Współczesne bezpieczeństwo zaczyna się od pracowników

Jeżeli jest jakaś rzecz, której mogliśmy się nauczyć wyciągając wnioski z wielkich włamań komputerowych na przestrzeni ostatnich kilku lat, to z pewnością będzie to fakt, że pracownicy odgrywają równie istotną rolę w ochronie sieci co technologia. Przedsiębiorstwa często pomijają czynnik ludzkiego błędu i nie szkolą ani nie angażują swoich pracowników w proces ochrony wrażliwych danych. Jest to poważny problem, bo pomimo ogromnych inwestycji w produkty punktowe używane do ochrony korporacyjnej sieci, to tak naprawdę zwalczanie szerokiej gamy zagrożeń bezpieczeństwa wymaga silnej kombinacji technologii i świadomości użytkowników.

Techniki hakerskie, takie jak inżynieria społeczna, koncentrujące się na wykorzystaniu nieświadomości pracowników, są teraz zdecydowanie coraz częściej stosowane. Niemal połowa brytyjskich korporacji padła ofiarą 25. lub więcej ataków w ciągu ostatnich dwóch lat, gdzie ‘spear phishing’ przez wiadomości email oraz inżynieria społeczna były najczęstszymi technikami ataków. Przeciętne straty wynikające z jednego włamania sięgają 15 000£, więc przedsiębiorstwa nie mogą sobie pozwolić na bagatelizowanie sprawy.

Ten trend jest kierowany dwoma głównymi czynnikami. Po pierwsze, wielu pracodawców nie posiada określonych polityk bezpieczeństwa ani programów szkoleniowych dla personelu w miejscu pracy. Po drugie, obecnie dostępna jest coraz większa ilość platform społecznościowych, a każda z nich dostarcza w prosty sposób mnóstwa informacji odnośnie indywidualnych osób i przedsiębiorstw, w których są te osoby zatrudniane. Wykorzystując te dane, hakerzy tworzą profile dla odpowiednich ludzi, dostosowują wymierzone ataki do otwierania kolejnych możliwości włamań, zwiększając w ten sposób prawdopodobieństwo skutecznego ataku.

Będąc już wewnątrz, haker może zastosować serię narzędzi aby wypracować sobie drogę w hierarchii aż do osób zatrudnionych w szczeblu zarządu, zyskując nieograniczony dostęp do wrażliwych danych handlowych. Jednak jak dochodzi do takich ataków i z jakich metod korzystają hakerzy?

W odróżnieniu od podejścia ataku brute force na główną bramę, inżynieria społeczna wymaga więcej finezji i planowania. Inwigilacja to klucz do rozpoznania słabych punktów. Dostarcza potencjalnemu hakerowi odpowiedzi na najważniejsze pytania, w tym:

  • Kluczowy personel – kim są osoby odpowiedzialne za bezpieczeństwo?
  • Polityki bezpieczeństwa – jakie są stosowane w przedsiębiorstwie?
  • Szyfrowany ruch w sieci – czy zewnętrzny ruch SSL jest dozwolony poza godzinami pracy?

Zebranie tych informacji jest teraz prostsze niż dotychczas. Dzięki sieciom społecznościowym oraz innymi narzędziami dostępnymi online, hakerzy mają doskonały wgląd w organizację i osoby w niej zatrudnione, co pozwala szybko stworzyć dokładny obraz swojej ofiary.

  • Strona internetowa korporacji – oraz informacje zawarte w ofertach pracy daje hakerom możliwość lepszego rozeznania się w obszarze bezpieczeństwa przedsiębiorstwa, co pozwala atakującym stworzyć narzędzia do przeprowadzenia włamania oraz zwiększa prawdopodobieństwo sukcesu
  • LinkedIn – pozwala hakerom namierzyć potencjalne cele, którymi najprawdopodobniej będą nowi pracownicy i kontraktorzy
  • Facebook i Twitter – to kopalnia informacji dająca wgląd w zainteresowania i hobby poszczególnych osób, dzięki czemu hakerzy tworzą bardziej podstępne ataki
  • Foursquare – usługi lokalizacyjne, które mogą służyć do śledzenia potencjalnych ofiar i zawirusowania laptopa, gdy będzie podłączony do publicznej sieci

To wszystko bardzo proste. Uzbrojony w informacje zebrane z tych źródeł, potencjalny haker ma wszystko, czego potrzeba do złamania zabezpieczeń sieci przedsiębiorstwa.

