Wat de Russische elektriciteitsnetaanval elke professional kan leren

Inmiddels heb je gehoord dat een gezamenlijk onderzoek door het Federal Bureau of Investigation (FBI) en het Amerikaanse ministerie van Binnenlandse Veiligheid heeft geleid tot een rapport dat Russische agenten bedrijven hebben gehackt die deel uitmaken van het elektriciteitsnet in de VS. De aanvallen worden gedetailleerd beschreven in een rapport van het US Computer Emergency Readiness Team (US-CERT) dat beschrijft hoe de aanvallers in de energiefaciliteiten konden doordringen en wat ze deden met de informatie die ze hadden gestolen.

Wat niet in de mediaberichten stond, was een feit dat zorg moest wekken bij een IT-professional, of ze nu werken voor een klein tot middelgroot bedrijf (MKB) of een grotere organisatie. Dat feit: het pad dat de aanvallers exploiteerden, ging via kleinere partners van het ultieme doelwit. Ze begonnen hun aanval door de verdedigingen van die kleinere partners binnen te dringen omdat ze waarschijnlijk zwakkere verdedigingen hadden, en vervolgens gebruikten ze informatie en middelen die van daaruit werden verzameld om de volgende faciliteit aan te vallen.

Anatomie van een slimme phishingaanval

Een primair middel om toegang te krijgen tot de kleinere partner was om openbare informatie te vinden, die, in combinatie met andere informatie, het detailniveau zou bieden dat nodig is voor de volgende stap. Een aanvaller kan bijvoorbeeld de website van een bedrijf onderzoeken dat zaken doet met het uiteindelijke doel en daar kan hij het e-mailadres van een senior executive vinden bij het bedrijf van de partner of het uiteindelijke doel. Vervolgens kan de aanvaller andere informatie van de websites van beide bedrijven onderzoeken om te zien wat de relatie is, welke services door wie worden geleverd en iets over de structuur van elk bedrijf.

Gewapend met die informatie kan de aanvaller zeer overtuigende phishing-e-mails beginnen te sturen van wat een legitiem e-mailadres lijkt te zijn; degenen met voldoende vervaardigde details die mogelijk alle phishingfilters verslaan die op de firewall of het beheerde eindpuntbeschermingsniveau zijn geplaatst. De phishing-e-mails zouden zijn ontworpen om inloggegevens te verzamelen voor de persoon op wie het doelwit is gericht, en als een van hen succesvol is, zouden de aanvallers onmiddellijk alle maatregelen voor identiteitsbeheer omzeilen die mogelijk aanwezig zijn in het doelnetwerk.

Met de onthullingen over het verzamelen van gebruikersinformatie van Facebook neemt de aard van de dreiging toe. In 2014 heeft een Russische onderzoeker toegang gekregen tot ongeveer 50 miljoen gebruikersprofielen van Amerikaanse Facebook-leden, onder het mom van academisch onderzoek. Die profielen zijn overgedragen aan Cambridge Analytica. Daaropvolgende onderzoeken hebben aangetoond dat deze gegevens zonder toestemming van die Facebook-gebruikers zijn genomen en vervolgens zijn misbruikt.

Controle van externe communicatie

Dit roept de vraag op welke informatie voorzichtige bedrijven beschikbaar moeten stellen via hun websites. Erger nog, die zoekopdracht moet waarschijnlijk worden uitgebreid naar de aanwezigheid van sociale media op de organisatie, marketingkanalen van derden zoals YouTube en zelfs spraakmakende sociale mediaprofielen van werknemers.

"Ik denk dat ze behoedzaam moeten zijn over wat er op hun bedrijfswebsites staat", zegt Leo Taddeo, Chief Information Security Officer (CISO) voor Cyxtera en voormalig Special Agent verantwoordelijk voor de Cyber ​​Division van het veldkantoor van de FBI in New York City. "Er is een groot potentieel voor het onbedoeld vrijgeven van informatie."

Taddeo zei dat een goed voorbeeld is in vacatures waar je kunt onthullen welke tools je gebruikt voor ontwikkeling of zelfs naar welke beveiligingsspecialiteiten je op zoek bent. "Er zijn veel manieren waarop bedrijven zichzelf kunnen ontmaskeren. Er is een groot oppervlak. Niet alleen de website en niet alleen bewuste communicatie, " zei hij.

"Sociale media zijn een risico, " legde Taddeo uit, erop wijzend dat een werknemer die op sociale media uitzendt onbedoeld veel kan onthullen. Hij wees erop dat werknemers die zeggen dat ze niet gelukkig zijn met hun werk, een doelwit voor uitbuiting kunnen onthullen. "Medewerkers die gedetailleerd over hun werk of hun prestaties praten, vormen een risico. Mijnbouw van sociale media is zeer productief voor tegenstanders."

Taddeo waarschuwde dat professionele mediasites, zoals LinkedIn, ook een risico vormen voor degenen die niet oppassen. Hij zei dat tegenstanders nepaccounts maken op dergelijke websites die vermommen wie ze werkelijk zijn en vervolgens informatie van hun contacten gebruiken. "Wat ze ook posten op sociale media-sites kan hun werkgever schaden", zei hij.

Gezien het feit dat de slechte actoren die zich op jou richten misschien achter je gegevens aan zit, of misschien achter een organisatie waarmee je werkt, is de vraag niet alleen hoe je jezelf beschermt, maar hoe bescherm je ook je zakenpartner? Dit wordt gecompliceerd door het feit dat u misschien niet weet of de aanvallers achter uw gegevens aan zitten of u gewoon als een springplank en misschien als een tijdelijke locatie voor de volgende aanval zien.

Hoe jezelf te beschermen

Hoe dan ook, er zijn enkele stappen die u kunt nemen. De beste manier om dit te benaderen is in de vorm van een informatie-audit. Noem alle kanalen die uw bedrijf gebruikt voor externe communicatie, zeker marketing, maar ook HR, PR en supply chain onder anderen. Stel vervolgens een auditteam samen met belanghebbenden uit alle betrokken kanalen en begin systematisch te analyseren wat er is en met het oog op informatie die nuttig kan zijn voor gegevensdieven. Begin eerst met de website van uw bedrijf:

Bestudeer de website van uw bedrijf op alles wat details kan bevatten over het werk dat u doet of de tools die u gebruikt. Een computerscherm dat op een foto verschijnt, kan bijvoorbeeld belangrijke informatie bevatten. Controleer op foto's van productieapparatuur of netwerkinfrastructuur, die aanwijzingen voor aanvallers kunnen bieden.

Kijk naar de personeelslijst. Heeft u e-mailadressen voor uw senior personeel? Die adressen bieden een aanvaller niet alleen een potentieel inlogadres, maar ook een manier om e-mails te vervalsen die naar andere werknemers zijn verzonden. Overweeg deze te vervangen door een link naar een formulier of gebruik een ander e-mailadres voor openbaar gebruik versus intern gebruik.

Zegt uw website wie uw klanten of partners zijn? Dit kan een aanvaller een andere manier bieden om uw organisatie aan te vallen als ze problemen ondervinden om voorbij uw beveiliging te komen.

Controleer uw vacatures. Hoeveel onthullen ze over de tools, talen of andere aspecten van uw bedrijf? Overweeg om via een wervingsbureau te werken om uzelf van die informatie te scheiden.

Kijk naar uw aanwezigheid op sociale media en houd er rekening mee dat uw tegenstanders zeker zullen proberen informatie te ontginnen via dit kanaal. Zie ook hoeveel informatie over uw bedrijf wordt onthuld in de berichten van uw senior personeel. U kunt niet alles over de activiteiten van uw werknemers op sociale media beheersen, maar u kunt het wel in de gaten houden.

Houd rekening met uw netwerkarchitectuur. Taddeo beveelt een zo nodig aanpak aan waarbij beheerderstoegang alleen wordt verleend wanneer dit nodig is en alleen voor het systeem dat aandacht behoeft. Hij stelt voor een softwaregedefinieerde perimeter (SDP) te gebruiken, die oorspronkelijk werd ontwikkeld door het Amerikaanse ministerie van Defensie. "Uiteindelijk worden de toegangsrechten van elke gebruiker dynamisch gewijzigd op basis van identiteit, apparaat, netwerk en applicatiegevoeligheid, " zei hij. "Deze worden aangedreven door eenvoudig te configureren beleid. Door netwerktoegang af te stemmen op applicatietoegang, blijven gebruikers volledig productief terwijl het aanvalsoppervlak aanzienlijk wordt verminderd."

• Beschouw nu uw cloudservices op dezelfde manier. Het is vaak een standaardconfiguratie om leidinggevenden van hogere bedrijfsleiders te maken op cloudservices van derden, zoals bijvoorbeeld de Google Analytics- of Salesforce-accounts van uw bedrijf. Als ze dat toegangsniveau niet nodig hebben, overweeg dan om ze naar gebruikersstatus te laten gaan en administratieve toegangsniveaus over te laten aan IT-personeel wiens e-mailaanmeldingen moeilijker te vinden zouden zijn.

Ten slotte zei Taddeo te zoeken naar kwetsbaarheden die zijn veroorzaakt door schaduw-IT. Tenzij u er naar op zoek bent, kunt u uw harde beveiligingswerk laten omzeilen omdat iemand een draadloze router op kantoor heeft geïnstalleerd, zodat ze hun persoonlijke iPad op het werk gemakkelijker kunnen gebruiken. Onbekende cloudservices van derden vallen ook in deze categorie. In grote organisaties is het niet ongewoon dat afdelingshoofden hun afdelingen eenvoudig aanmelden voor handige cloudservices om wat zij zien als IT "bureaucratie" te omzeilen.

Dit kan kern-IT-services omvatten, zoals het gebruik van Dropbox Business als netwerkopslag of het gebruik van een andere marketingautomatiseringsservice, omdat het aanmelden voor de officiële tool die door bedrijven wordt ondersteund, te langzaam is en te veel formulieren vereist. Dergelijke softwarediensten kunnen grote hoeveelheden gevoelige gegevens blootleggen zonder dat IT zich daarvan bewust is. Zorg ervoor dat u weet welke apps in uw organisatie worden gebruikt, door wie en dat u de controle hebt over wie toegang heeft.

Auditwerk als dit is vervelend en soms tijdrovend, maar het kan op de lange termijn veel opleveren. Totdat je tegenstanders achter je aan komen, weet je niet wat je hebt dat misschien de moeite waard is om te stelen. U moet de beveiliging dus op een flexibele manier benaderen en toch in de gaten houden wat belangrijk is; en de enige manier om dat te doen, is grondig geïnformeerd te worden over wat er op uw netwerk draait.