Spearphishing a ako ho zastaviť: Niekoľko lekcií z AusCERT

„Vieme, že phishingoví ľudia a škodoradostná komunita merajú svoju návratnosť investícií, pretože sa v tom zlepšujú. V ich e-mailoch vidíme progres. Vidíme, že je to čoraz sofistikovanejšie,“ povedala Laura Bell, zakladateľka SafeStack.

"Tak prečo nerobíme to isté?" opýtala sa.

"Míňame státisíce dolárov na najrôznejšie školenia pre naše organizácie, ale veľmi zriedkavo sa pozeráme na [otázky typu]: 'Vlastne, urobil to svoju prácu?'

Bell hovoril minulý týždeň na konferencii o informačnej bezpečnosti AusCERT na austrálskom Gold Coast, a bola ostrá o kvalite a efektívnosti povedomia o bezpečnosti väčšiny organizácií školenia. Potreba zaškrtnúť políčko súladu pre tréning nás núti „pretekať až na dno“, povedala.

„Koľkí z vás prinútia svojich nových začiatočníkov, aby si prezreli video o bezpečnosti s hackerom a rukavicami a kapucňou? Áno... Tieto videá sú nebezpečné generické príšery, kde v podstate strávime 25 minút svojho života tým, že si želáme, aby sme dostali 25 minút späť,“ povedal Bell.

„Ak sa chcete trochu pobaviť, choďte do Googlu a choďte sa pozrieť, čo nám svet ponúka. Je tam poklad,“ povedal Bell. „Tieto nefungujú. Takto sa ľudia neučia. Zabudli sme na celý svet vzdelávania, ale našli sme kliparty.“

Povedomie o bezpečnosti je o učení a rôzni ľudia sa učia rôznymi spôsobmi. Študenti hmatu sa musia hrať s príkladmi a skúšať veci sami, nie pozerať video. Verbálni študenti si budú chcieť namiesto toho niečo prečítať.

„Týmto veciam musíte prispôsobiť školné. Keď to nedokážeme, nedokážeme učiť,“ povedal Bell.

Mnohé organizácie tiež nesprávne načasujú, keď spustili jednorazovú reláciu na zvýšenie povedomia o bezpečnosti prvý deň zamestnanca v práci, keď sa už snažia spracovať obrovské množstvo informácie. Organizácie musia opakovať lekcie vo vhodnom čase a musia odmeňovať dobré správanie.

Obrana organizácie pred prienikmi si vyžaduje pozornosť technológii, procesom a ľuďom, ale Bell povedal, že na prvé dva míňame všetok svoj čas a peniaze. Penetračné testery dokážu vyhodnotiť účinnosť technickej ochrany. Audítori môžu hodnotiť procesy. Ale čo hodnotenie ľudí?

„Môžete zaplatiť ľuďom obrovské sumy peňazí, aby prišli a otestovali vašu organizáciu... Môžete dostať červený tím. Sú fenomenálne drahé a urobia skvelú prácu pri zničení vašej organizácie v rozsahu, ktorý ste im dovolili testovať. Môžete získať pentest sociálneho inžinierstva. To je tiež fantastické. [Ale] tieto veci nemusia pomôcť tak, ako si myslíte,“ povedal Bell.

"Je len veľmi málo ľudí, ktorí skutočne merali návratnosť investícií podľa toho, koľko míňajú na povedomie o bezpečnosti."

Mnohé organizácie sa tak ďaleko ani nedostali. Podľa YouGov prieskum medzi britskými pracovníkmi vydaný minulý týždeň, takmer každý piaty uviedol, že nikdy nemal žiadne školenie o bezpečnosti IT. Len 6 percent opýtaných zamestnancov v Spojenom kráľovstve absolvovalo školenie a poradenstvo v oblasti phishingových útokov.

Prieskum sponzorovaný spoločnosťou Blue Coat Systems ukázal, že aj keď sú útoky sociálneho inžinierstva čoraz zložitejšie, 54 percent respondenti uviedli, že by sa na sociálnych sieťach spojili s neznámymi ľuďmi, a 56 percent uviedlo, že na svojich sociálnych médiách nenastavili kontrolu súkromia účtov.

