Yrityssovellusten kompromissi ja sosiaalisen tekniikan kehittyvä taide

Sosiaalinen suunnittelu ei ole uusi käsite edes kyberturvallisuuden maailmassa. Pelkästään tietojenkalasteluhuijauksia on ollut olemassa lähes 30 vuotta, ja hyökkääjät ovat jatkuvasti löytäneet uusia tapoja houkutella uhreja napsauttamaan linkkiä, lataamaan tiedostoa tai antamaan arkaluonteisia tietoja.

Business email compromise (BEC) -hyökkäykset toistuivat tätä käsitettä vastaan ​​antamalla hyökkääjän päästä käyttämään laillista sähköpostitiliä ja esiintymään sen omistajana. Hyökkääjät väittävät, etteivät uhrit kyseenalaista luotettavasta lähteestä tulevaa sähköpostia – ja aivan liian usein he ovat oikeassa.

Sähköposti ei kuitenkaan ole ainoa tehokas keino, jota kyberrikolliset käyttävät sosiaalisen manipuloinnin hyökkäyksiin. Nykyaikaiset yritykset luottavat erilaisiin digitaalisiin sovelluksiin pilvipalveluista ja VPN:istä viestintätyökaluihin ja rahoituspalveluihin. Lisäksi nämä sovellukset ovat yhteydessä toisiinsa, joten hyökkääjä, joka voi vaarantaa yhden, voi vaarantaa myös muut. Organisaatioilla ei ole varaa keskittyä yksinomaan tietojenkalasteluun ja BEC-hyökkäyksiin – ei silloin, kun liiketoimintasovellusten vaarantaminen (BAC) on nousussa.

Kertakirjautumiseen kohdistaminen

Yritykset käyttävät digitaalisia sovelluksia, koska ne ovat hyödyllisiä ja käteviä. Etätyön aikakaudella työntekijät tarvitsevat pääsyn kriittisiin työkaluihin ja resursseihin useista eri paikoista ja laitteista. Sovellukset voivat virtaviivaistaa työnkulkuja, parantaa kriittisten tietojen saatavuutta ja helpottaa työntekijöiden töiden tekemistä. Yksittäinen osasto organisaatiossa saattaa käyttää kymmeniä sovelluksia, kun taaskeskimääräinen yritys käyttää yli 200. Valitettavasti turvallisuus- ja IT-osastot eivät aina tiedä – saati hyväksyä – näistä sovelluksista, mikä tekee valvonnasta ongelman.

Todennus on toinen asia. Ainutlaatuisten käyttäjätunnus- ja salasanayhdistelmien luominen (ja muistaminen) voi olla haaste jokaiselle, joka käyttää kymmeniä erilaisia ​​sovelluksia työnsä suorittamiseen. Salasanojen hallinnan käyttö on yksi ratkaisu, mutta IT:n voi olla vaikea valvoa sitä. Sen sijaan monet yritykset virtaviivaistavat todennusprosessejaan kertakirjautumisratkaisujen (SSO) kautta, joiden avulla työntekijät voivat kirjautua hyväksytylle tilille kerran päästäkseen käyttämään kaikkia yhdistettyjä sovelluksia ja palveluita. Mutta koska SSO-palvelut tarjoavat käyttäjille helpon pääsyn kymmeniin (tai jopa satoihin) yrityssovelluksiin, ne ovat arvokkaita kohteita hyökkääjille. SSO-palveluntarjoajilla on tietysti omat suojausominaisuudet ja -ominaisuudet – mutta inhimilliset erehdykset ovat edelleen vaikea ratkaistava ongelma.

Social Engineering, kehittynyt

Monissa sovelluksissa – ja varmasti useimmissa SSO-ratkaisuissa – on monitekijätodennus (MFA). Tämä vaikeuttaa hyökkääjien mahdollisuuksia murtautua tiliin, mutta se ei todellakaan ole mahdotonta. MFA voi olla ärsyttävää käyttäjille, jotka saattavat joutua käyttämään sitä kirjautuessaan tileille useita kertoja päivässä, mikä johtaa kärsimättömyyteen ja joskus huolimattomuuteen.

