Sommario:
- Anatomia di un attacco di phishing intelligente
- Controllo delle comunicazioni esterne
- Come proteggersi
Video: (1/3) - Eleonora de Conciliis - "Insegnare l’ininsegnabile..." (Settembre 2024)
Ormai hai sentito che un'indagine congiunta del Federal Bureau of Investigation (FBI) e del Dipartimento della sicurezza interna degli Stati Uniti ha portato a un rapporto secondo cui agenti russi avevano violato aziende che fanno parte della rete elettrica negli Stati Uniti. Gli attacchi sono delineati in dettaglio in un rapporto del US Computer Emergency Readiness Team (US-CERT) che descrive come gli aggressori sono stati in grado di penetrare nelle strutture energetiche e cosa hanno fatto con le informazioni che hanno rubato.
Anatomia di un attacco di phishing intelligente
Un mezzo principale per ottenere l'accesso al partner più piccolo era trovare informazioni pubbliche che, se messe insieme ad altre informazioni, avrebbero fornito il livello di dettaglio necessario per il passaggio successivo. Ad esempio, un utente malintenzionato potrebbe esaminare il sito Web di una società che opera con l'obiettivo finale e lì potrebbe trovare l'indirizzo e-mail di un dirigente presso l'azienda del partner o l'obiettivo finale. Quindi l'aggressore potrebbe esaminare altre informazioni dai siti Web di entrambe le società per vedere qual è la relazione, quali servizi vengono forniti da chi e qualcosa sulla struttura di ciascuna società.
Grazie a tali informazioni, l'attaccante può iniziare a inviare e-mail di phishing altamente convincenti da quello che sembra essere un indirizzo e-mail legittimo; quelli con dettagli sufficientemente elaborati che potrebbero benissimo sconfiggere eventuali filtri di phishing implementati a livello di firewall o di protezione dell'endpoint gestito. Le e-mail di phishing sarebbero progettate per raccogliere le credenziali di accesso per la persona presa di mira e, in caso di successo, gli aggressori ignorerebbero immediatamente qualsiasi misura di gestione dell'identità che potrebbe essere in atto e trovarsi all'interno della rete di destinazione.
Con le rivelazioni sulla raccolta di informazioni sugli utenti da Facebook, la natura della minaccia si espande. In una violazione condotta sotto forma di ricerca accademica a partire dal 2014, un ricercatore russo ha ottenuto l'accesso a circa 50 milioni di profili utente dei membri americani di Facebook. Tali profili sono stati passati a Cambridge Analytica. Indagini successive hanno rivelato che questi dati sono stati raccolti senza l'autorizzazione di quegli utenti di Facebook e quindi utilizzati in modo improprio.
Controllo delle comunicazioni esterne
Ciò solleva la questione di quali informazioni le imprese caute dovrebbero rendere disponibili tramite i loro siti Web. Peggio ancora, quella query probabilmente dovrebbe estendersi alle presenze sui social media dell'organizzazione, canali di marketing di terze parti come Youtube e persino profili di social media dei dipendenti di alto profilo.
"Penso che debbano essere avveduti su ciò che c'è sui siti Web della loro azienda", ha affermato Leo Taddeo, Chief Information Security Officer (CISO) di Cyxtera ed ex agente speciale responsabile della Cyber Division dell'ufficio locale dell'FBI a New York City. "Esiste un grande potenziale per la divulgazione involontaria di informazioni."
Taddeo ha detto che un buon esempio è nelle offerte di lavoro in cui puoi rivelare quali strumenti stai usando per lo sviluppo o anche quali specialità di sicurezza stai cercando. "Ci sono molti modi in cui le aziende possono esporsi. C'è una vasta area. Non solo il sito Web e non solo comunicazioni deliberate", ha affermato.
Taddeo ha avvertito che i siti Web di media professionali, come LinkedIn, rappresentano anche un rischio per coloro che non stanno attenti. Ha detto che gli avversari creano account falsi su tali siti Web che mascherano chi sono realmente e quindi usano le informazioni dai loro contatti. "Qualunque cosa pubblicano su siti di social media può compromettere il loro datore di lavoro", ha detto.
Dato che i cattivi attori che ti stanno prendendo di mira potrebbero essere alla ricerca dei tuoi dati o dopo un'organizzazione con cui lavori, la domanda non è solo come proteggerti, ma anche come proteggere il tuo partner commerciale? Ciò è complicato dal fatto che potresti non sapere se gli attaccanti potrebbero essere dopo i tuoi dati o semplicemente vederti come un trampolino di lancio e forse una posizione di sosta per il prossimo attacco.
