Amit az orosz villamosenergia-hálózat támadása taníthat minden szakember számára

Mostanra már hallotta, hogy a Szövetségi Vizsgáló Iroda (FBI) és az Egyesült Államok Belbiztonsági Minisztériuma közös nyomozás eredményeként jelentést készített arról, hogy az orosz ügynökök becsaptak az Egyesült Államok villamosenergia-hálózatába tartozó vállalatokba. A támadásokat az USA Számítógépes Vészhelyzeti Felkészültségi Csapatának (US-CERT) jelentése ismerteti részletesen, amely leírja, hogy a támadók hogyan tudtak behatolni az energia létesítményekbe, és mit tettek az ellopott információkkal.

Amit a médiajelentések nem tartalmaztak, az a tény, amely aggodalomra ad okot egy informatikai szakembertől, függetlenül attól, hogy egy kicsi vagy közepes méretű vállalkozásnál (SMB) vagy egy nagyobb szervezetnél dolgoznak-e. Ez a tény: A támadók által kihasznált út a végső cél kisebb partnerein ment keresztül. A támadást azzal kezdték, hogy áthatolták a kisebb partnerek védekezését, mivel valószínűleg gyengébbek voltak a védekezésükben, majd az onnan gyűjtött információkat és erőforrásokat használtak a következő sor felől a támadásra.

Az intelligens adathalász támadás anatómiája

A kisebb partnerhez való hozzáférés elsődleges eszköze a nyilvános információk megtalálása volt, amelyek más információkkal összekapcsolva biztosítanák a következő lépéshez szükséges részletességi szintet. Például, a támadó megvizsgálhatja egy olyan cég weboldalát, amely a végső céllal üzletel, és ott megtalálja akár a partner cégének, akár a végső célpont vezető vezetőjének e-mail címét. Ezután a támadó megvizsgálhatja a mindkét társaság weboldalán található egyéb információkat, hogy megtudja, mi a kapcsolat, milyen szolgáltatásokat nyújtanak kinek, és valamit az egyes társaságok felépítéséről.

Ezen információkkal felfegyverkezve a támadó rendkívül meggyőző adathalász e-maileket küldhet abból, amely legitimnek tűnik; olyanok, amelyek eléggé kidolgozott részleteket tartalmaznak, és amelyek esetleg legyőzik a tűzfalakon vagy a kezelt végpontok védelmén alapuló adathalász szűrőket. Az adathalász e-maileket úgy tervezték, hogy begyűjtsék a megcélzott személy bejelentkezési adatait, és ha ezek közül bármelyik sikeres, a támadók azonnal megkerülnék az esetlegesen alkalmazott személyazonosító kezelési intézkedéseket, amelyek a célhálózaton belül vannak.

A Facebook-ról származó felhasználói információk begyűjtésével a fenyegetés természete kibővül. A tudományos kutatás leplezése alatt, 2014-ben kezdődő jogsértésben egy orosz kutató hozzáférést kapott mintegy 50 millió amerikai Facebook-felhasználói profilhoz. Ezeket a profilokat átadták a Cambridge Analytica-nak. A későbbi vizsgálatok azt mutatták, hogy ezeket az adatokat a Facebook-felhasználók engedélye nélkül vették fel, majd visszaéltek.

A külső kommunikáció ellenőrzése

Ez felveti a kérdést, hogy milyen információkat kell az óvatos vállalkozásoknak elérhetővé tenni a weboldalaikon keresztül. Sőt, ami még rosszabb, ennek a lekérdezésnek valószínűleg ki kell terjednie a szervezet szociális média jelenlétére, a harmadik fél marketing csatornáira, mint például a Youtube, és még a magas szintű alkalmazottak közösségi média profiljaira is.

"Úgy gondolom, körültekintőnek kell lenniük arról, hogy mi található a cég webhelyén" - mondta Leo Taddeo, a Cyxtera információbiztonsági főtitkára (CISO) és az FBI New York City helyszíni irodájának kiberosztályáért felelős volt ügynöke. "Nagyon nagy az információ akaratlan közlésének lehetősége."

