การประนีประนอมแอปพลิเคชันทางธุรกิจ & ศิลปะการพัฒนาของวิศวกรรมสังคม

วิศวกรรมสังคมแทบจะไม่ใช่แนวคิดใหม่ แม้แต่ในโลกของความปลอดภัยทางไซเบอร์ การหลอกลวงแบบฟิชชิ่งเพียงอย่างเดียวมีมาเกือบ 30 ปีแล้ว โดยผู้โจมตีมักหาวิธีใหม่ๆ เพื่อล่อลวงเหยื่อให้คลิกลิงก์ ดาวน์โหลดไฟล์ หรือให้ข้อมูลที่ละเอียดอ่อน

การโจมตีด้วยอีเมลธุรกิจ (BEC) ซ้ำแล้วซ้ำอีกในแนวคิดนี้โดยให้ผู้โจมตีเข้าถึงบัญชีอีเมลที่ถูกต้องตามกฎหมายและปลอมตัวเป็นเจ้าของ ผู้โจมตีให้เหตุผลว่าผู้ที่ตกเป็นเหยื่อจะไม่ตั้งคำถามกับอีเมลที่มาจากแหล่งที่เชื่อถือได้ และบ่อยครั้งก็พูดถูก

แต่อีเมลไม่ได้เป็นเพียงวิธีที่มีประสิทธิภาพเพียงอย่างเดียวที่อาชญากรไซเบอร์ใช้ในการโจมตีทางวิศวกรรมสังคม ธุรกิจสมัยใหม่พึ่งพาแอปพลิเคชันดิจิทัลที่หลากหลาย ตั้งแต่บริการคลาวด์และ VPN ไปจนถึงเครื่องมือสื่อสารและบริการทางการเงิน ยิ่งไปกว่านั้น แอปพลิเคชันเหล่านี้ยังเชื่อมต่อถึงกัน ดังนั้นผู้โจมตีที่สามารถประนีประนอมได้ก็สามารถประนีประนอมผู้อื่นได้เช่นกัน องค์กรต่างๆ ไม่สามารถให้ความสำคัญกับการโจมตีแบบฟิชชิงและ BEC เพียงอย่างเดียว — ไม่ใช่เมื่อการประนีประนอมแอปพลิเคชันทางธุรกิจ (BAC) กำลังเพิ่มสูงขึ้น

กำหนดเป้าหมายการลงชื่อเพียงครั้งเดียว

ธุรกิจใช้แอปพลิเคชันดิจิทัลเพราะมีประโยชน์และสะดวก ในยุคของการทำงานจากระยะไกล พนักงานจำเป็นต้องเข้าถึงเครื่องมือและทรัพยากรที่สำคัญจากสถานที่และอุปกรณ์ที่หลากหลาย แอปพลิเคชันสามารถปรับปรุงเวิร์กโฟลว์ เพิ่มการเข้าถึงข้อมูลที่สำคัญ และทำให้พนักงานทำงานได้ง่ายขึ้น แผนกแต่ละแผนกภายในองค์กรอาจใช้แอพพลิเคชั่นมากมายในขณะที่บริษัทโดยเฉลี่ยใช้มากกว่า 200. น่าเสียดายที่แผนกความปลอดภัยและไอทีมักไม่รู้เกี่ยวกับแอปพลิเคชันเหล่านี้ นับประสาอะไรกับแอปพลิเคชันเหล่านี้ ซึ่งทำให้การกำกับดูแลเป็นปัญหา

การรับรองความถูกต้องเป็นปัญหาอื่น การสร้าง (และการจดจำ) ชุดค่าผสมชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำกันอาจเป็นเรื่องยากสำหรับใครก็ตามที่ใช้แอปต่างๆ มากมายในการทำงาน การใช้ตัวจัดการรหัสผ่านเป็นทางออกหนึ่ง แต่ไอทีอาจบังคับใช้ได้ยาก แต่หลายบริษัทปรับปรุงกระบวนการรับรองความถูกต้องของตน ผ่านโซลูชั่นการลงชื่อเพียงครั้งเดียว (SSO)ซึ่งอนุญาตให้พนักงานลงชื่อเข้าใช้บัญชีที่ได้รับอนุมัติเพียงครั้งเดียวเพื่อเข้าถึงแอปพลิเคชันและบริการที่เชื่อมต่อทั้งหมด แต่เนื่องจากบริการ SSO ช่วยให้ผู้ใช้เข้าถึงแอปพลิเคชันทางธุรกิจจำนวนมาก (หรือแม้แต่หลายร้อย) ได้อย่างง่ายดาย พวกเขาจึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี ผู้ให้บริการ SSO มีฟีเจอร์และความสามารถด้านความปลอดภัยเป็นของตัวเอง แต่ข้อผิดพลาดของมนุษย์ยังคงเป็นปัญหาที่แก้ไขได้ยาก

วิศวกรรมสังคม วิวัฒน์

แอปพลิเคชันจำนวนมาก — และแน่นอนว่าโซลูชัน SSO ส่วนใหญ่ — มีการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) สิ่งนี้ทำให้ผู้โจมตีบุกรุกบัญชีได้ยากขึ้น แต่ก็ไม่เป็นไปไม่ได้อย่างแน่นอน MFA อาจสร้างความรำคาญให้กับผู้ใช้ ซึ่งอาจต้องใช้มันเพื่อลงชื่อเข้าใช้บัญชีหลายครั้งต่อวัน ซึ่งนำไปสู่ความใจร้อนและบางครั้งก็ประมาทเลินเล่อ

