Ano ang maaaring ituro ng russian power grid attack sa bawat propesyonal

Ngayon ay narinig mo na ang isang pinagsamang pagsisiyasat ng Federal Bureau of Investigation (FBI) at ng US Department of Homeland Security ay humantong sa isang ulat na ang mga operatiba ng Russia ay nag-hack sa mga kumpanya na bahagi ng power grid sa US. Ang mga pag-atake ay inilalarawan nang detalyado sa isang ulat mula sa US Computer Emergency Handa sa Kahanda (US-CERT) na naglalarawan kung paano nakakalusot ang mga umaatake sa mga pasilidad ng enerhiya at kung ano ang ginawa nila sa impormasyong kanilang nakawat.

Ano ang hindi sa mga ulat ng media ay isang katotohanan na dapat magdulot ng pag-aalala sa isang propesyonal sa IT, kung nagtatrabaho sila para sa isang maliit na midsize ng negosyo (SMB) o isang mas malaking samahan. Ang katotohanang iyon: Ang landas na sinamantala ng mga umaatake ay dumaan sa mas maliit na kasosyo sa panghuli target. Sinimulan nila ang kanilang pag-atake sa pamamagitan ng pagtagos sa mga panlaban ng mga mas maliit na kasosyo dahil malamang na magkaroon sila ng mas mahina na panlaban, at pagkatapos ay ginamit nila ang impormasyon at mga mapagkukunan na gleaned mula doon upang atakehin ang susunod na pasilidad sa linya.

Anatomy ng isang Smart Phishing Attack

Ang pangunahing paraan ng pagkuha ng access sa mas maliit na kasosyo ay upang makahanap ng pampublikong impormasyon, na, kung isasama sa iba pang impormasyon, ay magbibigay ng antas ng detalye na kinakailangan para sa susunod na hakbang. Halimbawa, maaaring suriin ng isang umaatake ang website ng isang kumpanya na may negosyo na may sukdulang target at doon niya mahahanap ang email address ng isang senior executive sa alinman sa kumpanya ng kasosyo o ang panghuli target. Pagkatapos ay susuriin ng attacker ang iba pang impormasyon mula sa parehong mga website ng kumpanya upang makita kung ano ang kaugnayan, kung anong mga serbisyo ang ibinibigay ng kanino, at isang bagay tungkol sa istraktura ng bawat kumpanya.

Gamit ang impormasyong iyon, ang magsasalakay ay maaaring magsimulang magpadala ng lubos na nakakumbinsi na mga phishing emails mula sa kung ano ang lilitaw na isang lehitimong email address; mga may sapat na detalyadong detalyadong maaaring talunin ang anumang mga filter sa phishing na ilagay sa lugar ng firewall o pinamamahalaang antas ng proteksyon ng endpoint. Ang mga phishing email ay idinisenyo upang anihin ang mga kredensyal sa pag-login para sa taong na-target, at kung ang alinman sa mga ito ay matagumpay, ang mga umaatake ay agad na makaligtaan ang anumang mga hakbang sa pamamahala ng pagkakakilanlan na maaaring nasa lugar at nasa loob ng target na network.

Sa mga paghahayag tungkol sa pag-aani ng impormasyon ng gumagamit mula sa Facebook, ang uri ng banta ay nagpapalawak. Sa isang paglabag na isinasagawa sa ilalim ng pamunuan ng akademikong pananaliksik na nagsisimula sa 2014, ang isang mananaliksik na Ruso ay nakakuha ng pag-access sa halos 50 milyong mga profile ng gumagamit ng mga Amerikanong miyembro ng Facebook. Ang mga profile na iyon ay naibigay sa Cambridge Analytica. Ang kasunod na mga pagsisiyasat ay nagpahayag na ang data na ito ay kinuha nang walang pahintulot ng mga gumagamit ng Facebook at pagkatapos ay nagamit nang maling.

Pag-audit sa Panlabas na Komunikasyon

Pinagsasama nito ang tanong kung ano ang dapat na magamit ng mga negosyong maingat sa pamamagitan ng kanilang mga website. Mas masahol pa, ang query na iyon ay marahil ay kailangang maabot sa mga presensya ng social media sa samahan, mga channel ng marketing ng third-party tulad ng Youtube, at kahit na ang mga profile ng empleyado ng social media.

"Sa palagay ko kailangan nilang i-circumspect ang tungkol sa kung ano ang nasa kanilang mga website ng kumpanya, " sabi ni Leo Taddeo, Chief Information Security Officer (CISO) para sa Cyxtera at dating Special Agent na namamahala sa Cyber ​​Division ng patlang ng New York City ng FBI. "Mayroong isang malaking potensyal para sa paglalahad ng impormasyon nang hindi sinasadya."

