Профессионалы в области безопасности хорошо разбираются в технических аспектах, тактиках, методах и процедурах (TTP), которые используют субъекты угроз для запуска кибератак. Они также хорошо разбираются в ключевых оборонительных стратегиях, таких как приоритетность исправлений на основе риска и внедрение подхода нулевого доверия.
Однако мир корпоративной безопасности в целом, похоже, остается на шаг позади хакеров, которые из года в год продолжают успешно осуществлять все большее количество атак.
Вот одна из причин: многие руководители служб информационной безопасности упускают из виду или недооценивают не технические идеи, которые используют хакеры, чтобы получить преимущество.
«Хакеры знают, что у среднестатистического CISO много дел, и у него недостаточно [ресурсов], чтобы все успеть. Поэтому CISO должны обращать внимание на то, что делают хакеры и что они знают, чтобы лучше защититься от них», — говорит Стефани «Сноу» Каррутерс, главный хакер IBM.
Что же такое знают хакеры, что может не получить достаточного внимания? Вот шесть стратегий, которые хакеры используют для подготовки своих атак, которые могут не попасть в поле зрения CISO, по мнению исследователей безопасности.
Оглавление
Организации недостаточно активно готовятся к тем способам, которыми на самом деле атакуют хакеры
Когда разразился COVID, руководители сосредоточились на том, чтобы обеспечить своим организациям и сотрудникам безопасный выход из кризиса. Хакеры, с другой стороны, увидели возможность для эксплуатации.
На самом деле, хакеры охотно используют любую уязвимость, какую только могут, — говорит Эрик Дж. Хаффман, основатель компании Handshake Leadership, предоставляющей услуги по кибербезопасности. Они готовы сместить генерального директора, поставить в неловкое положение финансового директора, разрушить карьеру и парализовать критически важные сервисы, чтобы получить желаемое.
«Преступники морально опускаются до таких уровней, до которых мы не ожидали», — говорит Хаффман.
Большинство руководителей служб информационной безопасности не осознали этот факт, даже если они знают об этом, говорит Хаффман. Вместо этого они обычно разрабатывают антифишинговые кампании, обучающие программы по повышению осведомленности в вопросах безопасности и учения по безопасности, которые не включают удары ниже пояса. Например, они обычно не разрабатывают высокоперсонализированные электронные письма, которые имитируют целевые фишинговые кампании, потому что это может быть воспринято как чрезмерно агрессивный шаг.
Это ошибка, и хакеры ею пользуются, потому что «они готовы атаковать способами, которые не допускают руководители служб информационной безопасности. Это значит, что мы не совсем понимаем, как ведется борьба», — говорит Хаффман. Он консультирует руководителей служб безопасности и разрабатывает антифишинговые кампании, симуляции и учения, которые более точно имитируют грязные и неприкрытые стратегии, используемые хакерами. «Снимите перчатки; бросьте вызов своей команде».
Хакеры знают лучшее время для атаки, основываясь на вашем расписании
Неслучайно многие атаки происходят в самые сложные времена. Хакеры действительно усиливают свои атаки в выходные и праздники, когда команды безопасности не так многочисленны. И они с большей вероятностью нанесут удар прямо перед обедом и в конце рабочего дня, когда работники спешат и, следовательно, менее внимательны к красным флажкам, указывающим на фишинговую атаку или мошенническую деятельность.
«Хакеры обычно осуществляют свои атаки именно в это время, поскольку в этом случае вероятность их обнаружения снижается», — говорит Мелисса ДеОрио, руководитель отдела глобальной разведки угроз в S-RM, консалтинговой компании в сфере глобальной разведки и кибербезопасности.
ДеОрио признает, что многие хакеры находятся в странах, где дневные рабочие часы точно совпадают с нерабочими часами в Америке и Западной Европе. Но она говорит, что факты свидетельствуют о том, что хакеры действительно пользуются этой разницей, рассчитывая время своих атак.
