eWAY s.r.o.

eWAY s.r.o. logo
Linkedin Facebook

Proofpoint

Ako sa chrániť pred útokmi sociálneho inžinierstva?

od autora:
ochrana phishing sociálne inžiniesrvto

Ako sa chrániť pred útokmi sociálneho inžinierstva?

ochrana phishing sociálne inžiniesrvto

Sociálne inžinierstvo existuje tak dlho, ako dlho existujú informácie, ktoré by niekto mohol chcieť ukradnúť. V digitálnej oblasti používajú kyberzločinci túto taktiku psychologickej manipulácie, aby prinútili ľudí porušiť bežné bezpečnostné postupy. Ide o druh podvodu, ktorý sa spolieha skôr na ľudskú chybu než na digitálny hacking.

Toto sú niektoré bežné formy sociálneho inžinierstva v digitálnej komunikácii:

  • Odcudzenie identity – V týchto útokoch sa kyberzločinci tvária ako dôveryhodné entity, vydávajú sa za niekoho koho by ste mali poznať alebo vzbudzuje dôveru.
  • Pretexting – Kyberzločinci používajú falošné príbehy, aby prinútili svoje ciele k odhaleniu citlivých informácií.
  • „Baiting“ / Vnadenie – Útočníci využívajú prísľuby odmien alebo výhod, aby prilákali svoje ciele.

V útokoch sociálneho inžinierstva zločinci využívajú psychologické princípy, ako je dôvera, strach z premeškania, autorita a túžba byť nápomocní. Keď sa Vy a Vaši používatelia naučíte rozpoznávať tieto hrozby, môžete si vybudovať silnú obranu. V tomto blogovom príspevku sa budeme zaoberať tromi hlavnými krokmi, ktoré môžete podniknúť na ochranu seba a svojej firmy.

1. Zostavte si „ ľudský firewall“

Ak chcete, aby vaši zamestnanci dokázali rozpoznať útoky sociálneho inžinierstva, musíte ich vzdelávať. Školenie by malo zahŕňať rôzne typy taktík sociálneho inžinierstva – ako napríklad: phishing, telefónne orientované doručenie útoku (TOAD), Pretexting, „Baiting“ / Vnadenie, „Quid pro quo“, „Tailgaiting“,…

Je dobré informovať svojich zamestnancov o najnovších trendoch útokov. Preto má kontinuálne vzdelávanie väčší vplyv ako jednorazové školenia. Pravidelné aktualizácie znalostí užívateľov Vám môžu pomôcť udržať Vašu pracovnú silu v strehu.

Svoje školiace úsilie môžete podporiť pomocou komplexnej platformy na zvyšovanie povedomia o bezpečnosti. Takáto platforma poskytuje obsah, ktorý je navrhnutý tak, aby zvýšil účasť používateľov a pomohol udržať lekcie, pomocou prostriedkov ako je gamifikácia a mikrolearning. Kvízy, interaktívne moduly a simulované phishingové scenáre môžu pomôcť Vašim používateľom naučiť sa, ako sa stať aktívnymi obrancami pred útokmi.

Akčné tipy:

  • Aspoň raz za mesiac otestujte svoj tím pomocou simulovaných phishingových e-mailov
  • Minimálne raz za štvrťrok uskutočňujte školenia na zvýšenie povedomia o bezpečnosti
  • Poskytujte aj ďalšie školiace informácie, ako sú rôzne intranetové obežníky či vytlačené plagáty

2. Spomaľte a pýtajte sa

Môžete predpokladať, že Váš bezpečnostný IT tím zaviedol technológiu na obranu proti sociálnemu inžinierstvu. Neexistuje však žiadna všestranná finta, ktorá by tieto útoky zastavila. Preto musíte k digitálnej komunikácii pristupovať kriticky, najmä ak zahŕňa žiadosti o citlivé informácie alebo výzvy na vykonanie naliehavých opatrení.
Samozrejme, že chcete dokončiť svoju prácu rýchlo a reagovať napríklad na Váš vedúci tím. Ale aktéri hrozieb počítajú s týmito princípmi správania.

Spomaľte
Ide o zásadný krok v boji proti sociálnemu inžinierstvu. Umožňuje Vám kritickým okom vyhodnotiť situáciu a rozpoznať potenciálne červené vlajky. Keď spomalíte, premeníte automatické, reflexívne reakcie na premyslené, premyslené činy.

Buďte skeptický
Keď sa pozastavíte nad otázkou, či je interakcia legitímna, môžete si všimnúť nezrovnalosti. Môžete položiť otázky ako: „Je táto žiadosť od osoby alebo subjektu, ktorému môžem dôverovať?“, „Môžem si overiť ich identitu?“ a “Je táto žiadosť skutočne naliehavá?”
Môžete sa poradiť s kolegami alebo manažérmi alebo sa obrátiť na pravidlá spoločnosti. Alebo môžete dokonca vykonať rýchle vyhľadávanie na internete na overenie tvrdení.

