目次:
連邦捜査局(FBI)と米国国土安全保障省による共同調査の結果、ロシアの工作員が米国の電力網の一部である会社に侵入したという報告に至ったと聞いたことがあります。 攻撃の詳細については、米国コンピューター緊急事態対応チーム(US-CERT)の報告書に記載されています。このレポートでは、攻撃者がエネルギー施設に侵入した方法と盗んだ情報で何をしたかを説明しています。
スマートフィッシング攻撃の構造
小規模なパートナーにアクセスする主な手段は、公開情報を見つけることでした。公開情報は、他の情報と組み合わせると、次のステップに必要な詳細レベルを提供します。 たとえば、攻撃者は最終的なターゲットでビジネスを行っている会社のWebサイトを調べ、パートナーの会社または最終的なターゲットの上級管理者の電子メールアドレスを見つける可能性があります。 その後、攻撃者は両方の会社のWebサイトからの他の情報を調べて、関係が何であるか、どのサービスが誰によって提供されているか、各会社の構造について何かを確認します。
その情報を武器に、攻撃者は正当なメールアドレスと思われるものから非常に説得力のあるフィッシングメールを送信し始めることができます。 ファイアウォールまたは管理されたエンドポイント保護レベルに配置されたフィッシングフィルターを無効にする可能性のある十分に細工された詳細。 フィッシングメールは、標的となる人物のログイン資格情報を収集するように設計されており、攻撃者のいずれかが成功すると、攻撃者は即座に適切なターゲットネットワーク内のID管理手段をバイパスします。
Facebookからユーザー情報を収集することに関する啓示により、脅威の性質が拡大します。 2014年から学術研究を装って行われた侵害で、ロシアの研究者が米国のFacebookメンバーの約5, 000万人のユーザープロファイルにアクセスできました。 これらのプロファイルは、ケンブリッジアナリティカに引き継がれました。 その後の調査により、これらのFacebookユーザーの許可なしにこのデータが取得され、悪用されたことが明らかになりました。
外部通信の監査
これにより、慎重な企業がどの情報をウェブサイト経由で利用可能にするべきかという疑問が生じます。 さらに悪いことに、そのクエリは、組織のソーシャルメディアの存在、Youtubeなどのサードパーティマーケティングチャネル、さらには有名な従業員のソーシャルメディアプロファイルにまで拡張する必要があります。
「彼らは会社のウェブサイトの内容について慎重にならなければならないと思います」と、Cyxteraの最高情報セキュリティ責任者(CISO)であり、FBIのニューヨーク市現地事務所のサイバー部門を担当した元特別エージェントであるLeo Taddeo氏は言います。 「不注意で情報を開示する可能性があります。」
Taddeo氏によると、良い例の1つは、開発に使用しているツールや、探しているセキュリティ専門分野まで明らかにできる求人情報です。 「企業が自分自身を公開する方法はたくさんあります。大きな表面積があります。ウェブサイトだけでなく、意図的なコミュニケーションもありません」と彼は言いました。
Taddeoは、LinkedInなどのプロのメディアWebサイトも、注意を怠る人にとっては危険であると警告しました。 彼は、敵がそのようなWebサイトに偽のアカウントを作成して、自分が本当は誰であるかを偽装し、その後、連絡先からの情報を使用すると述べた。 「彼らがソーシャルメディアサイトに投稿するものは何でも彼らの雇用主を危うくするかもしれない」と彼は言った。
あなたを標的にしている悪役はあなたのデータを追いかけている、またはあなたが働いている組織を追いかけているかもしれないという事実を考えると、問題はあなた自身をどのように保護するだけでなく、どのようにあなたのビジネスパートナーも保護するのですか? これは、攻撃者があなたのデータを追いかけているのか、それとも次の攻撃の足がかりとなる可能性があるのかを知らない可能性があるため、複雑です。
自分を守る方法
いずれにせよ、あなたが取ることができるいくつかのステップがあります。 これに取り組む最善の方法は、情報監査の形式です。 会社が外部コミュニケーション、確かにマーケティングに使用しているすべてのチャネルを列挙しますが、人事、PR、サプライチェーンなども列挙します。 次に、影響を受けるすべてのチャネルの利害関係者を含む監査チームを構築し、データ窃盗犯に役立つ可能性のある情報に目を向けて系統的に分析します。 まず、会社のWebサイトから始めます。
