Những gì cuộc tấn công lưới điện Nga có thể dạy cho mọi người chuyên nghiệp

Đến bây giờ bạn đã nghe nói rằng một cuộc điều tra chung của Cục Điều tra Liên bang (FBI) và Bộ An ninh Nội địa Hoa Kỳ đã dẫn đến một báo cáo rằng các nhà điều hành Nga đã đột nhập vào các công ty là một phần của lưới điện ở Mỹ. Các cuộc tấn công được phác thảo chi tiết trong một báo cáo từ Nhóm Sẵn sàng Khẩn cấp Máy tính Hoa Kỳ (US-CERT) mô tả cách những kẻ tấn công có thể xâm nhập các cơ sở năng lượng và những gì chúng đã làm với thông tin mà chúng đã đánh cắp.

Điều không có trong các báo cáo truyền thông là một thực tế cần gây lo ngại cho một chuyên gia CNTT, cho dù họ làm việc cho một doanh nghiệp vừa và nhỏ (SMB) hoặc một tổ chức lớn hơn. Thực tế đó: Con đường mà những kẻ tấn công khai thác đã đi qua các đối tác nhỏ hơn của mục tiêu cuối cùng. Họ bắt đầu cuộc tấn công của mình bằng cách xuyên thủng hàng phòng thủ của những đối tác nhỏ hơn vì họ có khả năng phòng thủ yếu hơn, và sau đó họ sử dụng thông tin và tài nguyên lượm lặt được từ đó để tấn công cơ sở tiếp theo.

Cấu tạo của một cuộc tấn công lừa đảo thông minh

Một phương tiện chính để có quyền truy cập vào đối tác nhỏ hơn là tìm thông tin công khai, khi được kết hợp với thông tin khác, sẽ cung cấp mức độ chi tiết cần thiết cho bước tiếp theo. Ví dụ, kẻ tấn công có thể kiểm tra trang web của một công ty kinh doanh với mục tiêu cuối cùng và ở đó anh ta có thể tìm thấy địa chỉ email của một giám đốc điều hành cấp cao tại công ty của đối tác hoặc mục tiêu cuối cùng. Sau đó, kẻ tấn công có thể kiểm tra thông tin khác từ các trang web của cả hai công ty để xem mối quan hệ là gì, dịch vụ nào đang được cung cấp bởi ai và điều gì về cấu trúc của mỗi công ty.

Được trang bị thông tin đó, kẻ tấn công có thể bắt đầu gửi email lừa đảo có sức thuyết phục cao từ địa chỉ dường như là một địa chỉ email hợp pháp; những cái có đủ chi tiết được chế tạo có thể đánh bại mọi bộ lọc lừa đảo được đặt ở tường lửa hoặc mức bảo vệ điểm cuối được quản lý. Các email lừa đảo sẽ được thiết kế để thu thập thông tin đăng nhập cho người được nhắm mục tiêu và nếu bất kỳ ai trong số họ thành công, kẻ tấn công sẽ ngay lập tức bỏ qua mọi biện pháp quản lý danh tính có thể có và nằm trong mạng đích.

Với những tiết lộ về việc thu thập thông tin người dùng từ Facebook, bản chất của mối đe dọa sẽ mở rộng. Trong một vi phạm được thực hiện dưới vỏ bọc nghiên cứu học thuật bắt đầu từ năm 2014, một nhà nghiên cứu người Nga đã có quyền truy cập vào khoảng 50 triệu hồ sơ người dùng của các thành viên Facebook của Mỹ. Những hồ sơ đó đã được chuyển cho Cambridge Analytica. Các cuộc điều tra sau đó đã tiết lộ rằng dữ liệu này được lấy mà không có sự cho phép của những người dùng Facebook đó và sau đó sử dụng sai.

Kiểm toán truyền thông bên ngoài

Điều này đặt ra câu hỏi về những thông tin mà các doanh nghiệp thận trọng nên cung cấp thông qua trang web của họ. Tồi tệ hơn, truy vấn đó có thể cần phải mở rộng đến các phương tiện truyền thông xã hội của tổ chức, các kênh tiếp thị của bên thứ ba như Youtube và thậm chí các hồ sơ truyền thông xã hội của nhân viên có cấu hình cao.

