Cyberprzestępcy coraz częściej wykorzystują czynnik ludzki do ataków na firmy
Wykorzystanie pracowników, czyli tzw. "zagrożenia wewnętrznego", staje się coraz bardziej powszechnym elementem łańcucha ataków. Celowe bądź nieświadome działania pracowników odgrywały kluczowe role w cyberincydentach odnotowanych w ciągu ostatniego roku - wynika z analizy firmy Cisco.
Atakujący regularnie próbują wykorzystać luki w zabezpieczeniach w celu dostarczania złośliwego ładunku za pomocą exploitów. Ostatnio jednak ich aktywność na tym polu coraz bardziej skupia się na wykorzystywaniu użytkowników. Początkowo, cyberprzestępcy doprowadzali do tego, aby pracownicy aktywowali złośliwe makra w plikach pakietu Office. Jednak im rzadziej ataki na tym polu są skuteczne, tym częściej napastnicy starają się znaleźć kolejną drogę do generowania złośliwych przychodów. Takim sposobem są właśnie zagrożenia wewnętrzne. Istnieją dwie szerokie kategorie tych zagrożeń: celowe, złośliwe działania pracowników oraz pracownicy będący nieświadomym obiektem działań. Obie stanowią dla specjalistów ds. cyberbezpieczeństwa i administratorów IT w organizacjach unikalne wyzwania w zakresie wykrywania ataków i zapobiegania im.
Istnieje wiele powodów, dla których pracownicy mogą podjąć decyzję o tym, by działać jako "krety" w swoich organizacjach. Najbardziej oczywistym wydają się kłopoty finansowe. Kiedy pracownik ma dużo długów, sprzedaż możliwości zainfekowania swojego pracodawcy może być dla niego kuszącą opcją. Analitycy Cisco Talos zaobserwowali na forach dark web przykłady pracowników, którzy próbowali sprzedać dostęp do sieci swoich pracodawców. Obecne problemy ekonomiczne dotykające bezpośrednio coraz większą liczbę gospodarstw domowych, sprzyjają tego typu nadużyciom.
To, że trudna sytuacja finansowa pracownika stanowi jeden z czynników zwiększającego się ryzyka, potwierdza fakt, że prawie połowa odmów wydania poświadczenia bezpieczeństwa w USA ma związek z kwestiami finansowymi. Jest to również częsty czynnik powodujący cofnięcie poświadczenia. Problemy finansowe mogą być również wykorzystywane przez atakujących do szantażowania użytkowników, aby podjęli pewne działania, w zamian za gwarancję utrzymania ich problemów w tajemnicy.
Jeszcze innym zagrożeniem dla przedsiębiorstw są pracownicy, którzy niedawno opuścili organizację – zwłaszcza jeżeli rozstanie nie odbyło się za porozumieniem stron. Osoby, które zostały zmuszone do rezygnacji lub zwolnione z pracy, mogą chcieć odegrać się na pracodawcach. Szczególnie katastrofalne w skutkach mogą okazać się działania byłych pracowników, którzy mieli dostęp do szeregu danych o kluczowym dla organizacji znaczeniu.
Wewnętrzne zagrożenia nie zawsze muszą jednak być wynikiem celowych działań pracowników. Druga kategoria zagrożeń wewnętrznych jest trudniejsza do opanowania, ponieważ wiąże się z nieświadomością osób, które nie zdają sobie sprawy, że są narzędziem w rękach cyberprzestępców. Eksperci Cisco Talos odnotowują, że zabiegi socjotechniczne są coraz chętniej wykorzystywane do cyberataków na przedsiębiorstwa.
Ataki socjotechniczne polegają na wykorzystaniu użytkownika do pomocy w zainfekowaniu infrastruktury, zazwyczaj poprzez pewną formę manipulacji. Odegrały one również rolę w niedawno ujawnionym incydencie, który dotknął Cisco. Inżynieria społeczna ma pewne oczywiste zastosowania, jak miało to miejsce wielokrotnie w obszarze ataków z wykorzystaniem fałszywych kont e-mail. Nierzadko, zwłaszcza w przypadku bardziej wyrafinowanych grup cyberprzestępczych, mail zawiera prośbę o numer telefonu w celu "dalszego omówienia problemu". Atakujący zdali sobie bowiem sprawę, że przez telefon znacznie łatwiej jest im wyłudzić pieniądze, ponieważ ludzie zwykle chcą pomóc i można nimi lepiej manipulować w ten właśnie sposób.
W miarę wdrażania uwierzytelniania wieloskładnikowego (MFA), napastnicy coraz lepiej radzą sobie z jego unikaniem, zazwyczaj właśnie poprzez socjotechniki. W trakcie prowadzonych badań, eksperci Cisco Talos znaleźli wiele przykładów, w których napastnicy podawali się za pracowników działu wsparcia, IT lub bezpieczeństwa wewnątrz organizacji i dzwonili do ofiar, aby skłonić ich do zaakceptowania żądania MFA w trakcie wysyłania go do urządzenia. Było to podejście podobne do tego, które miało miejsce w ujawnionym niedawno ataku na Cisco, gdzie główną rolę odegrał właśnie phishing głosowy.
Zagrożenia wewnętrzne w firmach - jak się bronić?
