Прошлым летом представители правоохранительных органов связались с Apple и Meta, потребовав данные о клиентах в рамках «экстренных запросов данных». Компании выполнили требования. К сожалению, «должностные лица» оказались хакерами, связанными с кибербандой под названием «Команда рекурсии».
Около трех лет назад генеральному директору британской энергетической компании позвонил генеральный директор немецкой материнской компании и попросил перевести четверть миллиона долларов венгерскому «поставщику». Он подчинился. К сожалению, немецкий «генеральный директор» на самом деле был киберпреступником, использующим аудиотехнологию дипфейка, чтобы подделать голос другого человека.
Группе преступников удалось похитить данные, остальные деньги. И причина была в доверии. Источником информации жертв о том, с кем они разговаривали, были сами звонившие.
Что такое нулевое доверие?
Zero Trust — это структура безопасности, которая не полагается на защиту периметра. Защита периметра — это старая широко распространенная модель, которая предполагает, что все и все в корпоративном здании и брандмауэре заслуживают доверия. Безопасность гарантируется за счет предотвращения проникновения людей за периметр.
Британский аспирант Университета Стерлинга по имени Стивен Пол Марш ввел фразу «нулевое доверие» в 1994 году (NIST 800-207).
Защита периметра устарела по ряду причин, но в первую очередь из-за распространенности удаленной работы. Другие причины включают в себя: мобильные вычисления, облачные вычисления и все более изощренные кибератаки в целом. И, конечно же, угрозы могут исходить и изнутри.
Другими словами, сетевых границ больше нет, на самом деле, и даже в той мере, в какой периметры существуют, их можно пересекать. Как только пираты входят в периметр, они могут относительно легко передвигаться.
Zero Trust стремится решить все эти проблемы, требуя от каждого пользователя, устройства и приложения индивидуального прохождения проверки подлинности или авторизации каждый раз, когда они получают доступ к сетевому компоненту или корпоративному ресурсу.
Технологии задействованы в нулевом доверии. Но нулевая уверенность в себе — это не технология. Это рамки и, в какой-то степени, состояние души. Мы склонны думать о нем как о сетевом архитекторе и мышлении специалиста по безопасности. Это ошибка; это должно быть мышление всех сотрудников.
Причина проста: социальная инженерия — это нетехническая уловка человеческой натуры.
Почему только нулевое доверие может победить социальную инженерию
Базовый подход к применению нулевого доверия к атакам социальной инженерии устарел и знаком. Предположим, вы получили электронное письмо, якобы от банка, в котором говорится о проблеме с вашей учетной записью. Просто нажмите здесь, чтобы ввести свое имя пользователя и пароль и устранить проблему, говорится в нем. Правильный способ справиться с этой ситуацией (если вы не уверены) — позвонить в банк и проверить.
При любой атаке с использованием социальной инженерии лучше всего никогда не использовать предоставленный вам метод доступа, а использовать свой собственный. Не используйте лицо, связывающееся с вами, в качестве источника информации о человеке, связывающемся с вами. Всегда проверяйте самостоятельно.
Раньше было легко подделать электронную почту. Мы сталкиваемся с ближайшим будущим, в котором будет так же легко имитировать живой голос и видео.
Помимо фишинга по электронной почте, организации также могут быть атакованы с помощью фишинга, вишинга, смишинга, целевого фишинга, походов на снегоступах, атак с градом, клонированного фишинга, китобойного промысла, табуляции, обратной табуляции, внутрисессионного фишинга, веб-сайтов, манипулирования ссылками, маскировки ссылок, опечаток, омографов. атаки, пугающие программы, тайлинг, травля, спуфинг DNS и многое другое. Ваше обучение нулевой ржавчине должно позволить сотрудникам хорошо познакомиться со всеми этими типами атак. Просто зная о многих гнусных способах обмана людей, позволяющих разрешить несанкционированный доступ, вы поймете, почему нулевое доверие является ответом.
В своей превосходной книге 2011 года «Призрак в проводах» бывший суперхакер Кевин Митник описывает один из своих самых эффективных приемов социальной инженерии: он видит сотрудников возле здания, которое вот-вот войдет, и просто следует за ними до двери с уверенностью того, кто им принадлежит. там. Работники повсеместно интерпретируют это доверие как всю необходимую им проверку, чтобы держать дверь открытой для незнакомца.
Когда с Apple и Meta связались фальшивые сотрудники правоохранительных органов, они должны были снять данные идентификатора вызывающего абонента, повесить трубку и позвонить в агентство для проверки.
Когда с этим генеральным директором из Великобритании связался кто-то, утверждающий, что он является генеральным директором материнской компании, политика должна была заключаться в обратном вызове, а не в переводе средств на основе первоначального звонка.
Как внедрить Zero Trust для социальной инженерии
Хорошая новость заключается в том, что, хотя многие компании не внедрили нулевое доверие или даже не разработали дорожную карту нулевого доверия, его использование против социальной инженерии может быть реализовано немедленно. .
Найдите способ аутентифицировать каждого участника аудио- или видеовстреч.
Другими словами, благодаря изменениям в обучении, политике и практике любое входящее сообщение, которое требует чего-либо (перевести средства, предоставить пароль, изменить пароль, щелкнуть вложение, щелкнуть ссылку, разрешить кому-либо войти в здание), должно быть проверено и аутентифицировано, как лицо, так и путь запроса.
Почти во всех атаках с использованием социальной инженерии злоумышленник завоевывает доверие кого-то, у кого есть доступ, а затем злоупотребляет этим доступом.
Проблема использования обучения и культуры безопасности для привития мышления с нулевым доверием всем сотрудникам заключается в том, что люди сами любят, когда им доверяют. Люди обижаются, когда им говорят: «Давай я сначала тебя проверю».
Это должно быть самой важной частью обучения: заставить сотрудников и менеджеров настаивать на том, что им не доверяют. Вы не можете просто доверять людям, чтобы они не доверяли им, вы должны заставить людей настаивать на том, чтобы они не доверяли себе.
Если руководитель высшего звена отправляет подчиненному вложение, а подчиненный просто скачивает и открывает его без каких-либо дополнительных шагов проверки (например, позвонить и спросить), руководитель должен расценивать это как серьезное нарушение лучших практик безопасности.
В культурном отношении большинство компаний далеки от принятия этой практики. И это то, что нужно повторять тысячу раз: разрешение на все с нулевым доверием для людей, которым вы доверяете, и для людей, которым вы не доверяете.
Теперь, когда так много работников разбросаны по офису, дому, по штатам или даже по странам, пришло время радикальной перезагрузки, так сказать, революции нулевого доверия в том, как мы взаимодействуем друг с другом в повседневной жизни. -дневная основа. день. ежедневное деловое общение. .
© 2022 IDG Communications, Inc.
