Самоуспокоенность: восьмой смертный грех ИТ-безопасности (часть 2)

Опубликовано: 7 Апреля, 2023

  • Самоуспокоенность: восьмой смертный грех ИТ-безопасности (часть 3)

Введение

В части 1 этой статьи я говорил об общих опасностях самоуспокоенности в нашей работе и о том, что опыт, знакомство и чрезмерная уверенность притупляют наши чувства к угрозам, исходящим от фишинговых атак, на которые, как мы думаем, никто никогда не попадется. На этот раз мы обсудим некоторые типы попыток нарушения безопасности, которые мы обычно отклоняем как «слишком очевидные», которые заслуживают повторного рассмотрения, особенно те из них, которые связаны с социальной инженерией и нацелены на вас, а не на ваших пользователей. Затем, в последней из наших трех статей, мы перейдем к тому, как вы можете не попасть под влияние чар самоуспокоенности и как вы можете предотвратить самоуспокоенность в отношении частей ваших пользователей.

Продвинутая социальная инженерия

Мы все знаем все об опасностях социальной инженерии, и вы, несомненно, предупреждали своих пользователей о распространенных методах, используемых социальными инженерами. Мы сказали им никогда, никогда не сообщать свои пароли по телефону кому-то, кто утверждает, что он из ИТ-отдела. Мы предупредили их остерегаться плечевых серферов. Мы объяснили, как «взломщики людей» могут попытаться вовлечь их в разговор, чтобы выведать информацию, которая может помочь в угадывании их паролей.

IT-специалисты прекрасно понимают, что, несмотря на эти меры предосторожности, пользователи все еще очень уязвимы для уловок хорошего социального инженера. Но мы можем стать самодовольными из-за нашей собственной уязвимости. По-настоящему талантливый — и чрезвычайно уверенный в себе — социальный инженер знает, что вы ожидаете, что он попытается использовать наивность менее технически подкованных людей в вашей организации, поэтому он может вообще обойти их и вместо этого нацелиться . В конце концов, если он сможет получить доступ к вашей учетной записи, которая, вероятно, имеет административные привилегии, это гораздо больший приз, чем просто доступ к учетной записи обычного пользователя.

Используя аналогию, которая сравнивает сетевые атаки с терроризмом, вы можете думать о своих пользователях как о «мягких целях», в то время как вы и другие ИТ-специалисты представляете собой «жесткие цели». Иногда злоумышленники добиваются успеха, потому что они наносят удар там, где его меньше всего ожидают. Давайте рассмотрим некоторые передовые методы, которые социальные инженеры используют как против ИТ-специалистов, так и против пользователей.

Остерегайтесь транзитивного доверия

ИТ-специалисты знакомы с концепцией транзитивного доверия. Это была одна из тех вещей, о которых вы узнали, когда изучали Active Directory. В транзитивных доверительных отношениях, если A доверяет B, а B доверяет C, то A также доверяет C.

Это постоянно проявляется и в реальной жизни, и социальные инженеры пользуются этой тенденцией, чтобы позволить кому-то, кого мы знаем, поручиться за незнакомца. Если Боб, которого вы не знаете, подходит к серверной и говорит, что он из компании, которая создала ваше специальное программное обеспечение, и хочет кое-что проверить и показать вам некоторые новые функции, вы (мы надеемся!) поймете, что это может быть попытка социальной инженерии, и тщательно проверьте его личность, прежде чем впустить его.

Но что, если генеральный директор вашей компании пригласит Боба и представит его как представителя компании, занимающейся заказным программным обеспечением? Поскольку теперь за Боба поручился кто-то, кому вы доверяете, у вас может возникнуть соблазн предположить, что Боб является законным. Чего вы не знаете, так это того, что генеральный директор встретился с Бобом (настоящее имя Тед) сегодня, когда наш социальный инженер договорился встретиться с ним в фитнес-клубе через дорогу перед работой. Поскольку Тед сделал свою домашнюю работу, он назвал несколько имен «общих друзей», и когда он «обнаружил», что Боб работает в вашей компании, которая была в его списке, куда он должен позвонить сегодня, он подошел к генеральному директору и попросил его показать его в ИТ-отдел.