Obrona przed tego typu zagrożeniami wewnętrznymi jest trudna z wielu powodów. Przede wszystkim dlatego, że sprawcy ataków zazwyczaj mają już dostęp do sieci i posiadają ważne dane uwierzytelniające. W tym miejscu do gry wchodzą tradycyjne środki bezpieczeństwa, takie jak kontrola użytkowników i ich dostępu. Organizacje powinny ograniczyć zakres dostępu użytkownika do minimum wymaganego do wykonywania jego pracy (zero trust). Pozwoli to zapobiegać dostępowi do dokumentów lub systemów, do których dany pracownik nie powinien mieć dojścia, a wraz z odpowiednią logiką alarmową, generować alerty w przypadku prób uzyskania dostępu do takich miejsc. Zdarza się, że użytkownicy popełniają błędy i klikają w pliki, do których otwarcia nie są autoryzowani, jednak przypadki osób, którym odmówiono dostępu kilkunastokrotnie w krótkim czasie, powinny zostać każdorazowo zbadane.
Co więcej, administratorzy powinni mieć pewność, że organizacja posiada właściwą obronę wielopoziomową (ang. defense in depth) i przeprowadza inspekcję wertykalną w całej firmie, a nie tylko analizuje ruch przechodzący przez granicę sieci firmowej lub zmierzający do i z centrum danych. To pozwoli mieć pewność, że jeżeli użytkownik jest wykorzystywany do wsparcia atakujących, niezależnie od tego, czy chce, czy nie, istnieją rozwiązania pozwalające na wykrycie jego aktywności i jej zablokowanie.
Istotną rolę na tym polu może odegrać również rutynowy audyt. Często zdarza się, że tworzone do testów lub innych celów konto użytkownika jest zapomniane, a jeśli zostanie przeoczone w analizie struktury firmowych zasobów, może być wykorzystywane właśnie przez atakujących. Regularne sprawdzanie dostępu użytkowników, a nawet całych grup, pomoże wyeliminować takie zjawiska jak gromadzenie dostępu, rozrost grup i rozszerzanie uprawnień, co powoduje, że użytkownicy mają znacznie szerszy dostęp, niż powinni.
W przypadku organizacji, które zajmują się transakcjami finansowymi, konieczne jest wdrożenie systemów kontroli i równowagi (ang. checks and balances), aby żaden pojedynczy użytkownik nie mógł zainicjować i zrealizować przelewu lub innego znaczącego przepływu środków bez dodatkowego nadzoru i zatwierdzenia. Analizy Cisco Talos wykazały, że organizacje pozbawione tego typu kontroli "wypuszczały" znaczne sumy pieniędzy poprzez ataki BEC (ang. Business Email Compromise) lub inne, motywowane finansowo ataki socjotechniczne.
Kiedy pracownik odchodzi z organizacji, najczęściej wdrażane są odpowiednie kroki, takie jak wyłączenie kont i zapewnienie, że taka osoba nie może połączyć się z przedsiębiorstwem zdalnie poprzez VPN. Jednak mniej oczywiste, a równie istotne, jest upewnienie się, że użytkownik nie ma żadnych istniejących połączeń z firmową infrastrukturą. W świecie pracy hybrydowej jest przecież prawdopodobne, że nadal będzie miał dostęp do aktywów firmy, w tym laptopów i innych systemów. Wdrożenie mechanizmu zdalnego wymazywania tych systemów jest więc niezwykle pożądane.
Istnieją też dodatkowe kroki, które organizacje muszą podjąć, szczególnie w przypadku użytkowników o zwiększonym poziomie dostępu. "Rotujące współdzielone dane uwierzytelniające" to coś, co w idealnym świecie nie powinno mieć miejsca. Zdarzają się jednak sytuacje, kiedy współdzielone dane uwierzytelniające są rzeczą na tyle powszechną, że mogą być nadużywane przez odchodzących członków zespołu. Z podobną uwagą należy podchodzić do wszelkich danych uwierzytelniających w chmurze, gdzie obecnie prawie wszystkie organizacje przechowują część lub większość swoich danych. Wszelkie linie dostępu do nich powinny być ucinane w momencie, gdy pracownik opuszcza organizację.
"Bez względu na poziom zabezpieczeń, kluczem jest edukacja użytkowników. Przedsiębiorstwa powinny uwzględniać ataki socjotechniczne jako część swoich działań w ramach prowadzonych testów bezpieczeństwa lub innych działań na tym polu, które odbywają się regularnie. Powinny też przeprowadzać specjalne szkolenia dla pracowników, aby uświadamiać ich w zakresie zagrożeń, które niesie za sobą inżynieria społeczna. Szkolenia te powinny zawierać m.in. informacje o tym, jak wygląda normalna aktywność MFA, jakie są sposoby kontaktowania się z użytkownikami przez dział wsparcia, czy jakimi zasobami nigdy nie należy się dzielić. W przypadku organizacji finansowych ważne jest też zrozumienie przez uczestników szkolenia tego, w jaki sposób powinny być obsługiwane i weryfikowane transfery pieniężne." - stwierdził Nick Biasini z Cisco Talos.
Liczba zagrożeń wewnętrznych rośnie
W ciągu ostatnich dwunastu miesięcy eksperci Cisco Talos zaobserwowali rosnącą liczbę incydentów związanych ze złośliwymi intruzami i nieświadomymi zagrożeń pracownikami, którzy zostali skompromitowani za pomocą inżynierii społecznej.
Wraz z dalszym doskonaleniem sposobów wykrywania i powstrzymywania aktywnego wykorzystania podatności i exploitów oraz powolnym usuwaniem makr z krajobrazu, liczba dostępnych dla cyberprzestępców opcji ataku tego rodzaju będzie się zmniejszać. Nadal jednak będą oni szukać ścieżki najmniejszego oporu, co historycznie oznaczało aktywną eksploatację – ostatnio było to wykorzystanie złośliwych plików, a w przyszłości prawdopodobnie będzie coraz częściej przybierać formę ataków socjotechnicznych, zamieniających użytkownika w złośliwego insidera.
Dołącz do dyskusji: Cyberprzestępcy coraz częściej wykorzystują czynnik ludzki do ataków na firmy