Na Novom Zélande University of Otago analyzovala vplyv smerovaných spearphishingových útokov proti nej, počnúc sériou útokov v júni 2013 a snažiac sa pochopiť, prečo ľudia prepadli ich.

Podľa manažéra informačnej bezpečnosti Marka Borrieho je univerzita atraktívnym cieľom, pretože ide o veľkú organizáciu s dobrou infraštruktúrou a dobrou e-mailovou reputáciou. Vďaka tomu je dobrým východiskovým bodom pre útoky na ciele, ktoré univerzite dôverujú, ako sú iné univerzity.

Keď Borrie analyzoval útoky v júni 2013, našiel niekoľko prípadov, keď sa jednalo o univerzitu antispamová obrana zachytila ​​všetky prijaté phishingové e-maily a napriek tomu účty boli kompromitovaný. Ukázalo sa, že e-maily zaslané týmto zamestnancom neprešli univerzitou.

„V našom internetovom telefónnom zozname sme mali veľký počet zamestnancov, ktorí uvádzajú mimouniverzitné e-mailové adresy. Dlhé roky som bojoval, aby som niečo také nedovolil, ale je to mimo mojich rúk,“ povedal Borrie na konferencii AusCERT.

„Skutočnosť bola taká, že na našich lekárskych fakultách sme mali strašne veľký počet zamestnancov, ktorí sú v skutočnosti zamestnaní zdravotnými radami nemocníc v mestách, v ktorých sú naše školy. A tak uviedli svoju primárnu e-mailovú adresu, ktorou je v mnohých prípadoch adresa nemocnice.“

Takže zatiaľ čo univerzitné e-mailové systémy dokázali odhaliť a zablokovať tieto phishingové e-maily, niektoré systémy nemocníc to nedokázali.

Borrie zistil, že zamestnanci, ktorí prepadli phish, boli vo väčšine prípadov mimo svojho pracovného stola a používali mobilné zariadenia, ktoré nemuseli nevyhnutne zobrazovať e-mail v plnom rozsahu. Zvyčajne to bolo aj mimo pracovnej doby, buď o 10. alebo 11. hodine v noci, alebo hneď ráno.

Kompromitované účty začali útočníci alebo ich zákazníci používať už za päť hodín.

"To je skutočný bod, ktorý si môže každý vziať domov... Toto očakávanie, že od ľudí budeme žiadať, aby pracovali dlhé hodiny, boli kedykoľvek v pohotovosti, aby odpovedali na e-maily a otázky, má obrovskú nevýhodu, a to je riadenie očakávaní,“ povedal Borrie.

Ako povedal Bell na konferencii, chceme byť dobrí vo svojej práci. Chceme byť nápomocní. A to je jeden z dôvodov, prečo nedokážeme rozpoznať zjavné známky potenciálneho phishingového e-mailu.

„Väčšinou ani nečítame, čo tam je. Jednou z našich najväčších ľudských zraniteľností je predpoklad, že vieme, čo je pred nami skôr, ako si to skutočne prečítame,“ povedala.

Organizácie implicitne trénujú používateľov, aby odpovedali na zlé e-maily, povedal Borrie tým, že umožňujú používanie nekonzistentne vyzerajúcich e-mailových systémov. Jeden legitímny typ e-mailu University of Otago, napríklad, pochádzal zo systému zápisov a informoval zamestnancov o konflikte študentského rozvrhu – nebol však odoslaný. z adresy v obvyklej doméne otago.ac.nz, ale používateľské meno otago-m na externej doméne .com a obsahovalo odkaz na kliknutie v druhej inej externej doméne .com domény.

„Opäť je veľmi, veľmi ťažké prinútiť týchto ľudí, ktorí riadia systém, aby skutočne urobili základné kroky, aby e-maily vyzerali oveľa zodpovednejšie. Tak len poviem ľuďom, aby ich vymazali, a potom zavolám na oddelenia a poviem: 'Viete, že polovica vašich e-mailov sa odstraňuje bez toho, aby boli prečítané?' Je to ich pracovný postup,“ povedal Borrie.

