ลองนึกภาพสถานการณ์นี้ เช้าเดือนตุลาคมที่หนาวเย็น สถาบันการออกแบบในศูนย์กลางภูมิภาคของภูมิภาคใดภูมิภาคหนึ่งของรัสเซีย มีคนจากแผนกทรัพยากรบุคคลไปที่หน้าตำแหน่งงานว่างบนเว็บไซต์ของสถาบัน โพสต์เมื่อ XNUMX-XNUMX วันก่อน และเห็นรูปถ่ายของแมวที่นั่น ตอนเช้าก็จะหมดความน่าเบื่อ...
ในบทความนี้ Pavel Suprunyuk หัวหน้าฝ่ายเทคนิคของแผนกตรวจสอบและให้คำปรึกษาของ Group-IB พูดถึงจุดที่เกิดการโจมตีทางสังคมวิทยาในโครงการที่ประเมินความปลอดภัยในทางปฏิบัติ รูปแบบที่ผิดปกติที่พวกเขาสามารถทำได้ และวิธีป้องกันการโจมตีดังกล่าว ผู้เขียนชี้แจงว่าบทความนี้มีลักษณะเป็นการวิจารณ์ อย่างไรก็ตาม หากมีแง่มุมใดที่ผู้อ่านสนใจ ผู้เชี่ยวชาญของ Group-IB จะพร้อมตอบคำถามในความคิดเห็น
ตอนที่ 1 ทำไมจริงจังจัง?
กลับมาที่แมวของเรากันเถอะ หลังจากนั้นครู่หนึ่งแผนกทรัพยากรบุคคลก็ลบรูปภาพ (ภาพหน้าจอที่นี่และด้านล่างได้รับการตกแต่งบางส่วนเพื่อไม่ให้เปิดเผยชื่อจริง) แต่มันกลับดื้อรั้นถูกลบอีกครั้งและสิ่งนี้เกิดขึ้นอีกหลายครั้ง แผนกทรัพยากรบุคคลเข้าใจดีว่าแมวมีเจตนาที่จริงจังที่สุด เขาไม่ต้องการที่จะจากไป และพวกเขาขอความช่วยเหลือจากโปรแกรมเมอร์เว็บ ซึ่งเป็นบุคคลที่สร้างเว็บไซต์และเข้าใจเว็บไซต์ และขณะนี้เป็นผู้ดูแลเว็บไซต์ โปรแกรมเมอร์ไปที่ไซต์ ลบแมวที่น่ารำคาญอีกครั้ง พบว่ามันถูกโพสต์ในนามของแผนกทรัพยากรบุคคล จากนั้นสันนิษฐานว่ารหัสผ่านของแผนกทรัพยากรบุคคลรั่วไหลไปยังอันธพาลออนไลน์บางคน และทำการเปลี่ยนแปลง แมวไม่ปรากฏอีก
เกิดอะไรขึ้นจริงๆ? ในส่วนของกลุ่มบริษัทที่รวมสถาบันนั้นด้วย ผู้เชี่ยวชาญ Group-IB ได้ทำการทดสอบการเจาะระบบในรูปแบบที่ใกล้เคียงกับ Red Teaming (กล่าวอีกนัยหนึ่ง นี่คือการเลียนแบบการโจมตีแบบกำหนดเป้าหมายต่อบริษัทของคุณโดยใช้วิธีการและเครื่องมือที่ทันสมัยที่สุดจาก คลังแสงของกลุ่มแฮกเกอร์) เราได้พูดคุยโดยละเอียดเกี่ยวกับ Red Teaming . สิ่งสำคัญคือต้องรู้ว่าเมื่อทำการทดสอบดังกล่าว สามารถใช้การโจมตีที่ตกลงไว้ล่วงหน้าได้หลากหลายมาก รวมถึงวิศวกรรมสังคม เห็นได้ชัดว่าการวางตำแหน่งแมวไม่ใช่เป้าหมายสูงสุดของสิ่งที่เกิดขึ้น และมีดังต่อไปนี้:
- เว็บไซต์ของสถาบันโฮสต์บนเซิร์ฟเวอร์ภายในเครือข่ายของสถาบันเอง และไม่ได้อยู่บนเซิร์ฟเวอร์ของบุคคลที่สาม
- พบการรั่วไหลในบัญชีแผนกทรัพยากรบุคคล (ไฟล์บันทึกอีเมลอยู่ที่รากของไซต์) ไม่สามารถดูแลไซต์ด้วยบัญชีนี้ได้ แต่สามารถแก้ไขหน้างานได้
- ด้วยการเปลี่ยนหน้า คุณสามารถวางสคริปต์ของคุณใน JavaScript โดยปกติแล้วพวกเขาจะทำให้เพจโต้ตอบได้ แต่ในสถานการณ์นี้ สคริปต์เดียวกันอาจขโมยจากเบราว์เซอร์ของผู้เยี่ยมชม สิ่งที่ทำให้แผนกทรัพยากรบุคคลแตกต่างจากโปรแกรมเมอร์ และโปรแกรมเมอร์จากผู้เยี่ยมชมธรรมดา - ตัวระบุเซสชันบนเว็บไซต์ แมวเป็นตัวกระตุ้นให้เกิดการโจมตีและเป็นภาพที่ดึงดูดความสนใจ ในภาษามาร์กอัปเว็บไซต์ HTML ดูเหมือนว่า: หากรูปภาพของคุณโหลดแล้ว JavaScript ได้ถูกดำเนินการแล้ว และ ID เซสชันของคุณ พร้อมด้วยข้อมูลเกี่ยวกับเบราว์เซอร์และที่อยู่ IP ของคุณถูกขโมยไปแล้ว
- ด้วยรหัสเซสชันของผู้ดูแลระบบที่ถูกขโมย คุณจะสามารถเข้าถึงไซต์ได้อย่างเต็มที่ โฮสต์เพจที่ปฏิบัติการได้ใน PHP และด้วยเหตุนี้จึงสามารถเข้าถึงระบบปฏิบัติการเซิร์ฟเวอร์ จากนั้นจึงเข้าถึงเครือข่ายท้องถิ่นเอง ซึ่งเป็นเป้าหมายระดับกลางที่สำคัญของ โครงการ.
การโจมตีสำเร็จบางส่วน: รหัสเซสชันของผู้ดูแลระบบถูกขโมย แต่เชื่อมโยงกับที่อยู่ IP เราไม่สามารถหลีกเลี่ยงสิ่งนี้ได้ เราไม่สามารถเพิ่มสิทธิพิเศษของไซต์ของเราให้เป็นสิทธิ์ของผู้ดูแลระบบได้ แต่เราได้ปรับปรุงอารมณ์ของเรา ในที่สุดผลลัพธ์สุดท้ายก็ได้รับในส่วนอื่นของขอบเขตเครือข่าย
ตอนที่ 2 ฉันกำลังเขียนถึงคุณ - มีอะไรอีกบ้าง? ฉันยังโทรไปอยู่ในออฟฟิศของคุณ และทำแฟลชไดรฟ์หล่น
สิ่งที่เกิดขึ้นในสถานการณ์กับแมวเป็นตัวอย่างหนึ่งของวิศวกรรมสังคม แม้จะไม่ได้คลาสสิกก็ตาม ในความเป็นจริงมีเหตุการณ์มากกว่านี้ในเรื่องนี้: มีแมวและสถาบันและแผนกบุคคลและโปรแกรมเมอร์ แต่ก็มีอีเมลที่มีคำถามชี้แจงที่คาดว่า "ผู้สมัคร" เขียนถึงแผนกบุคคลและเป็นการส่วนตัว ไปยังโปรแกรมเมอร์เพื่อกระตุ้นให้พวกเขาไปที่หน้าไซต์