Akčné tipy:

  • Skontrolujte, či e-maily neobsahujú nezvyčajné výrazy alebo žiadosti
  • Dôkladne skontrolujte, či sú e-mailové adresy a názvy domén autentické
  • Overte požiadavky, ktoré prichádzajú cez alternatívne komunikačné kanály

3. Používajte viacvrstvovú obranu

Ak chcete mať náskok v boji proti sociálnemu inžinierstvu, musíte prijať viacvrstvový bezpečnostný prístup. Inými slovami, musíte skombinovať ľudský prvok ostražitosti používateľa s pokročilými nástrojmi.

Hlavnou súčasťou tejto stratégie je nasadenie pokročilého riešenia zabezpečenia e-mailov, ktoré dokáže zastaviť počiatočný útok. V ideálnom prípade by mal využívať kombináciu analytiky správania, strojového učenia (ML) a umelej inteligencie (AI). Spoločne pracujú na analýze vzorcov v komunikácii a identifikácii anomálií, ktoré môžu signalizovať pokus o sociálne inžinierstvo. Ešte lepšie: Môžu sa poučiť z prebiehajúcich hrozieb, aby časom zlepšili detekciu.

  • Analýza správania môže sledovať typické akcie používateľov a označovať odchýlky, ktoré môžu naznačovať napadnutie účtu alebo zlý úmysel.
  • Algoritmy ML dokážu spracovať obrovské množstvo údajov, aby rozpoznali a predpovedali taktiku útočníkov.
  • Umelá inteligencia sa dokáže rýchlo prispôsobiť novým stratégiám a poskytuje dynamickú obranu, ktorá sa vyvíja s prostredím hrozieb.

Technológia overovania odosielateľa je tiež dôležitá pre vašu obranu. Zastaví útoky založené na identite, kde aktéri hrozieb posielajú správy pomocou doménového spoofingu alebo podobných domén. V týchto útokoch sa aktéri hrozieb vydávajú za dôveryhodných partnerov a ľudí pracujúcich vo vašej spoločnosti. Toto je bežná technika, ktorá sa používa pri útokoch, ako je kompromitácia obchodných e-mailov (BEC) a podvody s dodávateľskými faktúrami. Môžete zabrániť tomu, aby sa správy od týchto podvodníkov dostávali cez Proofpoint Email Fraud Defense a nastavením DMARC na „odmietnutie“. Vyžaduje si to, aby systém overil identitu odosielateľa, čo znamená, že všetky e-maily, ktoré sa vydávajú za osobu, budú automaticky odmietnuté.

Keď skombinujete sofistikované nástroje na zabezpečenie e-mailov s neustálym školením zamestnancov a kultúrou povedomia o bezpečnosti, vaša firma môže výrazne znížiť svoje vystavenie útokom sociálneho inžinierstva.

Akčné tipy:

  • Použite pokročilé nástroje na zabezpečenie e-mailu na blokovanie podozrivých správ pred ich doručením
  • Nastavte DMARC na „odmietnutie“, aby ste zaistili, že sa nikto nebude môcť vydávať za vaše domény
  • Na okamžité odstránenie latentných útokov použite automatické nápravné riešenia, ako je napr. Proofpoint CLEAR

Zhrnutie

Ochrana pred sociálnym inžinierstvom je neustála výzva. Vyžaduje si to kombináciu uvedomelosti, skepticizmu a technologickej podpory. Ale môžete vytvoriť impozantnú obranu proti týmto útokom, keď:

  • Pochopíte psychologické aspekty týchto útokov
  • Budete vzdelávať seba a svoj tím
  • Uplatníte robustné bezpečnostné opatrenia
  • Budete opatrní na sociálnych sieťach
  • Používate pokročilé technológie

Zdroj: Proofpoint blog [ENG]

Nebezpečné funkcie v Microsoft Teams

od autora:
microsoft tems tabs

Nebezpečné funkcie v Microsoft Teams

Výskumníci zo spoločnosti Proofpoint odhalili niekoľko nových spôsobov zneužívania Microsoft Teams, vrátane:

  • Použitie odcudzenej identity na manipulačné techniky:
  1. Používanie Teams kariet pre phishing
  2. Používanie Teams kariet na okamžité stiahnutie škodlivého softvéru
  3. Zneužívanie pozvánok na stretnutia nahradením predvolených adries URL škodlivými odkazmi
  4. Zneužívanie správ nahradením existujúcich adries URL škodlivými odkazmi

Organizácie vo veľkej miere dôverujú balíku produktov Microsoft Office ako spoľahlivému základu pre ich každodenné potreby cloudového ekosystému. Táto migrácia do cloudu prináša aj nové druhy hrozieb.

Výskumníci hrozieb spoločnosti Proofpoint nedávno analyzovali viac ako 450 miliónov škodlivých relácií zistených v priebehu druhej polovice roku 2022  zameraných na užívateľov cloudu Microsoft 365. Podľa Proofpoint zistení je Microsoft Teams jednou z desiatich najcielenejších prihlasovacích aplikácií, pričom takmer 40 % cieľových organizácií má aspoň jeden pokus o neoprávnené prihlásenie a získanie prístupu.

microsoft ohrozene aplikacie

V tomto blogu Vám odhalíme viaceré spôsoby zneužitia jednej z najpopulárnejších (a najzacielovanejších) natívnych cloudových aplikácií: Microsoft Teams. Tieto techniky umožňujú zločincom efektívne vykonávať phishing s prístupmi Office 365, dodávať škodlivé spustiteľné súbory a rozširovať svoje postavenie v prostredí ohrozeného cloudu.

Zneužívanie predvoleného mechanizmu kariet

Platforma Microsoft Teams poskytuje mechanizmus osobných a skupinových správ prostredníctvom kanálov Teams alebo chatov. Každý kanál alebo chat môže obsahovať ďalšie karty vytvorené rôznymi aplikáciami. Príkladom predvolenej karty, ktorá sa zobrazuje v osobných a skupinových rozhovoroch, je karta „Súbory/Files“ priradená k SharePoint a OneDrive (obrázok 2). Zistili sme, že manipulácia s kartami môže byť súčasťou silného a do značnej miery automatizovaného vektora útoku po kompromitácii účtu.

Zvyčajne môžu používatelia premenovať karty podľa vlastného výberu, pokiaľ sa nový názov neprekrýva s názvom existujúcej karty (napríklad: „Súbory“). Okrem toho majú používatelia údajne zakázané premiestňovať karty spôsobom, ktorý ich umiestňuje pred predvolené karty (napr. „Súbory/Files“).

Zistilo sa však, že pomocou nezdokumentovaných volaní rozhrania Teams API je možné zmeniť poradie a premenovať karty, takže pôvodnú kartu možno vymeniť za novú vlastnú kartu.

microsoft teams karty
Obrázok 2 – Vytvorená falošná karta „Súbory/Files“ a umiestnená pred pôvodnú kartu

Jedným zo spôsobov, ako túto zdanlivo neškodnú „funkciu“ môžu aktéri hrozieb využiť, je použitie možnosti „Website“, ktorá používateľom umožňuje pripnúť vybranú webovú stránku ako kartu v hornej časti kanála alebo chatu v Teams (obrázky 3 a 4).

Po pripnutí „website“ ako karty môže útočník manipulovať s názvom karty, zmeniť ho na názov existujúcej karty a potom ju premiestniť. To útočníkom efektívne umožňuje vytlačiť natívnu kartu z dohľadu, a tým zvýšiť šance na použitie podvodnej karty.

microsoft tems tabs
Obrázok 3 – Pridanie novej karty do chatu Teams
microsoft teams website
Obrázok 4 - Informatívny popis karty „Website“

Túto novú kartu je možné použiť na nasmerovanie na škodlivú lokalitu, ako je napríklad webová stránka na neoprávnené získavanie údajov, ktorá sa vydáva za prihlasovaciu stránku Microsoft 365 (obrázok 5). To je pre útočníkov mimoriadne atraktívne, pretože sa adresa URL karty webových stránok používateľom nezobrazuje, pokiaľ zámerne nenavštívia ponuku „Nastavenia karty“.

Obrázok 5 – Nastavenie novej karty smerujúcej na škodlivú webovú stránku pomocou používateľského rozhrania Teams

Hoci osvedčené postupy vzdelávajú používateľov, aby dôkladne preskúmali kľúčové indikátory (napríklad panel s adresou URL) a neklikali na podozrivé odkazy, v tomto prípade sú všetky tieto pokyny irelevantné, pretože Teams neposkytuje viditeľný panel s adresou URL. Nič netušiace obete si preto pravdepodobne nevšimnú, že webová stránka, na ktorú pristupujú, je v skutočnosti škodlivá.

Ako ukazuje simulácia (obrázok 6), v kombinácii vyššie uvedené nebezpečné funkcie umožňujú aktérom hrozieb bezproblémovo umiestniť škodlivý obsah do kompromitovaných prostredí Microsoft 365 s minimálnym rizikom odhalenia.

tvorba škodlivej karty microsoft teams
Obrázok 6 – Manipulácia s kartami pomocou nezdokumentovaných volaní API: (1) Vytvorenie novej karty „Website“; (2) Zmena názvu karty z („Website“) na zosobnenie predvolenej karty („Súbory“); (3) Zmena pozície novej karty pred pôvodnou kartou; a (4) Zmena cieľovej adresy URL karty tak, aby odkazovala na škodlivú webovú stránku

Riziká nekončia: ďalším spôsobom, ako jednoducho zneužiť rovnaké mechanizmy, je použitie karty „Website“ na odkazovanie na súbor. To spôsobí, že Teams (desktop alebo webový klient) automaticky stiahne súbor do zariadenia používateľa, čo môže ľahko ohroziť Vaše zariadenia a siete (obrázok 7).

