Jak zvýšit odolnost proti útokům sociálního inženýrství
Security World 2/2018 - Country Manager Micro Focus Česká republika, Maroš Mihalič a jeho příspěvek na téma slabých míst v případě útoku sociálního inženýrství v novém čísle odborného čtvrtletníku Security World.
partner
Doby hromadných spamových kampaní, technik, kdy útočníci bombardovali mailové účty bez rozdílu, jenom aby získali přístup k citlivým informacím prostřednictvím škodlivých příloh nebo odkazů jsou dávno pryč. Dnes hovoříme o rozsáhlých scénářích, které jsou konkrétně cílené a počítají s částečným neúspěchem v čase. Jsou navrhovány tak, aby oběť zbytečně nevylekaly, aby „vážená“ maximální agresivita útoku v posledních fázích nespustila alarm na straně společnosti, která útoku čelí. Jsou často navrhovány tak, aby i v poslední fázi úklidu nechali pootevřená dvířka i pro další pokusy.
Přemýšleli jste někdy nad tím, komu by to pomohlo? Kdo by ten útok na Vás podnikl? K čemu by to útočníkovi bylo? Jakým způsobem by postupoval? Nakolik by byl úspěšný? Jak se tomu bránit? Co by pomohlo při obraně a co by bylo zbytečné? Jak se k tomuto problému reálně postavit?
Je všeobecně známo, že je to pouze otázkou zdrojů, kterými útočník, resp. objednatel útoku disponuje. V tomto případě hovoříme zejména o financích, lidech, technologiích a čase.
Jak jim v tom zabránit, jak je znechutit a jaká opatření učinit k minimalizaci škod v případě útoků sociálního inženýrství? Hromada otázek, pro které neexistuje žádné univerzální řešení. Ale máme zde několik příkladů, jak se k této problematice postavit.
Kde jsou slabá místa?
Procesy
Zmapujte si citlivá místa, aktiva, informace, data a procesy s tím související. Na co by se útočník mohl zaměřit, jakého by mohl dosáhnout výsledku, jak by mohl postupovat, jaký máte první dojem z úrovně bezpečnosti. Mnohokrát má agresor na výběr. Vybírá si ty méně odolné společnosti. Všechno je jenom otázkou vynaložených zdrojů, většinou se jde cestou nejmenšího odporu.
Nechte se prověřit třetí stranou, která by Vám měla „nastavit zrcadlo“ a ukázat prstem na skutečně slabá místa. Extrémně důležitou a neoddělitelnou součástí této problematiky je rovněž objektová bezpečnost a s tím spojená pravidla návštěv v dané společnosti. Identifikace osob na pracovišti a účast interních, pověřených zaměstnanců při servisních zásazích třetích stran, mechanismus sdílení informací napříč firmou apod.
Lidé
Měli bychom pomoct zaměstnancům pochopit, proč je digitální diskrétnost tak rozhodující pro zdravé fungování společnosti, pro kterou pracují, kde jsou zaměstnaní. Vypracujte si ucelený systém vzdělávání. Podobně jako máte pro každého zaměstnance protipožární školení, tak by mělo existovati školení bezpečnosti IT. Každý zaměstnanec by měl vědět, co znamenají pojmy Phreaking, Pharming, Phishing, Baiting, Spoofing, Keylogger apod. Jaké jsou hrozby spojené s používáním sociálních sítí ve firemním prostředí. Kde a v jaké formě, odkud a v jaké míře hrozí útoky.
Samozřejmě nesmíme zapomenout i na ověřování těchto získaných poznatků, samotné testování tvoří nedílnou součást celého systému. V posledním kroku doporučujeme pravidelný oběžník, ve kterém informujeme o aktuálním názvosloví, hrozbách, trendech a mechanismech IT bezpečnosti. Celý vzdělávací mechanismus ve firmách, kde se pracuje s citlivými údaji jsou v dnešní době GDPR prostě nezbytnou podmínkou ochrany informací. Samozrejme nesmieme zabudnúť i na overovanie týchto nadobudnutých znalostí, samotné testovanie tvorí neoddeliteľnú súčasť celého systému. V poslednom kroku odporúčame pravidelný obežník, v ktorom informujeme o aktuálnych názvosloví, hrozbách, trendoch a mechanizmoch IT bezpečnosti. Tieto školenia a celý vzdelávací mechanizmus vo firmách, kde sa pracuje s citlivými údajmi je v dnešnej dobe GDPR už jednoducho nevyhnutnosťou.
Technologie
Jako prevence před útoky „sociálních inženýrů“ nám poslouží rovněž technologické prvky vhodně implementované do IT infrastruktury.
- 1. SIEM – (Security Information and Event Management) řešení, které agreguje, koreluje a ukládá logy z IT systémů. Výsledkem by měl být ucelený pohled na stav IT bezpečnosti doplněný varovným mechanismem schopným vytvářet opatření v čase. Prospěšný i v případě dohledání informací po samotném útoku (technologickou cestou).
- 2. IAM – Identity & Access Management – správa uživatelů a jejich oprávnění, přístupů, rolí a celého životního cyklu dané identity a jejich skupin. Ve větších společnostech doplněné o technologie PIM/PAM/PUM (privileged identity management, Privileged account management, privileged user management) – segmentace úrovní přístupů.
- 3. MDM – (mobile device management) správa mobilních zařízení, které jsou slabým článkem v IT infrastrukturách. Schopnost vymazat mobilní zařízení na dálku v případě jeho ztráty, ukradení, zneužití by mělo být už samozřejmostí.
Ještě pár doplňujících pojmů souvisejících s tématikou.
- BYOD - Bring your own device
- BYOT – Bring your own technology,
- BYOP – Bring your own phone,
- BYOPC – Bring your own personal computer
- Proxy blocking – využívaní black/white seznamů.
- Důsledné zabezpečení mailové komunikace s bezpečným šifrováním i na strane uživatele.
- Advanced Malware Detection
- Secure File-sharing solutions
- Objektová bezpečnost – technologie a procesy s tím spojené.
Samotný výběr jednotlivých technologií by měl záviset:
- od kvality samotného řešení, reputace výrobce a partnera,
- od analýzy současného stavu aktiv, hrozeb, zranitelností, rizik a opatření,
- od reálné potřeby nasazení daného řešení a koncepce bezpečnosti IT, potřeb z pohledu norem, legislativy, Nařízení Evropského parlamentu a Rady (EÚ) apod.,
- na zkušenosti partnera (integrátora/implementátora),
- samotná technologická skladba řešení, by měla dávat smysl z pohledu kompatibility
- vybírejte si na základe referencí, i přesto že je to citlivé téma, málokterý odpovědný pracovník za IT a bezpečnost si pustí do „kuchyně“ někoho cizího. I na tom by mohl být založen scénář samotného útoku.
A jak asi postupuje ten, kdo se chce dozvědět více?
Sběr citlivých informací o společnosti, zaměstnancích, majitelích a jejich využití v pákovém efektu při tvorbě scénáře. Často kombinace technologických a vědomých psychických manipulací. Není výjimkou útok zevnitř za odměnu. Následně dochází k vymodelování základu scénáře a práce s citlivou informací. Musíme si zapamatovat, že nejsilnějším nástrojem samotného útoku je důvěra.
Maroš Mihalič
Country Manager, Micro Focus
spolupracovník NEWPS.CZ