Vzhľadom na pokračujúcu úspešnosť spearphishingových útokov a nízku mieru výcviku je tu zjavný trh – a na tento trh vstupujú spoločnosti. Služba Phish5 vyvinutá v Južnej Afrike bola spustená v roku 2013 a nedávno aj startup PhishMe so sídlom vo Virgínii. získal financovanie série B vo výške 13 miliónov dolárov na školenie proti phishingu.

To všetko však môže byť čoskoro zastarané. Bell spolupracuje s niektorými rýchlo sa rozvíjajúcimi organizáciami, ktoré sa aktívne snažia zbaviť e-mailov.

„Teraz používajú četovacie platformy. Twitter používajú ako obchodný nástroj. Žijeme vo svete, kde je komunikácia prepojená spôsobmi, ktorým nerozumieme. Píšeme súbor nástrojov pre technológie, ktoré reálne -- veľká vláda, prepáčte, vy ste pravdepodobne o 10 rokov, ale my ostatní sa od toho začíname vzďaľovať,“ povedala povedal.

Odpoveď, povedal Bell, je použiť na testovanie ľudí rovnaký spôsob myslenia, aký používame na testovanie technológie.

„Čo ak môžeme mať rovnaký chladnokrvný zabijácky inštinkt, pri ktorom nám nezáleží na tom, či sa veci zrania alebo rozrušia, a aplikovať ho na ľudí? To znie skvele, však?"

Bell a SafeStack vyvinuli open-source softvérový rámec na automatizáciu tohto testovania: The AVA Human Vulnerability Scanner.

Rovnako ako nástroje na správu zraniteľností Qualys alebo Nessus spoločnosti Tenable mapujú počítačové siete a vyhľadávajú ich zraniteľné miesta, mapy AVA odhaľte sociálne siete organizácie – skutočnú sieť, nie tú na formálnej organizačnej schéme – a otestujte komunikačné cesty prostredníctvom ich.

„V súčasnosti zaobchádzame so všetkými našimi jednotlivcami, keď ich testujeme, ako s jednotlivcami. Ale k počítačom sa takto nesprávame,“ povedal Bell. „Keď prenikneme do testovacej siete počítačov, hľadáme medzi nimi prepojenia, pretože prepojené počítače sú zaujímavé. Dávajú nám cestu cez sieť. Tak prečo to neurobíme s ľuďmi?"

AVA zhromažďuje informácie zo zdrojov vrátane Active Directory, LinkedIn, Facebooku, Twitteru, externých poskytovateľov e-mailu a čoskoro aj Google Apps for Business. A testuje tak rôzne vektory útokov, ako sú vymeniteľné pevné disky až po SMS.

Bell hovorí, že školenie proti phishingu musí ísť ďaleko nad rámec klasického nigérijského podvodu s predplatením alebo malvéru spojeného s tým, čo sa považuje za aktuálne spravodajstvo.

„Čo ak máte na svojom pracovisku pomoci v prvej línii niekoho, kto sa zúfalo snaží potešiť ľudí, zostať vo svojej práci a odviesť dobrú prácu? A čo keď im C-level pošle e-mail a požiada ich o heslo? Koľko ľudí v prvej línii poznáte, ktorí by boli dosť odvážni, aby povedali C-úrovni, aby išla a množila sa?" povedala.

„Je pre nás naozaj ťažké vedieť, či sa budeme správať dobre tvárou v tvár hrozbe, ak nás nikdy neotestujú. Koľkí z vás už niekedy videli niekoho neohláseného vchádzať do vašej budovy, kto tam nemá byť... Koľkí z vás za nimi niekedy vedome prišli a vyzvali ich, aby tam boli? Je to ťažké, však?

„Potrebujeme vytvoriť prostredie, kde je pre nás skutočne bezpečné ísť: „Je to smiešne. toto sa mi nepáči. Ahojte ľudia, pozrite sa na toto. Zdá sa vám to zvláštne?"

Zverejnenie: Stilgherrian cestoval na Gold Coast ako hosť AusCERT.