Taddeo elmondta, hogy az egyik jó példa az álláshirdetések, amelyekben felfedheti, milyen eszközöket használ a fejlesztéshez, vagy akár milyen biztonsági specialitásokat keres. "Sokféle módon tehetik meg a vállalatok magukat. Nagy a terület. Nemcsak a weboldal, hanem a szándékos kommunikáció is" - mondta.

"A szociális média kockázat" - magyarázta Taddeo, rámutatva, hogy a szociális médiában kiküldető alkalmazott sok mindent tud véletlenül felfedni. Rámutatott, hogy az alkalmazottak, amelyek szerint nem elégedettek a munkájukkal, felfedhetik a kizsákmányolás célpontját. "A munkavállalók, akik részletesen beszélnek munkájukról vagy teljesítésükről, kockázatot jelentenek. A közösségi média bányászata nagyon eredményes az ellenfelek számára."

Taddeo figyelmeztette, hogy a professzionális média webhelyek, például a LinkedIn, kockázatot jelentenek azok számára is, akik nem vigyáznak. Azt mondta, hogy az ellenfelek hamis számlákat hoznak létre az ilyen weboldalakon, amelyek álcázják, hogy kik valójában, majd felhasználják a kapcsolatokból származó információkat. "Bármi, amit a közösségi média oldalain tesznek közzé, veszélyeztetheti a munkáltatóikat" - mondta.

Tekintettel arra a tényre, hogy a rossz szereplők, akik megcéloznak, lehetnek az adatai után, vagy lehetnek olyan szervezet után, amelyben dolgoznak, a kérdés nem csak az, hogyan védd meg magad, hanem hogyan védd meg az üzleti partnerüket is? Ezt bonyolítja az a tény, hogy lehet, hogy nem tudja, hogy a támadók esetleg az Ön adatait követik-e, vagy csak egy lépcsőként és valószínűleg megállóhelyként látja a következő támadást.

Hogyan lehet megvédeni magad

Akárhogy is, van néhány lépés, amelyet megtehetsz. A megközelítés legjobb módja egy információ-ellenőrzés. Nevezze meg az összes csatornát, amelyet vállalata külső kommunikációhoz használ, természetesen marketing, hanem többek között a HR, a PR és az ellátási lánc számára is. Ezután hozzon létre egy ellenőrző csoportot, amely az összes érintett csatornából az érdekelt feleket tartalmazza, és kezdje el szisztematikusan elemezni az ottani dolgokat, szem előtt tartva azon információkat, amelyek hasznosak lehetnek az adatlopók számára. Először kezdje meg a vállalati weboldalt:

Vizsgálja meg vállalata webhelyét, hogy találjon-e részleteket az elvégzett munkáról vagy a használt eszközökről. Például, egy fotón megjelenő számítógép képernyője fontos információkat tartalmazhat. Nézze meg a gyártóberendezések vagy a hálózati infrastruktúra fényképeit, amelyek a támadók számára hasznos nyomokat nyújthatnak.

Nézze meg a személyzet listáját. Van e-mail címe a vezető munkatársaknak? Ezek a címek nemcsak a támadó számára nyújtanak potenciális bejelentkezési címet, hanem lehetőséget biztosítanak a többi alkalmazottnak elküldött e-mailek megtévesztésére is. Fontolja meg az űrlapra mutató hivatkozások cseréjét, vagy használjon más e-mail címet a közhasználathoz, szemben a belső felhasználással.

Megmondja az Ön weboldala, ki az ügyfelek vagy a partnerek? Ez a támadónak egy másik módszert kínálhat a szervezet megtámadására, ha nehézségekbe ütköznek a biztonság meghaladásakor.

