สิ่งที่การโจมตีของกริดพลังงานของรัสเซียสามารถสอนได้ทุกอาชีพ

ถึงตอนนี้คุณได้ทราบว่าการสอบสวนร่วมกันโดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และกระทรวงความมั่นคงแห่งสหรัฐอเมริกาได้นำไปสู่รายงานว่านักปฏิบัติการชาวรัสเซียได้เจาะเข้าไปใน บริษัท ที่เป็นส่วนหนึ่งของตารางพลังงานในสหรัฐอเมริกา การโจมตีดังกล่าวมีรายละเอียดในรายงานจากทีมงานเตรียมความพร้อมฉุกเฉินคอมพิวเตอร์ของสหรัฐ (US-CERT) ที่อธิบายถึงวิธีที่ผู้โจมตีสามารถเจาะโรงไฟฟ้าและสิ่งที่พวกเขาทำกับข้อมูลที่ขโมยมา

สิ่งที่ไม่ได้อยู่ในรายงานของสื่อคือข้อเท็จจริงที่ควรทำให้เกิดความกังวลต่อผู้เชี่ยวชาญด้านไอทีไม่ว่าพวกเขาจะทำงานให้กับธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) หรือองค์กรขนาดใหญ่ ความจริงนั่นคือเส้นทางที่ผู้โจมตีใช้ประโยชน์ผ่านพันธมิตรขนาดเล็กกว่าของเป้าหมายขั้นสุดท้าย พวกเขาเริ่มการโจมตีโดยการเจาะการป้องกันของพันธมิตรขนาดเล็กเหล่านั้นเพราะพวกเขามีแนวโน้มที่จะได้รับการป้องกันที่อ่อนแอและจากนั้นพวกเขาใช้ข้อมูลและทรัพยากรที่รวบรวมได้จากที่นั่นเพื่อโจมตีสถานที่ต่อไป

กายวิภาคของการโจมตีแบบฟิชชิ่ง

วิธีหลักในการเข้าถึงคู่ค้าที่มีขนาดเล็กคือการหาข้อมูลสาธารณะซึ่งเมื่อรวมกับข้อมูลอื่นแล้วจะให้ระดับรายละเอียดที่จำเป็นสำหรับขั้นตอนต่อไป ตัวอย่างเช่นผู้โจมตีอาจตรวจสอบเว็บไซต์ของ บริษัท ที่ทำธุรกิจด้วยเป้าหมายสูงสุดและที่นั่นเขาอาจพบที่อยู่อีเมลของผู้บริหารระดับสูงทั้งใน บริษัท ของคู่ค้าหรือเป้าหมายขั้นสุดท้าย จากนั้นผู้โจมตีอาจตรวจสอบข้อมูลอื่น ๆ จากเว็บไซต์ของทั้งสอง บริษัท เพื่อดูว่าความสัมพันธ์คืออะไรบริการใดบ้างที่ให้บริการโดยใครและบางอย่างเกี่ยวกับโครงสร้างของแต่ละ บริษัท

ด้วยข้อมูลดังกล่าวผู้โจมตีสามารถเริ่มส่งอีเมลฟิชชิ่งที่น่าเชื่อถืออย่างสูงจากที่อยู่อีเมลที่ถูกต้องตามกฎหมาย รายการที่มีรายละเอียดที่สร้างขึ้นอย่างเพียงพอซึ่งอาจเอาชนะตัวกรองฟิชชิ่งที่วางไว้ในไฟร์วอลล์หรือระดับการป้องกันปลายทางที่ได้รับการจัดการ อีเมลฟิชชิ่งจะได้รับการออกแบบมาเพื่อรวบรวมข้อมูลการล็อกอินสำหรับบุคคลที่ถูกกำหนดเป้าหมายและหากประสบความสำเร็จผู้โจมตีจะข้ามมาตรการจัดการข้อมูลประจำตัวใด ๆ ที่อาจมีอยู่และอยู่ในเครือข่ายเป้าหมายทันที

