IT & systémy | IT bezpečnosť

Ako hackeri klamú vašich zamestnancov

Najzraniteľnejším článkom bezpečnostnej infraštruktúry podniku sú ľudia. Ubezpečte sa, že vaša bezpečnostná stratégia venuje ľudskému faktoru dostatočnú pozornosť.

22.08.2013 | Zdroj: Darkreading.com

CFO.sk 

Najslabším článkom bezpečnostných systémov firmy sú ľudia a ich neuvedomelé správanie. Hackeri im posielajú infikované e-maily, ktoré sa tvária, že sú od riaditeľa firmy, alebo nechávajú na chodbe „zabudnuté“ infikované USB kľúče. Zamestnanci sa pripájajú na podnikový server cez verejné nezabezpečené wifi siete a používajú rovnaké heslá na prístup do podnikových aplikácií, ako na svoje konto na Facebooku a či do online bankingu.

Firmy môžu mať tie najmodernejšie technológie a aplikácie proti útokom na podnikové dáta, ale ani tie ich úplne neochránia. Všetky väčšie organizácie, ktoré boli v minulosti predmetom úspešných hackerských útokov, tieto technológie využívali, a predsa zlyhali. Hackeri sú totiž stále o krok vpred a vymýšľajú nové typy infikovaných e-mailových správ, ktorým sa podarí preniknúť do inboxu užívateľa. Jedinou nádejou, ktorá firme potom zostáva, je samotný užívateľ a jeho prezieravé správanie.

Preto je dôležité nespoliehať sa iba na technológiu a investovať do vzdelania a obozretných pracovných návykov zamestnancov. Ak zamestnanci pracujú s vedomím, že IT oddelenie všetky hrozby „vychytá“ a odstráni a oni sa o nič nemusia starať, vytvára sa ilúzia bezpečného prostredia, ktoré je však v skutočnosti oveľa zraniteľnejšie. Význam ľudského faktora demonštruje aj prieskum Information Week, podľa ktorého patria medzi najúčinnejšie bezpečnostné opatrenia práve tie, ktoré sú zamerané na užívateľov:

Podľa Darkreading.com najväčšiu hrozbu pre bezpečnosť podnikových dát predstavujú infikované e-maily, ktoré vyzerajú tak autenticky, že ich je veľmi ťažké rozlíšiť od pravých e-mailov. Ak útočníci takýmto spôsobom cielene napádajú konkrétne osoby alebo firmu, hovoríme o tzv. spearphishingu. Podobný útok stál napríklad za zlyhaním miliardovej akvizície spoločnosti Coca-Cola v Číne.

Jednou z jeho najnovších foriem je „konverzačný“ spearphishing, pri ktorom obeť útoku dostane e-mail s autenticky vyzerajúcim textom, ktorý prichádza od niekoho, koho pozná alebo koho môže poznať. 

Zamestnanci, ktorí aktívne využívajú sociálne siete, čelia o 50% vyššej hrozbe, že budú obeťou spearphishingu. Útočníci sledujú správanie vytipovaných zamestnancov, zistia si o nich informácie na LinkedIn či Facebooku, kde identifikujú ich známych, kolegov a nadriadených, dozvedia sa, akých podujatí sa zúčastňujú a v ktorých asociáciách sú členmi. Na firemnej internetovej stránke zase zistia, akých klientov spoločnosť má, ktorí zamestnanci pre nich pracujú, aká je organizačná štruktúra podniku a ktorí zamestnanci pracujú na ktorom oddelení. Následne vytvoria autenticky vyzerajúce e-maily, ktoré vyzerajú tak, ako by ho bol poslal kolega, nadriadený, zákazník, alebo niekto, koho mohol zamestnanec stretnúť na konferencii alebo seminári, ktorého sa zúčastnil. Vo väčšine prípadov majú e-maily infikovanú prílohu, najčastejšie vo formáte RTF, XLS, ZIP, RAR alebo PDF.

Napríklad hacker, ktorý sa chcel dostať k informáciám jednej spoločnosti, sledoval skupinu manažérov, zrejme na LinkedIn, a zistil, že často pracujú na  spoločných projektoch. Vytvoril niekoľko e-mailov, ktoré vyzerali, akoby boli odoslané od ostatných kolegov, a v nich manažérov upozorňoval, že prehliadli spoločné stretnutie. E-mail obsahoval dôveryhodne vyzerajúcu históriu predchádzajúcej elektronickej komunikácie medzi manažérmi, a priloženú agendu stretnutia, ktorá bola infikovaná.

Ďalší príklad konverzačného phishingového e-mailu môžete nájsť v tomto príspevku na CSOonline.com - hackeri poslali správu celému redakčnému tímu CSO. 

Podľa odborníkov nie sme ďaleko od toho, že hackeri vyvinú aplikácie, ktoré budú na základe správania užívateľov na sociálnych sieťach automaticky generovať spearphishingové emaily.

Inokedy sa hackeri dostanú k heslám, ktoré zamestnanci používajú na sociálnych sieťach alebo pri prístupe do online bankingu, a skúšajú, či tieto heslá fungujú aj do podnikovej siete. Veľa ľudí je príliš pohodlných na to, aby si vytvorili viacero rôznych hesiel, alebo si ich jednoducho nedokážu toľko zapamätať.

Vzdelávania zemestnancov

Hoci niektorí experti tvrdia, že nemá význam investovať čas do zvyšovania povedomia zamestnancov, vo väčšine prípadov je interné vzdelávanie užitočné a pomáha znižovať bezpečnostné riziko. Žiadny softvér ani technológia firmu neochráni na 100%, a vtedy často zostáva iba na zamestnancoch, ako sa zachovajú.

Napríklad existujú formy „vzdelávania“, pri ktorých sa zamestnancom posielajú umelo vytvorené spearphishingové e-maily, ktoré testujú ich správanie. Ich cieľom nie je dokázať „aha, nachytal som ťa“, ale demonštrovať, aké rôzne formy e-mailových útokov môžu existovať. Zvyšovaniu povedomia tiež pomáha interná komunikácia, ktorá zamestnancov informuje o konkrétnych prípadoch reálnych útokov, na ktorých môžu ľudia vidieť, ako vyzeral podozrivý e-mail a akým spôsobom sa nabúral do podnikového systému.

Aby malo takéto vzdelávanie potrebný efekt, musí sa vykonávať opakovane, dlhodobo a postupne v malých krokoch.

Dôležité sú tiež interné pravidlá pre používanie hesiel (napr. pravidelná obmena hesiel každé 3 mesiace, vylúčenie najčastejšie používaných slov a pod.). Podľa nedávnej štúdie, v ktorej sa vyhodnocovala bezpečnosť 6 miliónov skutočne používaných hesiel, 10,000 najpoužívanejších z nich by stačilo na získanie prístupu k 98.1% obsahu.