Turinys:
Video: What is the greenhouse effect? | Global Ideas (Lapkritis 2024)
Iki šiol girdėjote, kad Federalinio tyrimų biuro (FTB) ir JAV vidaus saugumo departamento bendras tyrimas paskatino pranešti, kad Rusijos operatyvininkai įsilaužė į bendroves, kurios yra JAV elektros tinklo dalis. Atakos išsamiai aprašytos JAV kompiuterinės avarinės parengties komandos (US-CERT) ataskaitoje, kurioje aprašoma, kaip užpuolikai galėjo įsiskverbti į energetikos objektus ir ką jie padarė su pavogta informacija.
Protingo sukčiavimo priepuolio anatomija
Pagrindinė priemonė, leidžianti patekti į mažesnįjį partnerį, buvo surasti viešąją informaciją, kuri, sudėjus į kitą informaciją, suteiktų kitam žingsniui reikalingą išsamumo lygį. Pvz., Užpuolikas gali apžiūrėti įmonės, užsiimančios pagrindiniu tikslu, svetainę ir ten jis gali rasti vyresniojo vadovo el. Pašto adresą partnerio įmonėje arba galutinį tikslą. Tada užpuolikas gali išnagrinėti kitą informaciją iš abiejų kompanijų svetainių, kad pamatytų, kokie yra santykiai, kokias paslaugas teikia kas ir ką apie kiekvienos įmonės struktūrą.
Apsiginklavęs šia informacija, užpuolikas gali pradėti siųsti labai įtikinamus sukčiavimo el. Laiškus iš to, kas atrodo teisėtas el. Pašto adresas; tie, kuriuose yra pakankamai meistriškų detalių, galinčių nugalėti visus sukčiavimo filtrus, įdiegtus užkardoje ar valdomą galinio taško apsaugos lygį. Sukčiavimo elektroniniai el. Laiškai būtų sukurti tam, kad būtų surinkti tikslinio asmens prisijungimo duomenys, o jei kuris iš jų bus sėkmingas, užpuolikai akimirksniu aplenks visas galimas tapatybės valdymo priemones, esančias tiksliniame tinkle.
Atsiradus paaiškinimams apie vartotojų informacijos rinkimą iš „Facebook“, grėsmės pobūdis išplečiamas. Po 2014 m. Pradėto pažeidimo, atlikto vadovaujant akademiniais tyrimais, Rusijos tyrinėtojas gavo prieigą prie maždaug 50 milijonų Amerikos „Facebook“ narių profilių. Tie profiliai buvo perduoti „Cambridge Analytica“. Vėlesni tyrimai atskleidė, kad šie duomenys buvo paimti be tų „Facebook“ vartotojų leidimo ir vėliau buvo neteisėtai naudojami.
Išorės ryšių auditas
Taigi kyla klausimas, kokią informaciją atsargios įmonės turėtų pateikti savo interneto svetainėse. Blogiau, kad ši užklausa greičiausiai turi apimti organizacijos socialinės žiniasklaidos pristatymus, trečiųjų šalių rinkodaros kanalus, tokius kaip „Youtube“, ir net aukšto lygio darbuotojų socialinės žiniasklaidos profilius.
„Aš manau, kad jie turi būti apdairūs dėl to, kas yra jų įmonių tinklalapiuose“, - sakė Leo Taddeo, „Cyxtera“ vyriausiasis informacijos saugumo pareigūnas (CISO) ir buvęs specialusis agentas, atsakingas už FTB Niujorko miesto biuro kibernetinį skyrių. "Yra didelis potencialas netyčia atskleisti informaciją."
Taddeo teigė, kad vienas geras pavyzdys yra darbo skelbimas, kuriame galite atskleisti, kokius įrankius naudojate plėtrai ar net kokias saugumo specialybes ieškote. "Yra daugybė būdų, kuriais įmonės gali atsiskleisti. Yra didelis paviršiaus plotas. Ne tik svetainė ir ne tik sąmoninga komunikacija", - sakė jis.
Taddeo perspėjo, kad profesionalios žiniasklaidos svetainės, tokios kaip „LinkedIn“, taip pat kelia pavojų tiems, kurie nėra atsargūs. Jis sakė, kad priešininkai tokiose interneto svetainėse sukuria netikras paskyras, kurios užmaskuoja, kas jie iš tikrųjų yra, ir paskui naudoja informaciją iš savo kontaktų. „Tai, ką jie skelbia socialinės žiniasklaidos svetainėse, gali pakenkti jų darbdaviui“, - sakė jis.
Atsižvelgiant į tai, kad blogi veikėjai, nukreipiantys į jus, gali būti po jūsų duomenų arba po organizacijos, su kuria dirbate, klausimas yra ne tik tai, kaip jūs save ginate, bet ir tai, kaip jūs taip pat ginate savo verslo partnerį? Tai apsunkina tai, kad jūs negalite žinoti, ar užpuolikai gali būti po jūsų duomenų, ar tiesiog mato jus kaip laiptelį ir galbūt sustojimo vietą kitai atakai.
