Φανταστείτε την εξής κατάσταση. Ένα κρύο πρωινό του Οκτωβρίου, ένα ινστιτούτο σχεδιασμού στο περιφερειακό κέντρο μιας από τις περιοχές της Ρωσίας. Κάποιος από το τμήμα Ανθρώπινου Δυναμικού πηγαίνει σε μια από τις σελίδες κενών θέσεων εργασίας στον ιστότοπο του ινστιτούτου, την οποία είχε δημοσιεύσει πριν από μερικές ημέρες, και βλέπει εκεί μια φωτογραφία μιας γάτας. Το πρωί παύει γρήγορα να είναι βαρετό...
Σε αυτό το άρθρο, ο Pavel Suprunyuk, Τεχνικός Διευθυντής του Τμήματος Ελέγχου και Συμβουλευτικής στην Group-IB, μιλάει για τη θέση των επιθέσεων κοινωνικής μηχανικής σε έργα για την αξιολόγηση της πρακτικής ασφάλειας, τις ασυνήθιστες μορφές που μπορούν να λάβουν και τον τρόπο προστασίας από τέτοιες επιθέσεις. Ο συγγραφέας διευκρινίζει ότι το άρθρο έχει γενικό χαρακτήρα, ωστόσο, εάν κάποια πτυχή ενδιαφέρει τους αναγνώστες, οι ειδικοί της Group-IB θα χαρούν να απαντήσουν σε ερωτήσεις στα σχόλια.
Μέρος 1. Γιατί τόσο σοβαρό;
Ας επιστρέψουμε στη γάτα μας. Μετά από λίγο καιρό, το τμήμα HR διαγράφει τη φωτογραφία (τα στιγμιότυπα οθόνης εδώ και παρακάτω είναι μερικώς ρετουσαρισμένα για να μην αποκαλυφθούν τα πραγματικά ονόματα), αλλά αυτή επιστρέφει πεισματικά, διαγράφεται ξανά και αυτό συμβαίνει αρκετές φορές ακόμα. Το τμήμα HR καταλαβαίνει ότι οι προθέσεις της γάτας είναι πολύ σοβαρές, δεν θέλει να φύγει και καλεί για βοήθεια έναν προγραμματιστή ιστού - ένα άτομο που δημιούργησε τον ιστότοπο και τον καταλαβαίνει και τώρα τον διαχειρίζεται. Ο προγραμματιστής πηγαίνει στον ιστότοπο, διαγράφει ξανά την ενοχλητική γάτα, ανακαλύπτει ότι δημοσιεύτηκε εκ μέρους του ίδιου του τμήματος HR, στη συνέχεια υποθέτει ότι ο κωδικός πρόσβασης HR έχει διαρρεύσει σε κάποιους διαδικτυακούς χούλιγκαν και τον αλλάζει. Η γάτα δεν εμφανίζεται ξανά.
Τι συνέβη στην πραγματικότητα; Σε σχέση με τον όμιλο εταιρειών, στον οποίο περιλαμβανόταν το ινστιτούτο, οι ειδικοί του Group-IB διεξήγαγαν δοκιμές διείσδυσης σε μια μορφή παρόμοια με το Red Teaming (με απλά λόγια, πρόκειται για μίμηση στοχευμένων επιθέσεων στην εταιρεία σας χρησιμοποιώντας τις πιο προηγμένες μεθόδους και εργαλεία από το οπλοστάσιο των ομάδων χάκερ). Μιλήσαμε λεπτομερώς για το Red Teaming. Είναι σημαντικό να γνωρίζουμε ότι κατά τη διεξαγωγή μιας τέτοιας δοκιμής, μπορεί να χρησιμοποιηθεί ένα πολύ ευρύ φάσμα επιθέσεων από αυτές που έχουν συμφωνηθεί εκ των προτέρων, συμπεριλαμβανομένης της κοινωνικής μηχανικής. Είναι σαφές ότι η τοποθέτηση της γάτας καθαυτή δεν ήταν ο τελικός στόχος αυτού που συνέβαινε. Αλλά τα εξής ήταν:
- ο ιστότοπος του Ινστιτούτου φιλοξενούνταν σε διακομιστή εντός του δικτύου του Ινστιτούτου και όχι σε διακομιστές τρίτων·
- Εντοπίστηκε διαρροή του λογαριασμού HR (αρχείο καταγραφής αλληλογραφίας στη ρίζα του ιστότοπου). Ήταν αδύνατη η διαχείριση του ιστότοπου με αυτόν τον λογαριασμό, αλλά ήταν δυνατή η επεξεργασία των σελίδων εργασίας.
