Φανταστείτε αυτή την κατάσταση. Κρύο πρωινό Οκτωβρίου, ινστιτούτο σχεδιασμού στο περιφερειακό κέντρο μιας από τις περιοχές της Ρωσίας. Κάποιος από το τμήμα Ανθρώπινου Δυναμικού πηγαίνει σε μία από τις σελίδες κενών θέσεων στον ιστότοπο του ινστιτούτου, που δημοσιεύτηκε πριν από μερικές ημέρες και βλέπει εκεί μια φωτογραφία μιας γάτας. Το πρωί παύει γρήγορα να είναι βαρετό...
Σε αυτό το άρθρο, ο Pavel Suprunyuk, τεχνικός επικεφαλής του τμήματος ελέγχου και συμβούλων στο Group-IB, μιλά για τη θέση των κοινωνικοτεχνικών επιθέσεων σε έργα που αξιολογούν την πρακτική ασφάλεια, ποιες ασυνήθιστες μορφές μπορούν να λάβουν και πώς να προστατευτούν από τέτοιες επιθέσεις. Ο συγγραφέας διευκρινίζει ότι το άρθρο έχει αναθεωρητικό χαρακτήρα, ωστόσο, εάν κάποια πτυχή ενδιαφέρει τους αναγνώστες, οι ειδικοί του Group-IB θα απαντήσουν εύκολα σε ερωτήσεις στα σχόλια.
Μέρος 1. Γιατί τόσο σοβαρό;
Ας επιστρέψουμε στη γάτα μας. Μετά από κάποιο χρονικό διάστημα, το τμήμα HR διαγράφει τη φωτογραφία (τα στιγμιότυπα οθόνης εδώ και κάτω είναι εν μέρει ρετουσαρισμένα για να μην αποκαλύπτονται πραγματικά ονόματα), αλλά επιστρέφει πεισματικά, διαγράφεται ξανά και αυτό συμβαίνει αρκετές φορές ακόμη. Το τμήμα ανθρώπινου δυναμικού κατανοεί ότι η γάτα έχει τις πιο σοβαρές προθέσεις, δεν θέλει να φύγει και καλούν για βοήθεια από έναν προγραμματιστή Ιστού - ένα άτομο που δημιούργησε τον ιστότοπο και τον κατανοεί και τώρα τον διαχειρίζεται. Ο προγραμματιστής πηγαίνει στον ιστότοπο, διαγράφει για άλλη μια φορά την ενοχλητική γάτα, ανακαλύπτει ότι δημοσιεύτηκε για λογαριασμό του ίδιου του τμήματος HR, στη συνέχεια υποθέτει ότι ο κωδικός πρόσβασης του τμήματος HR έχει διαρρεύσει σε ορισμένους διαδικτυακούς χούλιγκαν και τον αλλάζει. Η γάτα δεν εμφανίζεται ξανά.
Τι πραγματικά συνέβη; Σε σχέση με τον όμιλο εταιρειών που περιλάμβανε το ινστιτούτο, οι ειδικοί του Group-IB πραγματοποίησαν δοκιμές διείσδυσης σε μορφή παρόμοια με το Red Teaming (με άλλα λόγια, πρόκειται για απομίμηση στοχευμένων επιθέσεων στην εταιρεία σας χρησιμοποιώντας τις πιο προηγμένες μεθόδους και εργαλεία από το οπλοστάσιο ομάδων χάκερ). Μιλήσαμε αναλυτικά για το Red Teaming . Είναι σημαντικό να γνωρίζετε ότι κατά τη διεξαγωγή μιας τέτοιας δοκιμής, μπορεί να χρησιμοποιηθεί ένα πολύ ευρύ φάσμα προσυμφωνημένων επιθέσεων, συμπεριλαμβανομένης της κοινωνικής μηχανικής. Είναι σαφές ότι η τοποθέτηση της ίδιας της γάτας δεν ήταν ο απώτερος στόχος αυτού που συνέβαινε. Και υπήρχε το εξής:
- ο ιστότοπος του ινστιτούτου φιλοξενήθηκε σε διακομιστή εντός του ίδιου του δικτύου του ινστιτούτου και όχι σε διακομιστές τρίτων.
- Βρέθηκε διαρροή στον λογαριασμό του τμήματος HR (το αρχείο καταγραφής email βρίσκεται στη ρίζα του ιστότοπου). Ήταν αδύνατη η διαχείριση του ιστότοπου με αυτόν τον λογαριασμό, αλλά ήταν δυνατή η επεξεργασία σελίδων εργασίας.