Ellenőrizze az álláshirdetéseit. Mennyit fednek fel a vállalat eszközeiről, nyelveiről vagy egyéb szempontjairól? Fontolja meg egy munkaerő-felvételi irodán keresztül történő munkavégzést, hogy elkülönüljön az információtól.

Nézze meg szociális média jelenlétét, szem előtt tartva, hogy az ellenfelek határozottan megpróbálják az információkat bányászni ezen a csatornán keresztül. Azt is megnézheti, mennyi információt mutat a vállalatról a vezető munkatársak kiküldéseiben. A szociális médiában nem ellenőrizheti az alkalmazottak tevékenységeinek mindent, de figyelemmel kísérheti ezt.

Fontolja meg hálózati architektúráját. Taddeo egy szükséges megközelítést javasol, amelyben a rendszergazdai hozzáférést csak akkor adják meg, amikor erre szükség van, és csak a figyelmet igénylő rendszer számára. Javasolja egy szoftvermeghatározott kerület (SDP) használatát, amelyet eredetileg az Egyesült Államok Védelmi Minisztériuma fejlesztett ki. "Végül minden felhasználó hozzáférési jogosultsága dinamikusan megváltozik az identitás, az eszköz, a hálózat és az alkalmazás érzékenysége alapján" - mondta. "Ezeket a könnyen konfigurálható házirendek vezérlik. A hálózati hozzáférés és az alkalmazás-hozzáférés hozzáigazításával a felhasználók továbbra is teljes hatékonyságúak maradnak, miközben a támadás felülete drasztikusan csökken."

• Most vegye figyelembe ugyanolyan módon a felhőalapú szolgáltatásait. Gyakran egy alapértelmezett konfiguráció az, hogy a magas rangú vállalati vezetők rendszergazdává váljanak harmadik fél vállalati felhőalapú szolgáltatásaiban, például a vállalat Google Analytics vagy a Salesforce fiókjában. Ha nincs szükségük erre a szintű hozzáférésre, fontolja meg a felhasználói állapotba helyezést, és hagyja az adminisztratív hozzáférési szinteket az informatikai személyzet számára, akinek az e-mail bejelentkezéseit nehezebb megtalálni.

Végül Taddeo azt mondta, hogy keresse az árnyék IT által létrehozott sebezhetőségeket. Ha nem keresi, akkor megkerülheti a kemény biztonsági munkáját, mert valaki vezeték nélküli útválasztót telepített az irodájába, így könnyebben megkönnyítheti személyes iPadjének használatát a munkahelyén. Az ismeretlen harmadik fél felhőalapú szolgáltatásai szintén ebbe a kategóriába tartoznak. A nagy szervezetekben nem ritka, hogy az osztályvezetők egyszerűen feliratkoznak osztályukra a kényelmes felhőalapú szolgáltatásokért, hogy megkerüljék azt, amit IT-ként "bürokráciának" tartanak.

Ez magában foglalhatja az alapvető IT-szolgáltatásokat, például a Dropbox Business hálózati tárolóként történő használatát vagy más marketing-automatizálási szolgáltatás használatát, mivel a hivatalos vállalati támogatású eszközre történő feliratkozás túl lassú, és túl sok űrlap kitöltését igényli. Az ilyen szoftveres szolgáltatások felfedhetik az érzékeny adatokat, anélkül, hogy az IT még tudatában lenne rájuk. Győződjön meg róla, hogy tudja, milyen alkalmazásokat használ a szervezetében, ki és ki tudja határozottan ellenőrizni, hogy ki rendelkezik hozzáféréssel.

Az ilyen ellenőrzési munka unalmas és néha időigényes, ám hosszú távon nagy osztalékot fizethet. Amíg az ellenfelek utána nem lépnek, nem tudod, mi az, amit érdemes lopni. Tehát rugalmassággal kell megközelítenie a biztonságot, miközben szemmel kell tartania a fontos kérdéseket; és ennek egyetlen módja az, hogy alaposan tájékozódjanak arról, hogy mi működik a hálózatán.