Jotkut MFA-ratkaisut vaativat käyttäjän syöttämään koodin tai näyttämään sormenjälkensä. Toiset vain kysyvät: "Oletko tämä sinä?" Jälkimmäinen, vaikka käyttäjälle onkin helpompi, antaa hyökkääjille tilaa toimia. Hyökkääjä, joka on jo hankkinut joukon käyttäjätunnuksia, saattaa yrittää kirjautua sisään useita kertoja, vaikka tietää, että tili on MFA-suojattu. Lähettämällä roskapostia käyttäjän puhelimeen MFA-todennuspyynnöillä, hyökkääjät lisäävät uhrin valppautta. Monet uhrit, saatuaan tulvan pyyntöjä, olettavat IT yrittävän päästä tilille tai napsauttavat "Hyväksy" yksinkertaisesti pysäyttääkseen ilmoitustulvan. Ihmiset ärsyyntyvät helposti, ja hyökkääjät käyttävät tätä hyväkseen.

Tämä tekee BAC:sta monin tavoin helpomman toteuttaa kuin BEC:n. BAC:iin osallistuvien vastustajien täytyy vain houkutella uhrinsa tekemään huono päätös. Kohdistamalla identiteetin ja SSO-palveluntarjoajia hyökkääjät voivat päästä käsiksi mahdollisesti kymmeniin erilaisiin sovelluksiin, mukaan lukien HR- ja palkkapalvelut. Yleisesti käytettyjä sovelluksia, kuten Workday, käytetään usein SSO:n avulla, jolloin hyökkääjät voivat osallistua toimiin, kuten suoriin talletuksiin ja palkkapetokseen, jotka voivat ohjata varoja suoraan omille tileilleen.

Tällainen toiminta voi jäädä helposti huomaamatta – minkä vuoksi on tärkeää, että käytössä on verkon sisäiset tunnistustyökalut, jotka tunnistavat epäilyttävän toiminnan jopa valtuutetulta käyttäjätililtä. Lisäksi yritysten tulisi asettaa etusijalle phish-kestävät Fast Identity Online (FIDO) -suojausavaimet
kun käytät MFA:ta. Jos MFA:n vain FIDO-tekijät ovat epärealistisia, seuraavaksi paras tapa on poistaa käytöstä sähköposti-, tekstiviesti-, puhe- ja aikapohjaiset kertaluonteiset salasanat (TOTP) push-ilmoitusten hyväksi ja määrittää sitten MFA- tai identiteetintarjoajan käytännöt rajoittamaan pääsyä. hallittuihin laitteisiin lisäsuojana.

BAC-ehkäisyn priorisointi

viimeaikainen tutkimus osoittaa
että BEC- tai BAC-taktiikkaa käytetään 51 %:ssa kaikista tapauksista. Vaikka onnistunut BAC on vähemmän tunnettu kuin BEC, se antaa hyökkääjille pääsyn monenlaisiin tiliin liittyviin yritys- ja henkilökohtaisiin sovelluksiin. Sosiaalinen suunnittelu on edelleen erittäin tuottava työkalu tämän päivän hyökkääjille – työkalu, joka on kehittynyt sen pysäyttämiseen suunniteltujen tietoturvatekniikoiden rinnalla.

Nykyaikaisten yritysten on koulutettava työntekijöitään ja opetettava heille, kuinka tunnistaa mahdollisen huijauksen merkit ja mihin siitä ilmoittaa. Koska yritykset käyttävät vuosittain enemmän sovelluksia, työntekijöiden on työskenneltävä käsi kädessä tietoturvatiimiensä kanssa auttaakseen järjestelmät pysymään suojattuna yhä kieroutuneempia hyökkääjiä vastaan.