Кроме того, злоумышленники ищут периоды организационных изменений (например, слияния, поглощения, увольнения и т. д.), чтобы воспользоваться ими, говорит Томер Бар, вице-президент по исследованиям безопасности в SafeBreach. «Злоумышленники попытаются начать атаку в самое трудное время для CISO и синей команды».
Хотя CISO обычно знают, что хакеры рассчитывают время своих атак, эксперты говорят, что некоторые могут не представить, насколько хакеры стратегически мыслят, когда дело доходит до исследования и планирования подходящего времени. Более того, Бар говорит, что CISO могут быть не столь внимательны, как следовало бы, к этому вопросу.
Чтобы противостоять этой хакерской стратегии, опытные руководители по безопасности советуют руководителям служб информационной безопасности учитывать ее в своих собственных стратегиях защиты. Им следует использовать сторонние сервисы в нерабочее время, чтобы дополнить график работы команды безопасности, добавить больше автоматизации для повышения эффективности работы персонала в любое время, добавить дополнительные уровни безопасности, такие как больший мониторинг или более жесткие фильтры в периоды повышенного риска, обеспечить выполнение приоритетных работ по безопасности до пиковых периодов, таких как праздники, и информировать всех сотрудников о повышенных рисках, которые существуют в такие периоды.
ДеОрио также рекомендует провести учения по реагированию на инциденты так, как будто инцидент произошел в особенно проблемное время — например, посреди ночи во время летних каникул, — чтобы группа безопасности могла выявить и устранить любые пробелы в своем реагировании.
Хакеры собирают массу информации о вашей организации
Злоумышленники активно занимаются сбором открытых разведданных (OSINT), ища информацию, которую они могут использовать для разработки атак, говорит Каррутерс. Неудивительно, что хакеры ищут новости о преобразующих событиях, таких как крупные увольнения, слияния и тому подобное, говорит она. Но директора по информационной безопасности, их команды и другие руководители могут быть удивлены, узнав, что хакеры также ищут новости о, казалось бы, безобидных событиях, таких как внедрение технологий, новые партнерства и рабочие графики руководителей, которые показывают, когда они находятся вне офиса.
Конечно, такие низкоуровневые действия не вызывают такого же беспокойства у работников или организационной путаницы, как сокращения, слияния и поглощения, и, таким образом, не предоставляют тех же возможностей для хакеров. Однако Каррутерс говорит, что они все равно создают изменения, которые хакеры могут использовать в своих интересах. «Все они порождают возможности для злоумышленников».
Каррутерс не понаслышке знает, насколько эффективны такие хакерские стратегии. Ее команда этичных хакеров проводит упражнения, которые начинаются со сбора информации из объявлений, блогов, сообщений в социальных сетях и онлайн-форумов, где сотрудники делятся своими мыслями. Затем ее команда определяет, где и как нанести удар на основе этой информации, как это делают хакеры. Она говорит, что ее команда, чтобы легче заставить сотрудников делиться информацией для входа или учетными данными, может использовать против компании что-то позитивное, например, создав фишинговую кампанию, в которой говорится, что популярная льгота для сотрудников заканчивается или что команда может воспользоваться переходом на новую технологию.
Хотя CISO не могут перекрыть поток новостей, они могут противостоять способности хакеров успешно использовать его против своих организаций, говорит Каррутерс. Они могут отслеживать OSINT о своих организациях, работать с другими руководителями над объявлениями и временем этих объявлений, а также проводить симуляции того, как такие объявления будут восприниматься с точки зрения бизнеса. Все это помогает CISO и их командам видеть то, что видят хакеры, лучше понимать их мышление и готовиться к возможным целевым атакам.
Сегодняшняя корпоративная культура работает на пользу хакерам
Обучение по повышению осведомленности в области безопасности обычно предписывает людям уделять время просмотру электронных писем или обдумыванию запросов, чтобы определить, является ли запрос законным или подозрительным. Однако, по словам Хаффмана, современная культура на рабочем месте, как правило, работает против такого подхода. «Мы хвалим себя за то, что приводим себя в эмоционально горячее состояние», — говорит он, указывая на объявления о вакансиях, в которых для описания культуры на рабочем месте используются такие фразы, как «быстрый», «динамичный» и «высокая интенсивность».