Sinabi ni Taddeo na ang isang mabuting halimbawa ay sa mga pag-post ng trabaho kung saan maaari mong ibunyag kung anong mga tool ang ginagamit mo para sa kaunlaran o kahit anong specialty ng seguridad na iyong hinahanap. "Maraming mga paraan na maipalantad ng mga kumpanya ang kanilang sarili. May isang malaking lugar sa ibabaw. Hindi lamang sa website at hindi lamang sinasadya na mga komunikasyon, " aniya.

"Ang social media ay isang peligro, " paliwanag ni Taddeo, na itinuturo na ang isang empleyado na nagpo-post sa social media ay maaaring magbunyag nang hindi sinasadya. Sinabi niya na ang mga empleyado na nagsasabing hindi sila nasisiyahan sa kanilang trabaho ay maaaring magbunyag ng isang target para sa pagsasamantala. "Ang mga empleyado na nakikipag-usap nang detalyado tungkol sa kanilang trabaho o ang kanilang nagawa ay isang panganib. Ang pagmimina sa social media ay napaka-produktibo para sa mga kalaban."

Nagbabala si Taddeo na ang mga propesyonal na website ng media, tulad ng LinkedIn, ay panganib din sa mga hindi maingat. Sinabi niya na ang mga kaaway ay lumikha ng mga pekeng account sa mga naturang website na nagkakilala kung sino sila talaga at pagkatapos ay gumagamit ng impormasyon mula sa kanilang mga contact. "Anuman ang nai-post nila sa mga social media site ay maaaring makompromiso ang kanilang employer, " aniya.

Ibinigay ng katotohanan na ang mga masasamang aktor na nag-target sa iyo ay maaaring maging pagkatapos ng iyong data, o maaaring pagkatapos ng isang samahan na iyong pinagtatrabahuhan, ang tanong ay hindi lamang kung paano mo pinoprotektahan ang iyong sarili ngunit paano mo rin maprotektahan ang iyong kasosyo sa negosyo? Ito ay kumplikado sa pamamagitan ng katotohanan na hindi mo maaaring malaman kung ang mga umaatake ay maaaring pagkatapos ng iyong data o makita ka lamang bilang isang hakbang na hakbang at marahil isang lokasyon ng dula para sa susunod na pag-atake.

Paano Protektahan ang Iyong Sarili

Alinmang paraan, may ilang mga hakbang na maaari mong gawin. Ang pinakamahusay na paraan upang lapitan ito ay sa anyo ng isang pag-audit ng impormasyon. Pagandahin ang lahat ng mga channel na ginagamit ng iyong kumpanya para sa mga panlabas na komunikasyon, tiyak na marketing, ngunit pati na rin ang HR, PR, at supply chain sa iba pa. Pagkatapos ay magtayo ng isang koponan ng pag-audit na naglalaman ng mga stakeholder mula sa lahat ng mga apektadong channel at simulan ang pagsusuri sa kung ano ang nasa labas ng sistematiko at may mata sa impormasyon na maaaring maging kapaki-pakinabang sa mga kawatan ng data. Una, magsimula sa website ng iyong kumpanya:

Suriin ang website ng iyong kumpanya para sa anumang bagay na maaaring magbigay ng mga detalye tungkol sa gawaing ginagawa mo o ng mga tool na ginagamit mo. Halimbawa, ang isang computer screen na lumilitaw sa isang larawan ay maaaring maglaman ng mahalagang impormasyon. Suriin ang mga larawan ng mga kagamitan sa paggawa o imprastraktura ng network, na maaaring magbigay ng kapaki-pakinabang na pahiwatig sa mga umaatake.

Tumingin sa listahan ng kawani. Mayroon ka bang mga email address para sa iyong nakatatandang kawani na nakalista? Ang mga adres na iyon ay hindi lamang nagbibigay ng isang umaatake sa isang potensyal na address ng pag-login, ngunit din isang paraan upang makamit ang mga email na ipinadala sa ibang mga empleyado. Isaalang-alang ang pagpapalit ng mga may isang link sa isang form o gumamit ng ibang email address para sa paggamit ng publiko kumpara sa panloob na paggamit.

Sinasabi ba ng iyong website kung sino ang iyong mga customer o kasosyo? Maaari itong magbigay ng isang umaatake ng isa pang paraan upang atakehin ang iyong samahan kung nagkakaproblema sila sa paglipas ng iyong seguridad.

