Průvodcem nám bude Václav Chlad – etický hacker, který se ve společnosti TNS specializuje zejména na realizaci penetračních testů s využitím technik sociálního inženýrství – phishingových, vishingových a smishingových podvodných kampaní vedených na uživatele.
Jaké jsou tedy jeho praktické zkušenosti v této oblasti, jak se bránit a jak si na tomto nebezpečném poli stojí české firmy a organizace?
Václave, jsou uživatelé stále ti nejzranitelnější?
Toto tvrzení je bohužel stále pravdivé. Uživatelé skutečně patří mezi nejslabší článek v celém řetězci kybernetické bezpečnosti a naše data to potvrzují.
Dobrou zprávou ovšem je, že mnohé organizace si tuto skutečnost plně uvědomují a začínají přijímat bezpečnostní i procesní opatření pro minimalizaci hrozeb kyberútoků vedených skrze uživatele, zejména pak své zaměstnance.
Jak je zpravidla vysoká úspěšnost při simulovaném útoku?
Ročně uskutečňujeme desítky simulací etického phishingu, vishingu, lákáme uživatele na škodlivé USB disky nebo se snažíme do organizace proniknout i fyzicky. V drtivé většině případů uspějeme.
V poměru k testování infrastruktury je testování uživatelů stále v menšině, a to zhruba 3 : 1. I proto se dlouhodobý průměr úspěšnosti našich „podvodných“ kampaní pohybuje na úrovni 30 %. Výjimkou nejsou ani případy, při kterých se úspěšnost pohybovala až na šedesáti procentech.
Jak často ve firmě provádíte testy s využitím sociálního inženýrství?
V čem uživatelé nejvíce chybují?
Uživatelé často nevědí, na co si dát pozor. V drtivé většině případů by je stačilo naučit, aby při podezřelých zprávách kontrolovali e-mailovou adresu odesílatele a odkazovanou URL adresu.
Pokud je navíc uživatelům umožněno jednoduché interní nahlašování podezřelé e-mailové zprávy a IT oddělení tyto incidenty rychle řeší, řada útočníků nemá příliš šanci.
Jelikož útočníci mohou kombinovat phishing s podvodnými telefonními hovory – vishingem – je vhodné uživatelům připomenout, že telefonní čísla jsou jednoduše podvrhnutelná.
Dále by měli být všichni podezíraví, pokud se někdo neznámý pohybuje v prostorách společnosti.
K zachycení takové osoby může výrazně pomoci zavedení systému identifikačních karet, kdy každý pracovník nosí svoji zaměstnaneckou kartu na viditelném místě a pro návštěvy platí to stejné. Ideální pak je barevné rozlišení karet pro zaměstnance anebo návštěvy.
Lze těmto zranitelnostem zabránit?
I když si připustíme, že část uživatelů se nepoučí nikdy a útoky na uživatele budou pro kybernetické útočníky stále oblíbeným „vstupem“ do firmy, určitě je možné řadě z nich úspěšně předcházet.
Minimálně bychom neměli rezignovat, a naopak se snažit o pravidelnou osvětu a dodržování alespoň základních bezpečnostních pravidel.
Jednou z možností, jak snížit šance útočníka při podobných útocích, je vyzkoušet si takový útok na vlastní kůži a zjistit, jak se uživatelé skutečně zachovají. Tento simulovaný útok je poté vhodné doplnit o školení, ve kterém jsou ukázány konkrétní kroky, jak mohl být daný útok rozpoznán.
Jak takový praktický test odolnosti vypadá?
Základem takového útoku – odborně penetračního testu s využitím prvků sociálního inženýrství – je detailní scénář realizace. Zahrnuje použitou identitu útočníka, seznam obětí, kontakty pro jejich oslovení i podrobnosti o použitém typu útoku.
Samozřejmostí je na míru vytvořená zpráva a forma oslovení, která je společným úsilím týmu etických hackerů a zadavatele, tak aby přesně odpovídala zkušenostem a kladeným nárokům na testované uživatele.
V průběhu testu pak sledujeme jejich reakce a chování. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Můžeme tak efektivně vyhodnotit odolnost uživatelů vůči reálné hrozbě. Jestli vůbec útok vzbudil podezření nebo jej někdo nahlásil jako bezpečnostní hrozbu.
Praktický test odolnosti jako nová forma školení IT bezpečnosti.
Nemají firmy obavy simulovaný kyberútok absolvovat?
Už při návrhu scénáře je třeba myslet na to, jak simulovaný útok propojíme se zpětnou vazbou. Pracujeme vždy s pozitivní motivací. Uživatele, kteří v testu úspěšně obstojí nebo podezřelou aktivitu nahlásí, můžeme směle odměnit. Naopak uživatele, kteří se stali obětí, zásadně netrestáme.
Navíc je třeba zdůraznit – že nechat se nachytat v simulovaném útoku nemá žádný vliv na bezpečnost a fungování firmy, ale má vysoce pozitivní edukativní účinek pro všechny účastníky.
Školicí efekt můžeme navíc posílit edukativní stránkou, na kterou budou uživatelé přesměrováni v případě, že podlehli etickým hackerům. Ta je názorně informuje o možných důsledcích a poskytuje rady, jak podobným útokům příště čelit.
Jaká jsou vaše doporučení?
■ Pravidelně informujte uživatele o hrozbách, využijte na to například firemní newsletter nebo fyzická školení s reálnými ukázkami útoků.
■ Monitorujte certificate transparency logy pro vaše klíčová slova a blokujte na firewallu komunikaci s podezřele podobnými doménami.
■ Podle domény monitorujte vaše e-maily ve známých únicích dat.
■ Omezte počet e-mailových adres a telefonních čísel ve veřejných zdrojích na naprosté minimum.
Zažijte simulovaný útok na vlastní kůži – sestavíme test pro vaši firmu.
Jak chráněné jsou ve skutečnosti firemní bezdrátové Wi-Fi sítě? A co dělat pro zvýšení jejich zabezpečení, vám přiblížíme v příštím díle.
Partnerem seriálu IT bezpečná firma je:
Seriál vychází rovněž v tištěném SecurityWorldu, kde kromě něj najdete i celou řadu dalších témat týkajících se problematiky firemní bezpečnosti.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU