Компрометация бизнес-приложений и развитие искусства социальной инженерии

Социальная инженерия вряд ли является новой концепцией даже в мире кибербезопасности. Одни только фишинговые мошенничества существуют уже почти 30 лет, при этом злоумышленники постоянно находят новые способы побудить жертв щелкнуть ссылку, загрузить файл или предоставить конфиденциальную информацию.

Атаки компрометации деловой электронной почты (BEC) повторяют эту концепцию, заставляя злоумышленника получить доступ к законной учетной записи электронной почты и выдать себя за ее владельца. Злоумышленники полагают, что жертвы не будут подвергать сомнению электронное письмо, полученное из надежного источника, — и слишком часто они правы.

Однако электронная почта — не единственное эффективное средство, которое киберпреступники используют для проведения атак с помощью социальной инженерии. Современный бизнес использует целый ряд цифровых приложений: от облачных сервисов и VPN до инструментов связи и финансовых услуг. Более того, эти приложения взаимосвязаны, поэтому злоумышленник, который может скомпрометировать одно, может поставить под угрозу и другие. Организации не могут позволить себе сосредоточиться исключительно на фишинге и атаках BEC — особенно в период роста компрометации бизнес-приложений (BAC).

Ориентация на единый вход

Компании используют цифровые приложения, потому что они полезны и удобны. В эпоху удаленной работы сотрудникам необходим доступ к важнейшим инструментам и ресурсам из самых разных мест и устройств. Приложения могут оптимизировать рабочие процессы, расширить доступ к важной информации и облегчить сотрудникам выполнение своей работы. Отдельный отдел организации может использовать десятки приложений, в то время каксредняя компания использует более 200. К сожалению, отделы безопасности и ИТ не всегда знают об этих приложениях, не говоря уже о том, чтобы одобрять их, что затрудняет контроль.

Аутентификация — это еще одна проблема. Создание (и запоминание) уникальных комбинаций имени пользователя и пароля может стать проблемой для любого, кто использует десятки различных приложений для своей работы. Использование менеджера паролей является одним из решений, но ИТ-специалистам может быть сложно обеспечить его соблюдение. Вместо этого многие компании оптимизируют процессы аутентификации. через решения единого входа (SSO), которые позволяют сотрудникам один раз войти в утвержденную учетную запись для доступа ко всем подключенным приложениям и службам. Но поскольку службы единого входа предоставляют пользователям легкий доступ к десяткам (или даже сотням) бизнес-приложений, они являются ценной целью для злоумышленников. У провайдеров SSO, конечно, есть свои собственные функции и возможности безопасности, но человеческая ошибка остается трудно решаемой проблемой.

Социальная инженерия, развитая

Многие приложения — и, конечно же, большинство решений SSO — имеют многофакторную аутентификацию (MFA). Это усложняет взлом учетной записи злоумышленникам, но это, конечно, не невозможно. MFA может раздражать пользователей, которым, возможно, придется использовать его для входа в учетные записи несколько раз в день, что приводит к нетерпению, а иногда и невнимательности.

Некоторые решения MFA требуют от пользователя ввода кода или показа отпечатка пальца. Другие просто спрашивают: «Это ты?» Последнее, хотя и проще для пользователя, дает злоумышленникам простор для действий. Злоумышленник, уже получивший набор учетных данных пользователя, может попытаться войти в систему несколько раз, несмотря на то, что он знает, что учетная запись защищена MFA. Рассылая на телефон пользователя запросы на аутентификацию MFA, злоумышленники повышают утомляемость жертвы. Многие жертвы, получив поток запросов, предполагают, что ИТ-специалисты пытаются получить доступ к учетной записи, или нажимают «одобрить», просто чтобы остановить поток уведомлений. Людей легко раздражать, и злоумышленники используют это в своих целях.

Во многих отношениях это делает BAC более простым в реализации, чем BEC. Злоумышленникам, участвующим в BAC, просто нужно приставать к своим жертвам, заставляя их принять неправильное решение. А атакуя поставщиков удостоверений и SSO, злоумышленники могут получить доступ к потенциально десяткам различных приложений, включая службы управления персоналом и расчета заработной платы. Доступ к широко используемым приложениям, таким как Workday, часто осуществляется с использованием единого входа, что позволяет злоумышленникам участвовать в таких действиях, как мошенничество с прямыми депозитами и заработной платой, которые могут перенаправлять средства непосредственно на их собственные счета.

Такого рода действия могут легко остаться незамеченными, поэтому важно иметь внутрисетевые инструменты обнаружения, которые смогут выявить подозрительное поведение даже с использованием авторизованной учетной записи пользователя. Кроме того, предприятиям следует уделять первоочередное внимание использованию устойчивые к фишингу ключи безопасности Fast Identity Online (FIDO)
при использовании МФА. Если факторы, связанные только с FIDO для MFA, нереалистичны, следующим лучшим решением будет отключить электронную почту, SMS, голосовые сообщения и одноразовые пароли на основе времени (TOTP) в пользу push-уведомлений, а затем настроить политики MFA или поставщика удостоверений для ограничения доступа. управляемым устройствам в качестве дополнительного уровня безопасности.

Приоритизация профилактики BAC

Недавние исследование указывает
что тактика BEC или BAC используется в 51% всех инцидентов. Хотя успешный BAC менее известен, чем BEC, он предоставляет злоумышленникам доступ к широкому спектру деловых и личных приложений, связанных с учетной записью. Социальная инженерия остается высокодоходным инструментом для сегодняшних злоумышленников, который развивается вместе с технологиями безопасности, призванными остановить ее.

Современные предприятия должны обучать своих сотрудников, обучая их тому, как распознавать признаки потенциального мошенничества и куда сообщать о нем. Поскольку компании с каждым годом используют все больше приложений, сотрудники должны работать рука об руку со своими командами безопасности, чтобы помочь системам оставаться защищенными от все более коварных злоумышленников.