พูดถึงตัวอักษร. อีเมลธรรมดาๆ ซึ่งอาจเป็นเครื่องมือหลักในการดำเนินการวิศวกรรมสังคม ไม่ได้สูญเสียความเกี่ยวข้องมาเป็นเวลาสองทศวรรษแล้ว และบางครั้งก็นำไปสู่ผลลัพธ์ที่ผิดปกติที่สุด
เรามักจะเล่าเรื่องต่อไปนี้ในงานของเราเนื่องจากเป็นเรื่องที่เปิดเผยมาก
โดยปกติแล้ว ตามผลลัพธ์ของโครงการวิศวกรรมสังคม เราจะรวบรวมสถิติ ซึ่งอย่างที่เราทราบกันดีว่าเป็นสิ่งที่น่าเบื่อและน่าเบื่อ ผู้รับหลายเปอร์เซ็นต์เปิดไฟล์แนบจากจดหมาย หลายคนติดตามลิงก์ แต่ทั้งสามคนนี้ป้อนชื่อผู้ใช้และรหัสผ่านจริงๆ ในโครงการหนึ่ง เราได้รับรหัสผ่านที่ป้อนมากกว่า 100% กล่าวคือ มีรหัสผ่านออกมามากกว่าที่เราส่งออกไป
มันเกิดขึ้นเช่นนี้: มีการส่งจดหมายฟิชชิ่งโดยคาดว่ามาจาก CISO ของบริษัทของรัฐ โดยมีความต้องการ "ทดสอบการเปลี่ยนแปลงในบริการอีเมลอย่างเร่งด่วน" จดหมายฉบับนี้ส่งถึงหัวหน้าแผนกขนาดใหญ่ที่ดูแลฝ่ายสนับสนุนด้านเทคนิค ผู้จัดการมีความขยันหมั่นเพียรในการปฏิบัติตามคำสั่งจากหน่วยงานระดับสูงและส่งต่อไปยังผู้ใต้บังคับบัญชาทุกคน คอลเซ็นเตอร์เองก็มีขนาดค่อนข้างใหญ่ โดยทั่วไป สถานการณ์ที่มีคนส่งต่ออีเมลฟิชชิ่งที่ "น่าสนใจ" ไปยังเพื่อนร่วมงานแล้วยังถูกจับได้นั้น ถือเป็นเรื่องปกติ สำหรับเรา นี่คือผลตอบรับที่ดีที่สุดเกี่ยวกับคุณภาพของการเขียนจดหมาย
หลังจากนั้นไม่นานพวกเขาก็รู้เกี่ยวกับเรา (จดหมายถูกส่งไปในกล่องจดหมายที่ถูกบุกรุก):
ความสำเร็จของการโจมตีเกิดจากการที่การส่งจดหมายใช้ประโยชน์จากข้อบกพร่องทางเทคนิคหลายประการในระบบเมลของลูกค้า ได้รับการกำหนดค่าในลักษณะที่สามารถส่งจดหมายใด ๆ ในนามของผู้ส่งขององค์กรเองโดยไม่ได้รับอนุญาตแม้จะมาจากอินเทอร์เน็ตก็ตาม นั่นคือคุณสามารถแกล้งทำเป็น CISO หรือหัวหน้าฝ่ายสนับสนุนด้านเทคนิคหรือบุคคลอื่นได้ ยิ่งไปกว่านั้น อินเทอร์เฟซเมลซึ่งสังเกตจดหมายจากโดเมน "ของมัน" ได้แทรกรูปภาพจากสมุดที่อยู่อย่างระมัดระวัง ซึ่งเพิ่มความเป็นธรรมชาติให้กับผู้ส่ง
