(Partnerský příspěvek)
Jsou navrhovány tak, aby oběť zbytečně nevylekaly, aby „vážená“ maximální agresivita útoku v posledních fázích nespustila alarm na straně společnosti, která útoku čelí. Jsou často navrhovány tak, aby i v poslední fázi úklidu nechaly pootevřená dvířka i pro další pokusy.
Přemýšleli jste někdy nad tím, komu by to pomohlo? Kdo by ten útok na vás podnikl? K čemu by to útočníkovi bylo? Jakým způsobem by postupoval? Nakolik by byl úspěšný? Jak se tomu bránit? Co by pomohlo při obraně a co by bylo zbytečné? Jak se k tomuto problému reálně postavit?
Je všeobecně známo, že je to pouze otázka zdrojů, kterými útočník, resp. objednatel útoku disponuje. V tomto případě hovoříme zejména o financích, lidech, technologiích a čase.
Jak jim v tom zabránit, jak je znechutit a jaká opatření učinit k minimalizaci škod v případě útoků sociálního inženýrství? Hromada otázek, pro které neexistuje žádné univerzální řešení. Ale máme zde několik příkladů, jak se k této problematice postavit.
Kde jsou slabá místa?
Procesy
Zmapujte si citlivá místa, aktiva, informace, data a procesy s tím související. Na co by se útočník mohl zaměřit, jakého by mohl dosáhnout výsledku, jak by mohl postupovat, jaký máte první dojem z úrovně bezpečnosti. Mnohokrát má agresor na výběr. Vybírá si méně odolné společnosti. Všechno je jenom otázka vynaložených zdrojů, většinou se jde cestou nejmenšího odporu.
Nechte se prověřit třetí stranou, která by vám měla „nastavit zrcadlo“ a ukázat prstem na skutečně slabá místa. Extrémně důležitou a neoddělitelnou součástí této problematiky je rovněž objektová bezpečnost a s tím spojená pravidla návštěv v dané společnosti. Identifikace osob na pracovišti a účast interních, pověřených zaměstnanců při servisních zásazích třetích stran, mechanismus sdílení informací napříč firmou apod.
Lidé
Měli bychom pomoct zaměstnancům pochopit, proč je digitální diskrétnost tak rozhodující pro zdravé fungování společnosti, pro kterou pracují, kde jsou zaměstnaní. Vypracujte si ucelený systém vzdělávání. Podobně jako máte pro každého zaměstnance protipožární školení, mělo by existovat i školení bezpečnosti IT. Každý zaměstnanec by měl vědět, co znamenají pojmy phreaking, pharming, phishing, baiting, spoofing, keylogger apod. Jaké jsou hrozby spojené s používáním sociálních sítí ve firemním prostředí. Kde a v jaké formě, odkud a v jaké míře hrozí útoky.
Samozřejmě nesmíme zapomenout i na ověřování těchto získaných poznatků, samotné testování tvoří nedílnou součást celého systému. V posledním kroku doporučujeme pravidelný oběžník, ve kterém informujeme o aktuálním názvosloví, hrozbách, trendech a mechanismech IT bezpečnosti. Celý vzdělávací mechanismus ve firmách, kde se pracuje s citlivými údaji, je v dnešní době GDPR prostě nezbytnou podmínkou ochrany informací.
Technologie
Jako prevence před útoky „sociálních inženýrů“ nám poslouží rovněž technologické prvky vhodně implementované do IT infrastruktury.
1. SIEM – (Security Information and Event Management) řešení, které agreguje, koreluje a ukládá logy z IT systémů. Výsledkem by měl být ucelený pohled na stav IT bezpečnosti doplněný varovným mechanismem schopným vytvářet opatření v čase. Prospěšný i v případě dohledání informací po samotném útoku (technologickou cestou).
2. IAM – Identity & Access Management – správa uživatelů a jejich oprávnění, přístupů, rolí a celého životního cyklu dané identity a jejich skupin. Ve větších společnostech doplněné o technologie PIM/PAM/PUM (Privileged Identity Management/Privileged Account Management/Privileged User Management) – segmentace úrovní přístupů.
3. MDM – (Mobile Sevice Management) správa mobilních zařízení, které jsou slabým článkem v IT infrastrukturách. Schopnost vymazat mobilní zařízení na dálku v případě jeho ztráty, ukradení, zneužití by měla být už samozřejmostí.
Ještě pár doplňujících pojmů souvisejících s tematikou:
- BYOD – Bring Your Own Device
- BYOT – Bring Your Own Technology,
- BYOP – Bring Your Own Phone,
- BYOPC – Bring Your Own Personal Computer
4. Proxy blocking – využívaní black/white seznamů.
5. Důsledné zabezpečení e-mailové komunikace s bezpečným šifrováním i na straně uživatele.
6. Advanced malware detection
7. Secure file – sharing solutions
8. Objektová bezpečnost – technologie a procesy s tím spojené.
Samotný výběr jednotlivých technologií by měl záviset:
- od kvality samotného řešení, reputace výrobce a partnera,
- od analýzy současného stavu aktiv, hrozeb, zranitelností, rizik a opatření,
- od reálné potřeby nasazení daného řešení a koncepce bezpečnosti IT, potřeb z pohledu norem, legislativy, Nařízení Evropského parlamentu a Rady (EÚ) apod.,
- na zkušenosti partnera (integrátora/implementátora),
- samotná technologická skladba řešení by měla dávat smysl z pohledu kompatibility,
- vybírejte si na základě referencí, i přestože je to citlivé téma, málokterý odpovědný pracovník za IT a bezpečnost si pustí do „kuchyně“ někoho cizího. I na tom by mohl být založen scénář samotného útoku.
A jak asi postupuje ten, kdo se chce dozvědět více?
Sběr citlivých informací o společnosti, zaměstnancích, majitelích a jejich využití v pákovém efektu při tvorbě scénáře. Často kombinace technologických a vědomých psychických manipulací. Není výjimkou útok zevnitř za odměnu. Následně dochází k vymodelování základu scénáře a práce s citlivou informací. Musíme si zapamatovat, že nejsilnějším nástrojem samotného útoku je důvěra.
Autor je Country manager firmy Microfocus a spolupracovník společnosti NEWPS.CZ
PŘEDPLATNÉ
ČLÁNKY DO MAILU