โซลูชัน MFA บางอย่างกำหนดให้ผู้ใช้ป้อนรหัสหรือแสดงลายนิ้วมือ คนอื่นเพียงแค่ถามว่า “นี่คุณหรือเปล่า” อย่างหลังนี้แม้จะง่ายกว่าสำหรับผู้ใช้ แต่ก็ช่วยให้ผู้โจมตีมีที่ว่างในการดำเนินการ ผู้โจมตีที่ได้รับชุดข้อมูลรับรองผู้ใช้แล้วอาจพยายามเข้าสู่ระบบหลายครั้ง แม้ว่าจะรู้ว่าบัญชีนั้นได้รับการป้องกันโดย MFA โดยการสแปมโทรศัพท์ของผู้ใช้ด้วยคำขอตรวจสอบสิทธิ์ MFA ผู้โจมตีเพิ่มความเหนื่อยล้าในการแจ้งเตือนของเหยื่อ. ผู้ที่ตกเป็นเหยื่อจำนวนมาก เมื่อได้รับคำขอจำนวนมาก จะถือว่าฝ่ายไอทีพยายามเข้าถึงบัญชีหรือคลิก "อนุมัติ" เพียงเพื่อหยุดการแจ้งเตือนที่ท่วมท้น ผู้คนรู้สึกรำคาญได้ง่าย และผู้โจมตีใช้สิ่งนี้เพื่อประโยชน์ของตน

ในหลาย ๆ ด้านสิ่งนี้ทำให้ BAC ประสบความสำเร็จได้ง่ายกว่า BEC ฝ่ายตรงข้ามที่มีส่วนร่วมใน BAC เพียงแค่ต้องรบกวนเหยื่อของพวกเขาให้ตัดสินใจผิดพลาด และด้วยการกำหนดเป้าหมายผู้ให้บริการข้อมูลประจำตัวและ SSO ผู้โจมตีสามารถเข้าถึงแอพพลิเคชั่นต่างๆ มากมาย รวมถึงบริการด้านทรัพยากรบุคคลและบริการบัญชีเงินเดือน แอปพลิเคชันที่ใช้กันทั่วไป เช่น Workday มักจะเข้าถึงได้โดยใช้ SSO ทำให้ผู้โจมตีสามารถมีส่วนร่วมในกิจกรรมต่างๆ เช่น การฝากเงินโดยตรงและการฉ้อโกงเงินเดือนที่สามารถส่งเงินเข้าบัญชีของตนเองได้โดยตรง

กิจกรรมประเภทนี้อาจไม่มีใครสังเกตเห็นได้ง่ายๆ ซึ่งเป็นเหตุผลว่าทำไมการมีเครื่องมือตรวจจับในเครือข่ายที่สามารถระบุพฤติกรรมที่น่าสงสัยได้แม้จากบัญชีผู้ใช้ที่ได้รับอนุญาตจึงเป็นเรื่องสำคัญ นอกจากนี้ ธุรกิจควรให้ความสำคัญในการใช้งาน คีย์ความปลอดภัย Fast Identity Online (FIDO) ที่ป้องกันฟิชชิ่ง
เมื่อใช้ MFA หากปัจจัยเฉพาะของ FIDO สำหรับ MFA ไม่สมจริง สิ่งที่ดีที่สุดรองลงมาคือการปิดใช้งานอีเมล SMS เสียง และรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) แทนการแจ้งเตือนแบบพุช จากนั้นกำหนดค่า MFA หรือนโยบายผู้ให้บริการข้อมูลประจำตัวเพื่อจำกัดการเข้าถึง ไปยังอุปกรณ์ที่มีการจัดการเป็นชั้นความปลอดภัยเพิ่มเติม

จัดลำดับความสำคัญของการป้องกัน BAC

เมื่อเร็ว ๆ นี้ การวิจัยบ่งชี้ว่า
มีการใช้กลยุทธ์ BEC หรือ BAC ใน 51% ของเหตุการณ์ทั้งหมด แม้จะเป็นที่รู้จักน้อยกว่า BEC แต่ BAC ที่ประสบความสำเร็จช่วยให้ผู้โจมตีเข้าถึงแอปพลิเคชันทางธุรกิจและส่วนตัวที่เกี่ยวข้องกับบัญชีได้หลากหลาย วิศวกรรมสังคมยังคงเป็นเครื่องมือที่ให้ผลตอบแทนสูงสำหรับผู้โจมตีในปัจจุบัน ซึ่งเป็นเครื่องมือที่พัฒนาควบคู่ไปกับเทคโนโลยีความปลอดภัยที่ออกแบบมาเพื่อหยุดการโจมตี

ธุรกิจสมัยใหม่ต้องให้ความรู้แก่พนักงานของตน สอนให้รู้จักสัญญาณของการหลอกลวงที่อาจเกิดขึ้นและตำแหน่งที่ควรรายงาน เนื่องจากธุรกิจต่างๆ ใช้แอปพลิเคชันมากขึ้นในแต่ละปี พนักงานจึงต้องทำงานร่วมกันกับทีมรักษาความปลอดภัยเพื่อช่วยให้ระบบยังคงได้รับการปกป้องจากผู้โจมตีที่หลอกลวงมากขึ้นเรื่อยๆ