- Αλλάζοντας τις σελίδες, θα μπορούσατε να τοποθετήσετε τα δικά σας σενάρια JavaScript. Συνήθως κάνουν τις σελίδες διαδραστικές, αλλά σε αυτήν την περίπτωση, τα ίδια σενάρια θα μπορούσαν να κλέψουν από το πρόγραμμα περιήγησης του επισκέπτη αυτό που διέκρινε το τμήμα HR από τον προγραμματιστή και τον προγραμματιστή από τον μέσο επισκέπτη - το αναγνωριστικό περιόδου σύνδεσης στον ιστότοπο. Η γάτα ήταν η αιτία της επίθεσης και η εικόνα για να τραβήξει την προσοχή. Σε HTML, έμοιαζε ως εξής: εάν έχετε φορτώσει την εικόνα, η JavaScript έχει ήδη εκτελεστεί και το αναγνωριστικό περιόδου σύνδεσης, μαζί με δεδομένα σχετικά με το πρόγραμμα περιήγησής σας και τη διεύθυνση IP, έχουν ήδη κλαπεί.
- Με το κλεμμένο αναγνωριστικό περιόδου σύνδεσης διαχειριστή, θα ήταν δυνατό να αποκτηθεί πλήρης πρόσβαση στον ιστότοπο, να τοποθετηθούν εκτελέσιμες σελίδες σε PHP και, ως εκ τούτου, να αποκτηθεί πρόσβαση στο λειτουργικό σύστημα του διακομιστή και, στη συνέχεια, στο ίδιο το τοπικό δίκτυο, κάτι που ήταν ένας σημαντικός ενδιάμεσος στόχος του έργου.
Η επίθεση ολοκληρώθηκε με μερική επιτυχία - το αναγνωριστικό περιόδου σύνδεσης του διαχειριστή κλάπηκε, αλλά ήταν συνδεδεμένο με μια διεύθυνση IP. Δεν μπορέσαμε να το παρακάμψουμε αυτό, δεν μπορέσαμε να αυξήσουμε τα δικαιώματα στον ιστότοπο σε διαχειριστή, αλλά βελτιώσαμε τη διάθεσή μας. Το τελικό αποτέλεσμα επιτεύχθηκε τελικά σε ένα άλλο τμήμα της περιμέτρου του δικτύου.
Μέρος 2. Σου γράφω - τι άλλο; Και σε τηλεφωνώ και τριγυρνάω στο γραφείο σου, αφήνοντας πίσω μου μονάδες flash.
Αυτό που συνέβη στην περίπτωση με τη γάτα είναι ένα παράδειγμα κοινωνικής μηχανικής, αν και όχι ακριβώς κλασικό. Στην πραγματικότητα, υπήρχαν περισσότερα γεγονότα σε αυτήν την ιστορία: υπήρχε μια γάτα, και ένα ινστιτούτο, και ένα τμήμα ανθρώπινου δυναμικού, και ένας προγραμματιστής, αλλά υπήρχαν και email με διευκρινιστικές ερωτήσεις που οι φερόμενοι ως «υποψήφιοι» έγραψαν στο ίδιο το τμήμα ανθρώπινου δυναμικού και προσωπικά στον προγραμματιστή, προκειμένου να τους προκαλέσουν να επισκεφθούν τη σελίδα του ιστότοπου.
Μιλώντας για επιστολές, το κανονικό ηλεκτρονικό ταχυδρομείο είναι πιθανώς το κύριο μέσο για την κοινωνική μηχανική και δεν έχει χάσει τη σημασία του εδώ και μερικές δεκαετίες, ενώ μερικές φορές οδηγεί στις πιο ασυνήθιστες συνέπειες.
Συχνά λέμε την ακόλουθη ιστορία στις εκδηλώσεις μας επειδή είναι πολύ ενδεικτική.
Συνήθως, με βάση τα αποτελέσματα των έργων κοινωνικής μηχανικής, καταρτίζουμε στατιστικά στοιχεία, τα οποία, όπως γνωρίζουμε, είναι κάτι άνυδρο και βαρετό. Τόσο μεγάλο ποσοστό των παραληπτών άνοιξε το συνημμένο από την επιστολή, τόσοι πολλοί ακολούθησαν τον σύνδεσμο και αυτοί οι τρεις εισήγαγαν ακόμη και τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής τους. Σε ένα έργο, λάβαμε περισσότερο από το 100% των κωδικών πρόσβασης που εισήχθησαν - δηλαδή, περισσότερους από όσους στείλαμε.