- Αλλάζοντας τις σελίδες, θα μπορούσατε να τοποθετήσετε τα σενάρια σας σε JavaScript. Συνήθως κάνουν τις σελίδες διαδραστικές, αλλά σε αυτήν την περίπτωση, τα ίδια σενάρια θα μπορούσαν να κλέψουν από το πρόγραμμα περιήγησης του επισκέπτη αυτό που ξεχώριζε το τμήμα HR από τον προγραμματιστή και τον προγραμματιστή από έναν απλό επισκέπτη - το αναγνωριστικό περιόδου σύνδεσης στον ιστότοπο. Η γάτα ήταν ένα έναυσμα επίθεσης και μια εικόνα για να τραβήξει την προσοχή. Στη γλώσσα σήμανσης ιστοτόπου HTML, φαινόταν ως εξής: εάν η εικόνα σας έχει φορτωθεί, η JavaScript έχει ήδη εκτελεστεί και το αναγνωριστικό περιόδου σύνδεσης, μαζί με δεδομένα σχετικά με το πρόγραμμα περιήγησής σας και τη διεύθυνση IP, έχουν ήδη κλαπεί.
- Με ένα κλεμμένο αναγνωριστικό περιόδου λειτουργίας διαχειριστή, θα ήταν δυνατή η πλήρης πρόσβαση στον ιστότοπο, η φιλοξενία εκτελέσιμων σελίδων στην PHP και, επομένως, η πρόσβαση στο λειτουργικό σύστημα διακομιστή και, στη συνέχεια, στο ίδιο το τοπικό δίκτυο, κάτι που ήταν ένας σημαντικός ενδιάμεσος στόχος του η εργασία.
Η επίθεση ήταν εν μέρει επιτυχής: το αναγνωριστικό περιόδου λειτουργίας του διαχειριστή κλάπηκε, αλλά συνδέθηκε με μια διεύθυνση IP. Δεν μπορούσαμε να το ξεπεράσουμε αυτό, δεν μπορούσαμε να αυξήσουμε τα προνόμια του ιστότοπού μας σε δικαιώματα διαχειριστή, αλλά βελτιώσαμε τη διάθεσή μας. Το τελικό αποτέλεσμα επιτεύχθηκε τελικά σε άλλο τμήμα της περιμέτρου του δικτύου.
Μέρος 2. Σας γράφω - τι άλλο; Τηλεφωνώ επίσης και τριγυρνάω στο γραφείο σας, ρίχνοντας φλας.
Αυτό που συνέβη στην κατάσταση με τη γάτα είναι ένα παράδειγμα κοινωνικής μηχανικής, αν και όχι αρκετά κλασικό. Στην πραγματικότητα, υπήρχαν περισσότερα γεγονότα σε αυτήν την ιστορία: υπήρχε μια γάτα, ένα ινστιτούτο, και ένα τμήμα προσωπικού και ένας προγραμματιστής, αλλά υπήρχαν επίσης email με διευκρινιστικές ερωτήσεις που υποτίθεται ότι οι «υποψήφιοι» έγραψαν στο ίδιο το τμήμα προσωπικού και προσωπικά στον προγραμματιστή για να τους προκαλέσει να μεταβούν στη σελίδα του ιστότοπου.
Μιλώντας για γράμματα. Το συνηθισμένο ηλεκτρονικό ταχυδρομείο, πιθανώς το κύριο όχημα για την υλοποίηση της κοινωνικής μηχανικής, δεν έχει χάσει τη συνάφειά του εδώ και μερικές δεκαετίες και μερικές φορές οδηγεί στις πιο ασυνήθιστες συνέπειες.
Στις εκδηλώσεις μας λέμε συχνά την παρακάτω ιστορία, καθώς είναι πολύ αποκαλυπτική.
Συνήθως, με βάση τα αποτελέσματα των έργων κοινωνικής μηχανικής, συγκεντρώνουμε στατιστικά στοιχεία, τα οποία, ως γνωστόν, είναι κάτι ξερό και βαρετό. Τόσο πολύ τοις εκατό των παραληπτών άνοιξαν το συνημμένο από την επιστολή, τόσοι πολλοί ακολούθησαν τον σύνδεσμο, αλλά αυτοί οι τρεις εισήγαγαν στην πραγματικότητα το όνομα χρήστη και τον κωδικό πρόσβασής τους. Σε ένα έργο, λάβαμε περισσότερο από το 100% των κωδικών πρόσβασης που εισήχθησαν - δηλαδή, βγήκαν περισσότεροι από αυτούς που στείλαμε.