Ako ukazuje simulácia (obrázok 6 a 7), v kombinácii vyššie uvedené nebezpečné funkcie umožňujú aktérom hrozieb bezproblémovo umiestniť škodlivý obsah do kompromitovaných prostredí Microsoft 365 s minimálnym rizikom odhalenia.

tvorba škodlivej karty microsoft teams 2
Obrázok 7 – Simulácia manipulácie s kartami pomocou nezdokumentovaných volaní API: Automatické sťahovanie škodlivého súboru prepojeného s našou falošnou kartou „Súbory“. V tomto prípade naša nová karta odkazuje na benígnu adresu URL, aby sa skryl jej zlý zámer.

Zneužitie pozvánky na stretnutia

Karty nie sú jedinou funkciou Teams, ktorá je otvorená pre zneužitie a zneužitie zo strany škodlivých aktérov. Platforma Microsoft Teams sa môže tiež synchronizovať s kalendárom používateľa a zobrazovať, vytvárať a upravovať plánované stretnutia. V predvolenom nastavení sa pri vytváraní online stretnutia Teams vygeneruje a odošle niekoľko odkazov v rámci popisu stretnutia (obrázok 8). Tie umožňujú používateľom pripojiť sa k online schôdzi alebo si stiahnuť desktopového klienta Teams.

Obrázok 8 – Predvolené prepojenia zahrnuté v pozvánke na schôdzu Microsoft Teams

Zatiaľ čo útočník by zvyčajne potreboval prístup k programu Outlook alebo Microsoft Exchange, aby mohol manipulovať s obsahom pozvánky na schôdzu, akonáhle útočníci získajú prístup k používateľskému kontu Teams, môžu manipulovať s pozvánkami na schôdzu pomocou rozhrania Teams API, pričom vymieňajú neškodné predvolené odkazy za škodlivé.

Ako je znázornené v simulácii nižšie (obrázok 9), sofistikovaný útočník môže automaticky zmeniť predvolené odkazy v rámci pozvánky na schôdzu tak, aby používatelia mimo organizácie aj vnútri organizácie boli odkázaní na phishingové stránky alebo na stránky hosťujúce malvér, čo spôsobí okamžité stiahnutie malvéru, ktorý sa vydáva za inštalačné súbory Teams.

microsoft teams stretnutie
Obrázok 9 – Simulácia znázorňujúca vytvorenie pozvánky na schôdzu, ktorá obsahuje skryté škodlivé adresy URL, ktoré odkazujú na škodlivé webové stránky

Zneužitie hypertextových odkazov v správach

Iný postup, ktorý môžu útočníci využiť, ak majú prístup k Teams používateľa, je použitie rozhrania Teams API alebo používateľského rozhrania na využitie existujúcich odkazov v odoslaných správach. Dalo by sa to urobiť jednoduchým nahradením neškodných odkazov odkazmi smerujúcimi na škodlivé webové stránky alebo škodlivé zdroje. V tomto scenári by sa prezentovaný hypertextový odkaz nezmenil, aj keď bola upravená URL za ním (obrázok 10).

Vzhľadom na to, že Teams API umožňuje rýchlu a automatickú úpravu odkazov zahrnutých v súkromných alebo skupinových chatových správach, jednoduchý skript spustený útočníkmi by mohol v priebehu niekoľkých sekúnd zneužiť nespočetné množstvo adries URL. Následne môže sofistikovaný útočník využiť techniky sociálneho inžinierstva a posielať nové správy, povzbudzujúc nič netušiacich používateľov, aby klikli (alebo „znova navštívili“) upravený odkaz, ktorý je teraz škodlivým.

Teams linky v správach
Obrázok 10 – Simulácia zobrazujúca automatickú manipuláciu s existujúcimi odkazmi v rámci správ pomocou Teams API

Potenciálny vplyv

Je dôležité poznamenať, že vyššie uvedené spôsoby zneužitia vyžadujú už existujúci prístup k napadnutému používateľskému účtu Teams. Napriek tomu približne 60 % užívateľov Microsoft 365 utrpelo v roku 2022 aspoň jeden úspešný incident prevzatia účtu. V dôsledku toho by potenciálne rozšírenie týchto metód poskytlo aktérom hrozieb efektívne možnosti.

Analýza minulých útokov a pokračujúcich trendov v dynamickom prostredí cloudových hrozieb naznačuje, že útočníci sa postupne orientujú na pokročilejšie vektory útokov. Prijatie nových útočných techník a nástrojov v kombinácii so zjavnými bezpečnostnými chybami vrátane nebezpečných funkcií v aplikáciách prvej strany vystavuje organizácie rôznym kritickým rizikám.