Come proteggersi
Ad ogni modo, ci sono alcuni passaggi che puoi prendere. Il modo migliore per affrontarlo è sotto forma di audit delle informazioni. Enumera tutti i canali che la tua azienda sta utilizzando per le comunicazioni esterne, sicuramente marketing, ma anche risorse umane, pubbliche relazioni e catena di approvvigionamento, tra gli altri. Quindi creare un team di audit che contenga parti interessate di tutti i canali interessati e iniziare ad analizzare sistematicamente ciò che è là fuori e con un occhio alle informazioni che potrebbero essere utili ai ladri di dati. Innanzitutto, inizia con il sito Web della tua azienda:
- Ora considera i tuoi servizi cloud allo stesso modo. Spesso è una configurazione predefinita per rendere amministratori senior dirigenti di società su servizi cloud aziendali di terze parti, come ad esempio gli account Google Analytics o Salesforce della tua azienda. Se non hanno bisogno di quel livello di accesso, considera di lasciarli allo stato di utente e di lasciare i livelli di accesso amministrativo al personale IT i cui accessi e-mail sarebbero più difficili da trovare.
Esamina il sito web della tua azienda per tutto ciò che potrebbe fornire dettagli sul lavoro che fai o sugli strumenti che usi. Ad esempio, lo schermo di un computer che appare in una foto potrebbe contenere informazioni importanti. Controlla le foto delle attrezzature di produzione o dell'infrastruttura di rete, che possono fornire indizi utili agli aggressori.
Guarda l'elenco del personale. Sono elencati gli indirizzi e-mail per il personale senior? Tali indirizzi non solo forniscono a un utente malintenzionato un potenziale indirizzo di accesso, ma anche un modo per falsificare le e-mail inviate ad altri dipendenti. Prendi in considerazione la possibilità di sostituire quelli con un link a un modulo o utilizza un indirizzo email diverso per il consumo pubblico rispetto all'uso interno.
Il tuo sito web dice chi sono i tuoi clienti o partner? Questo può fornire a un utente malintenzionato un altro modo per attaccare la tua organizzazione se hanno problemi a superare la tua sicurezza.
Controlla le tue offerte di lavoro. Quanto rivelano sugli strumenti, le lingue o altri aspetti della tua azienda? Prendi in considerazione l'idea di lavorare attraverso una società di reclutamento per separarti da tali informazioni.
Guarda la tua presenza sui social media, tenendo presente che i tuoi avversari cercheranno sicuramente di estrarre informazioni tramite questo canale. Vedi anche quante informazioni sulla tua azienda vengono rivelate nei post dal tuo staff senior. Non puoi controllare tutto sulle attività dei tuoi dipendenti sui social media, ma puoi tenerlo d'occhio.
Considera la tua architettura di rete. Taddeo raccomanda un approccio secondo necessità in cui l'accesso dell'amministratore è concesso solo quando è necessario e solo per il sistema che richiede attenzione. Suggerisce di utilizzare un perimetro definito dal software (SDP), originariamente sviluppato dal Dipartimento della Difesa degli Stati Uniti. "In definitiva, i diritti di accesso di ciascun utente vengono modificati dinamicamente in base all'identità, al dispositivo, alla rete e alla sensibilità dell'applicazione", ha affermato. "Questi sono guidati da criteri facilmente configurabili. Allineando l'accesso alla rete con l'accesso alle applicazioni, gli utenti rimangono pienamente produttivi mentre la superficie di attacco è drasticamente ridotta."
Infine, Taddeo ha dichiarato di cercare le vulnerabilità create da Shadow IT. A meno che tu non lo cerchi, potresti avere il tuo duro lavoro di sicurezza bypassato perché qualcuno ha installato un router wireless nel loro ufficio in modo da poter utilizzare più facilmente il loro iPad personale al lavoro. Anche i servizi cloud di terze parti sconosciuti rientrano in questa categoria. Nelle organizzazioni di grandi dimensioni, non è insolito che i capi dipartimento firmino semplicemente i loro dipartimenti per servizi cloud convenienti per aggirare ciò che vedono come "burocrazia" IT.
Ciò può includere servizi IT di base, come l'utilizzo di Dropbox Business come archiviazione di rete o l'utilizzo di un diverso servizio di automazione del marketing perché la registrazione per lo strumento ufficiale supportato dall'azienda è troppo lenta e richiede la compilazione di troppi moduli. Servizi software come questi possono esporre grandi quantità di dati sensibili senza che l'IT ne sia nemmeno a conoscenza. Assicurati di sapere quali app vengono utilizzate nella tua organizzazione, da chi e che hai il pieno controllo di chi ha accesso.
L'audit in questo modo è noioso e talvolta richiede tempo, ma a lungo termine può pagare grandi dividendi. Fino a quando i tuoi avversari non ti seguiranno, non sai cosa possiedi che valga la pena rubare. Quindi è necessario avvicinarsi alla sicurezza in modo flessibile tenendo sempre d'occhio ciò che conta; e l'unico modo per farlo è essere accuratamente informato su ciò che è in esecuzione sulla tua rete.