Έτσι συνέβη: στάλθηκε ένα email ηλεκτρονικού "ψαρέματος" (phishing), φέρεται από έναν CISO μιας κρατικής εταιρείας, με αίτημα να "δοκιμαστούν επειγόντως οι αλλαγές στην υπηρεσία αλληλογραφίας". Το email στάλθηκε στον επικεφαλής ενός μεγάλου τμήματος που ασχολούνταν με την τεχνική υποστήριξη. Ο διευθυντής ήταν πολύ επιμελής στην εκτέλεση εντολών από την ανώτερη διοίκηση και τις προώθησε σε όλους τους υφισταμένους. Το ίδιο το τηλεφωνικό κέντρο αποδείχθηκε αρκετά μεγάλο. Γενικά, οι περιπτώσεις όπου κάποιος προωθεί "ενδιαφέροντα" email ηλεκτρονικού "ψαρέματος" (phishing) στους συναδέλφους του και αυτοί επίσης συλλαμβάνονται είναι αρκετά συχνές. Για εμάς, αυτή είναι η καλύτερη ανατροφοδότηση για την ποιότητα της επιστολής.
Λίγο αργότερα μας ανακάλυψαν (η επιστολή βιντεοσκοπήθηκε σε ένα παραβιασμένο γραμματοκιβώτιο):
Η επίθεση ήταν τόσο επιτυχημένη επειδή η αλληλογραφία χρησιμοποίησε μια σειρά από τεχνικές αδυναμίες στο σύστημα αλληλογραφίας του πελάτη. Ήταν διαμορφωμένο με τέτοιο τρόπο ώστε οποιαδήποτε επιστολή να μπορεί να αποστέλλεται εκ μέρους οποιουδήποτε αποστολέα του ίδιου του οργανισμού χωρίς εξουσιοδότηση, ακόμη και από το Διαδίκτυο. Δηλαδή, ήταν δυνατό να προσποιηθεί κανείς ότι είναι CISO, ή επικεφαλής τεχνικής υποστήριξης, ή κάποιος άλλος. Επιπλέον, η διεπαφή αλληλογραφίας, παρατηρώντας επιστολές από τον "τομέα" της, αντικατέστησε προσεκτικά μια φωτογραφία από το βιβλίο διευθύνσεων, η οποία πρόσθεσε αυθεντικότητα στον αποστολέα.
Στην πραγματικότητα, μια τέτοια επίθεση δεν ανήκει σε ιδιαίτερα πολύπλοκες τεχνολογίες, είναι μια επιτυχημένη εκμετάλλευση ενός πολύ βασικού ελαττώματος διαμόρφωσης αλληλογραφίας. Αναλύεται τακτικά σε εξειδικευμένους πόρους πληροφορικής και ασφάλειας πληροφοριών, αλλά παρόλα αυτά, υπάρχουν ακόμα εταιρείες που τα έχουν όλα αυτά. Δεδομένου ότι κανείς δεν είναι διατεθειμένος να ελέγξει διεξοδικά τις κεφαλίδες υπηρεσιών του πρωτοκόλλου αλληλογραφίας SMTP, η επιστολή συνήθως ελέγχεται για "κίνδυνο" με εικονίδια προειδοποίησης στη διεπαφή αλληλογραφίας, τα οποία δεν εμφανίζουν πάντα ολόκληρη την εικόνα.
Είναι ενδιαφέρον ότι αυτή η ευπάθεια λειτουργεί και προς την αντίθετη κατεύθυνση: ένας εισβολέας μπορεί να στείλει μια επιστολή εκ μέρους της εταιρείας σας σε έναν τρίτο παραλήπτη. Για παράδειγμα, μπορεί να πλαστογραφήσει ένα κανονικό τιμολόγιο πληρωμής εκ μέρους σας, καθορίζοντας άλλες λεπτομέρειες αντί για τις δικές σας. Αν αφήσουμε στην άκρη τα ζητήματα της καταπολέμησης της απάτης και της εξαργύρωσης χρημάτων, αυτός είναι πιθανώς ένας από τους ευκολότερους τρόπους για να κλέψει κανείς χρήματα χρησιμοποιώντας την κοινωνική μηχανική.