Συνέβη κάπως έτσι: στάλθηκε μια επιστολή phishing, υποτίθεται από το CISO μιας κρατικής εταιρείας, με αίτημα να «δοκιμαστούν επειγόντως οι αλλαγές στην υπηρεσία αλληλογραφίας». Η επιστολή έφτασε στον επικεφαλής ενός μεγάλου τμήματος που ασχολούνταν με την τεχνική υποστήριξη. Ο διευθυντής ήταν πολύ επιμελής στην εκτέλεση των οδηγιών από τις υψηλές αρχές και τις προώθησε σε όλους τους υφισταμένους. Το ίδιο το τηλεφωνικό κέντρο αποδείχθηκε αρκετά μεγάλο. Σε γενικές γραμμές, οι καταστάσεις όπου κάποιος προωθεί «ενδιαφέροντα» μηνύματα ηλεκτρονικού ψαρέματος στους συναδέλφους του και τον πιάνουν επίσης είναι ένα αρκετά συνηθισμένο φαινόμενο. Για εμάς, αυτή είναι η καλύτερη ανατροφοδότηση σχετικά με την ποιότητα της σύνταξης μιας επιστολής.
Λίγο αργότερα έμαθαν για εμάς (η επιστολή λήφθηκε σε ένα παραβιασμένο γραμματοκιβώτιο):
Η επιτυχία της επίθεσης οφειλόταν στο γεγονός ότι η αλληλογραφία εκμεταλλεύτηκε μια σειρά τεχνικών ελλείψεων στο σύστημα αλληλογραφίας του πελάτη. Είχε διαμορφωθεί με τέτοιο τρόπο ώστε να είναι δυνατή η αποστολή οποιωνδήποτε επιστολών για λογαριασμό οποιουδήποτε αποστολέα του ίδιου του οργανισμού χωρίς εξουσιοδότηση, ακόμη και από το Διαδίκτυο. Δηλαδή, θα μπορούσατε να προσποιηθείτε ότι είστε CISO, ή επικεφαλής της τεχνικής υποστήριξης ή κάποιος άλλος. Επιπλέον, η διεπαφή αλληλογραφίας, παρατηρώντας γράμματα από τον τομέα «του», εισήγαγε προσεκτικά μια φωτογραφία από το βιβλίο διευθύνσεων, η οποία πρόσθεσε φυσικότητα στον αποστολέα.
Στην πραγματικότητα, μια τέτοια επίθεση δεν είναι μια ιδιαίτερα περίπλοκη τεχνολογία· είναι μια επιτυχημένη εκμετάλλευση ενός πολύ βασικού ελαττώματος στις ρυθμίσεις αλληλογραφίας. Αναθεωρείται τακτικά σε εξειδικευμένους πόρους πληροφορικής και ασφάλειας πληροφοριών, αλλά παρόλα αυτά εξακολουθούν να υπάρχουν εταιρείες που έχουν όλα αυτά παρόντα. Δεδομένου ότι κανείς δεν έχει την τάση να ελέγχει διεξοδικά τις κεφαλίδες υπηρεσίας του πρωτοκόλλου αλληλογραφίας SMTP, ένα γράμμα συνήθως ελέγχεται για "κίνδυνο" χρησιμοποιώντας εικονίδια προειδοποίησης στη διεπαφή αλληλογραφίας, τα οποία δεν εμφανίζουν πάντα ολόκληρη την εικόνα.
Είναι ενδιαφέρον ότι μια παρόμοια ευπάθεια λειτουργεί και προς την άλλη κατεύθυνση: ένας εισβολέας μπορεί να στείλει ένα email εκ μέρους της εταιρείας σας σε έναν τρίτο παραλήπτη. Για παράδειγμα, μπορεί να παραποιήσει ένα τιμολόγιο για τακτική πληρωμή για λογαριασμό σας, υποδεικνύοντας άλλα στοιχεία αντί για τα δικά σας. Εκτός από τα ζητήματα καταπολέμησης της απάτης και εξαργύρωσης, αυτός είναι ίσως ένας από τους ευκολότερους τρόπους κλοπής χρημάτων μέσω της κοινωνικής μηχανικής.