ที่จริงแล้ว การโจมตีดังกล่าวไม่ใช่เทคโนโลยีที่ซับซ้อนเป็นพิเศษ แต่เป็นการโจมตีที่ประสบความสำเร็จจากข้อบกพร่องพื้นฐานในการตั้งค่าเมล มีการตรวจสอบทรัพยากรด้านไอทีและความปลอดภัยของข้อมูลเฉพาะทางเป็นประจำ แต่ยังคงมีบริษัทหลายแห่งที่มีทั้งหมดนี้อยู่ เนื่องจากไม่มีใครตรวจสอบส่วนหัวบริการของโปรโตคอลเมล SMTP อย่างละเอียด โดยปกติแล้วจดหมายจะถูกตรวจสอบหา "อันตราย" โดยใช้ไอคอนคำเตือนในอินเทอร์เฟซเมล ซึ่งไม่ได้แสดงภาพรวมทั้งหมดเสมอไป
สิ่งที่น่าสนใจก็คือ ช่องโหว่ที่คล้ายคลึงกันยังทำงานในทิศทางอื่นอีกด้วย กล่าวคือ ผู้โจมตีสามารถส่งอีเมลในนามของบริษัทของคุณไปยังผู้รับที่เป็นบุคคลที่สามได้ ตัวอย่างเช่น เขาสามารถปลอมแปลงใบแจ้งหนี้สำหรับการชำระเงินปกติในนามของคุณ โดยระบุรายละเอียดอื่น ๆ แทนของคุณ นอกเหนือจากปัญหาการต่อต้านการฉ้อโกงและการจ่ายเงินออก นี่อาจเป็นหนึ่งในวิธีที่ง่ายที่สุดในการขโมยเงินผ่านทางวิศวกรรมสังคม
นอกเหนือจากการขโมยรหัสผ่านผ่านฟิชชิ่งแล้ว การโจมตีทางสังคมวิทยาแบบคลาสสิกยังส่งไฟล์แนบที่ปฏิบัติการได้ หากการลงทุนเหล่านี้เอาชนะมาตรการรักษาความปลอดภัยทั้งหมด ซึ่งโดยปกติแล้วบริษัทสมัยใหม่จะมีมาตรการมากมาย ช่องทางการเข้าถึงระยะไกลจะถูกสร้างขึ้นไปยังคอมพิวเตอร์ของเหยื่อ เพื่อแสดงให้เห็นถึงผลที่ตามมาของการโจมตี สามารถพัฒนารีโมทคอนโทรลผลลัพธ์ขึ้นมาเพื่อเข้าถึงข้อมูลที่เป็นความลับที่สำคัญเป็นพิเศษได้ เป็นที่น่าสังเกตว่าการโจมตีส่วนใหญ่ที่สื่อใช้เพื่อทำให้ทุกคนหวาดกลัวเริ่มต้นในลักษณะนี้ทุกประการ
เพื่อความสนุกสนานในแผนกตรวจสอบของเรา เราคำนวณสถิติโดยประมาณ: มูลค่ารวมของสินทรัพย์ของบริษัทที่เราได้รับสิทธิ์การเข้าถึงของผู้ดูแลระบบโดเมนคือเท่าใด โดยส่วนใหญ่ผ่านทางฟิชชิ่งและการส่งไฟล์แนบที่ปฏิบัติการได้ ในปีนี้มีมูลค่าสูงถึงประมาณ 150 พันล้านยูโร