Suriin ang iyong mga pag-post ng trabaho. Gaano karami ang ipinahayag nila tungkol sa mga tool, wika, o iba pang mga aspeto ng iyong kumpanya? Isaalang-alang ang pagtatrabaho sa pamamagitan ng isang recruitment firm upang paghiwalayin ang iyong sarili sa impormasyong iyon.

Tingnan ang iyong presensya sa social media, tandaan na ang iyong mga kalaban ay tiyak na susubukan ang minahan ng impormasyon sa pamamagitan ng channel na ito. Tingnan din kung gaano karaming impormasyon tungkol sa iyong kumpanya ang ipinahayag sa mga pag-post ng iyong nakatatandang kawani. Hindi mo mapigilan ang lahat tungkol sa mga aktibidad ng iyong mga empleyado sa social media, ngunit maaari mong pagmasdan ito.

Isaalang-alang ang iyong arkitektura ng network. Inirerekomenda ni Taddeo ang isang kinakailangang pamamaraan kung saan ang pag-access ng administrator ay binibigyan lamang kapag kinakailangan at para lamang sa system na nangangailangan ng pansin. Iminumungkahi niya ang paggamit ng isang software na tinukoy ng perimeter (SDP), na orihinal na binuo ng US Department of Defense. "Sa huli, bawat access entitlement ng gumagamit ay pabago-bago binago batay sa pagkakakilanlan, aparato, network, at pagiging sensitibo ng aplikasyon, " aniya. "Ang mga ito ay hinihimok ng mga madaling patakaran na na-configure. Sa pamamagitan ng pag-align ng pag-access sa network gamit ang pag-access sa aplikasyon, ang mga gumagamit ay mananatiling ganap na produktibo habang ang lugar ng pag-atake sa ibabaw ay kapansin-pansing nabawasan."

• Ngayon isaalang-alang ang iyong mga serbisyo sa ulap sa parehong paraan. Kadalasan ang isang default na pagsasaayos upang gumawa ng mga administrador ng senior executive ng kumpanya sa mga third-party na corporate cloud service, tulad ng mga account ng Google Analytics o Salesforce ng iyong kumpanya. Kung hindi nila kailangan ang antas ng pag-access na iyon, isaalang-alang ang pagbagsak sa kanila sa katayuan ng gumagamit at iwanan ang mga antas ng pang-access sa mga tauhan ng IT na ang mga email logins ay mas mahirap mahahanap.

Sa wakas, sinabi ni Taddeo na maghanap ng mga kahinaan na nilikha ng anino sa IT. Maliban kung hahanapin mo ito, maaari mong maiiwasan ang iyong mahirap na seguridad sa trabaho dahil may nag-install ng isang wireless router sa kanilang tanggapan upang mas madali nilang magamit ang kanilang personal na iPad sa trabaho. Ang hindi kilalang mga third-party na cloud service ay nahuhulog din sa kategoryang ito. Sa mga malalaking organisasyon, hindi bihira para sa mga pinuno ng departamento na simpleng mag-sign up ng kanilang mga kagawaran para sa maginhawang serbisyo sa ulap upang ma-bypass ang nakikita nila bilang IT "red tape."

Maaari nitong isama ang mga pangunahing serbisyo sa IT, tulad ng paggamit ng Dropbox Business bilang pag-iimbak ng network o paggamit ng ibang serbisyo sa marketing automation dahil ang pag-sign up para sa opisyal na tool na suportado ng corporate ay masyadong mabagal at nangangailangan ng pagpuno ng maraming mga form. Ang mga serbisyong pang-software tulad nito ay maaaring maglantad ng mga gob ng sensitibong data nang walang IT kahit na alam ang mga ito. Tiyaking alam mo kung anong mga app ang ginagamit sa iyong samahan, sa pamamagitan ng kanino, at mahigpit mong kontrolin kung sino ang may access.

Ang trabaho sa pag-audit tulad nito ay nakakapagod at kung minsan ay nagugugol ng oras, ngunit maaari itong magbayad ng malaking dividends sa katagalan. Hanggang sa sumunod ang iyong mga kalaban, hindi mo alam kung ano ang mayroon ka na maaaring sulit na pagnanakaw. Kaya kailangan mong lapitan ang seguridad sa paraang may kakayahang umangkop habang pinagmamasdan ang mahalaga; at ang tanging paraan upang gawin iyon ay upang maipaliwanag nang mabuti ang tungkol sa kung ano ang tumatakbo sa iyong network.