Εκτός από την κλοπή κωδικών πρόσβασης μέσω ηλεκτρονικού "ψαρέματος" (phishing), μια κλασική επίθεση κοινωνικής μηχανικής είναι η αποστολή εκτελέσιμων συνημμένων. Εάν αυτά τα συνημμένα ξεπεράσουν όλα τα εργαλεία προστασίας, από τα οποία οι σύγχρονες εταιρείες συνήθως διαθέτουν πολλά, δημιουργείται ένα κανάλι απομακρυσμένης πρόσβασης στον υπολογιστή του θύματος. Για να καταδειχθούν οι συνέπειες της επίθεσης, το τηλεχειριστήριο που λαμβάνεται μπορεί να αναπτυχθεί ώστε να έχει πρόσβαση σε ιδιαίτερα σημαντικές εμπιστευτικές πληροφορίες. Αξίζει να σημειωθεί ότι η συντριπτική πλειοψηφία των επιθέσεων με τις οποίες τα μέσα ενημέρωσης τρομάζουν τους πάντες ξεκινούν ακριβώς έτσι.
Στο τμήμα ελέγχου μας, υπολογίζουμε πρόχειρα στατιστικά στοιχεία για πλάκα: ποια είναι η συνολική αξία των περιουσιακών στοιχείων των εταιρειών στις οποίες έχουμε αποκτήσει πρόσβαση σε επίπεδο "Διαχειριστή Τομέα", κυρίως μέσω ηλεκτρονικού "ψαρέματος" (phishing) και αποστολής εκτελέσιμων συνημμένων; Φέτος έχει φτάσει περίπου τα 150 δισεκατομμύρια ευρώ.
Είναι σαφές ότι η αποστολή προκλητικών email και η δημοσίευση φωτογραφιών με γάτες σε ιστότοπους δεν είναι οι μόνες μέθοδοι κοινωνικής μηχανικής. Σε αυτά τα παραδείγματα, προσπαθήσαμε να δείξουμε την ποικιλομορφία των μορφών επίθεσης και τις συνέπειές τους. Εκτός από τα email, ένας πιθανός εισβολέας μπορεί να καλέσει για να λάβει τις απαραίτητες πληροφορίες, να διασκορπίσει μέσα (για παράδειγμα, μονάδες flash) με εκτελέσιμα αρχεία στο γραφείο της εταιρείας-στόχου, να βρει δουλειά ως ασκούμενος, να αποκτήσει φυσική πρόσβαση στο τοπικό δίκτυο με το πρόσχημα ενός εγκαταστάτη καμερών CCTV. Όλα αυτά, παρεμπιπτόντως, είναι παραδείγματα από τα επιτυχημένα έργα μας.
Μέρος 3ο. Η μάθηση είναι φως, αλλά οι αμαθείς είναι σκοτάδι
Ένα εύλογο ερώτημα προκύπτει: Εντάξει, υπάρχει κοινωνική μηχανική, φαίνεται επικίνδυνο, αλλά τι πρέπει να κάνουν οι εταιρείες με όλα αυτά; Ο Captain Obvious σπεύδει να σώσει τον εαυτό σας: πρέπει να προστατευτείτε, και με ολοκληρωμένο τρόπο. Ένα μέρος της προστασίας θα στοχεύει σε μέτρα ασφαλείας που έχουν ήδη γίνει κλασικά, όπως τεχνικά μέσα προστασίας πληροφοριών, παρακολούθηση, οργανωτική και νομική υποστήριξη διαδικασιών, αλλά το κύριο μέρος, κατά τη γνώμη μας, θα πρέπει να στοχεύει στην άμεση εργασία με τους υπαλλήλους ως τον πιο αδύναμο κρίκο. Άλλωστε, όσο κι αν ενισχύσετε τον εξοπλισμό ή γράψετε αυστηρούς κανονισμούς, θα υπάρχει πάντα ένας χρήστης που θα ανακαλύψει έναν νέο τρόπο να σπάσει τα πάντα. Επιπλέον, ούτε οι κανονισμοί ούτε ο εξοπλισμός θα συμβαδίσουν με την πτήση της δημιουργικότητας του χρήστη, ειδικά αν τον παρακινήσει ένας εξειδικευμένος εισβολέας.