ด้วยการเปิดเผยเกี่ยวกับการเก็บข้อมูลผู้ใช้จาก Facebook ลักษณะของภัยคุกคามนั้นขยายตัว ในการละเมิดดำเนินการภายใต้หน้ากากของการวิจัยทางวิชาการเริ่มต้นในปี 2014 นักวิจัยชาวรัสเซียได้รับการเข้าถึงโปรไฟล์ผู้ใช้ประมาณ 50 ล้านโปรไฟล์ของสมาชิกอเมริกัน Facebook โปรไฟล์เหล่านั้นถูกส่งไปที่ Cambridge Analytica การตรวจสอบครั้งต่อมาได้เปิดเผยว่าข้อมูลนี้ถูกนำไปใช้โดยไม่ได้รับอนุญาตจากผู้ใช้ Facebook เหล่านั้นแล้วนำไปใช้ในทางที่ผิด

การตรวจสอบการสื่อสารภายนอก

สิ่งนี้ทำให้เกิดคำถามว่าธุรกิจที่ระมัดระวังข้อมูลใดควรเปิดเผยผ่านเว็บไซต์ของพวกเขา ยิ่งไปกว่านั้นคำถามดังกล่าวยังต้องการขยายไปสู่การแสดงตนผ่านโซเชียลมีเดียขององค์กรช่องทางการตลาดของบุคคลที่สามเช่น Youtube และแม้แต่โปรไฟล์โซเชียลมีเดียของพนักงานที่มีชื่อเสียง

“ ฉันคิดว่าพวกเขาจะต้องระมัดระวังเกี่ยวกับสิ่งที่อยู่ในเว็บไซต์ บริษัท ของพวกเขา” Leo Taddeo หัวหน้าเจ้าหน้าที่ความปลอดภัยของข้อมูล (CISO) สำหรับ Cyxtera และตัวแทนพิเศษอดีตที่ดูแลแผนก Cyber ​​ของสำนักงานเขตนิวยอร์กของ FBI "มีศักยภาพที่ดีในการเปิดเผยข้อมูลโดยไม่ตั้งใจ"

Taddeo กล่าวว่าหนึ่งในตัวอย่างที่ดีคือในการโพสต์งานที่คุณสามารถเปิดเผยเครื่องมือที่คุณใช้สำหรับการพัฒนาหรือแม้แต่ความปลอดภัยที่คุณกำลังมองหา “ มีหลายวิธีที่ บริษัท สามารถเปิดเผยตัวเองได้มีพื้นที่ขนาดใหญ่ไม่ใช่แค่เว็บไซต์และไม่ใช่แค่การสื่อสารโดยเจตนา” เขากล่าว

"สื่อสังคมออนไลน์นั้นมีความเสี่ยง" Taddeo อธิบายโดยชี้ให้เห็นว่าพนักงานที่โพสต์บนโซเชียลมีเดียสามารถเปิดเผยข้อตกลงที่ยอดเยี่ยมได้โดยไม่ตั้งใจ เขาชี้ให้เห็นว่าพนักงานที่บอกว่าพวกเขาไม่พอใจกับงานของพวกเขาสามารถเปิดเผยเป้าหมายในการแสวงหาผลประโยชน์ “ พนักงานที่พูดในรายละเอียดเกี่ยวกับงานหรือความสำเร็จของพวกเขานั้นมีความเสี่ยงการทำเหมืองสื่อโซเชียลนั้นมีประสิทธิภาพมากสำหรับฝ่ายตรงข้าม”

Taddeo เตือนว่าเว็บไซต์สื่อระดับมืออาชีพเช่น LinkedIn เป็นความเสี่ยงสำหรับผู้ที่ไม่ระวัง เขาบอกว่าฝ่ายตรงข้ามสร้างบัญชีปลอมในเว็บไซต์ดังกล่าวซึ่งปลอมตัวว่าพวกเขาเป็นใครจริง ๆ แล้วใช้ข้อมูลจากผู้ติดต่อของพวกเขา “ สิ่งที่พวกเขาโพสต์บนเว็บไซต์สื่อสังคมออนไลน์อาจประนีประนอมนายจ้าง” เขากล่าว

จากข้อเท็จจริงที่ว่านักแสดงที่ไม่ดีที่กำหนดเป้าหมายคุณอาจตามหลังข้อมูลของคุณหรืออาจเป็นองค์กรที่คุณทำงานคำถามนี้ไม่เพียง แต่จะปกป้องตัวคุณเอง แต่ยังปกป้องพันธมิตรทางธุรกิจของคุณได้อย่างไร นี่คือความซับซ้อนโดยข้อเท็จจริงที่ว่าคุณอาจไม่ทราบว่าผู้โจมตีอาจตามข้อมูลของคุณหรือเพียงแค่เห็นว่าคุณเป็นหินก้าวและอาจเป็นสถานที่สำหรับการโจมตีครั้งต่อไป