Когда я был сотрудником правоохранительных органов, у нас была поговорка: «Мы верим в Бога; всех остальных мы прогоняем через NCIC (компьютеризированный указатель криминальной истории Национального центра криминальной информации)». Прежде чем вы даже подумаете о том, чтобы предоставить людям, которых вы лично не знаете, доступ к серверам, системам или ИТ-средствам, вы должны убедиться, что они являются теми, за кого себя выдают.

Это означает больше, чем просто попросить их показать водительские права; это означает позвонить в компанию, на которую они якобы работают ( по номеру телефона, который они вам дают, а по тому, который вы ищете сами) и подтвердить, что такой человек должен находиться в вашем помещении в это время и соответствует описанию человек перед вами.

Не рискует ли такое действие разозлить вашего генерального директора? Может быть, если это станет неожиданностью. Вот почему это должно быть установлено в письменной форме и заранее одобрено руководством. Но даже если это раздражает начальство, это не так плохо, как реакция того же генерального директора, если вам придется сказать ему, что его «друг» украл коммерческие секреты компании из ваших систем или внедрил вредоносное ПО в вашу сеть.

Доверять тем, кого вы знаете (или думаете, что знаете, потому что они утверждают, что они «один из нас»), — это основная человеческая природа. И, несмотря на укоренившееся подозрение, которое приходит с полицейской подготовкой, известно, что сотрудники правоохранительных органов становятся жертвами тенденции доверять любому, кто демонстрирует законно выглядящий значок.

Синдром «закрытого сообщества»

В некоторых частях страны закрытые поселки стали популярным ответом на рост уровня преступности. Тем не менее, некоторые власти говорят, что ворота на самом деле мало что делают для предотвращения преступной деятельности. На самом деле, некоторые говорят, что у тех, кто живет в закрытых сообществах, может быть ложное чувство безопасности, которое может сделать их более уязвимыми. Они исходят из того, что, поскольку есть контроль доступа, любой, кто находится внутри ворот, должен автоматически считаться «в порядке».

Эта форма самоуспокоенности опасна, потому что заставляет вас ослабить бдительность, когда вы находитесь внутри своего «убежища». Это можно перевести в мир ИТ разными способами. Это практикуется ленивыми (или невежественными) администраторами, обычно в небольших организациях, которые полагаются только на учетные данные для входа в систему для управления доступом к сетевым ресурсам. Вместо того, чтобы утруждать себя установкой разрешений для отдельных файлов/папок и других ресурсов, они делают предположение, что любому, кто смог войти в сеть, можно доверять любые и все ресурсы в этой сети.

Это также может относиться к физическим пространствам. Некоторые администраторы запирают дверь серверной комнаты, а затем предполагают, что безопасность в этих стенах может быть более слабой. В конце концов, там будут находиться только доверенные ИТ-специалисты, так что можно записать свой основной список сложных паролей в записную книжку, которую вы держите в незапертом ящике стола, или оставаться локально на сервере, когда вы принимаете перерыв в ванной, без блокировки машины.

Социальные инженеры хорошо знают об этом синдроме и будут искать возможность использовать его. Они выдают себя за «своих» — как, например, Тед в приведенном выше сценарии, а затем создают отвлекающие факторы или используют в своих интересах естественные отвлекающие факторы, чтобы заглянуть в тот ящик или подсунуть флешку, когда вы повторно не ищу.

Все, что блестит, не является защитным ПО

Вы, вероятно, хорошо осведомлены о распространенной атаке, нацеленной на потребителя, в которой используется вредоносное ПО, выдающее себя за защитное ПО (или обновление существующего антивируса или другой защитной программы). Более изощренная версия этого, предназначенная для ИТ-отдела, — это «поставщик средств безопасности», который хочет продемонстрировать новый продукт, который защитит вас от атак и взломов, который на самом деле является вредоносным кодом, который открывает черный ход для ваших систем.. Некоторые особенно преданные своему делу социальные инженеры могут даже стать консультантами по безопасности и попытаться продать свои услуги компаниям, в сети которых они хотят проникнуть. Это дает им возможность не только нарушить вашу безопасность, но и заставить вас заплатить им за это.

Отношение, порождающее самоуспокоенность

Я уверен, что некоторые читатели посмеются над приведенными выше примерами. Они отвергнут саму возможность того, что их — обученных профессионалов — можно заманить в ловушку любой схемы социальной инженерии. Они будут возражать, что ни один социальный инженер не возьмется за создание бизнеса и его использование для атаки на другие предприятия. И они будут особенно сопротивляться идее, что их собственное неверие — одно из лучших орудий атакующего. Неверие порождает самодовольство.

