Това, което руската атака на електропреносната мрежа може да научи всеки специалист

Досега сте чували, че съвместно разследване от Федералното бюро за разследване (ФБР) и Министерството на вътрешната сигурност на САЩ доведе до доклад, че руските оперативни лица са хакнали в компании, които са част от електропреносната мрежа в САЩ. Атаките са описани подробно в доклад на американския екип за компютърна готовност за спешни случаи (US-CERT), който описва как нападателите са успели да проникнат в енергийните съоръжения и какво са направили с информацията, която са откраднали.

Това, което не беше в докладите за медиите, беше факт, който трябва да предизвика безпокойство за ИТ професионалист, независимо дали те работят за малък или среден бизнес (SMB) или по-голяма организация. Този факт: Пътят, който нападателите експлоатираха, премина през по-малки партньори на крайната цел. Те започнаха атаката си, като проникваха в защитата на тези по-малки партньори, защото имаше вероятност да имат по-слаба защита, а след това използваха информация и ресурси, извлечени оттам, за да атакуват следващото съоръжение нагоре по линията.

Анатомия на интелигентна атака с фишинг

Основно средство за достъп до по-малкия партньор беше намирането на обществена информация, която, когато се съчетае с друга информация, ще осигури нивото на детайлност, необходимо за следващата стъпка. Например, нападател може да разгледа уебсайта на компания, която извършва бизнес с крайната цел и там може да намери имейл адреса на висш изпълнителен директор или в компанията на партньора, или в крайната цел. Тогава нападателят може да проучи друга информация от уебсайтовете на двете компании, за да види каква е връзката, какви услуги се предоставят от кого и нещо за структурата на всяка компания.

Въоръжен с тази информация, нападателят може да започне да изпраща много убедителни фишинг имейли от това, което изглежда е легитимен имейл адрес; такива с достатъчно изработени детайли, които биха могли да победят всички фишинг филтри, поставени на мястото на защитната стена или управляваното ниво на защита на крайната точка. Фишинг имейлите биха били предназначени за събиране на идентификационни данни за вход за лицето, към което е насочен и ако някой от тях е успешен, нападателите незабавно ще заобиколят всички мерки за управление на идентичността, които биха могли да бъдат въведени и да бъдат вътре в целевата мрежа.

С разкритията за събиране на потребителска информация от Facebook, естеството на заплахата се разширява. При нарушение, извършено под прикритието на академични изследвания, започващо през 2014 г., руски изследовател получи достъп до около 50 милиона потребителски профила на американски членове на Facebook. Тези профили бяха прехвърлени на Cambridge Analytica. Последващи разследвания показаха, че тези данни са взети без разрешението на тези потребители на Facebook и след това злоупотребявани.

Одитиране на външни комуникации

Това повдига въпроса каква информация информационните предприятия трябва да бъдат достъпни чрез техните уебсайтове. По-лошото е, че тази заявка вероятно трябва да се разшири до присъствието на социалните медии на организацията, маркетинговите канали на трети страни като Youtube и дори високопрофилните профили на социалните медии.

„Мисля, че те трябва да бъдат внимателни към това, което има в уебсайтовете на техните компании“, заяви Лео Тадео, главен служител по информационна сигурност (CISO) за Cyxtera и бивш специален агент, отговарящ за кибердивизията на теренния офис на ФБР в Ню Йорк. "Има голям потенциал за разкриване на информация по невнимание."

Тадео каза, че един добър пример е в обявите за работа, където можете да разкриете какви инструменти използвате за разработка или дори какви специалности за сигурност търсите. "Има много начини, по които компаниите могат да се изложат. Има голяма площ. Не само уебсайтът, а не само умишлените комуникации", каза той.

„Социалните медии са риск“, обясни Тадео, като посочи, че служител, който публикува в социалните медии, може да разкрие много неща по невнимание. Той посочи, че служителите, които казват, че не са доволни от работата си, могат да разкрият цел за експлоатация. „Служителите, които говорят подробно за своята работа или постиженията си, са риск. Извличането на социални медии е много продуктивно за противниците.“

Тадео предупреди, че уебсайтовете на професионални медии, като LinkedIn, също са риск за тези, които не внимават. Той каза, че противниците създават фалшиви акаунти на такива уебсайтове, които прикриват кои всъщност са и след това използват информация от своите контакти. "Каквото и да публикуват в сайтовете на социалните медии, може да компрометира работодателя им", каза той.

