תוכן עניינים:
וִידֵאוֹ: No ₩ª¥ (נוֹבֶמבֶּר 2024)
כעת שמעת כי חקירה משותפת של הלשכה הפדרלית לחקירה (FBI) והמשרד האמריקני לביטחון פנים הובילה לדיווח כי פעילים רוסים פרצו לחברות שהן חלק מרשת הכוח בארה"ב. ההתקפות מתוארות בפירוט בדו"ח מצוות מוכנות החירום האמריקנית למחשבים (US-CERT) המתאר כיצד הצליחו התוקפים לחדור למתקני האנרגיה ומה עשו עם המידע שגנבו.
אנטומיה של התקפת דיוג חכמה
אמצעי עיקרי להשגת גישה לבן הזוג הקטן יותר היה למצוא מידע ציבורי, אשר יחד עם מידע אחר, יספק את רמת הפרטים הדרושים לשלב הבא. לדוגמה, תוקף עשוי לבחון את אתר האינטרנט של חברה שעושה עסקים עם היעד האולטימטיבי ושם הוא עשוי למצוא את כתובת הדואר האלקטרוני של בכיר בחברת השותף או היעד הסופי. אז התוקף עשוי לבחון מידע אחר מאתרי החברה בשני כדי לראות מה הקשר, אילו שירותים ניתנים על ידי מי ומשהו במבנה של כל חברה.
חמוש במידע זה, התוקף יכול להתחיל לשלוח דוא"ל דיוג משכנע ביותר ממה שנראה ככתובת דוא"ל לגיטימית; כאלו עם פירוט מספיק בעל מבנה שעשוי בהחלט להביס את כל מסנני הדיוג המוצבים בחומת האש או ברמת ההגנה של נקודת הקצה. כתובות דוא"ל הדיוג נועדו לקצור תעודות כניסה לאדם שממוקד אליו. אם מישהו מהם מצליח, התוקפים היו עוקפים מייד את כל אמצעי ניהול הזהות שעלולים להתקיים ונמצאים בתוך רשת היעד.
עם הגילויים אודות קצירת מידע משתמשים מפייסבוק, אופי האיום מתרחב. בהפרה שנערכה במסווה של מחקר אקדמי החל משנת 2014, חוקר רוסי זכה לגישה לכ -50 מיליון פרופילי משתמשים של חברי פייסבוק אמריקאים. הפרופילים הללו הועברו לקיימברידג 'אנליטיקה. מחקירות שלאחר מכן התברר כי נתונים אלה נלקחו ללא אישורם של אותם משתמשי פייסבוק ואז נעשה בהם שימוש לרעה.
ביקורת על תקשורת חיצונית
זה מעלה את השאלה רק איזה עסקים זהירים צריכים להנגיש דרך אתרי האינטרנט שלהם. גרוע מכך, סביר להניח ששאילתה זו צריכה להרחיב את נוכחות המדיה החברתית של הארגון, ערוצי שיווק של צד שלישי כמו Youtube ואף פרופילי מדיה חברתית גבוהה של עובדים.
ליאו טדדו, סמנכ"ל אבטחת מידע (CISO) של סייקסטרה, וסוכן מיוחד לשעבר האחראי על חטיבת הסייבר במשרד השדה של ה- FBI בניו יורק בעיר, אמר ליאו טדדו, קצין אבטחת מידע (CISO). "יש פוטנציאל גדול לחשיפת מידע בשוגג."
Taddeo אמר שדוגמא אחת טובה היא בהודעות עבודה בהן תוכלו לחשוף אילו כלים אתם משתמשים לפיתוח או אפילו אילו התמחויות אבטחה אתם מחפשים. "יש הרבה דרכים שחברות יכולות לחשוף את עצמן. יש שטח פנים גדול. לא רק האתר ולא רק תקשורת מכוונת, " אמר.
Taddeo הזהיר כי אתרי מדיה מקצועיים, כמו לינקדאין, מהווים גם הם סיכון למי שלא נזהר. הוא אמר כי היריבים יוצרים חשבונות מזויפים באתרים כאלה שמסווים את מי שהם באמת ואז משתמשים במידע מאנשי הקשר שלהם. "כל מה שהם מפרסמים באתרי מדיה חברתית עלול לפגוע במעסיק שלהם, " אמר.
בהתחשב בעובדה שהשחקנים הרעים שמכוונים אליך עשויים להיות אחרי הנתונים שלך, או שהם עשויים להיות אחרי ארגון איתו אתה עובד, השאלה היא לא רק איך אתה מגן על עצמך אלא איך אתה גם מגן על השותף העסקי שלך? זה מסובך מהעובדה שאולי אינך יודע אם התוקפים עשויים להיות אחרי הנתונים שלך או סתם רואים בך נקודת מדרגה ואולי מיקום הבמה לפיגוע הבא.