Социальные инженеры существуют гораздо дольше, чем компьютеры и сети; раньше мы называли их «аферистами» (и женщинами — об этом чуть позже). Некоторые из этих преступников преследуют молодых, пожилых, наивных, необразованных; однако есть много других, которые сосредоточены на том, чтобы одурачить успешных, умных людей, которые считают себя невосприимчивыми к таким схемам. И есть множество примеров, когда профессионалы — сотрудники правоохранительных органов и даже коллеги-мошенники — были обмануты своими способностями убеждать. Высокомерие — еще один элемент, порождающий самоуспокоенность.

Высокомерие также может проявляться в чрезмерной уверенности в своих решениях по обеспечению безопасности и персонале. Вы можете поверить в это, потому что ваша компания вложила большие суммы денег в самое лучшее аппаратное и программное обеспечение для обеспечения безопасности, потому что вы наняли экспертов по безопасности для укомплектования ИТ-отдела, потому что вы тратите так много своего времени на то, чтобы быть в курсе всех последних угроз. и контрмеры, вы непобедимы. В правоохранительных органах такое отношение стало причиной гибели многих дерзких новичков. Помните, что даже Супермен не был неуязвим для всего.

Высокомерие может даже проявляться в игнорировании определенных типов людей как угроз. Некоторые полицейские иногда теряют бдительность, имея дело с женщинами или другими людьми, которых они считают «более слабыми», иногда в ущерб себе. Мужчины-ИТ-специалисты тоже иногда могут быть более доверчивы к женщинам. Хотя это правда, что подавляющее большинство жестоких преступников подавляющее большинство киберпреступников — мужчины, достаточно одной женщины-хакера, которая воспользуется вашим предположением, чтобы вывести из строя вашу сеть.

Затем, на другой стороне спектра, есть противоположность высокомерию: мировоззрение «я этого не стою». Некоторые люди думают, что никакой мошенник не стал бы с ними связываться, потому что у них нет ничего ценного, что можно было бы украсть. А некоторые компании придерживаются мнения, что злоумышленники пройдут мимо них, потому что у них нет важных или «секретных» данных в их сетях, потому что они «маленькие рыбки», чья безопасность не стоит того, чтобы ее взломать. Этот тип самоуничижения основан на надежде на то, что форма безопасности через безвестность защитит вас, а также может породить самоуспокоенность.

Прямо в цель

Есть старая поговорка: «Вы не знаете, что у вас есть, пока не потеряете это». В мире ИТ-безопасности это можно изменить так: «Вы не знаете ценности своих данных до тех пор, пока ваша безопасность не будет взломана». Сегодня у большинства компаний есть хоть какая-то цифровая информация, которая может нанести ущерб, если попадет не в те руки. Это варьируется от финансовых показателей вашей организации до внутренних служебных записок, в которых обсуждается, как перехитрить ваших конкурентов, до личной информации о ваших сотрудниках и / или клиентах.

Даже если вы не работаете в регулируемой отрасли, которая требует от вас защиты определенных данных, утечка данных может нанести ущерб компании и/или лицам, связанным с ней.

Хотя случайные атаки, безусловно, все еще существуют, все больше и больше киберпреступников становятся разборчивыми и оттачивают свои атаки на определенные организации или те, которые соответствуют определенному профилю. Современные тенденции, такие как продвинутая постоянная угроза (APT) и целевой фишинг, относятся к целевым типам атак. Социальные инженеры, которые имеют в виду конкретную цель, пойдут на многое, чтобы выполнить свою миссию. Чем более самодовольным вы становитесь, тем больше вероятность того, что вы попадетесь на их аферы.

Резюме

В частях 1 и 2 этой серии статей, состоящей из трех частей, посвященной опасностям самоуспокоенности в мире ИТ-безопасности, мы говорили о том, что приводит к самоуспокоенности и о том, как злоумышленники пользуются нашей самоуспокоенностью для продолжения своих атак. В части 3 мы обсудим несколько советов, как сохранять бдительность и не переусердствовать.

  • Самоуспокоенность: восьмой смертный грех ИТ-безопасности (часть 3)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023