เห็นได้ชัดว่าการส่งอีเมลยั่วยุและการโพสต์รูปแมวบนเว็บไซต์ไม่ใช่เพียงวิธีการเดียวในวิศวกรรมสังคม ในตัวอย่างเหล่านี้ เราได้พยายามแสดงรูปแบบการโจมตีที่หลากหลายและผลที่ตามมา นอกจากจดหมายแล้ว ผู้โจมตียังสามารถโทรติดต่อเพื่อรับข้อมูลที่จำเป็น กระจายสื่อ (เช่น แฟลชไดรฟ์) พร้อมไฟล์ปฏิบัติการในสำนักงานของบริษัทเป้าหมาย รับงานเป็นผู้ฝึกงาน เข้าถึงเครือข่ายท้องถิ่น ภายใต้หน้ากากของช่างติดตั้งกล้องวงจรปิด ทั้งหมดนี้เป็นตัวอย่างจากโครงการที่ประสบความสำเร็จของเรา
ตอนที่ 3 การสอนคือความสว่าง แต่ผู้ไร้การศึกษาคือความมืด
คำถามที่สมเหตุสมผลเกิดขึ้น: โอเค มีวิศวกรรมสังคม ดูอันตราย แต่บริษัทต่างๆ ควรทำอย่างไรกับเรื่องทั้งหมดนี้? Captain Obvious มาช่วยเหลือ: คุณต้องปกป้องตัวเองและในลักษณะที่ครอบคลุม การป้องกันบางส่วนจะมุ่งเป้าไปที่มาตรการรักษาความปลอดภัยแบบคลาสสิกอยู่แล้ว เช่น วิธีการทางเทคนิคในการปกป้องข้อมูล การตรวจสอบ การสนับสนุนกระบวนการขององค์กรและกฎหมาย แต่ในความเห็นของเรา ส่วนหลักควรได้รับการกำกับเพื่อกำกับการทำงานกับพนักงานในฐานะ ลิงค์ที่อ่อนแอที่สุด ท้ายที่สุดแล้ว ไม่ว่าคุณจะเสริมความแข็งแกร่งให้กับเทคโนโลยีหรือเขียนกฎข้อบังคับที่รุนแรงแค่ไหน ก็จะมีผู้ใช้ที่จะค้นพบวิธีใหม่ในการทำลายทุกสิ่งเสมอ ยิ่งไปกว่านั้น ไม่มีกฎระเบียบและเทคโนโลยีใดที่จะตามทันความคิดสร้างสรรค์ของผู้ใช้ โดยเฉพาะอย่างยิ่งหากเขาได้รับแจ้งจากผู้โจมตีที่มีคุณสมบัติเหมาะสม
ก่อนอื่น การฝึกอบรมผู้ใช้เป็นสิ่งสำคัญ: อธิบายว่าแม้ในการทำงานประจำของเขา สถานการณ์ที่เกี่ยวข้องกับวิศวกรรมสังคมก็อาจเกิดขึ้นได้ สำหรับลูกค้าของเราเรามักจะดำเนินการ ว่าด้วยสุขอนามัยดิจิทัล - กิจกรรมที่สอนทักษะพื้นฐานในการตอบโต้การโจมตีโดยทั่วไป
ฉันสามารถเสริมได้ว่าหนึ่งในมาตรการป้องกันที่ดีที่สุดไม่ใช่การจดจำกฎความปลอดภัยของข้อมูลเลย แต่เพื่อประเมินสถานการณ์ในลักษณะที่แยกออกเล็กน้อย:
- คู่สนทนาของฉันคือใคร?
- ข้อเสนอหรือคำขอของเขามาจากไหน (สิ่งนี้ไม่เคยเกิดขึ้นมาก่อนและตอนนี้ก็ปรากฏแล้ว)?
