Прошлым летом сотрудники правоохранительных органов связались с Apple и Meta, потребовав данные о клиентах в рамках «экстренных запросов данных». Компании выполнили требования. К сожалению, «офицеры» оказались хакерами, связанными с кибербандой под названием «Team Recursion».
Около трех лет назад генеральному директору британской энергетической компании позвонил генеральный директор немецкой материнской компании компании и попросил его перевести четверть миллиона долларов венгерскому «поставщику». Он подчинился. К сожалению, немецкий «генеральный директор» на самом деле был киберпреступником, использовавшим дипфейковую аудиотехнологию, чтобы подделать голос другого человека.
Одна группа преступников смогла украсть данные, другая — деньги. И причиной было доверие. Источником информации потерпевших о том, с кем они разговаривали, были сами звонившие.
Что такое нулевое доверие?
Zero Trust — это система безопасности, которая не зависит от безопасности периметра. Безопасность периметра — это старая повсеместная модель, которая предполагает, что все и вся в корпоративном здании и брандмауэре заслуживают доверия. Безопасность гарантируется за счет предотвращения проникновения посторонних на периметр.
Британский аспирант Университета Стерлинга по имени Стивен Пол Марш придумал фразу «нулевое доверие» в 1994 году (NIST 800-207).
Безопасность периметра устарела по нескольким причинам, но в первую очередь из-за распространенности удаленной работы. Другие причины включают в себя: мобильные компьютеры, облачные вычисления и растущую изощренность кибератак в целом. И, конечно, угрозы могут исходить и изнутри.
Другими словами, границ сети больше нет, на самом деле, и даже если существуют периметры, их можно пересекать. Как только пираты войдут на периметр, они смогут относительно легко передвигаться.
Цель Zero Trust — решить все эти проблемы, требуя от каждого пользователя, устройства и приложения индивидуально проходить проверку аутентификации или авторизации каждый раз, когда они получают доступ к сетевому компоненту или корпоративным ресурсам.
Технологии связаны с нулевым доверием. Но нулевая самоуверенность – это не технология. Это основа и, в некоторой степени, состояние ума. Мы склонны думать об этом как о менталитете сетевого архитектора и специалиста по безопасности. Это ошибка; Это должно быть мышлением всех сотрудников.
Причина проста: социальная инженерия — это нетехнический трюк человеческой природы.
Почему только «нулевое доверие» может победить социальную инженерию
Базовый подход к применению нулевого доверия к атакам социальной инженерии старый и знакомый. Предположим, вы получили электронное письмо от банка, в котором говорится, что с вашей учетной записью возникла проблема. Просто нажмите здесь, чтобы ввести свое имя пользователя и пароль, чтобы решить проблему, говорится в сообщении. Правильный способ справиться с этой ситуацией (если вы не уверены) — позвонить в банк и проверить.
При любом типе атаки социальной инженерии лучше всего никогда не использовать предоставленный вам метод доступа, а вместо этого получить свой собственный. Не используйте человека, который связывается с вами, как источник информации о человеке, который с вами связывается. Всегда проверяйте самостоятельно.
Раньше подделать электронное письмо было легко. Нас ждет ближайшее будущее, в котором симулировать живой голос и видео будет так же легко.
Помимо фишинга по электронной почте, организации также могут подвергаться атакам с помощью фишинга, вишинга, смишинга, целевого фишинга, снегоступов, града, клон-фишинга, китобойного захвата, табнаббинга, обратного табнаббинга, внутрисессионного фишинга, веб-сайтов, манипулирования ссылками, сокрытия ссылок, опечатки, гомографа. атаки, вредоносное ПО, слежка, травля, подмена DNS и многое другое. Ваше обучение нулевой ржавчине должно позволить сотрудникам близко ознакомиться со всеми этими типами атак. Простое знание множества гнусных способов заставить людей разрешить несанкционированный доступ поможет вам понять, почему ответом является отсутствие доверия.
В своей превосходной книге 2011 года «Призрак в проводах» бывший суперхакер Кевин Митник описывает один из своих самых эффективных методов социальной инженерии: он видит сотрудников возле здания, которые собираются войти, и просто следует за ними до двери с доверием того, кто принадлежит к ним. там. Сотрудники повсеместно интерпретируют это доверие как необходимую проверку, чтобы держать дверь открытой для незнакомца.
Когда с Apple и Meta связались фальшивые сотрудники правоохранительных органов, им следовало записать данные идентификатора вызывающего абонента, повесить трубку и позвонить в агентство для проверки.
Когда с этим британским генеральным директором связался кто-то, назвавшийся генеральным директором материнской компании, политика должна была заключаться в обратном звонке, а не в переводе средств на основе первоначального звонка.
Как внедрить нулевое доверие в социальной инженерии
Хорошей новостью является то, что, хотя многие компании не внедрили нулевое доверие и даже не разработали дорожную карту нулевого доверия, его использование против социальной инженерии может быть реализовано немедленно. .
Найдите способ аутентификации каждого участника аудио- или видеоконференций.
Другими словами, благодаря изменениям в обучении, политике и практике любое входящее сообщение, в котором что-то запрашивается (перевести средства, предоставить пароль, изменить пароль, щелкнуть вложение, щелкнуть ссылку, разрешить кому-либо войти в здание) должны быть проверены и аутентифицированы как человек, так и маршрут запроса.
Почти все атаки социальной инженерии подразумевают, что злоумышленник завоевывает доверие человека, имеющего доступ, а затем злоупотребляет этим доступом.
Проблема с использованием обучения и культуры безопасности для привития всем сотрудникам мышления, основанного на нулевом доверии, заключается в том, что люди сами любят, когда им доверяют. Люди обижаются, когда им говорят: «Давайте сначала я вас проверю».
Это должно быть самой важной частью обучения: заставить сотрудников и менеджеров настаивать на том, что им не доверяют. Вы не можете просто доверять людям, чтобы не доверять им, вы должны заставить людей настаивать на том, что они не доверяют себе.
Если старший руководитель отправляет вложение подчиненному, а тот просто загружает и открывает его без каких-либо дополнительных действий по проверке (например, звонка и запроса), руководитель должен рассматривать это как серьезное нарушение лучших практик безопасности.
В культурном отношении большинство компаний далеки от принятия этой практики. И это то, что нужно повторить тысячу раз: разрешение нулевого доверия ко всему — для доверенных людей и для ненадежных.
Сейчас, когда так много работников разбросаны по офису, дому, другим штатам или даже другим странам, пришло время радикальной перезагрузки, революции нулевого доверия, если хотите, в том, как мы взаимодействуем друг с другом в повседневной жизни. -день день. ежедневные коммерческие сообщения. .
© 2022 IDG Communications, Inc.