- 次に、クラウドサービスを同じように検討します。 多くの場合、会社のGoogleアナリティクスやSalesforceアカウントなどのサードパーティの企業クラウドサービスの上級管理職の管理者を作成するためのデフォルト構成です。 そのレベルのアクセスが必要ない場合は、ユーザーステータスにドロップし、管理者アクセスレベルを、電子メールログインが見つけにくいIT担当者に任せることを検討してください。
会社のWebサイトを調べて、自分が行っている作業や使用しているツールに関する詳細を提供している可能性のあるものを探します。 たとえば、写真に表示されるコンピューター画面には重要な情報が含まれている場合があります。 生産設備またはネットワークインフラストラクチャの写真を確認します。これにより、攻撃者に役立つ手がかりが得られます。
スタッフ一覧をご覧ください。 上級スタッフのメールアドレスがリストされていますか? これらのアドレスは、攻撃者に潜在的なログインアドレスを提供するだけでなく、他の従業員に送信された電子メールを偽装する方法も提供します。 それらをフォームへのリンクに置き換えることを検討するか、一般消費と内部使用で異なる電子メールアドレスを使用します。
あなたのウェブサイトはあなたの顧客やパートナーが誰であるかを言っていますか? これにより、攻撃者がセキュリティを通過できない場合に、組織を攻撃する別の方法を提供できます。
求人を確認してください。 彼らはあなたの会社のツール、言語、または他の側面についてどのくらい明らかにしていますか? その情報から自分自身を分離するために、人材紹介会社を通して働くことを検討してください。
あなたの敵が間違いなくこのチャネルを介して情報をマイニングしようとしていることに留意して、あなたのソーシャルメディアの存在を見てください。 また、あなたの会社に関する情報が、シニアスタッフによる投稿で明らかにされていることも確認してください。 ソーシャルメディアでの従業員の活動に関するすべてを制御することはできませんが、監視することはできます。
ネットワークアーキテクチャを検討してください。 Taddeoでは、管理者アクセスが必要な場合にのみ、注意が必要なシステムにのみ許可される、必要に応じたアプローチを推奨しています。 彼は、もともと米国国防総省が開発したソフトウェア定義境界(SDP)の使用を提案しています。 「最終的に、各ユーザーのアクセス資格は、ID、デバイス、ネットワーク、およびアプリケーションの感度に基づいて動的に変更されます」と彼は言いました。 「これらは、簡単に構成されたポリシーによって推進されます。ネットワークアクセスをアプリケーションアクセスと連携させることにより、ユーザーは完全に生産性を維持しながら、攻撃対象領域を劇的に削減できます。」
最後に、Taddeoは、シャドウITによって作成された脆弱性を探すように言いました。 探していない限り、職場で個人用iPadを使いやすくするために誰かがオフィスにワイヤレスルーターを設置しているため、ハードセキュリティ作業をバイパスすることができます。 未知のサードパーティクラウドサービスもこのカテゴリに分類されます。 大規模な組織では、部門長がIT部門の「レッドテープ」と見なされるものをバイパスする便利なクラウドサービスに部門を単純に登録することは珍しくありません。
これには、Dropbox Businessをネットワークストレージとして使用したり、別のマーケティング自動化サービスを使用したりするなどのコアITサービスが含まれます。これは、公式の企業支援ツールへのサインアップが遅すぎて、多くのフォームに入力する必要があるためです このようなソフトウェアサービスは、ITが気付かないうちに機密データの塊を公開する可能性があります。 組織でどのアプリが使用されているか、誰がどのアプリを使用しているか、誰がアクセスできるかをしっかりと管理していることを確認してください。
このような監査作業は退屈で時間がかかることもありますが、長期的には大きな利益をもたらします。 あなたの敵があなたの後を追うまで、あなたはあなたが持っているものが盗む価値があるかもしれないことを知りません。 そのため、重要なことに注意しながら、柔軟な方法でセキュリティにアプローチする必要があります。 それを行う唯一の方法は、ネットワーク上で実行されているものについて徹底的に通知することです。