- มีอะไรผิดปกติเกี่ยวกับคำขอนี้
แม้แต่ตัวอักษรประเภทที่ผิดปกติหรือรูปแบบคำพูดที่ไม่ปกติสำหรับผู้ส่งก็สามารถทำให้เกิดความสงสัยที่จะหยุดการโจมตีได้ จำเป็นต้องมีคำแนะนำที่กำหนดไว้ด้วย แต่ทำงานแตกต่างออกไปและไม่สามารถระบุสถานการณ์ที่เป็นไปได้ทั้งหมดได้ ตัวอย่างเช่น ผู้ดูแลระบบความปลอดภัยของข้อมูลเขียนไว้ว่าคุณไม่สามารถป้อนรหัสผ่านในแหล่งข้อมูลของบุคคลที่สามได้ จะเกิดอะไรขึ้นหากทรัพยากรเครือข่าย "ของคุณ" "องค์กร" ขอรหัสผ่าน ผู้ใช้คิดว่า: “บริษัทของเรามีบริการมากกว่าสองโหลในบัญชีเดียว ทำไมไม่มีบริการอื่นอีกล่ะ?” สิ่งนี้นำไปสู่กฎอีกข้อหนึ่ง: กระบวนการทำงานที่มีโครงสร้างที่ดีส่งผลโดยตรงต่อความปลอดภัยด้วย: หากแผนกใกล้เคียงสามารถขอข้อมูลจากคุณเป็นลายลักษณ์อักษรเท่านั้นและผ่านผู้จัดการของคุณเท่านั้น บุคคล "จากพันธมิตรที่เชื่อถือได้ของบริษัท" จะไม่เป็นเช่นนั้นอย่างแน่นอน สามารถขอได้ทางโทรศัพท์ - นี่จะเป็นเรื่องไร้สาระสำหรับคุณ คุณควรระวังเป็นพิเศษหากคู่สนทนาของคุณต้องการทำทุกอย่างในตอนนี้หรือ "โดยเร็วที่สุด" เนื่องจากเป็นการเขียนที่ทันสมัย แม้ในการทำงานปกติ สถานการณ์นี้มักจะไม่เป็นผลดี และเมื่อเผชิญกับการโจมตีที่อาจเกิดขึ้น สถานการณ์นี้ก็เป็นตัวกระตุ้นที่แข็งแกร่ง ไม่มีเวลาอธิบาย เรียกใช้ไฟล์ของฉัน!
เราสังเกตเห็นว่าผู้ใช้มักตกเป็นเป้าหมายของการโจมตีทางสังคมวิทยาในหัวข้อที่เกี่ยวข้องกับเงินในรูปแบบใดรูปแบบหนึ่ง: คำมั่นสัญญาในการส่งเสริมการขาย ความชอบ ของขวัญ ตลอดจนข้อมูลที่อาจมีการซุบซิบและอุบายในท้องถิ่น กล่าวอีกนัยหนึ่ง "บาปร้ายแรง" ซ้ำซากกำลังเกิดขึ้น: ความกระหายผลกำไร ความโลภ และความอยากรู้อยากเห็นมากเกินไป
การฝึกอบรมที่ดีควรรวมถึงการฝึกฝนด้วย นี่คือจุดที่ผู้เชี่ยวชาญด้านการทดสอบการเจาะสามารถเข้ามาช่วยเหลือได้ คำถามต่อไปคือ เราจะทดสอบอะไรและอย่างไร? พวกเราที่ Group-IB เสนอแนวทางดังต่อไปนี้: เลือกจุดเน้นของการทดสอบทันที: ประเมินความพร้อมสำหรับการโจมตีของผู้ใช้เท่านั้นเอง หรือตรวจสอบความปลอดภัยของบริษัทโดยรวม และทดสอบโดยใช้วิธีวิศวกรรมสังคม จำลองการโจมตีจริง - นั่นคือฟิชชิ่งแบบเดียวกัน การส่งเอกสารปฏิบัติการ การโทร และเทคนิคอื่น ๆ