วิธีการป้องกันตัวเอง

ทั้งสองวิธีมีบางขั้นตอนที่คุณสามารถทำได้ วิธีที่ดีที่สุดในการเข้าถึงสิ่งนี้คือในรูปแบบของการตรวจสอบข้อมูล ระบุช่องทางทั้งหมดที่ บริษัท ของคุณใช้สำหรับการสื่อสารภายนอกการตลาดอย่างแน่นอน แต่ยังรวมถึง HR, PR และซัพพลายเชน จากนั้นสร้างทีมตรวจสอบที่มีผู้มีส่วนได้ส่วนเสียจากทุกช่องทางที่ได้รับผลกระทบและเริ่มวิเคราะห์สิ่งที่อยู่ในนั้นอย่างเป็นระบบและมองหาข้อมูลที่อาจเป็นประโยชน์ต่อการขโมยข้อมูล เริ่มแรกด้วยเว็บไซต์ บริษัท ของคุณ:

ตรวจสอบเว็บไซต์ บริษัท ของคุณเพื่อหาสิ่งที่อาจให้รายละเอียดเกี่ยวกับงานที่คุณทำหรือเครื่องมือที่คุณใช้ ตัวอย่างเช่นหน้าจอคอมพิวเตอร์ที่ปรากฏในภาพถ่ายอาจมีข้อมูลที่สำคัญ ตรวจสอบภาพถ่ายของอุปกรณ์การผลิตหรือโครงสร้างพื้นฐานเครือข่ายซึ่งสามารถให้เบาะแสที่เป็นประโยชน์ต่อผู้โจมตี

ดูรายการพนักงาน คุณมีที่อยู่อีเมลสำหรับพนักงานอาวุโสของคุณในรายการหรือไม่ ที่อยู่เหล่านั้นไม่เพียง แต่ให้ที่อยู่การเข้าสู่ระบบที่เป็นไปได้ของผู้โจมตีเท่านั้น แต่ยังเป็นวิธีการหลอกลวงอีเมลที่ส่งถึงพนักงานคนอื่น พิจารณาแทนที่ผู้ใช้ด้วยลิงก์ไปยังแบบฟอร์มหรือใช้ที่อยู่อีเมลอื่นเพื่อการบริโภคสาธารณะกับการใช้งานภายใน

เว็บไซต์ของคุณบอกว่าลูกค้าหรือคู่ค้าของคุณเป็นใคร? วิธีนี้สามารถให้ผู้โจมตีอีกวิธีหนึ่งในการโจมตีองค์กรของคุณหากพวกเขามีปัญหาในการผ่านการรักษาความปลอดภัยของคุณ

ตรวจสอบประกาศรับสมัครงานของคุณ พวกเขาเปิดเผยเกี่ยวกับเครื่องมือภาษาหรือแง่มุมอื่น ๆ ของ บริษัท ของคุณมากน้อยเพียงใด พิจารณาทำงานผ่าน บริษัท จัดหางานเพื่อแยกตัวคุณเองออกจากข้อมูลนั้น

ดูการปรากฏตัวของโซเชียลมีเดียโปรดจำไว้ว่าศัตรูของคุณจะพยายามหาข้อมูลผ่านช่องทางนี้ ดูว่าข้อมูลเกี่ยวกับ บริษัท ของคุณถูกเปิดเผยในการโพสต์โดยพนักงานอาวุโสของคุณ คุณไม่สามารถควบคุมทุกอย่างเกี่ยวกับกิจกรรมของพนักงานของคุณบนโซเชียลมีเดีย แต่คุณสามารถจับตาดูมันได้

