Casa Negocis El que l'atac de la xarxa elèctrica russa pot ensenyar a tots els professionals

El que l'atac de la xarxa elèctrica russa pot ensenyar a tots els professionals

Taula de continguts:

Vídeo: Ken Robinson dice que las escuelas matan la creatividad (De novembre 2024)

Vídeo: Ken Robinson dice que las escuelas matan la creatividad (De novembre 2024)
Anonim

Ja heu sentit que una investigació conjunta de la Oficina Federal d'Investigació (FBI) i del Departament de Seguretat Nacional dels Estats Units ha donat lloc a un informe que els operatius russos havien pirat a empreses que formen part de la xarxa elèctrica als Estats Units. Els atacs es detallen detalladament en un informe de l’equip de preparació d’emergència dels ordinadors (US-CERT) dels Estats Units que descriu com els atacants van poder penetrar a les instal·lacions energètiques i què van fer amb la informació que van robar.

El que no figurava als informes dels mitjans de comunicació era un fet que hauria de causar preocupació a un professional de les TI, tant si treballen per a una petita empresa (SMB) com per a una organització més gran. Aquest fet: el camí que els atacants van explotar va passar per socis menors de l'objectiu final. Van començar el seu atac penetrant les defenses d'aquells socis menors perquè eren probables que tinguessin defenses més dèbils, i després van utilitzar informació i recursos recollits d'allà per atacar la propera instal·lació a la línia.

Anatomia d'un atac de pesca intel·ligent

Un mitjà primari per accedir al soci menor era trobar informació pública, que, quan s'ajuntés amb una altra informació, proporcionaria el nivell de detall necessari per al següent pas. Per exemple, un atacant pot examinar el lloc web d’una empresa que fa negocis amb l’objectiu final i allà pot trobar l’adreça de correu electrònic d’un alt executiu a l’empresa del soci o a l’objectiu final. A continuació, l’atacant pot examinar una altra informació de les dues pàgines web de la companyia per veure quina relació està, quins serveis s’ofereixen per qui i alguna cosa sobre l’estructura de cada empresa.

Armat amb aquesta informació, l’atacant pot començar a enviar correus electrònics de phishing molt convincents d’allò que sembla ser una adreça de correu electrònic legítima; aquelles amb prou detall elaborat que puguin derrotar qualsevol filtre de phishing instal·lat al tallafoc o nivell de protecció dels punts finals gestionats. Els correus electrònics de phishing estarien dissenyats per recollir les credencials d’inici de sessió per a la persona objectiu i, si algun d’ells té èxit, els atacants deixarien passar immediatament qualsevol mesura de gestió de la identitat que pogués tenir lloc i estar dins de la xarxa objectiu.

Amb les revelacions sobre la recollida d’informació d’usuaris de Facebook, la naturalesa de l’amenaça s’expandeix. En un incompliment realitzat sota la disfressa de la investigació acadèmica a partir del 2014, un investigador rus va accedir a prop de 50 milions de perfils d’usuaris de membres nord-americans. Aquests perfils van ser cedits a Cambridge Analytica. Investigacions posteriors han revelat que aquestes dades es van prendre sense el permís d'aquests usuaris de Facebook i es van utilitzar malament.

Auditoria de comunicacions externes

Es planteja la qüestió de quina informació les empreses cauteloses haurien de fer disponibles a través dels seus llocs web. Pitjor, és probable que aquesta consulta s’estengui a les presències de mitjans socials de l’organització, als canals de màrqueting de tercers com Youtube i, fins i tot, als perfils d’alta feina dels empleats d’alt perfil.

"Crec que han de ser conscients del que hi ha als llocs web de la seva empresa", va dir Leo Taddeo, cap de seguretat de la informació (CISO) de Cyxtera i ex agent especial encarregat de la divisió cibernètica de la oficina de camp de la FBI de la ciutat de Nova York. "Hi ha un gran potencial per divulgar informació de manera involuntària."

Taddeo va dir que un bon exemple és a les publicacions de llocs de treball on podeu revelar quines eines utilitzeu per al desenvolupament o fins i tot quines especialitats de seguretat estàs buscant. "Hi ha moltes maneres en què les empreses es poden exposar. Hi ha una gran superfície. No només el lloc web i no només comunicacions deliberades", va dir.

"Les xarxes socials són un risc", va explicar Taddeo, que va assenyalar que un empleat que publica a les xarxes socials pot revelar gran cosa de manera inadvertida. Va assenyalar que els empleats dient que no estan contents amb la seva feina poden revelar un objectiu d'explotació. "Els empleats que parlen en detall sobre la seva feina o les seves realitzacions són un risc. La mineria de mitjans socials és molt productiva per als adversaris".

Taddeo va advertir que els llocs web professionals de mitjans de comunicació, com LinkedIn, també són un risc per a aquells que no en tenen cura. Va dir que els adversaris creen comptes falsos en llocs web que dissimulen qui són realment i després utilitzen informació dels seus contactes. "Tot el que publiquin en llocs de xarxes socials pot comprometre el seu ocupador", va dir.