Kaip apsisaugoti
Bet kuriuo atveju, galite atlikti kelis veiksmus. Geriausias būdas tai pasiekti yra informacijos auditas. Išvardykite visus kanalus, kuriuos jūsų įmonė naudoja išorės ryšiams, be abejo, rinkodarai, taip pat HR, PR ir tiekimo grandinę. Tada suformuokite audito grupę, į kurią įeina suinteresuotieji subjektai iš visų paveiktų kanalų, ir pradėkite sistemingai analizuoti, kas ten yra, žiūrėdami į informaciją, kuri gali būti naudinga duomenų vagims. Pirmiausia pradėkite nuo savo įmonės svetainės:
- Dabar taip pat apsvarstykite savo debesies paslaugas. Paprastai tai yra numatytoji konfigūracija, kad vyresnieji įmonės vadovai taptų trečiųjų šalių įmonių debesų paslaugų administratoriais, pavyzdžiui, jūsų įmonės „Google Analytics“ ar „Salesforce“ paskyromis. Jei jiems nereikia tokio lygio prieigos, apsvarstykite galimybę pakeisti juos į vartotojo statusą ir palikti administracinius prieigos lygius IT personalui, kurio el. Pašto adresus būtų sunkiau rasti.
Patikrinkite, ar jūsų įmonės tinklalapyje nėra informacijos apie atliktą darbą ar naudojamus įrankius. Pvz., Nuotraukoje esančiame kompiuterio ekrane gali būti svarbios informacijos. Patikrinkite, ar nėra gamybos įrangos ar tinklo infrastruktūros nuotraukų, kurios galėtų pateikti užpuolikams naudingų įkalčių.
Pažvelkite į darbuotojų sąrašą. Ar turite išvardytų vyresnių darbuotojų adresus? Šie adresai ne tik suteikia užpuolikui galimą prisijungimo adresą, bet ir būdas sugadinti kitiems darbuotojams siunčiamus el. Laiškus. Apsvarstykite galimybę pakeisti tuos, kuriuose yra nuoroda į formą, arba naudoti kitą el. Pašto adresą viešam vartojimui, palyginti su vidaus vartojimu.
Ar jūsų svetainė sako, kas yra jūsų klientai ar partneriai? Tai gali suteikti užpuolikui dar vieną būdą užpulti jūsų organizaciją, jei jiems kyla problemų paskui jūsų saugumą.
Patikrinkite savo darbo skelbimus. Kiek jie atskleidžia apie jūsų įmonės įrankius, kalbas ar kitus aspektus? Apsvarstykite galimybę dirbti per įdarbinimo firmą, kad atsiribotumėte nuo tos informacijos.
Pažvelkite į savo buvimą socialinėje žiniasklaidoje, turėdami omenyje, kad jūsų priešininkai tikrai bandys iškasti informaciją per šį kanalą. Taip pat sužinokite, kiek informacijos apie jūsų įmonę atskleidžia vyresnieji darbuotojai. Negalite kontroliuoti visko apie savo darbuotojų veiklą socialinėje žiniasklaidoje, bet galite ir atidžiai stebėti.
Apsvarstykite savo tinklo architektūrą. „Taddeo“ rekomenduoja požiūrį pagal poreikį, kai administratoriaus prieiga suteikiama tik tada, kai to reikia, ir tik sistemai, kuriai reikia dėmesio. Jis siūlo naudoti programinės įrangos apibrėžtą perimetrą (SDP), kurį iš pradžių sukūrė JAV gynybos departamentas. „Galiausiai kiekvieno vartotojo prieigos teisės yra dinamiškai keičiamos atsižvelgiant į tapatybę, įrenginį, tinklą ir programos jautrumą“, - sakė jis. "Tai lemia lengvai sukonfigūruojamos strategijos. Derindami prieigą prie tinklo ir prieigą prie programos, vartotojai išlieka produktyvūs, o atakos paviršiaus plotas yra dramatiškai sumažintas."
Galiausiai Taddeo sakė ieškoti pažeidžiamumų, kuriuos sukūrė šešėlinė IT. Jei to neieškosite, jūsų sunkaus saugumo darbas gali būti apeinamas, nes kažkas savo biure įdiegė belaidį maršrutizatorių, kad jie galėtų lengviau naudoti asmeninį „iPad“ darbe. Į šią kategoriją taip pat patenka nežinomos trečiųjų šalių debesų paslaugos. Didelėse organizacijose nėra neįprasta, kad skyrių vadovai paprasčiausiai pasirašo savo departamentus dėl patogių debesijos paslaugų, kad apeitų tai, kas, jų manymu, yra „biurokratija“.
Tai gali apimti pagrindines IT paslaugas, pvz., Kaip „Dropbox Business“ naudoti kaip tinklo saugyklą arba naudoti kitą rinkodaros automatizavimo paslaugą, nes registracija į oficialų įmonės palaikomą įrankį yra per lėta ir reikalaujanti per daug formų užpildymo. Tokios programinės įrangos paslaugos gali atskleisti daugybę neskelbtinų duomenų, net IT apie jas net nežinant. Įsitikinkite, kad žinote, kokias programas naudoja jūsų organizacija, kas tai daro ir ar tvirtai kontroliuojate, kas turi prieigą.
Toks audito darbas yra varginantis ir kartais reikalaujantis daug laiko, tačiau ilgainiui jis gali sumokėti didelius dividendus. Kol jūsų priešininkai neis paskui jus, jūs nežinote, ką turite, ką gali būti verta pavogti. Taigi, jūs turite kreiptis į saugumą taip, kad būtų lankstus, tačiau vis tiek stebėkite, kas svarbu; ir vienintelis būdas tai padaryti yra būti išsamiai informuotam apie tai, kas veikia jūsų tinkle.