Odporúčania na ochranu Vašej organizácie

Nižšie sú uvedené spôsoby, ako pomôcť vašej organizácii brániť sa proti phishingu a malvéru založenému na Microsoft Teams:

  • Povedomie o zabezpečení: Vzdelávajte používateľov, aby si boli vedomí týchto rizík pri používaní Microsoft Teams.
  • Cloudové zabezpečenie: Identifikujte útočníkov pristupujúcich k Teams vo Vašom cloudovom prostredí. Vyžaduje si to presné a včasné zistenie počiatočného ohrozenia účtu a viditeľnosť ovplyvnenej prihlasovacej aplikácie.
  • Zabezpečenie webu: Izolujte potenciálne škodlivé relácie iniciované prepojeniami vloženými do správ Teams.
  • Kontrolujte používanie Microsoft Teams: Ak pravidelne čelíte pokusom o zacielenie, zvážte obmedzenie používania Microsoft Teams vo vašom cloudovom prostredí.
  • Obmedzenie prístupu: Uistite sa, že Vaša služba Teams je interná, ak je to možné, a nie je vystavená komunikácii s inými organizáciami.

 

Zdroj: Proofpoint [ENG]

Čo robiť, ak sa nachytáte na phishingový e-mail?

od autora:
PHISHING malware

Čo robiť, ak sa nachytáte na phishingový e-mail?

PHISHING malware

Phishingové útoky sú stále čoraz bežnejšie a sofistikovanejšie. Útočníci neustále vyvíjajú nové techniky a spôsoby, ako efektívne oklamať ľudí, aby získali citlivé informácie. A či už útočníci vo svojich kampaniach používajú falošné e-maily, správy na sociálnych sieťach alebo telefonáty, úspešné phishingové podvody môžu mať za následok značné finančné straty a poškodenie dobrého mena.

V tomto blogovom príspevku sa budeme zaoberať tým, čo robiť, ak si myslíte, že ste sa nachytali na phishingový e-mail – a tiež ako môžete zmierniť riziká týchto útokov.

Typy phishingových útokov

Phishingové útoky majú mnoho podôb. Všetky však majú spoločný cieľ: oklamať používateľov, aby prezradili citlivé informácie, ako sú prihlasovacie údaje, informácie o účte alebo aby získali súbory a údaje.

Pochopenie rôznych typov bežne používaných phishingových útokov Vám môže pomôcť odhaliť ich:

  • E-mailový phishing
    Toto je najpoužívanejší typ phishingového útoku. Zahŕňa to, že útočník odošle e-mail, ktorý vyzerá, že pochádza z dôveryhodného zdroja, ako je banka alebo známa spoločnosť. E-mail zvyčajne obsahuje odkaz, ktorý obeť nasmeruje na falošnú webovú stránku. Po príchode na stránku môže byť používateľ vyzvaný, aby zadal svoje prihlasovacie údaje, informácie o kreditnej karte alebo iné citlivé informácie. Môže ísť aj o stránku, ktorá obsahuje škodlivý kód alebo priamo stiahne do počítača škodlivý súbor.
  • Spear phishing
    Ide o cielenejšiu formu phishingového útoku. Spear phishing zahŕňa kyberzločinca, ktorý skúma záujmy a osobné informácie obete, aby vytvoril presvedčivejší a prispôsobenejší phishingový e-mail. Tento typ útoku sa často používa na zacielenie na vedúcich pracovníkov alebo vysokopostavených jednotlivcov.
  • Whaling
    Podobne ako spear phishing, whaling (alebo CEO podvod) sa zameriava na vedúcich pracovníkov na vysokej úrovni alebo jednotlivcov na mocenských pozíciách v rámci organizácie. Tieto útoky často využívajú pocit naliehavosti alebo strachu, aby obeť prinútili okamžite konať – napr. prevod peňazí alebo odoslanie citlivých informácií.
  • Vishing
     Skratka pre „hlasový phishing“, vishing znamená, že útočník zavolá obeti a vystupuje ako zástupca dôveryhodnej organizácie, ako je banka alebo vládna agentúra. Podvodníci využívajú techniky sociálneho inžinierstva na oklamanie obete, aby odhalili citlivé informácie cez telefón.
  • Smishing
    Podobne ako vishing, aj smishing prebieh cez telefón – ale pomocou textovej správy. Správa môže obsahovať odkaz, ktorý obeť nasmeruje na falošnú webovú stránku. Alebo môže požiadať obeť, aby odpovedala citlivými informáciami.
  • TOAD útoky
    Útoky TOAD (Telephone-oriented attack delivery) využívajú telefonické hovory na oklamanie obetí, aby prezradili citlivé informácie alebo vykonali škodlivé akcie. Útočník vystupuje ako dôveryhodná osoba alebo subjekt, ktorý využíva ľudské zraniteľnosti, ako je dôvera a naliehavosť.