Tenint en compte que els actors dolents que us orienten poden estar després de les vostres dades o poden ser després d’una organització amb la qual treballeu, la pregunta no és com protegir-vos, sinó com protegir el vostre soci comercial? Això es complica amb el fet que potser no sabeu si els atacants podrien estar després de les vostres dades o simplement us veuen com una pedra de pas i, possiblement, una ubicació de posada en escena per al proper atac.

Com protegir-se

De qualsevol forma, hi ha alguns passos que podeu fer. La millor manera de fer-ho és en forma d'auditoria d'informació. Enumereu tots els canals que la vostra empresa utilitza per a comunicacions externes, certament màrqueting, però també RRHH, PR i cadena de subministrament, entre d’altres. A continuació, creeu un equip d'auditoria que contingui grups d'interès de tots els canals afectats i comenceu a analitzar el que hi ha fora de manera sistemàtica i amb una ullada a la informació que pugui ser útil per als lladres de dades. Primer, comença amb el lloc web de la teva empresa:

    Examineu el lloc web de la vostra empresa per obtenir tot allò que pugui proporcionar detalls sobre el treball que feu o les eines que feu servir. Per exemple, una pantalla d’ordinador que apareix en una foto pot contenir informació important. Comproveu si hi ha fotos d’equips de producció o d’infraestructures de xarxa, que poden proporcionar pistes útils als atacants.

    Mireu la fitxa de personal. Tens adreces de correu electrònic per al personal superior? Aquestes adreces no només proporcionen a un atacant una possible adreça d'inici de sessió, sinó també una manera de fer malbé els missatges de correu electrònic enviats a altres empleats. Penseu a substituir aquells amb un enllaç a un formulari o utilitzeu una adreça de correu electrònic diferent per a consum públic versus d’ús intern.

    El vostre lloc web diu qui són els vostres clients o socis? Això pot proporcionar a un atacant una altra manera d’atacar la vostra organització si tenen problemes per superar la vostra seguretat.

    Consulteu les ofertes laborals. Quant revelen sobre les eines, idiomes o altres aspectes de la vostra empresa? Penseu en treballar a través d’una empresa de contractació per separar-vos d’aquesta informació.

    Mireu la vostra presència a les xarxes socials i tingueu en compte que els vostres adversaris intentaran definitivament obtenir informació mitjançant aquest canal. Consulteu també quanta informació de la vostra empresa es mostra a les publicacions del vostre personal superior. No podeu controlar-ho tot sobre les activitats dels vostres empleats a les xarxes socials, però podeu vigilar.

    Considereu l'arquitectura de la vostra xarxa. Taddeo recomana un enfocament segons sigui necessari, en què l'accés d'administrador només es concedeix quan sigui necessari i només per al sistema que necessiti atenció. Ell suggereix utilitzar un perímetre definit per programari (SDP), que originalment va ser desenvolupat pel Departament de Defensa dels Estats Units. "En definitiva, els drets d'accés de cada usuari es canvien dinàmicament en funció de la sensibilitat de la identitat, del dispositiu, de la xarxa i de l'aplicació", va dir. "Això es basa en polítiques de fàcil configuració. Alinear l'accés a la xarxa amb l'accés a l'aplicació, els usuaris romanen totalment productius mentre que la superfície d'atac es redueix dràsticament."

  • Ara considereu els serveis del núvol de la mateixa manera. Sovint és una configuració predeterminada per convertir els administradors executius d'empresaris majors en serveis al núvol corporatius de tercers, com ara els comptes de Google Analytics o Salesforce de la vostra empresa. Si no necessiten aquest nivell d'accés, considereu com deixar-los a l'estat d'usuari i deixar els nivells d'accés administratiu al personal de TI als quals els inicis de sessió de correu electrònic serien més difícils de trobar.

Finalment, Taddeo va dir buscar vulnerabilitats creades per shadow IT. A no ser que ho busqueu, podríeu evitar el vostre dur treball de seguretat perquè algú va instal·lar un encaminador sense fils a la seva oficina perquè pogués utilitzar més fàcilment el seu iPad personal en el lloc de treball. Els serveis de núvols de tercers desconeguts també entren en aquesta categoria. En les grans organitzacions, no és rar que els caps de departament simplement registrin els seus departaments per a serveis convencionals de núvol per deixar de banda allò que veuen com a "cinta vermella".

Això pot incloure serveis bàsics d’informàtica, com utilitzar Dropbox Business com a emmagatzematge de xarxa o utilitzar un servei d’automatització de màrqueting diferent perquè la inscripció a l’eina oficial amb suport corporatiu és massa lenta i requereix omplir massa formularis. Els serveis de programari com aquests poden exposar capgrossos de dades sensibles sense que els informàtics tinguin coneixement. Assegureu-vos de saber quines aplicacions s’utilitzen a l’organització, per qui i de qui controleu fermament qui té accés.

Aquesta tasca d’auditoria és tediosa i, a vegades, necessita temps, però a llarg termini pot pagar grans dividends. Fins que no arribin els teus adversaris, no saps el que pots tenir que val la pena robar. Per tant, necessiteu aproximar-vos a la seguretat de manera flexible, mantenint sempre pendent el que és important; i l'única manera de fer-ho és informar-se completament del que hi ha a la vostra xarxa.

El que l'atac de la xarxa elèctrica russa pot ensenyar a tots els professionals