Mając już namierzony cel wewnątrz firmy, przejdziemy do przeglądu najpopularniejszych technik używanych przez hakerów do głębszej penetracji korporacyjnej sieci. Zrozumienie tych metod jest bardzo istotne w podnoszeniu świadomości i edukacji pracowników.

  • Złośliwe załączniki to prawdopodobnie najpowszechniejszy sposób ataku. Są częścią pułapki w atakach ‘spear phishing’ i uwalniają swoją zawartość po otwarciu. Typowe pliki to dokumenty Microsoft oraz PDF.
  • Drive-by-downloads występują wtedy, gdy spreparowana strona, lub prawdziwa strona do której się włamano, zawiera kod wykorzystujący luki bezpieczeństwa przeglądarki odwiedzającego i instaluje złośliwe oprogramowanie bez wiedzy użytkownika
  • Ataki zero-day wykorzystują wcześniej nieznane luki bezpieczeństwa w oprogramowaniu. Wykorzystanie większej ilości luk – tak jak to było w przypadku Stuxnet, który użył czterech nieznanych słabych punktów Windows – zwiększa prawdopodobieństwo, że urządzenie lub komputer ofiary będzie bardziej bezbronne wobec ataku.

Powyższe scenariusze nie wyczerpują tematu, ale kombinacja tych oraz wielu innych może zostać użyta do obejścia bezpieczeństwa zewnętrznego sieci, dając wolny dostęp do przedsiębiorstwa.

Na ogół ataki motywowane są jedną z trzech następujących rzeczy: zysk finansowy, przewaga w konkurencji lub zemsta. Po zorganizowaniu dostępu do sieci korporacyjnej, hakerzy mogą skoncentrować się na dobraniu się do zamierzonego celu – najczęściej głównego dyrektora.

Najczęściej dokonuje się tego poprzez pobranie “czystego” dokumentu z pierwszej zainfekowanej maszyny, zawirusowaniu go przez terminal ze zdalnym dostępem, a następnie przesłanie go z powrotem z poleceniem przekazywania dalej. Po otrzymaniu załącznika z zaufanego źródła, dokument jest otwierany, co powoduje instalację wirusa na komputerze docelowej ofiary otwierając w ten sposób zdalny dostęp do urządzenia.

Włamując się do głównego celu, haker może ściągnąć informacje przechowywane na urządzeniu końcowym bez niczyjej wiedzy.

Pracownicy przedsiębiorstwa są bardzo ważną częścią procesu bezpieczeństwa, gdyż mogą być podstępem pokierowani przez kryminalistów lub popełniać błędy prowadzące do zainfekowania złośliwym oprogramowaniem lub niezamierzonego wycieku danych. Zbyt wiele firm nie zwraca należytej uwagi na zaangażowanie użytkowników, gdzie tak naprawdę to oni powinni być pierwszą linią obrony.

W celu osiągnięcia poziomu bezpieczeństwa wymaganego we współczesnych środowiskach IT, bezpieczeństwo musi być czymś więcej niż tylko zestawem różnych technologii oraz musi być traktowane jako proces biznesowy, gdzie użytkownicy są jego szkieletem. Szkolenie pracowników na bieżąco w połączeniu z jasno zdefiniowanymi politykami bezpieczeństwa, które są przekazywane w sposób zrozumiały, to krytyczne czynniki procesu edukacji.

Zaangażowanie użytkowników pomoże w podnoszeniu świadomości i sprawi, że pracownicy będą bardziej czujni. Poszerzanie wiedzy na temat zagrożeń takich jak ‘spear phishing’ da personelowi możliwość zapobiegania i łagodzenia skutków incydentów bezpieczeństwa na bieżąco.

PRportal.pl – informacje prasowe dla biznesu