Kroky, ktoré by ste mali podniknúť, ak sa nachytáte na phishingový e-mail

Ak máte podozrenie, že ste sa nechali nachytať na phishingový e-mail, budete musieť rýchlo konať, aby ste zmiernili škody. Tu je niekoľko krokov, ktoré by ste mali podniknúť:

  • Nahlásenie incidentu.
    Ďalej o phishingovom e-maile informujte svoje IT oddelenie alebo poskytovateľa e-mailu. Urobte to čo najskôr. Rýchle nahlásenie incidentu pomáha bezpečnostným tímom identifikovať zdroj e-mailu a podniknúť kroky potrebné na zabránenie ďalším útokom. (Napríklad PhishAlarm od spoločnosti Proofpoint Vám môže pomôcť – ide o nástroj na analýzu a nápravu hlásení phishingových e-mailov, ktorý podporuje včasné hlásenie podozrivých phishingových e-mailov bezpečnostným tímom.)
  • Zmeňte si heslá.
    Najprv si okamžite zmeňte heslá. Mali by ste si pravidelne meniť heslá a v každom prípade dodržiavať osvedčené postupy pre heslá, a to aj v prípade, že ste neboli terčom phishingového útoku. Heslá by mali byť zložité, jedinečné a ťažko uhádnuteľné. Vyhnite sa používaniu rovnakého hesla pre viacero účtov. A svoje heslá s nikým nezdieľajte.
  • Povoľte dvojfaktorové overenie (2FA).
    Toto je ďalší zásadný krok k vašej ochrane pred phishingovými útokmi. 2FA pridáva ďalšiu vrstvu zabezpečenia, ktorá okrem používateľského mena a hesla vyžaduje aj druhú formu autentifikácie, ako je odtlačok prsta alebo jednorazové heslo. To sťažuje počítačovým zločincom prístup k Vašim účtom – aj keď majú vaše prihlasovacie údaje.
  • Sledujte svoje kontá a zariadenia.
    Po reakcii na phishingový e-mail je potrebné skontrolovať prítomnosť škodlivého softvéru. Malvér je škodlivý softvér určený na poškodenie alebo deaktiváciu počítačových systémov, odcudzenie citlivých informácií alebo špehovanie aktivity používateľov. Počítačoví zločinci často používajú phishingové e-maily na distribúciu škodlivého softvéru. Preto je nevyhnutné, aby ste svoje zariadenie prehľadali na vírusy alebo iný škodlivý softvér.
  • Kontaktujte spoločnosť alebo organizáciu.
    Ak ste odpovedali na phishingový e-mail, ktorý vyzeral ako z dôveryhodného zdroja, kontaktujte spoločnosť alebo organizáciu a upozornite ich. Môžu byť schopní podniknúť kroky, aby zabránili ostatným zákazníkom alebo zamestnancom stať sa obeťami rovnakého podvodu.

  • Vzdelávajte sa.
    Získajte viac informácií o rôznych typoch phishingových útokov a o tom, ako ich rozpoznať. Dávajte pozor na prezrádzajúce znaky, ako sú gramatické chyby, podozrivé odkazy a žiadosti o citlivé informácie. Ak budete vedieť, aké phishingové taktiky útočníci bežne používajú, pomôže vám to vyhnúť sa ich oklamaniu v budúcnosti.

Ideálne je ak Vaša spoločnosť využíva kontinuálne vzdelávanie o kybernetickej bezpečnosti v kombinácií so zabezpečením e-mailovej komunikácie (secure mail gateway).

Zdroj: Proofpoint blog [ENG]

Pohľad na kybernetické hrozby dneška

od autora:
kybernetické hrozby

Pohľad na kybernetické hrozby dneška – a čo znamenajú pre budúcnosť

Kybernetické hrozby môžeme predpovedať len vtedy, keď plne pochopíme dnešnú situáciu. Analýzou najnovších trendov, metód a cieľov môžeme predpovedať budúcnosť kybernetických hrozieb a spôsoby ako môžu útočníci  rozvíjať svoje útoky, aby zvýšili svoje šance na úspech.

#1: Útoky zamerané na ľudí

Kybernetickí útočníci sa už nejaký čas zameriavajú na ľudí. Ľudia sú kľúčom k prístupu, útočníci to vedia a podľa toho ich využívajú. Okrem toho, odborné technické schopnosti nie sú požiadavkou, pokiaľ ide o útoky na ľudí.

V ďalšom roku pravdepodobne uvidíme, že sa objavia ďalšie skupiny útočníkov so širokým spektrom zručností – od super pokročilých až po málo technologických. Spoločným znakom ale bude efektívne sociálne inžinierstvo – teda útoky proti ľuďom namiesto priameho zacielenia na dáta a stroje.

Efektívne sociálne inžinierstvo presviedča používateľov, aby sa zapojili do škodlivého obsahu, čo uľahčuje vstup do cieľového prostredia. Táto metóda počiatočného prístupu nevyžaduje ďalšie znalosti alebo schopnosti, ako je využívanie zraniteľností alebo služieb. Pre útočníkov je tiež jednoduchšie vykonávať širšie zacielenie, na množstvo ľudí naraz.

