Inhaltsverzeichnis:
- Anatomie eines intelligenten Phishing-Angriffs
- Prüfung der externen Kommunikation
- So schützen Sie sich
Video: 5 gute Gründe, Russisch zu lernen (November 2024)
Inzwischen haben Sie gehört, dass eine gemeinsame Untersuchung des FBI und des US-amerikanischen Heimatschutzministeriums zu einem Bericht geführt hat, wonach russische Aktivisten in Unternehmen eingedrungen sind, die Teil des Stromnetzes in den USA sind. Die Angriffe werden in einem Bericht des US-amerikanischen Computer Emergency Readiness Teams (US-CERT) detailliert beschrieben, in dem beschrieben wird, wie die Angreifer in die Energieanlagen eindringen konnten und was sie mit den von ihnen gestohlenen Informationen getan haben.
Anatomie eines intelligenten Phishing-Angriffs
Ein primäres Mittel, um Zugang zu dem kleineren Partner zu erhalten, bestand darin, öffentliche Informationen zu finden, die zusammen mit anderen Informationen den Detaillierungsgrad liefern, der für den nächsten Schritt benötigt wird. Ein Angreifer kann beispielsweise die Website eines Unternehmens untersuchen, das Geschäfte mit dem Endziel tätigt, und dort die E-Mail-Adresse eines leitenden Angestellten des Unternehmens des Partners oder des Endziels finden. Dann kann der Angreifer andere Informationen auf den Websites beider Unternehmen untersuchen, um festzustellen, wie die Beziehung aussieht, welche Dienste von wem bereitgestellt werden und welche Struktur die einzelnen Unternehmen haben.
Mit diesen Informationen kann der Angreifer sehr überzeugende Phishing-E-Mails von einer scheinbar legitimen E-Mail-Adresse senden. solche mit genügend handwerklichen Details, die alle Phishing-Filter, die in der Firewall oder auf der Ebene des verwalteten Endpoint-Schutzes installiert sind, möglicherweise außer Kraft setzen. Die Phishing-E-Mails sollen Anmeldeinformationen für die Zielperson sammeln. Wenn eine dieser E-Mails erfolgreich ist, umgehen die Angreifer sofort alle Identitätsverwaltungsmaßnahmen, die im Zielnetzwerk vorhanden sind.
Mit den Enthüllungen über das Ernten von Benutzerinformationen von Facebook erweitert sich die Art der Bedrohung. In einer Lücke, die seit 2014 unter dem Deckmantel akademischer Forschung geführt wird, hat ein russischer Forscher Zugang zu rund 50 Millionen Benutzerprofilen amerikanischer Facebook-Mitglieder erhalten. Diese Profile wurden an Cambridge Analytica übergeben. Nachforschungen haben ergeben, dass diese Daten ohne Erlaubnis der Facebook-Nutzer erhoben und anschließend missbraucht wurden.
Prüfung der externen Kommunikation
Dies wirft die Frage auf, welche Informationen vorsichtige Unternehmen über ihre Websites zur Verfügung stellen sollten. Schlimmer noch, diese Abfrage muss sich wahrscheinlich auf die Social-Media-Präsenzen des Unternehmens, auf Marketingkanäle von Drittanbietern wie Youtube und sogar auf Social-Media-Profile von hochrangigen Mitarbeitern erstrecken.
"Ich denke, sie müssen vorsichtig sein, was auf ihren Unternehmenswebsites steht", sagte Leo Taddeo, Chief Information Security Officer (CISO) von Cyxtera und ehemaliger Special Agent, der für die Cyber-Abteilung des New Yorker FBI-Außenbüros zuständig ist. "Es besteht ein großes Potenzial für die versehentliche Offenlegung von Informationen."
Taddeo sagte, dass ein gutes Beispiel in Stellenausschreibungen ist, in denen Sie offenlegen können, welche Tools Sie für die Entwicklung verwenden oder sogar welche Sicherheitsspezialitäten Sie suchen. "Es gibt viele Möglichkeiten, wie Unternehmen sich ausstellen können. Es gibt eine große Oberfläche. Nicht nur die Website und nicht nur die bewusste Kommunikation", sagte er.
Taddeo warnte, dass professionelle Medien-Websites wie LinkedIn auch ein Risiko für diejenigen darstellen, die nicht aufpassen. Er sagte, dass Gegner auf solchen Websites gefälschte Konten erstellen, die verbergen, wer sie wirklich sind, und dann Informationen aus ihren Kontakten verwenden. "Was auch immer sie auf Social Media-Websites posten, kann ihren Arbeitgeber gefährden", sagte er.
Angesichts der Tatsache, dass die schlechten Akteure, die Sie ansprechen, möglicherweise hinter Ihren Daten oder einer Organisation her sind, mit der Sie zusammenarbeiten, lautet die Frage nicht nur, wie Sie sich selbst schützen, sondern wie Sie auch Ihren Geschäftspartner schützen. Dies wird durch die Tatsache erschwert, dass Sie möglicherweise nicht wissen, ob die Angreifer Ihren Daten nachgehen oder Sie lediglich als Sprungbrett und möglicherweise als Ort für den nächsten Angriff betrachten.
