Ne sabotirajte lastne varnosti, usposabljajte svoje uporabnike

Mislim, da sem prvič videl lažno pošiljanje elektronskih sporočil leta 2000, ko sem delal na testiranju z Oliverjem Ristom, ki je zdaj poslovni urednik PCMaga. Nekega jutra sva oba prejela e-poštna sporočila s temo "Ljubim te", ki je bila tudi sestavni del e-pošte in je bila priloga. Oba sva takoj vedela, da mora biti elektronska pošta lažna, saj smo kot uredniki revij vedeli, da nas nihče ne ljubi. Nismo kliknili priloge. Dejansko smo delovali kot človeški požarni zidovi. Opazno e-poštno sporočilo smo prepoznali in ga izbrisali, namesto da bi njegovo vsebino razširili na naše računalnike in ostalo omrežje.

Že takrat so napadi, kakršni so bili, ta hekerski niz imenovali "socialni inženiring". Danes so phishing e-poštna sporočila verjetno najbolj znana različica tovrstnega izkoriščanja. Usmerjeni so predvsem v krmiljenje varnostnih poverilnic, vendar pa lahko pošiljajo tudi druge vrste zlonamerne programske opreme, zlasti odkupi. Velja pa opozoriti, da obstajajo tudi druge vrste napadov socialnega inženiringa poleg lažnega predstavljanja, vključno z nekaterimi, kjer je napad fizičen in ne strogo digitalni.

Ljudje: še vedno vodilni vektor napada

Razlog za lažno predstavljanje je tako zelo znan, ker so tako pogosti. Do zdaj je pošteno reči, da bo vsakdo, ki ima e-poštni račun, v nekem trenutku prejel phishing e-poštno sporočilo. E-poštno sporočilo se pogosto pretvarja, da ste iz banke, podjetja s kreditno kartico ali katerega drugega podjetja, ki ga pogosto spremljate. Toda lažno pošiljanje e-poštnih sporočil lahko predstavlja grožnjo vaši organizaciji, saj napadalci poskušajo uporabnike uporabiti proti vam. Druga zgodnja različica tega napada je nastala v zlati dobi faksiranja, ko bodo napadalci preprosto fakturirali račun za storitve, ki nikoli niso bile izročene velikim podjetjem, v upanju, da jih bodo zaposleni direktorji preprosto oddali za plačilo.

Lažno predstavljanje je presenetljivo učinkovito. Glede na raziskavo odvetniške družbe BakerHostetler, ki je lani pregledala 560 kršitev podatkov, je lažno predstavljanje vodilni vzrok za varnost podatkov danes.

Žal tehnologija ni dohitela phishing napadov. Medtem ko obstaja več varnostnih naprav in programskih paketov, namenjenih filtriranju zlonamernih e-poštnih sporočil, se slabi fantje, ki obdelujejo lažno pošiljanje e-poštnih sporočil, trudijo, da njihovi napadi zdrsnejo skozi razpoke. Študija Cyrena kaže, da je pri iskanju zlonamernih e-poštnih sporočil 10, 5-odstotno skeniranje e-pošte. Tudi v majhnem podjetju, ki je srednje veliko (SMB), lahko dodate veliko e-poštnih sporočil in vsak tisti, ki vsebuje napad na socialni inženiring, lahko predstavlja grožnjo vaši organizaciji. In ne splošna grožnja, kot bi bilo pri večini zlonamerne programske opreme, ki se ji je uspelo prikradeti zaradi zaščitnih ukrepov končne točke, temveč bolj zlovešča vrsta, ki je posebej usmerjena na vaše najdragocenejše podatke in digitalne vire.

Na poročilo Cyren sem bil opozorjen med pogovorom s Stu Sjouwermanom, ustanoviteljem in izvršnim direktorjem podjetja KnowBe4, podjetja, ki lahko pomaga kadrovskim kadrom (HR) strokovnjakom poučevati varnostno ozaveščanje. Izraz "človeški požarni zid" je predstavil Sjouwerman in razpravljal tudi o "človeškem krampanju". Njegov predlog je, da organizacije lahko preprečijo ali zmanjšajo učinkovitost napadov socialnega inženiringa z nekaj doslednim usposabljanjem, ki poteka na način, ki tudi vaše zaposlene vključi v reševanje težave.

Seveda imajo številne organizacije tečaje ozaveščanja o varnosti. Verjetno ste bili na več tistih srečanjih, na katerih je stara kava združena z ustaljenimi krofi, medtem ko izvajalec, ki ga najame HR, porabi 15 minut, da vam reče, da ne padete na phishing e-poštna sporočila - ne da bi vam v resnici povedali, kakšni so ali razložili, kaj storiti mislite, da ste ga našli. Ja, ta srečanja.