Po zdokonalení útoku na ľudský aspekt budú útočníci pridávať kódy, skripty, nástroje pracovného toku a ďalšie na sfunkčnenie hrozieb, čím sa zvýši ich účinnosť a efektívnosť. Samotné ochrany a kontroly nestačia na obranu pred týmito taktikami, preto musí byť prioritou povedomie o bezpečnosti.

#2: Zneužívanie dôvery

Útok SolarWinds zastihol mnohé organizácie úplne nepripravené a ako nikdy predtým uvrhol otázku dôvery do centra pozornosti. Podobné incidenty – a útok ransomvéru Kaseya – zvýšili povedomie o hrozbách pre dodávateľský reťazec softvéru. Útočníci môžu zneužiť dôveryhodné služby tretích strán, aby získali prístup k organizácii a ukradli informácie, znížili funkčnosť alebo narušili služby.

Keďže outsourcing narastá a technologické balíky sú stále zložitejšie, je takmer nemožné, aby vedúci pracovníci informačnej bezpečnosti (CISO) zaručili, že každý v dodávateľskom reťazci softvéru je v oblasti kybernetickej bezpečnosti taký usilovný, ako by mal byť. Musia dôverovať tomu, že tretie strany vykonávajú náležitú ochranu pred útokmi.

Bezpečnostné tímy budú určite musieť zdôvodniť svoju pozíciu úzkeho partnerstva s niekoľkými dodávateľmi, zatiaľ čo generálni riaditelia a finančné tímy budú presadzovať nižšie ceny a rozloženie rizika.

#3: Meniaca sa tvár vnútorných hrozieb

Hrozby zvnútra sa v posledných rokoch zvýšili takmer o 50 % s ročnými nákladmi presahujúcimi 15 miliónov USD. Napriek tomu bolo tradične ťažké získať riešenie pre riadenie vnútorných hrozieb na úrovni predstavenstva. Zamestnávatelia majú často pocit, že ich preverovací proces spojený s vonkajšou ochranou je dostatočný na to, aby udržali problém pod kontrolou.

Nárast krádeží prihlasovacích údajov a prístupov však zmenil spôsob, akým sa pozeráme na problém vnútorných hrozieb. Teraz je irelevantné, či Robovi z učtárne dôverujete alebo nie, pretože ak Robove údaje ukradnú alebo prezradia, už to s ním nemá čo do činenia. Opäť sa tu vyžaduje málo technických zručností, takže môžeme očakávať pokračujúci nárast tohto spôsobu útoku.

Pokiaľ ide o obranu, pravidelné, cielené školiace programy na zvýšenie povedomia o bezpečnosti a  viacfaktorová autentifikácia sú absolútnou nevyhnutnosťou.

Keďže outsourcing narastá a technologické balíky sú stále zložitejšie, je takmer nemožné, aby vedúci pracovníci informačnej bezpečnosti (CISO) zaručili, že každý v dodávateľskom reťazci softvéru je v oblasti kybernetickej bezpečnosti taký usilovný, ako by mal byť. Musia dôverovať tomu, že tretie strany vykonávajú náležitú ochranu pred útokmi.

Bezpečnostné tímy budú určite musieť zdôvodniť svoju pozíciu úzkeho partnerstva s niekoľkými dodávateľmi, zatiaľ čo generálni riaditelia a finančné tímy budú presadzovať nižšie ceny a rozloženie rizika.

#4: Ransomvér, strata údajov a viacnásobné vydieranie

Ransomvér, strata údajov a krádeže duševného vlastníctva boli kedysi samostatnými útokmi, pričom každý cieľ sa nakoniec dosiahol rôznymi metódami. Postupom času sa však tieto hrozby začali prekrývať. Teraz je bežné, že počítačoví zločinci nasadia ransomvér na šifrovanie údajov, ako aj na extrahovanie súborov na ďalšie vydieranie obetí.

Začíname tiež vidieť ďalšiu vrstvu tohto typu útoku. Výskumníci hrozieb Proofpoint pozorovali útočníkov, ktorí sa pokúšali získať si zamestnancov cieľových spoločností, aby uľahčili útoky založené na hrozbách.

Okrem toho je rastúci počet útočníkov  konfigurujúcich malvér tak, aby ich upozornil, keď objaví informácie, ktoré môžu byť cenné, či už na predaj alebo zverejnenie. Po upozornení sa útočníci manuálne zapoja, aby vyhodnotili vybrané údaje predtým, ako sa rozhodnú pre najziskovejšie ďalšie kroky.

V prostredí, kde jediným chybným kliknutím alebo opakovaným použitím hesla, ktoré potenciálne otvára organizácie reťazcu útokov, bude potreba zakorenenej kultúry zabezpečenia ešte naliehavejšia.

#5: Rastúca hrozba nepriateľských národov

Keď pomyslíte na útoky národného kalibru, hneď vám môžu prísť na um štyri krajiny – Čína, Rusko, Severná Kórea a Irán. Aj iné krajiny však rozširujú svoje národne podporované možnosti kyberšpionáže. A pravdepodobne na tomto zozname uvidíme Indiu, Pakistan a ďalšie krajiny, ktoré tiež pokračujú v budovaní a zlepšovaní svojich programov.

