putea învinge orice filtre de phishing puse la dispoziție la firewall sau la nivelul de protecție finalizat gestionat. E-mailurile de tip phishing ar fi concepute pentru a colecta acreditările de autentificare pentru persoana vizată, iar în cazul în care oricare dintre ele are succes, atacatorii ar ocoli instantaneu orice măsuri de gestionare a identității care ar putea avea loc în interiorul rețelei țintă.

Odată cu dezvăluirile despre recoltarea informațiilor utilizatorilor de pe Facebook, natura amenințării se extinde. Într-o breșă efectuată sub masca cercetării academice începând cu 2014, un cercetător rus a obținut acces la aproximativ 50 de milioane de profiluri de utilizator ale membrilor Facebook americani. Profilele respective au fost transferate către Cambridge Analytica. Anchetele ulterioare au relevat faptul că aceste date au fost luate fără permisiunea utilizatorilor de Facebook și apoi au fost folosite greșit.

Auditarea comunicațiilor externe

Astfel se pune problema ce informații ar trebui să pună la dispoziție întreprinderile prudente prin intermediul site-urilor lor web. Mai rău, este probabil ca această interogare să se extindă la prezențele organizației de social media, la canale de marketing ale unor terțe părți precum Youtube și chiar la profiluri de înaltă rețea a angajaților din social media.

"Cred că trebuie să fie circumspecte despre ce se află pe site-urile companiei lor", a declarat Leo Taddeo, Chief Information Security Officer (CISO) pentru Cyxtera și fost agent special responsabil pentru divizia cibernetică a biroului de teren al FBI din New York City. "Există un mare potențial de dezvăluire a informațiilor în mod inadvertent."

Taddeo a spus că un exemplu bun este în postările de locuri de muncă în care puteți dezvălui ce instrumente utilizați pentru dezvoltare sau chiar ce specialități de securitate căutați. "Există o mulțime de modalități prin care companiile se pot expune. Există o suprafață mare. Nu doar site-ul web și nu doar comunicările deliberate", a spus el.

„Social media reprezintă un risc”, a explicat Taddeo, subliniind că un angajat care postează pe social media poate dezvălui o mare parte din neatenție. El a subliniat că angajații care spun că nu sunt mulțumiți de munca lor ar putea dezvălui o țintă pentru exploatare. „Angajații care vorbesc în detaliu despre munca lor sau despre realizările lor reprezintă un risc. Minerizarea social media este foarte productivă pentru adversari”.

Taddeo a avertizat că site-urile media profesionale, precum LinkedIn, sunt, de asemenea, un risc pentru cei care nu sunt atenți. El a spus că adversarii creează conturi false pe astfel de site-uri care deghizează cine sunt cu adevărat și apoi folosesc informații din contactele lor. „Orice ar fi postat pe site-urile de socializare își poate compromite angajatorul”, a spus el.

Având în vedere faptul că actorii răi care vă vizează pot fi după datele dvs. sau pot fi după o organizație cu care lucrați, întrebarea nu este doar cum vă protejați, ci cum vă protejați și partenerul de afaceri? Acest lucru este complicat de faptul că este posibil să nu știți dacă atacatorii ar putea fi după datele dvs. sau doar vă văd ca un pas de pas și poate o locație de înscenare pentru următorul atac.

Cum să te protejezi

În orice caz, puteți face unele etape. Cea mai bună metodă de abordare a acestuia este sub forma unui audit informațional. Enumerați toate canalele pe care compania dvs. le utilizează pentru comunicații externe, cu siguranță marketing, dar și HR, PR și lanțul de aprovizionare, printre altele. Apoi, construiți o echipă de audit care să conțină părțile interesate de pe toate canalele afectate și începeți să analizați ceea ce există acolo în mod sistematic și cu ochii către informațiile care ar putea fi utile pentru hoții de date. În primul rând, începeți cu site-ul companiei dvs.:

Examinați site-ul companiei dvs. pentru orice poate oferi detalii despre munca pe care o faceți sau despre instrumentele pe care le utilizați. De exemplu, un ecran de computer care apare într-o fotografie poate conține informații importante. Verificați dacă există fotografii cu echipamente de producție sau infrastructură de rețea, care pot oferi indicii utile atacatorilor.