Предвид факта, че лошите участници, които са насочени към вас, могат да бъдат след вашите данни или може да са след организация, с която работите, въпросът не е само как да се защитите, но и как да защитите своя бизнес партньор? Това се усложнява от факта, че може да не знаете дали нападателите може да следват вашите данни или просто ви виждат като стъпало и може би място за следваща атака.

Как да се защитим

Така или иначе има няколко стъпки, които можете да предприемете. Най-добрият начин да се подходи към това е под формата на информационен одит. Избройте всички канали, които вашата компания използва за външни комуникации, със сигурност маркетинг, но също така HR, PR и верига на доставки. След това изградете одитен екип, който съдържа заинтересовани страни от всички засегнати канали и започнете да анализирате какво има навън систематично и с поглед към информация, която може да бъде полезна за крадците на данни. Първо, започнете с уебсайта на вашата компания:

Разгледайте уебсайта на вашата компания за всичко, което би могло да предостави подробности относно работата, която вършите или инструментите, които използвате. Например компютърният екран, който се появява на снимка, може да съдържа важна информация. Проверете за снимки на производствено оборудване или мрежова инфраструктура, които могат да предоставят улики, полезни за нападателите.

Вижте списъка с персонала. Имате ли посочени имейл адреси за вашия старши персонал? Тези адреси не само предоставят на нападателя потенциален адрес за вход, но и начин за подправяне на имейли, изпратени до други служители. Помислете да замените тези с връзка към формуляр или да използвате различен имейл адрес за обществено потребление спрямо вътрешна употреба.

Вашият уебсайт казва ли кои са вашите клиенти или партньори? Това може да предостави на нападателя друг начин да атакува вашата организация, ако изпитват проблеми с минаването на вашата сигурност.

Проверете своите обяви за работа. Колко разкриват те за инструментите, езиците или други аспекти на вашата компания? Помислете да работите чрез фирма за подбор на персонал, за да се отделите от тази информация.

Погледнете вашето присъствие в социалните медии, като имате предвид, че противниците ви определено ще се опитват да извличат информация по този канал. Вижте също колко информация за вашата компания се разкрива в публикациите от вашия висш персонал. Не можете да контролирате всичко за дейността на служителите си в социалните медии, но можете да го следите.

Помислете за вашата мрежова архитектура. Taddeo препоръчва подход при необходимост, при който администраторският достъп се предоставя само когато е необходим и само за системата, нуждаеща се от внимание. Той предлага да се използва софтуер, определен по периметъра (SDP), който първоначално е разработен от Министерството на отбраната на САЩ. "В крайна сметка правата за достъп на всеки потребител се променят динамично въз основа на идентичност, устройство, мрежа и чувствителност на приложението", каза той. „Те се ръководят от лесно конфигурирани политики. Чрез привеждане в съответствие на мрежовия достъп с достъпа до приложения, потребителите остават напълно продуктивни, докато площта на атаката се намалява драстично.“

• Сега помислете за облачните си услуги по същия начин. Често е конфигурация по подразбиране, за да се направят старши администратори на фирми на корпоративни облачни услуги на трети страни, като например акаунти в Google Analytics или Salesforce на вашата компания. Ако те не се нуждаят от това ниво на достъп, помислете дали да ги пуснете до потребителски статус и да оставите административни нива на достъп на ИТ персонал, чиито имейл вход ще бъде по-труден за намиране.

И накрая, Тадео каза, че търси уязвимости, създадени от ИТ в сянка. Ако не го потърсите, бихте могли да загърбите усилената си работа по сигурността, защото някой е инсталирал безжичен рутер в офиса си, за да може по-лесно да използва личния си iPad по време на работа. Неизвестни облачни услуги на трети страни също попадат в тази категория. В големите организации не е рядкост ръководителите на отдели просто да регистрират своите отдели за удобни облачни услуги, за да заобиколят това, което виждат като ИТ „бюрокрация“.

Това може да включва основни ИТ услуги, като например използване на Dropbox Business като мрежово съхранение или използване на различна услуга за автоматизация на маркетинга, тъй като регистрацията за официалния корпоративен инструмент е твърде бавна и изисква попълване на твърде много формуляри. Софтуерните услуги като тези могат да излагат на чувствителни данни без дори ИТ. Уверете се, че знаете какви приложения се използват във вашата организация, от кого и че сте твърдо контролирани кой има достъп.

Работата на одита като тази е досадна и понякога отнема време, но може да изплати големи дивиденти в дългосрочен план. Докато вашите противници не дойдат след вас, не знаете какво имате, което може да си струва да открадне. Така че трябва да подходите към сигурността по начин, който е гъвкав, като все още следите какво има значение; и единственият начин да направите това е да бъдете подробно информирани за това какво работи във вашата мрежа.