כיצד להגן על עצמך
כך או כך, יש כמה צעדים שתוכלו לנקוט. הדרך הטובה ביותר לגשת לכך היא בצורה של ביקורת מידע. למנות את כל הערוצים שבהם משתמשת החברה שלך לתקשורת חיצונית, בטח שיווקית, אך גם HR, PR, ושרשרת האספקה בין היתר. לאחר מכן בנה צוות ביקורת שמכיל בעלי עניין מכל הערוצים המושפעים והתחל לנתח את מה שיש שם באופן שיטתי ובמבט אל מידע שעשוי להועיל לגנבי נתונים. ראשית, התחל עם אתר החברה שלך:
- כעת שקלו את שירותי הענן שלכם באותה צורה. לעיתים קרובות זוהי תצורת ברירת מחדל לגרום למנהלים בכירים בחברה לשירותי ענן של חברות צד שלישי, למשל חשבונות Google Analytics או Salesforce של החברה שלך. אם הם אינם זקוקים לרמת גישה כזו, שקול להוריד אותם למצב המשתמש ולהשאיר רמות גישה ניהוליות לאנשי IT אשר יהיה קשה יותר למצוא את כניסות הדוא"ל שלהם.
בדוק את אתר החברה שלך בכל מה שעשוי לספק פרטים על העבודה שאתה מבצע או על הכלים שבהם אתה משתמש. לדוגמה, מסך מחשב המופיע בתמונה עשוי להכיל מידע חשוב. בדוק אם יש תמונות של ציוד ייצור או תשתית רשת שיכולות לספק רמזים מועילים לתוקפים.
התבונן ברשימת הצוותים. יש לך כתובות דוא"ל לצוות הבכיר שלך ברשימה? כתובות אלה מספקות לא רק לתוקף כתובת כניסה אפשרית, אלא גם דרך לזייף מיילים שנשלחים לעובדים אחרים. שקול להחליף כאלה בקישור לטופס או להשתמש בכתובת דוא"ל אחרת לצריכה ציבורית לעומת שימוש פנימי.
האם האתר שלך אומר מי הלקוחות או השותפים שלך? זה יכול לספק לתוקף דרך נוספת לתקוף את הארגון שלך אם הוא מתקשה לעבור את האבטחה שלך.
בדוק את רישומי העבודה שלך. כמה הם חושפים על הכלים, השפות או היבטים אחרים של החברה שלך? שקול לעבוד באמצעות חברת גיוס כדי להפריד את עצמך ממידע זה.
התבונן בנוכחות שלך במדיה החברתית, קח בחשבון שהיריבים שלך בהחלט ינסו להשיג מידע דרך ערוץ זה. ראה גם כמה מידע על החברה שלך נחשף בפוסטים על ידי הצוות הבכיר שלך. אינך יכול לשלוט בכל מה שקשור בפעילות העובדים שלך במדיה החברתית, אך אתה יכול לפקוח עין על כך.
שקול את ארכיטקטורת הרשת שלך. Taddeo ממליץ על גישה לפי הצורך בה ניתנת גישה למנהל רק כשצריך ורק למערכת הזקוקה לתשומת לב. הוא מציע להשתמש בתוכנה מוגדרת היקפית (SDP), אשר במקור פותחה על ידי משרד ההגנה האמריקני. "בסופו של דבר, הרשאות הגישה של כל משתמש משתנות באופן דינמי על סמך זהות, מכשיר, רשת ורגישות לאפליקציות", אמר. "אלה מונעים על ידי מדיניות המוגדרת בקלות. על ידי התאמת גישה לרשת לגישה ליישומים, המשתמשים נותרו פרודוקטיביים לחלוטין בעוד שטחי ההתקפה מצטמצמים באופן דרמטי."
לבסוף, Taddeo אמר לחפש פגיעויות שנוצרו על ידי צל IT. אלא אם כן אתה מחפש את זה, אתה יכול לעקוף את עבודת האבטחה הקשה שלך מכיוון שמישהו התקין נתב אלחוטי במשרדו, כך שיוכלו לעשות שימוש קל יותר ב- iPad האישי שלהם בעבודה. שירותי ענן לא ידועים של צד שלישי נכללים גם הם בקטגוריה זו. בארגונים גדולים זה לא נדיר שראשי מחלקות פשוט רשמו את המחלקות שלהם לשירותי ענן נוחים כדי לעקוף את מה שהם רואים כ- "קלטת אדום" של ה- IT.
זה יכול לכלול שירותי IT מרכזיים, כמו שימוש ב- Dropbox Business כאחסון רשת או שימוש בשירות אוטומציה שיווקי שונה מכיוון שההרשמה לכלי הרשמי המגובה על ידי החברה איטית מדי ומחייבת מילוי טפסים רבים מדי. שירותי תוכנה כמו אלה יכולים לחשוף גלים של נתונים רגישים מבלי שזה בכלל מודע להם. וודא שאתה יודע באילו אפליקציות משתמשים בארגון שלך, על ידי מי, ושאתה שולט היטב במי יש גישה.
עבודת ביקורת כזו מייגעת ולפעמים גם זמן רב, אך היא יכולה לשלם דיבידנדים גדולים בטווח הרחוק. עד שיריביהם יגיעו אחריך, אינך יודע מה יש לך שאולי כדאי לגנוב. אז אתה צריך לפנות לאבטחה באופן גמיש תוך שאתה עדיין עוקב אחר מה שחשוב; והדרך היחידה לעשות זאת היא לקבל מידע יסודי על מה שרץ ברשת שלך.