Leo Taddeo, Giám đốc An ninh Thông tin (CISO) cho Cyxtera và cựu Đại lý Đặc trách phụ trách Bộ phận Điện tử của văn phòng tại Thành phố New York của FBI cho biết: "Tôi nghĩ rằng họ phải lách luật về những gì trên trang web của công ty họ. "Có một tiềm năng lớn để tiết lộ thông tin vô tình."

Taddeo nói rằng một ví dụ điển hình là trong các bài đăng công việc nơi bạn có thể tiết lộ những công cụ nào bạn đang sử dụng để phát triển hoặc thậm chí những chuyên môn bảo mật nào bạn đang tìm kiếm. "Có rất nhiều cách mà các công ty có thể tự phơi bày. Có diện tích bề mặt lớn. Không chỉ là trang web và không chỉ là thông tin liên lạc có chủ ý", ông nói.

"Phương tiện truyền thông xã hội là một rủi ro", Taddeo giải thích, chỉ ra rằng một nhân viên đăng lên phương tiện truyền thông xã hội có thể vô tình tiết lộ rất nhiều. Ông chỉ ra rằng các nhân viên nói rằng họ không hài lòng với công việc của họ có thể tiết lộ mục tiêu khai thác. "Nhân viên nói chi tiết về công việc hoặc thành tích của họ là một rủi ro. Khai thác phương tiện truyền thông xã hội rất hiệu quả cho những kẻ thù."

Taddeo cảnh báo rằng các trang web truyền thông chuyên nghiệp, chẳng hạn như LinkedIn, cũng là một rủi ro cho những người không cẩn thận. Ông nói rằng những kẻ thù tạo ra các tài khoản giả trên các trang web như vậy để ngụy trang họ thực sự là ai và sau đó sử dụng thông tin từ các liên hệ của họ. "Bất cứ điều gì họ đăng trên các trang truyền thông xã hội đều có thể làm tổn hại đến chủ nhân của họ", ông nói.

Với thực tế là các tác nhân xấu đang nhắm mục tiêu bạn có thể theo dõi dữ liệu của bạn hoặc có thể là sau một tổ chức mà bạn làm việc, câu hỏi không chỉ là bạn bảo vệ bản thân như thế nào mà còn bảo vệ đối tác kinh doanh của bạn như thế nào? Điều này phức tạp bởi thực tế là bạn có thể không biết liệu những kẻ tấn công có thể theo dõi dữ liệu của bạn hay chỉ xem bạn là bước đệm và có lẽ là vị trí dàn dựng cho cuộc tấn công tiếp theo.

Cách tự bảo vệ mình

Dù bằng cách nào, có một số bước bạn có thể thực hiện. Cách tốt nhất để tiếp cận điều này là dưới hình thức kiểm toán thông tin. Liệt kê tất cả các kênh mà công ty bạn đang sử dụng cho truyền thông bên ngoài, chắc chắn là tiếp thị, mà còn cả nhân sự, PR và chuỗi cung ứng giữa các kênh khác. Sau đó, xây dựng một nhóm kiểm toán có chứa các bên liên quan từ tất cả các kênh bị ảnh hưởng và bắt đầu phân tích những gì bên ngoài một cách có hệ thống và để mắt đến thông tin có thể hữu ích cho những kẻ trộm dữ liệu. Đầu tiên, bắt đầu với trang web của công ty bạn:

Kiểm tra trang web của công ty bạn để biết bất cứ điều gì có thể cung cấp chi tiết về công việc bạn làm hoặc các công cụ bạn sử dụng. Ví dụ: màn hình máy tính xuất hiện trong ảnh có thể chứa thông tin quan trọng. Kiểm tra hình ảnh của thiết bị sản xuất hoặc cơ sở hạ tầng mạng, có thể cung cấp manh mối hữu ích cho những kẻ tấn công.

Nhìn vào danh sách nhân viên. Bạn có địa chỉ email cho nhân viên cấp cao của bạn được liệt kê? Những địa chỉ đó không chỉ cung cấp cho kẻ tấn công một địa chỉ đăng nhập tiềm năng, mà còn là một cách để giả mạo email được gửi cho các nhân viên khác. Xem xét thay thế những người có liên kết đến một hình thức hoặc sử dụng một địa chỉ email khác cho tiêu dùng công cộng so với sử dụng nội bộ.

Trang web của bạn có nói khách hàng hoặc đối tác của bạn là ai không? Điều này có thể cung cấp cho kẻ tấn công một cách khác để tấn công tổ chức của bạn nếu họ gặp khó khăn khi vượt qua an ninh của bạn.