Сотрудники в таких условиях не имеют — и их не поощряют тратить — дополнительное время на оценку входящих сообщений (будь то по электронной почте, телефону, видео, тексту и т. д.), говорит Хаффман. «Именно поэтому хакеры добиваются успеха: они застают нас в постоянном эмоциональном напряжении, когда вы просматриваете 1000 писем».
Директора по информационной безопасности и их коллеги-руководители могли бы создать более безопасную организацию, понизив эмоциональные градусы.
«Большинство компаний, которые я консультирую, не понимают, насколько усердно работают их команды и под каким давлением они находятся. Они думают, что у них отличная корпоративная культура, но они не знают, что их команды работают сверхурочно. Но если они поощряют их сбавить темп, если они могут [определить], что может подождать до завтра, если они могут позволить людям расслабиться, они лучше защитят [свою организацию]», — говорит Хаффман.
Дипфейки действительно работают
Дипфейки вполне способны обмануть сотрудников, о чем свидетельствуют сообщения, поступившие в начале этого года, о том, что сотрудник британской инжиниринговой компании Arup был обманут мошенниками, которые использовали дипфейк финансового директора компании, чтобы запросить перевод в размере 25 миллионов долларов.
«Дипфейки существуют уже почти 10 лет, но технология стала намного совершенней», — говорит Кев Брин, который в качестве старшего директора по исследованию киберугроз в Immersive Labs исследует новые и возникающие киберугрозы. Он отмечает, что дипфейковые аудио сегодня особенно зрелые. «Сделать дипфейковое видео по-прежнему сложно, но для создания убедительных клипов не требуется много звука».
Он говорит, что большинство руководителей служб информационной безопасности знают, что аудио- и видеоподделки теперь достаточно хороши, чтобы быть убедительными, но многие другие руководители и сотрудники не так хорошо осведомлены об этой новой угрозе. И хотя эти атаки с подделками имеют высокую целевую направленность, хакеры рассчитывают на широко распространенную неосведомленность, чтобы повысить свои показатели успеха.
Хотя инструментов безопасности для обнаружения и блокировки дипфейков не существует, руководители служб информационной безопасности могут снизить угрозу, информируя сотрудников об этой угрозе и способах обнаружения возможных дипфейковых аудио- и видеоматериалов, а также обновляя протоколы бизнес-процессов, таких как денежные переводы, чтобы гарантировать законность запросов на такие действия.
Компании забывают сделать контроль независимым
По словам Лу Стейнберга, основателя и управляющего партнера CTM Insights, исследовательской лаборатории и инкубатора кибербезопасности, а также члена Консультативного комитета по науке и технологиям MITRE и бывшего технического директора TD Ameritrade, эшелонированная защита может повысить уровень безопасности организации, однако многие организации не получают этой выгоды, поскольку их контроли не являются независимыми.
«Я наблюдал случаи, когда то, что должно быть независимыми контролями, работало на одном и том же сервере. И хакеры знают, что, взламывая один сервер, они могут взломать сразу несколько контролей», — говорит Стейнберг.
Ранее он также работал с одной компанией, где тест на проникновение показал, что сетевой и хостовой контроли работали на одном и том же локальном сервере.
«Оба контроля можно обойти одновременно, что нехорошо», — говорит он.
Он также слышал о подобных сценариях в облаке, например, когда учетные данные для контроля безопасности — например, брокера безопасного доступа в облако (CASB) или брандмауэра веб-приложений — совпадали с учетными данными администратора облака организации.
Стейнберг утверждает, что устранить эту брешь в системе безопасности относительно просто: необходимо убедиться, что контроли независимы, чтобы компрометация одного контроля не ставила под угрозу другие контроли, и чтобы организация действительно имела глубоко эшелонированную оборону, а не только ее иллюзию.
Мэри К. Пратт
Что-то дюже умные хакеры пошли. Не понял только из статьи до каких таких неожиданно низких моральных уровней опускаются киберпреступники.