Tisto, kar je Sjouwerman predlagal, deluje bolje, je ustvariti interaktivno vadbeno okolje, v katerem imate dostop do dejanskih phishing e-poštnih sporočil, kjer jih lahko preučite. Mogoče si prizadevajte za skupino, v kateri vsi poskušajo videti dejavnike, ki kažejo na lažno pošiljanje e-poštnih sporočil, na primer slabo črkovanje, naslove, ki so skoraj resnični, ali zahteve, ki ob pregledu nimajo smisla (na primer zahtevo takojšnjega prenosa sredstva podjetja neznanemu prejemniku).

Obramba pred socialnim inženiringom

Toda Sjouwerman je tudi opozoril, da obstaja več vrst socialnega inženiringa. Na spletni strani KnowBe4 ponuja nabor brezplačnih orodij, ki jih lahko podjetja uporabijo za pomoč pri učenju zaposlenih. Predlagal je tudi naslednjih devet korakov, ki jih lahko podjetja sprejmejo za boj proti napadom socialnega inženiringa.

• Ustvarite človeški požarni zid, tako da usposabljate svoje osebje za prepoznavanje napadov socialnega inženiringa, ko jih vidijo.
• Izvajajte pogoste, simulirane teste socialnega inženiringa, da zaposlene držite na nogah.
• Izvedite varnostni test lažnega predstavljanja; Knowbe4 ima brezplačno.
• Bodite pozorni na prevare CEO. To so napadi, v katerih napadalci ustvarijo ponarejeno e-pošto, za katero je videti, da je od generalnega direktorja ali drugega visokega uradnika usmerjal dejanja, kot so nakazila denarja, nujno. Z brezplačnim orodjem KnowBe4 lahko preverite, ali je vaše domeno mogoče zakamuflirati.
• Zaposlenim pošljite simulirana e-poštna sporočila z lažnim predstavljanjem in vključite povezavo, ki vas bo opozorila, če kliknete to povezavo. Spremljajte, kateri zaposleni spadajo v to, in se osredotočite na tiste, ki sodijo vanjo več kot enkrat.
• Bodite pripravljeni na "vishing", ki je vrsta socialnega inženiringa govornih sporočil, v katerem se puščajo sporočila, ki poskušajo doseči ukrepe od zaposlenih. Zdi se, da so to klici od organov pregona, Službe za notranji prihodek (IRS) ali celo Microsoftova tehnična podpora. Poskrbite, da vaši zaposleni ne bodo vrnili teh klicev.
• Opozorite svoje zaposlene na "besedilno lažno predstavljanje" ali "SMiShing (SMS phishing)", ki je podobno kot phishing e-pošte, vendar z besedilnimi sporočili. V tem primeru je povezava morda zasnovana tako, da od svojih mobilnih telefonov pridobi občutljive informacije, na primer sezname stikov. Usposobljeni morajo biti, da se ne dotikajo povezav v besedilnih sporočilih, tudi če se zdi, da so prijatelji.
• Univerzalni napadi serijske vodila (USB) so presenetljivo učinkoviti in so zanesljiv način za prodor v omrežja z zrakom. Način delovanja je, da nekdo pusti USB pomnilniške kartice, ki ležijo naokoli v počivališčih, parkiriščih ali drugih krajih, ki jih obiskujejo vaši zaposleni; morda imajo palice na sebi vabljive logotipe ali nalepke. Ko jih zaposleni najdejo in vstavijo v priročen računalnik - in če ne bodo poučeni drugače -, zlonamerna programska oprema v njih vstopi v vaše omrežje. Tako je zlonamerna programska oprema Stuxnet prodrla v iranski jedrski program. Knowbe4 ima tudi brezplačno orodje za testiranje tega.
• Paketni napad je tudi presenetljivo učinkovit. Tu se nekdo pokaže s preobleko škatel (ali včasih pizz) in prosi, naj ga spustijo, da ga lahko dostavijo. Medtem ko ne iščete, zdrsnejo USB napravo v bližnji računalnik. Vaši zaposleni morajo biti usposobljeni z izvajanjem simuliranih napadov. Spodbujate jih lahko tako, da se za to usposabljate in nato delite pice, če jim bo uspelo.

Kot vidite, je socialni inženiring lahko pravi izziv in lahko veliko učinkovitejši, kot bi si želeli. Edini način boja je, da zaposlene aktivno vključite v odkrivanje takšnih napadov in jih pokličete. Ne glede na to, vaši zaposleni bodo dejansko uživali v procesu - in morda bodo tudi iz njega dobili nekaj brezplačnih pic.