Kiểm tra bài đăng công việc của bạn. Họ tiết lộ bao nhiêu về các công cụ, ngôn ngữ hoặc các khía cạnh khác của công ty bạn? Cân nhắc làm việc thông qua một công ty tuyển dụng để tách bản thân khỏi thông tin đó.

Nhìn vào sự hiện diện trên phương tiện truyền thông xã hội của bạn, hãy nhớ rằng đối thủ của bạn chắc chắn sẽ cố gắng khai thác thông tin qua kênh này. Cũng xem có bao nhiêu thông tin về công ty của bạn được tiết lộ trong các bài đăng của nhân viên cấp cao của bạn. Bạn không thể kiểm soát mọi thứ về hoạt động của nhân viên trên phương tiện truyền thông xã hội, nhưng bạn có thể để mắt đến nó.

Hãy xem xét kiến ​​trúc mạng của bạn. Taddeo khuyến nghị một cách tiếp cận khi cần thiết trong đó quyền truy cập của quản trị viên chỉ được cấp khi cần thiết và chỉ dành cho hệ thống cần chú ý. Ông đề nghị sử dụng một phần mềm được xác định theo chu vi (SDP), ban đầu được phát triển bởi Bộ Quốc phòng Hoa Kỳ. "Cuối cùng, các quyền truy cập của mỗi người dùng được thay đổi linh hoạt dựa trên danh tính, thiết bị, mạng và độ nhạy của ứng dụng", ông nói. "Những điều này được thúc đẩy bởi các chính sách được cấu hình dễ dàng. Bằng cách điều chỉnh truy cập mạng với quyền truy cập ứng dụng, người dùng vẫn hoàn toàn có năng suất trong khi diện tích bề mặt tấn công giảm đáng kể."

• Bây giờ hãy xem xét các dịch vụ đám mây của bạn theo cùng một cách. Đây thường là một cấu hình mặc định để làm cho các quản trị viên điều hành của công ty cấp cao trên các dịch vụ đám mây của công ty bên thứ ba, như tài khoản Google Analytics hoặc Salesforce của công ty bạn chẳng hạn. Nếu họ không cần mức truy cập đó, hãy cân nhắc thả chúng vào trạng thái người dùng và để lại cấp độ truy cập quản trị cho nhân viên CNTT có thông tin đăng nhập email sẽ khó tìm hơn.

Cuối cùng, Taddeo nói sẽ tìm kiếm các lỗ hổng được tạo ra bởi Shadow IT. Trừ khi bạn tìm kiếm nó, bạn có thể bỏ qua công việc bảo mật cứng của mình vì ai đó đã cài đặt bộ định tuyến không dây trong văn phòng của họ để họ có thể sử dụng iPad cá nhân tại nơi làm việc dễ dàng hơn. Các dịch vụ đám mây của bên thứ ba không xác định cũng thuộc loại này. Trong các tổ chức lớn, không có gì lạ khi người đứng đầu bộ phận chỉ cần đăng ký bộ phận của họ cho các dịch vụ đám mây tiện lợi để bỏ qua những gì họ xem là "băng đỏ" CNTT.

Điều này có thể bao gồm các dịch vụ CNTT cốt lõi, như sử dụng Dropbox Business làm lưu trữ mạng hoặc sử dụng dịch vụ tự động hóa tiếp thị khác vì đăng ký công cụ hỗ trợ chính thức của công ty quá chậm và yêu cầu điền quá nhiều biểu mẫu. Các dịch vụ phần mềm như thế này có thể làm lộ ra những dữ liệu nhạy cảm mà không cần CNTT thậm chí không biết về chúng. Đảm bảo bạn biết ứng dụng nào đang được sử dụng trong tổ chức của mình, bởi ai và bạn có quyền kiểm soát ai là người có quyền truy cập.

Công việc kiểm toán như thế này rất tẻ nhạt và đôi khi tốn thời gian, nhưng nó có thể trả cổ tức lớn trong thời gian dài. Cho đến khi đối thủ của bạn đến sau bạn, bạn không biết những gì bạn có có thể đáng để ăn cắp. Vì vậy, bạn cần tiếp cận bảo mật theo cách linh hoạt trong khi vẫn theo dõi những gì quan trọng; và cách duy nhất để làm điều đó là được thông báo kỹ lưỡng về những gì đang chạy trên mạng của bạn.