Καταρχάς, είναι σημαντικό να εκπαιδεύσουμε τον χρήστη: να του εξηγήσουμε ότι ακόμη και στην καθημερινή του εργασία μπορεί να προκύψουν καταστάσεις που σχετίζονται με την κοινωνική μηχανική. Για τους πελάτες μας, συχνά διεξάγουμε σχετικά με την ψηφιακή υγιεινή - μια εκδήλωση που διδάσκει βασικές δεξιότητες για την αντιμετώπιση επιθέσεων γενικότερα.
Μπορώ να προσθέσω ότι ένα από τα καλύτερα μέτρα προστασίας δεν θα είναι η απομνημόνευση των κανόνων ασφάλειας πληροφοριών, αλλά μια ελαφρώς αποστασιοποιημένη αξιολόγηση της κατάστασης:
- Ποιος είναι ο συνομιλητής μου;
- Από πού προήλθε η πρόταση ή το αίτημά του (άλλωστε, αυτό δεν είχε ξανασυμβεί ποτέ, και τώρα εμφανίστηκε);
- Τι το ασυνήθιστο έχει αυτό το αίτημα;
Ακόμα και ένας ασυνήθιστος τύπος γραμματοσειράς σε μια επιστολή ή ένα στυλ ομιλίας που δεν είναι τυπικό για τον αποστολέα μπορεί να πυροδοτήσει μια αλυσίδα αμφιβολιών που θα σταματήσουν την επίθεση. Οι γραπτές οδηγίες είναι επίσης απαραίτητες, αλλά λειτουργούν διαφορετικά και δεν μπορούν να καθορίσουν όλες τις πιθανές καταστάσεις. Για παράδειγμα, οι διαχειριστές ασφάλειας πληροφοριών γράφουν σε αυτές ότι δεν μπορείτε να εισάγετε τον κωδικό πρόσβασής σας σε πόρους τρίτων. Αλλά τι γίνεται αν ο κωδικός πρόσβασης ζητηθεί από τον "δικό σας", "εταιρικό" πόρο δικτύου; Ο χρήστης σκέφτεται: "Η εταιρεία μας έχει ήδη δύο δωδεκάδες υπηρεσίες με έναν μόνο λογαριασμό, γιατί να μην έχουμε έναν άλλο;" Αυτό οδηγεί σε έναν άλλο κανόνα: μια καλά δομημένη ροή εργασίας επηρεάζει επίσης άμεσα την ασφάλεια: εάν ένα γειτονικό τμήμα μπορεί να ζητήσει πληροφορίες από εσάς μόνο γραπτώς και μόνο μέσω του διευθυντή σας, ένα άτομο "από έναν έμπιστο συνεργάτη της εταιρείας" σίγουρα δεν θα μπορεί να τις ζητήσει τηλεφωνικά - για εσάς, αυτό θα είναι ανοησία. Θα πρέπει να είστε ιδιαίτερα προσεκτικοί εάν ο συνομιλητής σας απαιτεί να γίνουν όλα τώρα ή "το συντομότερο δυνατό", όπως λένε. Ακόμα και στην κανονική εργασία, μια τέτοια κατάσταση είναι συχνά ανθυγιεινή και σε περίπτωση πιθανών επιθέσεων, είναι ένα ισχυρό έναυσμα. Δεν υπάρχει χρόνος για εξηγήσεις, εκτελέστε το αρχείο μου!
Παρατηρούμε ότι οι χρήστες επηρεάζονται πάντα από θέματα που σχετίζονται με τα χρήματα με τον έναν ή τον άλλον τρόπο, ως θρύλους για μια κοινωνιοτεχνική επίθεση: υποσχέσεις για προαγωγές, προτιμήσεις, δώρα, καθώς και πληροφορίες με υποτιθέμενα τοπικά κουτσομπολιά και ίντριγκες. Με άλλα λόγια, λειτουργούν τα κοινότοπα «θανάσιμα αμαρτήματα»: η δίψα για κέρδος, η απληστία και η υπερβολική περιέργεια.