So schützen Sie sich
In beiden Fällen können Sie einige Schritte ausführen. Der beste Weg, dies zu erreichen, ist ein Informationsaudit. Zählen Sie alle Kanäle auf, die Ihr Unternehmen für die externe Kommunikation verwendet, insbesondere für das Marketing, aber auch für HR, PR und die Lieferkette. Bauen Sie dann ein Auditteam auf, das Stakeholder aus allen betroffenen Kanälen umfasst, und analysieren Sie systematisch und mit Blick auf Informationen, die für Datendiebe nützlich sein könnten. Beginnen Sie zunächst mit Ihrer Unternehmenswebsite:
- Betrachten Sie nun Ihre Cloud-Dienste auf die gleiche Weise. Es ist häufig eine Standardkonfiguration, um leitende Unternehmensadministratoren für Unternehmens-Cloud-Services von Drittanbietern zu konfigurieren, z. B. für Google Analytics- oder Salesforce-Konten Ihres Unternehmens. Wenn sie diese Zugriffsebene nicht benötigen, sollten Sie sie in den Benutzerstatus versetzen und die administrativen Zugriffsebenen dem IT-Personal überlassen, dessen E-Mail-Anmeldungen schwerer zu finden wären.
Untersuchen Sie die Website Ihres Unternehmens auf Details zu Ihrer Arbeit oder den von Ihnen verwendeten Tools. Ein Computerbildschirm auf einem Foto kann beispielsweise wichtige Informationen enthalten. Suchen Sie nach Fotos von Produktionsausrüstung oder Netzwerkinfrastruktur, die Angreifern nützliche Hinweise geben können.
Schauen Sie sich die Mitarbeiterliste an. Haben Sie E-Mail-Adressen für Ihre leitenden Angestellten aufgelistet? Diese Adressen bieten einem Angreifer nicht nur eine potenzielle Anmeldeadresse, sondern auch eine Möglichkeit, E-Mails zu fälschen, die an andere Mitarbeiter gesendet werden. Ersetzen Sie diese durch einen Link zu einem Formular oder verwenden Sie eine andere E-Mail-Adresse für den öffentlichen Gebrauch als für den internen Gebrauch.
Sagt Ihre Website, wer Ihre Kunden oder Partner sind? Dies kann einem Angreifer eine weitere Möglichkeit bieten, Ihr Unternehmen anzugreifen, wenn er Probleme hat, an Ihrer Sicherheit vorbei zu kommen.
Überprüfen Sie Ihre Stellenausschreibungen. Wie viel verraten sie über die Tools, Sprachen oder andere Aspekte Ihres Unternehmens? Ziehen Sie in Betracht, eine Personalberatung zu beauftragen, um sich von diesen Informationen zu trennen.
Sehen Sie sich Ihre Social-Media-Präsenz an und denken Sie daran, dass Ihre Gegner auf jeden Fall versuchen werden, Informationen über diesen Kanal abzurufen. Sehen Sie auch, wie viele Informationen über Ihr Unternehmen in den Beiträgen Ihrer leitenden Angestellten enthalten sind. Sie können nicht alles über die Aktivitäten Ihrer Mitarbeiter in den sozialen Medien steuern, aber Sie können sie im Auge behalten.
Betrachten Sie Ihre Netzwerkarchitektur. Taddeo empfiehlt einen bedarfsorientierten Ansatz, bei dem der Administratorzugriff nur dann gewährt wird, wenn er benötigt wird und nur für das System, das Aufmerksamkeit benötigt. Er schlägt vor, einen Software Defined Perimeter (SDP) zu verwenden, der ursprünglich vom US-Verteidigungsministerium entwickelt wurde. "Letztendlich werden die Zugriffsrechte jedes Benutzers dynamisch geändert, basierend auf Identität, Gerät, Netzwerk und Anwendungssensitivität", sagte er. "Diese basieren auf einfach zu konfigurierenden Richtlinien. Durch die Abstimmung des Netzwerkzugriffs auf den Anwendungszugriff bleiben Benutzer voll produktiv, während die Angriffsfläche drastisch reduziert wird."
Schließlich soll Taddeo nach Schwachstellen suchen, die von der Schatten-IT verursacht wurden. Wenn Sie nicht danach suchen, kann Ihre harte Sicherheitsarbeit umgangen werden, da jemand in seinem Büro einen WLAN-Router installiert hat, damit er sein persönliches iPad bei der Arbeit einfacher nutzen kann. Unbekannte Cloud-Dienste von Drittanbietern fallen ebenfalls in diese Kategorie. In großen Unternehmen ist es nicht ungewöhnlich, dass Abteilungsleiter ihre Abteilungen einfach für bequeme Cloud-Services anmelden, um den von ihnen als "bürokratisch" geltenden IT-Aufwand zu umgehen.
Dies kann Kern-IT-Services wie die Verwendung von Dropbox Business als Netzwerkspeicher oder die Verwendung eines anderen Marketing-Automatisierungsdienstes einschließen, da die Anmeldung für das offizielle, von Unternehmen unterstützte Tool zu langsam ist und das Ausfüllen zu vieler Formulare erfordert. Solche Softwaredienste können sensible Daten offenlegen, ohne dass die IT davon Notiz nimmt. Stellen Sie sicher, dass Sie wissen, welche Apps in Ihrem Unternehmen von wem verwendet werden und dass Sie die Kontrolle darüber haben, wer Zugriff hat.
Eine solche Prüfungsarbeit ist mühsam und manchmal zeitaufwändig, kann sich aber auf lange Sicht auszahlen. Solange Ihre Gegner nicht hinter Ihnen her sind, wissen Sie nicht, was Sie haben, das es wert sein könnte, gestohlen zu werden. Sie müssen sich also flexibel an die Sicherheit wenden und dabei immer den Überblick behalten, worauf es ankommt. und die einzige Möglichkeit, dies zu tun, besteht darin, sich gründlich darüber zu informieren, was in Ihrem Netzwerk ausgeführt wird.