Εκτός από την κλοπή κωδικών πρόσβασης μέσω phishing, μια κλασική κοινωνικοτεχνική επίθεση είναι η αποστολή εκτελέσιμων συνημμένων. Εάν αυτές οι επενδύσεις ξεπεράσουν όλα τα μέτρα ασφαλείας, από τα οποία οι σύγχρονες εταιρείες έχουν συνήθως πολλά, θα δημιουργηθεί ένα κανάλι απομακρυσμένης πρόσβασης στον υπολογιστή του θύματος. Για να αποδειχθούν οι συνέπειες της επίθεσης, το τηλεχειριστήριο που προκύπτει μπορεί να αναπτυχθεί για πρόσβαση σε ιδιαίτερα σημαντικές εμπιστευτικές πληροφορίες. Αξίζει να σημειωθεί ότι η συντριπτική πλειονότητα των επιθέσεων που χρησιμοποιούν τα μέσα ενημέρωσης για να τρομάξουν τους πάντες ξεκινούν ακριβώς έτσι.
Στο τμήμα ελέγχου μας, για πλάκα, υπολογίζουμε κατά προσέγγιση στατιστικά στοιχεία: ποια είναι η συνολική αξία των περιουσιακών στοιχείων των εταιρειών στις οποίες έχουμε αποκτήσει πρόσβαση Διαχειριστή τομέα, κυρίως μέσω phishing και αποστολής εκτελέσιμων συνημμένων; Φέτος έφτασε τα 150 δισ. ευρώ περίπου.
Είναι σαφές ότι η αποστολή προκλητικών email και η ανάρτηση φωτογραφιών με γάτες σε ιστότοπους δεν είναι οι μόνες μέθοδοι κοινωνικής μηχανικής. Σε αυτά τα παραδείγματα προσπαθήσαμε να δείξουμε την ποικιλία των μορφών επίθεσης και τις συνέπειές τους. Εκτός από τις επιστολές, ένας πιθανός εισβολέας μπορεί να καλέσει για να λάβει τις απαραίτητες πληροφορίες, να διασκορπίσει μέσα (για παράδειγμα, μονάδες flash) με εκτελέσιμα αρχεία στο γραφείο της εταιρείας-στόχου, να βρει δουλειά ως ασκούμενος, να αποκτήσει φυσική πρόσβαση στο τοπικό δίκτυο υπό το πρόσχημα ενός εγκαταστάτη κάμερας CCTV. Όλα αυτά, παρεμπιπτόντως, είναι παραδείγματα από τα επιτυχώς ολοκληρωμένα έργα μας.
Μέρος 3. Η διδασκαλία είναι φως, αλλά ο αμαθής είναι σκοτάδι
Τίθεται ένα εύλογο ερώτημα: εντάξει, υπάρχει κοινωνική μηχανική, φαίνεται επικίνδυνο, αλλά τι πρέπει να κάνουν οι εταιρείες για όλα αυτά; Ο Captain Obvious έρχεται στη διάσωση: πρέπει να υπερασπιστείτε τον εαυτό σας και μάλιστα με ολοκληρωμένο τρόπο. Κάποιο μέρος της προστασίας θα στοχεύει σε ήδη κλασικά μέτρα ασφαλείας, όπως τεχνικά μέσα προστασίας πληροφοριών, παρακολούθηση, οργανωτική και νομική υποστήριξη διαδικασιών, αλλά το κύριο μέρος, κατά τη γνώμη μας, θα πρέπει να κατευθύνεται στην άμεση εργασία με τους εργαζόμενους. ο πιο αδύναμος κρίκος. Άλλωστε, όσο κι αν ενισχύετε την τεχνολογία ή γράφετε σκληρούς κανονισμούς, πάντα θα υπάρχει ένας χρήστης που θα ανακαλύψει έναν νέο τρόπο για να σπάσει τα πάντα. Επιπλέον, ούτε οι κανονισμοί ούτε η τεχνολογία θα συμβαδίσουν με τη δημιουργικότητα του χρήστη, ειδικά εάν προτρέπεται από έναν ειδικευμένο εισβολέα.