Η καλή εκπαίδευση θα πρέπει πάντα να περιλαμβάνει εξάσκηση. Εδώ μπορούν να βοηθήσουν οι ειδικοί στις δοκιμές διείσδυσης. Το επόμενο ερώτημα είναι: τι και πώς θα δοκιμάσουμε; Στην Group-IB, προσφέρουμε την ακόλουθη προσέγγιση - επιλέξτε αμέσως το επίκεντρο των δοκιμών: είτε αξιολογήστε την ετοιμότητα μόνο των ίδιων των χρηστών για επιθέσεις, είτε ελέγξτε την ασφάλεια της εταιρείας στο σύνολό της. Και δοκιμάστε χρησιμοποιώντας μεθόδους κοινωνικής μηχανικής, προσομοιώνοντας πραγματικές επιθέσεις - δηλαδή, το ίδιο ηλεκτρονικό ψάρεμα (phishing), την αποστολή εκτελέσιμων εγγράφων, κλήσεων και άλλων τεχνικών.
Στην πρώτη περίπτωση, η επίθεση προετοιμάζεται προσεκτικά μαζί με τους εκπροσώπους του πελάτη, κυρίως με τους ειδικούς πληροφορικής και ασφάλειας πληροφοριών. Συμφωνούνται οι θρύλοι, τα εργαλεία και οι τεχνικές επίθεσης. Ο ίδιος ο πελάτης παρέχει ομάδες εστίασης και λίστες χρηστών για την επίθεση, οι οποίες περιλαμβάνουν όλες τις απαραίτητες επαφές. Δημιουργούνται εξαιρέσεις για τα εργαλεία προστασίας, καθώς τα μηνύματα και τα εκτελέσιμα φορτία πρέπει απαραίτητα να φτάνουν στον παραλήπτη, επειδή σε ένα τέτοιο έργο, μόνο οι αντιδράσεις των ανθρώπων ενδιαφέρουν. Προαιρετικά, μπορείτε να συμπεριλάβετε δείκτες στην επίθεση, με τους οποίους ο χρήστης μπορεί να μαντέψει ότι πρόκειται για επίθεση - για παράδειγμα, μπορείτε να κάνετε μερικά ορθογραφικά λάθη στα μηνύματα ή να αφήσετε ανακρίβειες στην αντιγραφή του εταιρικού στυλ. Στο τέλος του έργου, λαμβάνετε τα ίδια "στεγνά στατιστικά στοιχεία": ποιες ομάδες εστίασης και σε ποιο βαθμό αντέδρασαν στα σενάρια.
Στη δεύτερη περίπτωση, η επίθεση πραγματοποιείται με μηδενική αρχική γνώση, χρησιμοποιώντας τη μέθοδο του "μαύρου κουτιού". Συλλέγουμε ανεξάρτητα πληροφορίες για την εταιρεία, τους υπαλλήλους της, την περίμετρο του δικτύου, δημιουργούμε θρύλους για την επίθεση, επιλέγουμε μεθόδους, αναζητούμε πιθανά μέσα προστασίας που χρησιμοποιούνται στην εταιρεία-στόχο, προσαρμόζουμε εργαλεία και δημιουργούμε σενάρια. Οι ειδικοί μας χρησιμοποιούν τόσο κλασικές μεθόδους ανοιχτού κώδικα (OSINT) όσο και το ίδιο το προϊόν της Group-IB, Threat Intelligence, ένα σύστημα που μπορεί να λειτουργήσει ως συσσωρευτής πληροφοριών σχετικά με την εταιρεία για μεγάλο χρονικό διάστημα, συμπεριλαμβανομένης της χρήσης διαβαθμισμένων πληροφοριών, κατά την προετοιμασία για phishing. Φυσικά, για να μην γίνει η επίθεση μια δυσάρεστη έκπληξη, οι λεπτομέρειες της συμφωνούνται επίσης με τον πελάτη. Αποδεικνύεται ότι πρόκειται για μια ολοκληρωμένη δοκιμή διείσδυσης, αλλά θα βασίζεται σε προηγμένη κοινωνική μηχανική. Μια λογική επιλογή σε αυτήν την περίπτωση είναι η ανάπτυξη της επίθεσης εντός του δικτύου, μέχρι την απόκτηση των υψηλότερων δικαιωμάτων στα εσωτερικά συστήματα. Παρεμπιπτόντως, χρησιμοποιούμε κοινωνικοτεχνικές επιθέσεις με παρόμοιο τρόπο και σε και σε ορισμένες δοκιμές διείσδυσης. Ως αποτέλεσμα, ο πελάτης θα λάβει μια ανεξάρτητη ολοκληρωμένη εικόνα της ασφάλειάς του από έναν συγκεκριμένο τύπο κοινωνικοτεχνικής επίθεσης, καθώς και μια επίδειξη της αποτελεσματικότητας (ή, αντίστροφα, της αναποτελεσματικότητας) της ενσωματωμένης γραμμής άμυνας από εξωτερικές απειλές.
