Чему может научить профессионал российская энергетическая атака?

К настоящему времени вы слышали, что совместное расследование Федерального бюро расследований (ФБР) и Министерства внутренней безопасности США привело к сообщению о том, что российские оперативники взломали компании, которые являются частью энергосистемы США. Атаки подробно описаны в отчете Американской группы по готовности к компьютерным ситуациям (US-CERT), в котором описывается, как злоумышленники смогли проникнуть на энергетические объекты и что они сделали с украденной информацией.

В сообщениях средств массовой информации отсутствовал факт, который должен вызывать беспокойство у ИТ-специалистов, независимо от того, работают ли они в малом и среднем бизнесе (SMB) или в более крупной организации. Тот факт: путь, который использовали злоумышленники, прошел через меньших партнеров конечной цели. Они начали свою атаку с проникновения на оборону тех более мелких партнеров, потому что у них, вероятно, была более слабая защита, а затем они использовали информацию и ресурсы, собранные оттуда, чтобы атаковать следующий объект вверх по линии.

Анатомия умного фишинга

Основным средством получения доступа к более мелкому партнеру был поиск общедоступной информации, которая, при объединении с другой информацией, обеспечила бы уровень детализации, необходимый для следующего шага. Например, злоумышленник может проверить веб-сайт компании, которая ведет бизнес с конечной целью, и там он может найти адрес электронной почты старшего руководителя в компании партнера или конечной цели. Затем злоумышленник может изучить другую информацию с веб-сайтов обеих компаний, чтобы выяснить, каковы отношения, какие услуги предоставляются кем-то и что-то о структуре каждой компании.

Вооружившись этой информацией, злоумышленник может начать отправлять весьма убедительные фишинговые электронные письма с того, что кажется законным адресом электронной почты; те, которые содержат достаточно детализированные детали, которые вполне могут победить любые фишинговые фильтры, установленные на брандмауэре или на уровне защиты управляемой конечной точки Фишинговые электронные письма будут предназначены для сбора учетных данных для целевого человека, и, если какой-либо из них окажется успешным, злоумышленники мгновенно обойдут любые меры управления идентификацией, которые могут иметь место и находятся внутри целевой сети.

С раскрытием информации о сборе пользовательской информации из Facebook характер угрозы расширяется. В результате нарушения, проведенного под видом академических исследований, начиная с 2014 года, российский исследователь получил доступ к около 50 миллионам пользовательских профилей американских пользователей Facebook. Эти профили были переданы Cambridge Analytica. Последующие расследования показали, что эти данные были получены без разрешения этих пользователей Facebook, а затем использовались неправильно.

Аудит внешних коммуникаций

Это поднимает вопрос о том, какую информацию осторожные предприятия должны предоставлять через свои веб-сайты. Хуже того, этот запрос, вероятно, должен распространяться на присутствие в социальных сетях организации, на сторонние маркетинговые каналы, такие как Youtube, и даже на профили сотрудников социальных сетей.

«Я думаю, что они должны быть осмотрительными в отношении того, что находится на веб-сайтах их компаний», - сказал Лео Таддео, директор по информационной безопасности (CISO) для Cyxtera и бывший специальный агент, отвечающий за киберподразделение полевого офиса ФБР в Нью-Йорке. «Существует огромный потенциал для непреднамеренного раскрытия информации».

Таддео сказал, что один хороший пример - объявления о вакансиях, где вы можете узнать, какие инструменты вы используете для разработки или даже какие специальности безопасности вы ищете. «Есть много способов, которыми компании могут разоблачить себя. Существует большая площадь. Не только веб-сайт и не только преднамеренные коммуникации», - сказал он.

«Социальные сети - это риск», - объяснил Таддео, отметив, что сотрудник, размещающий в социальных сетях, может непреднамеренно раскрыть многое. Он отметил, что сотрудники, заявив, что они не довольны своей работой, могут выявить цель для эксплуатации. «Сотрудники, которые подробно рассказывают о своей работе или своих достижениях, представляют собой риск. Майнинг в социальных сетях очень продуктивен для противников».

Таддео предупредил, что профессиональные медиа-сайты, такие как LinkedIn, также представляют риск для тех, кто неосторожен. Он сказал, что противники создают фальшивые аккаунты на таких сайтах, которые маскируют, кто они на самом деле, а затем используют информацию из своих контактов. «Все, что они размещают на сайтах социальных сетей, может поставить под угрозу их работодателя», - сказал он.

Учитывая тот факт, что злоумышленники, нацеливающиеся на вас, могут быть за вашими данными или за организацией, с которой вы работаете, вопрос не только в том, как вы защищаете себя, но и в том, как вы защищаете своего делового партнера? Это усложняется тем фактом, что вы можете не знать, могут ли злоумышленники следовать за вашими данными, или просто рассматривать вас как ступеньку и, возможно, место для следующей атаки.