Πρώτα απ 'όλα, είναι σημαντικό να εκπαιδεύσετε τον χρήστη: εξηγήστε ότι ακόμη και στην καθημερινή του εργασία, μπορεί να προκύψουν καταστάσεις που σχετίζονται με την κοινωνική μηχανική. Για τους πελάτες μας κάνουμε συχνά σχετικά με την ψηφιακή υγιεινή - μια εκδήλωση που διδάσκει βασικές δεξιότητες για την αντιμετώπιση επιθέσεων γενικά.
Μπορώ να προσθέσω ότι ένα από τα καλύτερα μέτρα προστασίας δεν θα ήταν η απομνημόνευση κανόνων ασφάλειας πληροφοριών, αλλά η αξιολόγηση της κατάστασης με ελαφρώς αποστασιοποιημένο τρόπο:
- Ποιος είναι ο συνομιλητής μου;
- Από πού προήλθε η πρόταση ή το αίτημά του (αυτό δεν έχει ξαναγίνει και τώρα εμφανίστηκε);
- Τι είναι ασυνήθιστο σε αυτό το αίτημα;
Ακόμη και ένας ασυνήθιστος τύπος γραμματοσειράς ή ένα στυλ ομιλίας που είναι ασυνήθιστο για τον αποστολέα μπορεί να προκαλέσει μια αλυσίδα αμφιβολιών που θα σταματήσει μια επίθεση. Απαιτούνται επίσης προδιαγεγραμμένες οδηγίες, αλλά λειτουργούν διαφορετικά και δεν μπορούν να προσδιορίσουν όλες τις πιθανές καταστάσεις. Για παράδειγμα, οι διαχειριστές ασφάλειας πληροφοριών γράφουν σε αυτούς ότι δεν μπορείτε να εισαγάγετε τον κωδικό πρόσβασής σας σε πόρους τρίτων. Τι γίνεται αν ο "δικός σας", "εταιρικός" πόρος δικτύου ζητήσει κωδικό πρόσβασης; Ο χρήστης σκέφτεται: "Η εταιρεία μας έχει ήδη δύο δωδεκάδες υπηρεσίες με έναν μόνο λογαριασμό, γιατί να μην έχει άλλον έναν;" Αυτό οδηγεί σε έναν άλλο κανόνα: μια καλά δομημένη διαδικασία εργασίας επηρεάζει επίσης άμεσα την ασφάλεια: εάν ένα γειτονικό τμήμα μπορεί να ζητήσει πληροφορίες από εσάς μόνο γραπτώς και μόνο μέσω του διευθυντή σας, ένα άτομο "από έναν έμπιστο συνεργάτη της εταιρείας" σίγουρα δεν θα είναι μπορεί να το ζητήσει μέσω τηλεφώνου - αυτό είναι για εσάς θα είναι ανοησία. Θα πρέπει να είστε ιδιαίτερα επιφυλακτικοί εάν ο συνομιλητής σας απαιτεί να κάνει τα πάντα τώρα, ή «ASAP», όπως είναι της μόδας να γράφει. Ακόμη και στην κανονική εργασία, αυτή η κατάσταση συχνά δεν είναι υγιής, και μπροστά σε πιθανές επιθέσεις, είναι ένα ισχυρό έναυσμα. Δεν υπάρχει χρόνος για εξηγήσεις, τρέξτε το αρχείο μου!
Παρατηρούμε ότι οι χρήστες στοχοποιούνται πάντα ως θρύλοι για μια κοινωνικοτεχνική επίθεση από θέματα που σχετίζονται με χρήματα με τη μία ή την άλλη μορφή: υποσχέσεις για προσφορές, προτιμήσεις, δώρα, καθώς και πληροφορίες με υποτιθέμενα τοπικά κουτσομπολιά και ίντριγκα. Με άλλα λόγια, τα κοινότυπα «θανάσιμα αμαρτήματα» επιδρούν: δίψα για κέρδος, απληστία και υπερβολική περιέργεια.
Η καλή εκπαίδευση πρέπει πάντα να περιλαμβάνει εξάσκηση. Εδώ μπορούν να έρθουν στη διάσωση οι ειδικοί στις δοκιμές διείσδυσης. Το επόμενο ερώτημα είναι: τι και πώς θα δοκιμάσουμε; Εμείς στο Group-IB προτείνουμε την ακόλουθη προσέγγιση: επιλέξτε αμέσως το επίκεντρο των δοκιμών: είτε αξιολογήστε την ετοιμότητα για επιθέσεις μόνο των ίδιων των χρηστών είτε ελέγξτε την ασφάλεια της εταιρείας στο σύνολό της. Και δοκιμάστε χρησιμοποιώντας μεθόδους κοινωνικής μηχανικής, προσομοιώνοντας πραγματικές επιθέσεις - δηλαδή το ίδιο phishing, αποστολή εκτελέσιμων εγγράφων, κλήσεων και άλλες τεχνικές.