พิจารณาสถาปัตยกรรมเครือข่ายของคุณ Taddeo แนะนำวิธีการตามที่ต้องการซึ่งการเข้าถึงของผู้ดูแลระบบจะได้รับก็ต่อเมื่อจำเป็นเท่านั้นและสำหรับระบบที่ต้องการความสนใจเท่านั้น เขาแนะนำให้ใช้ซอฟต์แวร์กำหนดขอบเขต (SDP) ซึ่งพัฒนาโดยกระทรวงกลาโหมสหรัฐ "ในที่สุดการให้สิทธิ์การเข้าถึงของผู้ใช้แต่ละคนจะถูกเปลี่ยนแปลงแบบไดนามิกตามเอกลักษณ์อุปกรณ์เครือข่ายและความไวของแอปพลิเคชัน" เขากล่าว "สิ่งเหล่านี้ขับเคลื่อนด้วยนโยบายที่กำหนดค่าได้ง่ายโดยการปรับการเข้าถึงเครือข่ายกับการเข้าถึงแอพพลิเคชั่นผู้ใช้จะยังคงทำงานได้อย่างเต็มที่

• พิจารณาบริการคลาวด์ของคุณด้วยวิธีเดียวกัน มักจะเป็นการกำหนดค่าเริ่มต้นเพื่อให้ผู้ดูแลระบบของ บริษัท ระดับสูงในบริการคลาวด์ของ บริษัท อื่นเช่นบัญชี Google Analytics หรือบัญชี Salesforce ของคุณ หากพวกเขาไม่ต้องการระดับการเข้าถึงดังกล่าวให้ลองทิ้งพวกเขาไปยังสถานะผู้ใช้และปล่อยให้ระดับการเข้าถึงระดับผู้ดูแลระบบแก่บุคลากรด้านไอทีซึ่งการเข้าสู่ระบบอีเมลจะยากต่อการค้นหา

ในที่สุด Taddeo บอกว่าจะมองหาช่องโหว่ที่สร้างโดย shadow IT หากคุณไม่ได้มองหาคุณสามารถหลีกเลี่ยงการรักษาความปลอดภัยอย่างหนักเพราะมีคนติดตั้งเราเตอร์ไร้สายไว้ในสำนักงานเพื่อให้สามารถใช้งาน iPad ส่วนตัวได้ง่ายขึ้นในที่ทำงาน บริการคลาวด์ของบุคคลที่สามที่ไม่รู้จักยังอยู่ในหมวดหมู่นี้ ในองค์กรขนาดใหญ่ไม่ใช่เรื่องผิดปกติที่หัวหน้าแผนกจะเพียงลงทะเบียนแผนกของพวกเขาเพื่อให้บริการคลาวด์ที่สะดวกสบายเพื่อหลีกเลี่ยงสิ่งที่พวกเขาเห็นว่าเป็น "เทปสีแดง" ด้านไอที

ซึ่งอาจรวมถึงบริการไอทีหลักเช่นการใช้ Dropbox Business เป็นที่เก็บข้อมูลเครือข่ายหรือใช้บริการระบบอัตโนมัติทางการตลาดที่แตกต่างกันเนื่องจากการลงทะเบียนสำหรับเครื่องมือที่ได้รับการสนับสนุนอย่างเป็นทางการขององค์กรช้าเกินไปและต้องกรอกแบบฟอร์มมากเกินไป บริการซอฟต์แวร์เช่นนี้สามารถเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ต้องใช้ไอทีแม้จะรับรู้ถึงข้อมูลเหล่านั้น ตรวจสอบให้แน่ใจว่าคุณรู้ว่ามีแอปใดบ้างที่ถูกใช้ในองค์กรของคุณโดยใครและคุณเป็นใครในการควบคุมว่าใครสามารถเข้าถึงได้

งานตรวจสอบเช่นนี้น่าเบื่อและบางครั้งใช้เวลานาน แต่สามารถจ่ายเงินปันผลก้อนโตได้ในระยะยาว จนกว่าศัตรูของคุณจะตามมาคุณก็ไม่รู้ว่าคุณมีอะไรที่อาจจะคุ้มค่าแก่การขโมย ดังนั้นคุณต้องเข้าหาความปลอดภัยในลักษณะที่ยืดหยุ่นในขณะที่ยังคอยจับตาดูสิ่งที่สำคัญ และวิธีเดียวที่จะทำเช่นนั้นคือได้รับการแจ้งอย่างละเอียดเกี่ยวกับสิ่งที่ทำงานบนเครือข่ายของคุณ