Συνιστούμε τη διεξαγωγή τέτοιας εκπαίδευσης τουλάχιστον δύο φορές το χρόνο. Πρώτον, κάθε εταιρεία έχει εναλλαγή προσωπικού και η προηγούμενη εμπειρία σταδιακά ξεχνιέται από τους εργαζόμενους. Δεύτερον, οι μέθοδοι και οι τεχνικές επίθεσης αλλάζουν συνεχώς και αυτό οδηγεί στην ανάγκη προσαρμογής των διαδικασιών ασφαλείας και των εργαλείων προστασίας.
Αν μιλάμε για τεχνικά μέτρα προστασίας από επιθέσεις, τα ακόλουθα είναι τα πιο χρήσιμα:
- Υποχρεωτική επαλήθευση δύο παραγόντων σε υπηρεσίες που δημοσιεύονται στο Διαδίκτυο. Η κυκλοφορία τέτοιων υπηρεσιών το 2019 χωρίς συστήματα Single Sign On, χωρίς προστασία από την εικασία κωδικών πρόσβασης και χωρίς επαλήθευση δύο παραγόντων σε μια εταιρεία αρκετών εκατοντάδων ατόμων ισοδυναμεί με ανοιχτό κάλεσμα για «σπάσιμο». Η σωστά εφαρμοσμένη προστασία θα καταστήσει αδύνατη την ταχεία χρήση κλεμμένων κωδικών πρόσβασης και θα δώσει χρόνο για την εξάλειψη των συνεπειών μιας επίθεσης ηλεκτρονικού «ψαρέματος» (phishing).
- Έλεγχος του ελέγχου πρόσβασης, ελαχιστοποίηση των δικαιωμάτων των χρηστών στα συστήματα και τήρηση των οδηγιών ασφάλειας προϊόντων κάθε μεγάλου κατασκευαστή. Αυτά είναι συχνά απλά στην ουσία, αλλά πολύ αποτελεσματικά και δύσκολα στην εφαρμογή τους στην πράξη, μέτρα που όλοι παραμελούν σε κάποιο βαθμό για λόγους ταχύτητας. Και μερικά είναι τόσο απαραίτητα που χωρίς αυτά κανένα εργαλείο ασφαλείας δεν θα σας σώσει.
- Μια καλοφτιαγμένη γραμμή φιλτραρίσματος email. Anti-spam, πλήρης έλεγχος συνημμένων για κακόβουλο κώδικα, συμπεριλαμβανομένων δυναμικών δοκιμών μέσω sandboxes. Μια καλά προετοιμασμένη επίθεση υπονοεί ότι το εκτελέσιμο συνημμένο δεν θα ανιχνευθεί από εργαλεία προστασίας από ιούς. Το sandbox, αντίθετα, θα ελέγξει τα πάντα στον εαυτό του, χρησιμοποιώντας αρχεία με τον ίδιο τρόπο που τα χρησιμοποιεί ένα άτομο. Ως αποτέλεσμα, ένα πιθανό κακόβουλο στοιχείο θα αποκαλυφθεί από τις αλλαγές που έγιναν μέσα στο sandbox.
- Άμυνες κατά στοχευμένων επιθέσεων. Όπως έχει ήδη αναφερθεί, τα κλασικά εργαλεία προστασίας από ιούς δεν θα εντοπίσουν κακόβουλα αρχεία σε μια καλά προετοιμασμένη επίθεση. Τα πιο προηγμένα προϊόντα θα πρέπει να παρακολουθούν αυτόματα το σύνολο των συμβάντων που συμβαίνουν στο δίκτυο - τόσο σε επίπεδο μεμονωμένου κεντρικού υπολογιστή όσο και σε επίπεδο κίνησης εντός του δικτύου. Στην περίπτωση επιθέσεων, εμφανίζονται πολύ χαρακτηριστικές αλυσίδες συμβάντων που μπορούν να παρακολουθηθούν και να σταματήσουν εάν έχετε επικεντρωμένη παρακολούθηση σε τέτοια συμβάντα.
Αρχικό άρθρο στο περιοδικό "Information Security" #6, 2019.
Πηγή: www.habr.com