Στην πρώτη περίπτωση, η επίθεση προετοιμάζεται προσεκτικά μαζί με εκπροσώπους του πελάτη, κυρίως με τους ειδικούς πληροφορικής και ασφάλειας πληροφοριών. Οι θρύλοι, τα εργαλεία και οι τεχνικές επίθεσης είναι συνεπείς. Ο ίδιος ο πελάτης παρέχει ομάδες εστίασης και λίστες χρηστών για επίθεση, οι οποίες περιλαμβάνουν όλες τις απαραίτητες επαφές. Δημιουργούνται εξαιρέσεις στα μέτρα ασφαλείας, αφού τα μηνύματα και τα εκτελέσιμα φορτία πρέπει να φτάσουν στον παραλήπτη, γιατί σε ένα τέτοιο έργο ενδιαφέρουν μόνο οι αντιδράσεις των ανθρώπων. Προαιρετικά, μπορείτε να συμπεριλάβετε δείκτες στην επίθεση, με τους οποίους ο χρήστης μπορεί να μαντέψει ότι πρόκειται για επίθεση - για παράδειγμα, μπορείτε να κάνετε μερικά ορθογραφικά λάθη στα μηνύματα ή να αφήσετε ανακρίβειες στην αντιγραφή του εταιρικού στυλ. Στο τέλος του έργου, λαμβάνονται οι ίδιες «στεγνές στατιστικές»: ποιες ομάδες εστίασης ανταποκρίθηκαν στα σενάρια και σε ποιο βαθμό.
Στη δεύτερη περίπτωση, η επίθεση πραγματοποιείται με μηδενική αρχική γνώση, χρησιμοποιώντας τη μέθοδο «μαύρο κουτί». Συλλέγουμε ανεξάρτητα πληροφορίες για την εταιρεία, τους υπαλλήλους της, την περίμετρο του δικτύου, δημιουργούμε θρύλους επιθέσεων, επιλέγουμε μεθόδους, αναζητούμε πιθανά μέτρα ασφαλείας που χρησιμοποιούνται στην εταιρεία-στόχο, προσαρμόζουμε εργαλεία και δημιουργούμε σενάρια. Οι ειδικοί μας χρησιμοποιούν τόσο κλασικές μεθόδους νοημοσύνης ανοιχτού κώδικα (OSINT) όσο και το ίδιο το προϊόν του Group-IB - Threat Intelligence, ένα σύστημα που, όταν προετοιμάζεται για ηλεκτρονικό ψάρεμα, μπορεί να λειτουργήσει ως συσσωρευτής πληροφοριών για μια εταιρεία για μεγάλο χρονικό διάστημα, συμπεριλαμβανομένων διαβαθμισμένων πληροφοριών . Φυσικά, για να μην γίνει η επίθεση δυσάρεστη έκπληξη, οι λεπτομέρειες της συμφωνούνται και με τον πελάτη. Αποδεικνύεται ότι είναι ένα πλήρες τεστ διείσδυσης, αλλά θα βασίζεται σε προηγμένη κοινωνική μηχανική. Η λογική επιλογή σε αυτή την περίπτωση είναι η ανάπτυξη μιας επίθεσης εντός του δικτύου, μέχρι την απόκτηση των υψηλότερων δικαιωμάτων σε εσωτερικά συστήματα. Παρεμπιπτόντως, με παρόμοιο τρόπο χρησιμοποιούμε κοινωνικοτεχνικές επιθέσεις και σε ορισμένες δοκιμές διείσδυσης. Ως αποτέλεσμα, ο πελάτης θα λάβει ένα ανεξάρτητο ολοκληρωμένο όραμα για την ασφάλειά του έναντι ενός συγκεκριμένου τύπου κοινωνικοτεχνικών επιθέσεων, καθώς και μια επίδειξη της αποτελεσματικότητας (ή, αντίθετα, της αναποτελεσματικότητας) της ενσωματωμένης γραμμής άμυνας έναντι εξωτερικών απειλών.