Priviți lista personalului. Aveți enumerate adrese de e-mail pentru personalul superior? Aceste adrese nu numai că oferă unui atacator o potențială adresă de autentificare, ci și o modalitate de a răsfăța e-mailuri trimise altor angajați. Luați în considerare înlocuirea celor cu o legătură către un formular sau utilizați o adresă de e-mail diferită pentru consum public versus uz intern.

Site-ul dvs. spune cine sunt clienții sau partenerii dvs.? Acest lucru poate oferi unui atacator o altă modalitate de a-ți ataca organizația dacă are probleme pentru a-ți trece securitatea.

Verificați-vă înregistrările. Cât dezvăluie despre instrumentele, limbile sau alte aspecte ale companiei dvs.? Luați în considerare să lucrați printr-o firmă de recrutare pentru a vă separa de informațiile respective.

Privește-ți prezența pe rețelele de socializare, ținând cont că adversarii tăi vor încerca cu siguranță să extragă informațiile prin intermediul acestui canal. De asemenea, vedeți cât de multe informații despre compania dvs. sunt dezvăluite în postările de către personalul superior. Nu puteți controla totul despre activitățile angajaților dvs. pe rețelele de socializare, dar puteți să îl urmăriți.

Luați în considerare arhitectura rețelei. Taddeo recomandă o abordare atât de necesară, în care accesul administratorului este acordat numai atunci când este nevoie și numai pentru sistemul care are nevoie de atenție. El sugerează utilizarea unui software perimetru definit (SDP), care a fost inițial dezvoltat de Departamentul Apărării al SUA. "În cele din urmă, drepturile de acces ale fiecărui utilizator sunt modificate dinamic în funcție de identitatea, dispozitivul, rețeaua și sensibilitatea aplicației", a spus el. "Acestea sunt determinate de politici ușor de configurat. Prin alinierea accesului la rețea cu accesul la aplicații, utilizatorii rămân pe deplin productivi, în timp ce suprafața de atac este redusă dramatic."

• Acum luați în considerare serviciile dvs. cloud la fel. Adesea, este o configurație implicită pentru a face administratorii executivi ai companiilor senior pe servicii cloud corporative terțe, precum conturile Google Analytics sau Salesforce ale companiei dvs., de exemplu. Dacă nu au nevoie de acest nivel de acces, luați în considerare renunțarea la statutul de utilizator și lăsarea nivelurilor de acces administrativ personalului IT ale cărui autentificări de e-mail ar fi mai greu de găsit.

În cele din urmă, Taddeo a spus să caute vulnerabilități create de shadow IT. Cu excepția cazului în care îl cauți, ai putea să-ți ocolesti munca grea de securitate, deoarece cineva a instalat un router wireless în biroul său, astfel încât să poată utiliza mai ușor iPad-ul personal la locul de muncă. În această categorie intră și servicii cloud necunoscute de la terți. În organizațiile mari, nu este neobișnuit ca șefii de departament să-și înscrie pur și simplu departamentele pentru servicii cloud convenabile pentru a ocoli ceea ce văd ca „birocrație” IT.

Aceasta poate include serviciile IT de bază, cum ar fi utilizarea Dropbox Business ca stocare de rețea sau utilizarea unui serviciu de automatizare de marketing diferit, deoarece înregistrarea la instrumentul oficial susținut de companii este prea lentă și necesită completarea prea multor formulare. Serviciile software ca acestea pot expune mesaje de date sensibile fără ca IT-ul să fie măcar conștient de acestea. Asigurați-vă că știți ce aplicații sunt utilizate în organizația dvs., de către cine și că controlați cu fermitate cine are acces.

Astfel, activitatea de audit este obositoare și uneori consumă mult timp, dar poate plăti dividende mari pe termen lung. Până când adversarii tăi nu vor veni după tine, nu știi ce ai, ar putea merita furat. Așadar, trebuie să abordați securitatea într-o manieră flexibilă, ținând cont în continuare de ceea ce contează; iar singura modalitate de a face acest lucru este să fiți informat cu amănunt despre ce funcționează în rețeaua dvs.