ในกรณีแรก การโจมตีจะถูกเตรียมการอย่างระมัดระวังร่วมกับตัวแทนของลูกค้า โดยส่วนใหญ่เป็นผู้เชี่ยวชาญด้านไอทีและความปลอดภัยของข้อมูล ตำนาน เครื่องมือ และเทคนิคการโจมตีมีความสอดคล้องกัน ลูกค้าเองก็จัดเตรียมการสนทนากลุ่มและรายชื่อผู้ใช้สำหรับการโจมตี ซึ่งรวมถึงผู้ติดต่อที่จำเป็นทั้งหมด ข้อยกเว้นถูกสร้างขึ้นในมาตรการรักษาความปลอดภัย เนื่องจากข้อความและโหลดปฏิบัติการจะต้องไปถึงผู้รับ เนื่องจากในโครงการดังกล่าวมีเพียงปฏิกิริยาของผู้คนเท่านั้นที่น่าสนใจ คุณสามารถเลือกใส่เครื่องหมายในการโจมตี ซึ่งผู้ใช้สามารถเดาได้ว่านี่คือการโจมตี - ตัวอย่างเช่น คุณสามารถสะกดผิดสองสามข้อในข้อความ หรือทิ้งความไม่ถูกต้องไว้ในการคัดลอกสไตล์องค์กร ในตอนท้ายของโครงการจะได้รับ "สถิติแห้ง" แบบเดียวกัน: กลุ่มเป้าหมายใดที่ตอบสนองต่อสถานการณ์และขอบเขตเท่าใด
ในกรณีที่สอง การโจมตีจะดำเนินการโดยไม่มีความรู้เบื้องต้น โดยใช้วิธี "กล่องดำ" เรารวบรวมข้อมูลเกี่ยวกับบริษัท พนักงาน ขอบเขตเครือข่าย สร้างตำนานการโจมตี เลือกวิธีการ ค้นหามาตรการรักษาความปลอดภัยที่เป็นไปได้ที่ใช้ในบริษัทเป้าหมาย ปรับเครื่องมือ และสร้างสถานการณ์อย่างเป็นอิสระ ผู้เชี่ยวชาญของเราใช้ทั้งวิธีโอเพ่นซอร์สอัจฉริยะ (OSINT) แบบคลาสสิกและผลิตภัณฑ์ของ Group-IB นั่นคือ Threat Intelligence ซึ่งเป็นระบบที่เมื่อเตรียมพร้อมสำหรับฟิชชิ่ง สามารถทำหน้าที่เป็นผู้รวบรวมข้อมูลเกี่ยวกับบริษัทในระยะยาว รวมถึงข้อมูลลับด้วย แน่นอนว่า เพื่อไม่ให้การโจมตีกลายเป็นเรื่องน่าประหลาดใจ รายละเอียดของมันจึงได้รับการตกลงกับลูกค้าด้วย กลายเป็นการทดสอบการเจาะระบบเต็มรูปแบบ แต่จะขึ้นอยู่กับวิศวกรรมสังคมขั้นสูง ตัวเลือกเชิงตรรกะในกรณีนี้คือการพัฒนาการโจมตีภายในเครือข่าย จนถึงการได้รับสิทธิ์สูงสุดในระบบภายใน อย่างไรก็ตาม ในทำนองเดียวกัน เราใช้การโจมตีทางสังคมวิทยาใน และในการทดสอบการเจาะบางอย่าง เป็นผลให้ลูกค้าจะได้รับวิสัยทัศน์ที่เป็นอิสระที่ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยของตนจากการโจมตีทางสังคมเทคโนโลยีบางประเภท รวมถึงการสาธิตประสิทธิผล (หรือในทางกลับกัน ไม่มีประสิทธิผล) ของแนวป้องกันที่สร้างขึ้นต่อภัยคุกคามจากภายนอก
เราแนะนำให้จัดการฝึกอบรมนี้อย่างน้อยปีละสองครั้ง ประการแรก ในบริษัทใดก็ตามที่มีการหมุนเวียนของพนักงาน และประสบการณ์ก่อนหน้านี้จะถูกลืมโดยพนักงาน ประการที่สอง วิธีการและเทคนิคในการโจมตีมีการเปลี่ยนแปลงอยู่ตลอดเวลา และนำไปสู่ความจำเป็นในการปรับกระบวนการรักษาความปลอดภัยและเครื่องมือป้องกัน
