Czynnik ludzki to jedna z najczęstszych przyczyn cyberataków. Potwierdza to także najnowszy raport Cisco, z którego możemy dowiedzieć się, że wykorzystanie czynnika wewnętrznego w postaci pracowników stał się w ostatnim roku bardzo powszechnym zjawiskiem.
Nie od dziś wiadomo, że nawet najlepsze zabezpieczenia w firmie nie pomogą, jeśli dysponujemy nieprzeszkolonym i nieświadonym zagrożeń zespołem. Marka Cisco wskazuje na dwa źródła złych zachowań pracowników – są to celowe działania, np. na skutek zwolnienia, oraz nieświadome działania, w których pracownicy wykorzystywani są jako pionki w działaniach cyberprzestępców.
Analitycy Cisco wskazują na ciekawy aspekt celowych działań pracowników. Zemsta na skutek degradacji czy zwolnienia wydaje się być oczywistym powodem złośliwych zachowań. Badacze mówią jednak o jeszcze jednym czynniku – finansowym. Pracownik, który ma długi może z chęcią sprzedać niezbędne dostępy lub zainfekować system w zamian za pieniądze. Na dowód takich działań badacze wskazują fora dark web, na których bez problemu można znaleźć oferty sprzedaży dostępu do sieci pracodawcy.
Dzisiejszym cyberprzestępcom socjotechnika nie jest obca i z chęcią wykorzystują ją w swoich działaniach. Ataki, które znalazły się w przytoczonym raporcie polegały na manipulowaniu pracownikami, tak aby oprócz odebrania maila podali również swój numer telefonu w celu dalszego omówienia problemu. Oszuści bazowali w takich przypadkach na przeświadczeniu, iż poprzez rozmowę telefoniczną łatwiej będzie im wyłudzić pieniądze.
Jak się okazuje również wprowadzone uwierzytelnianie wieloskładnikowe nie jest przeszkodą dla cyberprzestępców, również za sprawą stosowanej socjotechniki. W takich sytuacjach oszuści zazwyczaj podawali się za pracowników działów IT lub bezpieczeństwa i telefonicznie skłaniali do zaakceptowania żądania MFA w trakcie wysyłania go do urządzenia danej osoby.
W celu minimalizowania ryzyka ataków warto stosować tradycyjne środki bezpieczeństwa głównie dlatego, że zazwyczaj sprawy cyberataków posiadają już niezbędne dostępy i dane uwierzytelniające. Odpowiednia kontrola na poziomie indywidualnych użytkowników i ograniczenie ich dostępów do minimum wymaganego do wykonania obowiązków powinno być standardem. Takie działanie chroni przed uzyskaniem dostępów do plików i systemów, do których dana osoba nie powinna mieć dojścia.
Administratorzy powinni mieć pewność, że dana firma czy organizacja posiada ochronę wielopoziomową i przeprowadza wewnętrzne audyty, a nie jedynie bazuje na analizie ruchu przechodzącego przez firmową sieć. Co nam to daje? Przy tego typu zabezpieczeniach jeżeli użytkownik jest wykorzystywany do wsparcia atakujących, niezależnie od tego, czy chce, czy nie, istnieją rozwiązania pozwalające na wykrycie jego aktywności i jej zablokowanie.
ABC działań bezpiecznej firmy to również rutynowe audyty, które przeprowadza się w celu wykrycia ewentualnych starych, testowych czy nieużywanych kont, które mogą zostać wykorzystane przez atakujących. Regularne weryfikowanie dostępów użytkowników pozwala chronić firm przed gromadzeniem dostępów, rozrostem grup i niepotrzebnym rozszerzeniem uprawnień.
Administratorzy czuwający nad bezpieczeństwem powinni mieć także na oku rotujące współdzielone dane uwierzytelniające, które w wielu podmiotach z różnych względów są rzeczą powszechną. Ich posiadanie może być ryzykiem u osób odchodzących z firmy, podobnie w przypadku, gdy dane te przechowywane są w chmurze – wówczas wszelkie linie dostępu powinny być ucinane w momencie odejścia danej osoby z organizacji.
Najnowsze komentarze