Kompromis aplikacji biznesowych i rozwijająca się sztuka inżynierii społecznej

Inżynieria społeczna nie jest koncepcją nową, nawet w świecie cyberbezpieczeństwa. Same oszustwa typu phishing istnieją od prawie 30 lat, a napastnicy stale znajdują nowe sposoby nakłonienia ofiar do kliknięcia łącza, pobrania pliku lub podania poufnych informacji.

Ataki związane z kompromitacją biznesowej poczty e-mail (BEC) stanowią powtórzenie tej koncepcji, polegające na uzyskaniu przez osobę atakującą dostępu do legalnego konta e-mail i podszyciu się pod jego właściciela. Atakujący argumentują, że ofiary nie będą kwestionować wiadomości e-mail pochodzących z zaufanego źródła — i zbyt często mają rację.

Jednak poczta elektroniczna nie jest jedynym skutecznym środkiem wykorzystywanym przez cyberprzestępców do przeprowadzania ataków socjotechnicznych. Nowoczesne firmy polegają na szeregu aplikacji cyfrowych, od usług w chmurze i sieci VPN po narzędzia komunikacyjne i usługi finansowe. Co więcej, aplikacje te są ze sobą powiązane, więc osoba atakująca, która może skompromitować jedną z nich, może skompromitować także inne. Organizacje nie mogą sobie pozwolić na skupianie się wyłącznie na phishingu i atakach BEC — nie w obliczu rosnącej liczby zagrożeń dla aplikacji biznesowych (BAC).

Kierowanie na jednokrotne logowanie

Firmy korzystają z aplikacji cyfrowych, ponieważ są pomocne i wygodne. W dobie pracy zdalnej pracownicy potrzebują dostępu do kluczowych narzędzi i zasobów z szerokiej gamy lokalizacji i urządzeń. Aplikacje mogą usprawnić przepływ pracy, zwiększyć dostęp do kluczowych informacji i ułatwić pracownikom wykonywanie pracy. Pojedynczy dział w organizacji może korzystać z kilkudziesięciu aplikacji, natomiastprzeciętna firma używa ponad 200. Niestety, działy bezpieczeństwa i IT nie zawsze wiedzą o tych aplikacjach — nie mówiąc już o ich aprobacie — co sprawia, że ​​nadzór staje się problemem.

Uwierzytelnianie to kolejna kwestia. Tworzenie (i zapamiętywanie) unikalnych kombinacji nazwy użytkownika i hasła może być wyzwaniem dla każdego, kto korzysta z dziesiątek różnych aplikacji w swojej pracy. Korzystanie z menedżera haseł jest jednym z rozwiązań, ale jego wyegzekwowanie może być trudne dla działu IT. Zamiast tego wiele firm usprawnia swoje procesy uwierzytelniania poprzez rozwiązania pojedynczego logowania (SSO)., które umożliwiają pracownikom jednokrotne zalogowanie się na zatwierdzone konto w celu uzyskania dostępu do wszystkich połączonych aplikacji i usług. Ponieważ jednak usługi SSO zapewniają użytkownikom łatwy dostęp do dziesiątek (a nawet setek) aplikacji biznesowych, stanowią one cenne cele dla atakujących. Dostawcy SSO mają oczywiście własne funkcje bezpieczeństwa i możliwości, ale błąd ludzki pozostaje problemem trudnym do rozwiązania.

Inżynieria społeczna, ewoluowała

Wiele aplikacji — a na pewno większość rozwiązań SSO — obsługuje uwierzytelnianie wieloskładnikowe (MFA). Utrudnia to atakującym złamanie zabezpieczeń konta, ale z pewnością nie jest to niemożliwe. Usługa MFA może być irytująca dla użytkowników, którzy muszą jej używać do logowania się na konta wiele razy dziennie — co prowadzi do niecierpliwości, a czasem i nieostrożności.

Niektóre rozwiązania MFA wymagają od użytkownika wprowadzenia kodu lub okazania odcisku palca. Inni po prostu pytają: „Czy to ty?” Ten ostatni, choć łatwiejszy dla użytkownika, daje atakującym pole do działania. Osoba atakująca, która uzyskała już zestaw poświadczeń użytkownika, może próbować zalogować się wiele razy, mimo że wie, że konto jest chronione za pomocą usługi MFA. Wysyłając spam na telefon użytkownika z żądaniami uwierzytelnienia MFA, napastnicy zwiększają zmęczenie czujności ofiary. Wiele ofiar po otrzymaniu lawiny żądań zakłada, że ​​dział IT próbuje uzyskać dostęp do konta lub klika „zatwierdź”, aby zatrzymać zalew powiadomień. Ludzie łatwo się denerwują, a napastnicy wykorzystują to na swoją korzyść.

Pod wieloma względami sprawia to, że BAC jest łatwiejszy do wykonania niż BEC. Przeciwnicy angażujący się w BAC muszą po prostu nakłonić swoje ofiary do podjęcia złej decyzji. A atakując dostawców tożsamości i SSO, atakujący mogą uzyskać dostęp do potencjalnie dziesiątek różnych aplikacji, w tym usług kadrowo-płacowych. Dostęp do powszechnie używanych aplikacji, takich jak Workday, często uzyskuje się za pośrednictwem logowania jednokrotnego, co umożliwia atakującym angażowanie się w takie działania, jak bezpośrednie wpłaty i oszustwa związane z płacami, które mogą skierować środki bezpośrednio na ich własne konta.

Tego rodzaju aktywność może łatwo pozostać niezauważona — dlatego ważne jest posiadanie narzędzi do wykrywania w sieci, które mogą zidentyfikować podejrzane zachowania, nawet na koncie autoryzowanego użytkownika. Ponadto firmy powinny priorytetowo traktować wykorzystanie odporne na ataki typu phishing klucze bezpieczeństwa Fast Identity Online (FIDO).
podczas korzystania z MFA. Jeśli czynniki FIDO dla usługi MFA są nierealistyczne, następną najlepszą rzeczą jest wyłączenie poczty e-mail, SMS-ów, głosu i haseł jednorazowych opartych na czasie (TOTP) na rzecz powiadomień wypychanych, a następnie skonfigurowanie zasad usługi MFA lub dostawcy tożsamości w celu ograniczenia dostępu do zarządzanych urządzeń jako dodatkowa warstwa bezpieczeństwa.

Priorytetowe traktowanie zapobiegania BAC

Niedawny badania wskazują
że taktyka BEC lub BAC jest stosowana w 51% wszystkich incydentów. Choć mniej znany niż BEC, skuteczny BAC zapewnia atakującym dostęp do szerokiej gamy aplikacji biznesowych i osobistych powiązanych z kontem. Socjotechnika pozostaje narzędziem zapewniającym wysoki zysk dla współczesnych napastników — ewoluującym wraz z technologiami bezpieczeństwa zaprojektowanymi w celu powstrzymania takich ataków.

Nowoczesne firmy muszą edukować swoich pracowników, uczyć ich, jak rozpoznawać oznaki potencjalnego oszustwa i gdzie je zgłaszać. Ponieważ firmy korzystają z coraz większej liczby aplikacji każdego roku, pracownicy muszą współpracować ze swoimi zespołami ds. bezpieczeństwa, aby zapewnić ochronę systemów przed coraz bardziej przebiegłymi atakami.