Συνιστούμε να διεξάγετε αυτή την εκπαίδευση τουλάχιστον δύο φορές το χρόνο. Πρώτον, σε οποιαδήποτε εταιρεία υπάρχει εναλλαγή προσωπικού και η προηγούμενη εμπειρία σταδιακά ξεχνιέται από τους εργαζόμενους. Δεύτερον, οι μέθοδοι και οι τεχνικές επιθέσεων αλλάζουν συνεχώς και αυτό οδηγεί στην ανάγκη προσαρμογής των διαδικασιών ασφαλείας και των εργαλείων προστασίας.
Αν μιλάμε για τεχνικά μέτρα προστασίας από επιθέσεις, τα ακόλουθα βοηθούν περισσότερο:
- Η παρουσία υποχρεωτικού ελέγχου ταυτότητας δύο παραγόντων σε υπηρεσίες που δημοσιεύονται στο Διαδίκτυο. Η κυκλοφορία τέτοιων υπηρεσιών το 2019 χωρίς συστήματα Single Sign On, χωρίς προστασία κατά της ωμής βίας με κωδικό πρόσβασης και χωρίς έλεγχο ταυτότητας δύο παραγόντων σε μια εταιρεία πολλών εκατοντάδων ατόμων ισοδυναμεί με μια ανοιχτή έκκληση για «σπάσιμο μου». Η σωστά εφαρμοσμένη προστασία θα καταστήσει αδύνατη τη γρήγορη χρήση κλεμμένων κωδικών πρόσβασης και θα δώσει χρόνο για την εξάλειψη των συνεπειών μιας επίθεσης phishing.
- Έλεγχος του ελέγχου πρόσβασης, ελαχιστοποίηση των δικαιωμάτων χρήστη στα συστήματα και τήρηση των οδηγιών για ασφαλή διαμόρφωση προϊόντων που εκδίδονται από κάθε μεγάλο κατασκευαστή. Αυτά είναι συχνά απλά στη φύση, αλλά πολύ αποτελεσματικά και δύσκολα στην εφαρμογή μέτρα, τα οποία όλοι, στον ένα ή τον άλλο βαθμό, παραμελούν για χάρη της ταχύτητας. Και μερικά είναι τόσο απαραίτητα που χωρίς αυτά κανένα μέσο προστασίας δεν θα σώσει.
- Καλοχτισμένη γραμμή φιλτραρίσματος email. Antispam, πλήρης σάρωση συνημμένων για κακόβουλο κώδικα, συμπεριλαμβανομένης της δυναμικής δοκιμής μέσω sandboxes. Μια καλά προετοιμασμένη επίθεση σημαίνει ότι το εκτελέσιμο συνημμένο δεν θα εντοπιστεί από εργαλεία προστασίας από ιούς. Το sandbox, αντίθετα, θα δοκιμάσει τα πάντα από μόνο του, χρησιμοποιώντας αρχεία με τον ίδιο τρόπο που τα χρησιμοποιεί ένα άτομο. Ως αποτέλεσμα, ένα πιθανό κακόβουλο στοιχείο θα αποκαλυφθεί από αλλαγές που θα γίνουν μέσα στο sandbox.
- Μέσα προστασίας από στοχευμένες επιθέσεις. Όπως έχει ήδη σημειωθεί, τα κλασικά εργαλεία προστασίας από ιούς δεν θα εντοπίσουν κακόβουλα αρχεία σε περίπτωση καλά προετοιμασμένης επίθεσης. Τα πιο προηγμένα προϊόντα θα πρέπει να παρακολουθούν αυτόματα το σύνολο των συμβάντων που συμβαίνουν στο δίκτυο - τόσο σε επίπεδο μεμονωμένου κεντρικού υπολογιστή όσο και σε επίπεδο κίνησης εντός του δικτύου. Στην περίπτωση επιθέσεων, εμφανίζονται πολύ χαρακτηριστικές αλυσίδες γεγονότων που μπορούν να εντοπιστούν και να σταματήσουν εάν έχετε επικεντρωμένη παρακολούθηση σε γεγονότα αυτού του είδους.
Αρχικό άρθρο στο περιοδικό «Ασφάλεια Πληροφοριών/ Ασφάλεια Πληροφοριών» #6, 2019.
Πηγή: www.habr.com