Как защитить себя

В любом случае, есть несколько шагов, которые вы можете предпринять. Лучший способ приблизиться к этому в форме информационного аудита. Перечислите все каналы, которые ваша компания использует для внешних коммуникаций, и, конечно, для маркетинга, а также HR, PR и цепочки поставок. Затем создайте аудиторскую группу, которая содержит заинтересованные стороны из всех затронутых каналов, и начните анализировать то, что там происходит, систематически и с учетом информации, которая может быть полезна для воров данных. Сначала начните с сайта вашей компании:

Изучите веб-сайт вашей компании на предмет того, что может предоставить информацию о работе, которую вы делаете, или об инструментах, которые вы используете. Например, экран компьютера, отображаемый на фотографии, может содержать важную информацию. Проверьте фотографии производственного оборудования или сетевой инфраструктуры, которые могут предоставить подсказки, полезные для злоумышленников.

Посмотрите на список сотрудников. У вас есть адреса электронной почты для ваших старших сотрудников в списке? Эти адреса не только предоставляют злоумышленнику потенциальный адрес для входа, но и способ подделки писем, отправленных другим сотрудникам. Попробуйте заменить их ссылкой на форму или использовать другой адрес электронной почты для публичного или внутреннего использования.

Ваш сайт говорит, кто ваши клиенты или партнеры? Это может предоставить злоумышленнику еще один способ атаковать вашу организацию, если у них возникнут проблемы с безопасностью.

Проверьте ваши вакансии. Как много они рассказывают об инструментах, языках или других аспектах вашей компании? Рассмотрите возможность работы через кадровую фирму, чтобы отделить себя от этой информации.

Посмотрите на свое присутствие в социальных сетях, помня о том, что ваши противники определенно будут пытаться добывать информацию через этот канал. Также посмотрите, сколько информации о вашей компании раскрывается в сообщениях ваших старших сотрудников. Вы не можете контролировать все действия своих сотрудников в социальных сетях, но вы можете следить за этим.

Рассмотрим вашу сетевую архитектуру. Taddeo рекомендует подход по мере необходимости, при котором доступ администратора предоставляется только тогда, когда он необходим, и только для системы, требующей внимания. Он предлагает использовать программный периметр (SDP), который был первоначально разработан Министерством обороны США. «В конечном итоге права доступа каждого пользователя динамически изменяются в зависимости от личности, устройства, сети и чувствительности приложения», - сказал он. «Они управляются легко настраиваемыми политиками. Совмещая сетевой доступ с доступом к приложениям, пользователи остаются полностью продуктивными, в то время как площадь атаки значительно сокращается».

• Теперь рассмотрим ваши облачные сервисы таким же образом. Часто это стандартная конфигурация, когда старшие руководители компании назначаются сторонними корпоративными облачными сервисами, такими как, например, учетные записи Google Analytics или Salesforce вашей компании. Если им не нужен такой уровень доступа, рассмотрите возможность перевода их в статус пользователя и предоставления уровня административного доступа ИТ-персоналу, чей логин по электронной почте будет сложнее найти.

Наконец, Таддео сказал, что нужно искать уязвимости, создаваемые теневыми ИТ. Если вы не ищете его, вы можете обойти свою тяжелую работу по обеспечению безопасности, потому что кто-то установил беспроводной маршрутизатор в своем офисе, чтобы им было легче использовать свой личный iPad на работе. Неизвестные сторонние облачные сервисы также попадают в эту категорию. В крупных организациях руководители департаментов нередко просто регистрируют свои отделы в удобных облачных службах, чтобы обойти то, что они считают «бюрократизмом» ИТ.

Это может включать в себя основные ИТ-услуги, такие как использование Dropbox Business в качестве сетевого хранилища или использование другой службы автоматизации маркетинга, поскольку регистрация на официальный инструмент с корпоративной поддержкой слишком медленная и требует заполнения слишком большого количества форм. Подобные программные сервисы могут раскрыть кучу конфиденциальных данных, даже не осознавая их. Убедитесь, что вы знаете, какие приложения используются в вашей организации, кем и что вы твердо контролируете, кто имеет доступ.

Такая аудиторская работа утомительна и иногда отнимает много времени, но в долгосрочной перспективе она может принести большие дивиденды. Пока ваши противники не пойдут за вами, вы не знаете, что у вас есть, что может стоить украсть. Поэтому вам нужно подходить к безопасности гибко, не забывая при этом о том, что важно; и единственный способ сделать это - быть полностью информированным о том, что работает в вашей сети.