หากเราพูดถึงมาตรการทางเทคนิคเพื่อป้องกันการโจมตี สิ่งต่อไปนี้จะช่วยได้มากที่สุด:
- การมีการรับรองความถูกต้องด้วยสองปัจจัยที่บังคับในบริการที่เผยแพร่บนอินเทอร์เน็ต การเปิดตัวบริการดังกล่าวในปี 2019 โดยไม่มีระบบ Single Sign On ไม่มีการป้องกันการบังคับใช้รหัสผ่าน และไม่มีการตรวจสอบสิทธิ์แบบสองปัจจัยในบริษัทที่มีผู้คนหลายร้อยคน เท่ากับเป็นการเรียกร้องให้ “ทำลายฉัน” อย่างเปิดเผย การป้องกันที่นำไปใช้อย่างเหมาะสมจะทำให้การใช้รหัสผ่านที่ถูกขโมยอย่างรวดเร็วเป็นไปไม่ได้ และจะให้เวลาในการกำจัดผลที่ตามมาจากการโจมตีแบบฟิชชิ่ง
- การควบคุมการควบคุมการเข้าถึง การลดสิทธิ์ของผู้ใช้ในระบบ และการปฏิบัติตามแนวทางสำหรับการกำหนดค่าผลิตภัณฑ์ที่ปลอดภัยซึ่งเผยแพร่โดยผู้ผลิตรายใหญ่แต่ละราย สิ่งเหล่านี้มักมีลักษณะเรียบง่าย แต่มีประสิทธิภาพมากและยากต่อการปรับใช้มาตรการ ซึ่งทุกคนไม่ทางใดก็ทางหนึ่งละเลยเพื่อความรวดเร็ว และบางอย่างก็จำเป็นมากจนหากไม่มีสิ่งเหล่านั้นก็จะไม่มีวิธีป้องกันใด ๆ ที่จะช่วยชีวิตได้
- สายการกรองอีเมลที่สร้างมาอย่างดี แอนติสแปม การสแกนไฟล์แนบทั้งหมดเพื่อหาโค้ดที่เป็นอันตราย รวมถึงการทดสอบแบบไดนามิกผ่านแซนด์บ็อกซ์ การโจมตีที่เตรียมไว้อย่างดีหมายความว่าเครื่องมือป้องกันไวรัสจะไม่ตรวจพบไฟล์แนบที่ปฏิบัติการได้ ในทางกลับกัน แซนด์บ็อกซ์จะทดสอบทุกอย่างด้วยตนเอง โดยใช้ไฟล์ในลักษณะเดียวกับที่บุคคลใช้งาน เป็นผลให้องค์ประกอบที่เป็นอันตรายที่เป็นไปได้จะถูกเปิดเผยโดยการเปลี่ยนแปลงที่เกิดขึ้นภายในแซนด์บ็อกซ์
- หมายถึงการป้องกันการโจมตีแบบกำหนดเป้าหมาย ตามที่ระบุไว้แล้ว เครื่องมือป้องกันไวรัสแบบคลาสสิกจะไม่ตรวจจับไฟล์ที่เป็นอันตรายในกรณีที่มีการโจมตีที่เตรียมไว้อย่างดี ผลิตภัณฑ์ที่ทันสมัยที่สุดควรตรวจสอบผลรวมของเหตุการณ์ที่เกิดขึ้นบนเครือข่ายโดยอัตโนมัติ ทั้งที่ระดับโฮสต์แต่ละเครื่องและที่ระดับการรับส่งข้อมูลภายในเครือข่าย ในกรณีของการโจมตี ห่วงโซ่เหตุการณ์ที่เป็นลักษณะเฉพาะจะปรากฏขึ้นซึ่งสามารถติดตามและหยุดได้หากคุณเน้นการติดตามไปที่เหตุการณ์ประเภทนี้
บทความต้นฉบับ ในนิตยสาร “Information Security/ Information Security” #6, 2019.
ที่มา: will.com