Geopolitické napätie a udalosti tiež zvýšili viditeľnosť hráčov ako Taiwan. Blízky východ je ďalším vznikajúcim ohniskom, keďže mnohé z veľkých mocností sa snažia diverzifikovať svoje ekonomiky a zohrávať významnejšiu úlohu na svetovej scéne.

Aj keď sa väčšina bežných organizácií nikdy nedostane do hľadáčika národného útoku, čím viac akcie je na tomto bojisku, tým väčší je rozsah vedľajších škôd – či už ide o výpadky systému a siete, alebo o zraniteľnosti prenesené od tretej strany. To vytvára ešte väčší tlak na CISO, aby mali prehľad o svojich organizáciách a úzko spolupracovali so svojimi výkonnými lídrami na implementácii spoľahlivého bezpečnostného programu.

Zdroj: Proofpoint  blog [ENG]

Ransomvér – rozšírená a zákerná kybernetická hrozba

od autora:
interne hrozby ransomware

Ransomvér – rozšírená a zákerná kybernetická hrozba

Ransomvér je tu s nami viac ako 30 rokov, ale zostáva jedným z najpoužívanejších typov kybernetických útokov súčasnosti. Túto kategória malvéru – ktorá dostala svoje meno podľa toho, že požaduje platbu po uzamknutí súborov obetí (ransom = výkupné) – možno sledovať až do roku 1989, keď evolučný biológ spustil „vírus AIDS“ prostredníctvom diskety v rámci schémy na vymáhanie finančných prostriedkov od výskumníkov AIDS. v 90 krajinách. Príjemcovia dostali pokyny, aby svoje platby – ktoré útočník označil ako „licenčné poplatky“ – poslali na adresu P.O. box v Paname. Po prijatí platby by dostali používatelia dešifrovací kód. Útočník v tomto prípade len málo profitoval a nakoniec bol zatknutý.

Odvtedy sa ransomvérové ​​útoky výrazne vyvinuli. Často ide o sofistikované kampane so širokými dopadmi a mnohomiliónovými výplatami výkupného. Ransomvérové ​​útoky môžu mať tiež ničivé následky, najmä keď sa zameriavajú na kritickú infraštruktúru a služby, ako je zdravotná starostlivosť, presadzovanie práva a energetika – ako sa to stáva čoraz častejšie.

Ransomvérové ​​útoky sa v posledných rokoch stali bežnejšími – pravdepodobne kvôli príležitosti pre útočníkov úspešne profitovať z týchto incidentov. Výskum z Palo Alto Networks Unit 42 zistil, že priemerný dopyt po výkupnom vzrástol v roku 2021 o 144 % na 2,2 milióna USD a priemerná platba sa zvýšila o 78 % na 541 010 USD.

V prieskume „2022 State of the Phish“ spoločnosť Proofpoint zistila, že:

  • 78 % organizácií zaznamenalo v roku 2021 ransomvérové ​​útoky založené na phishingových e-mailoch
  • 68 % organizácií bolo infikovaných ransomvérom
  • 58 % infikovaných organizácií zaplatilo výkupné

Ransomware je nákladná, rušivá kybernetická hrozba, ktorú musia organizácie riešiť vo svojich programoch na zvyšovanie povedomia o bezpečnosti . Platenie výkupného, ​​hoci je niekedy nevyhnutné, len povzbudzuje útočníkov, aby zopakovali svoje správanie – a pomáha financovať ďalší útok. Lepším prístupom je v prvom rade zabrániť tomu, aby sa ransomvér uchytil.
Potreba zvýšiť povedomie používateľov o hrozbe ransomvéru je vysoká vzhľadom na to, že 31 % dospelých používateľov spovedaných spoločnosťou Proofpoint uviedlo, že nevedia, čo je ransomvér, a približne jedna tretina ho identifikovala nesprávne.

Výskum z Unit 42 ukazuje, že viac ako 75 % ransomvéru je doručených e-mailom a približne 20 % prostredníctvom prehliadania webu. Prevádzkovatelia ransomvéru sa často spoliehajú na sociálne inžinierstvo a zneužitie ľudskej povahy pri kompromitovaní používateľov a spúšťaní ich útokov. Je dôležité, aby Vaši používatelia pochopili, čo je ransomvér, ako ho rozpoznať a aké opatrenia môžu podniknúť.

Čo je ransomware?

Ransomware je v podstate nástroj, ktorý umožňuje vydieranie. Ide o typ škodlivého softvéru (malvéru), ktorý uzamkne dôležité údaje, zvyčajne ich zašifrovaním, kým obeť nezaplatí útočníkovi výkupné.
Ransomvérové ​​infekcie sa môžu vyskytnúť, keď si používateľ nevedomky stiahne malvér do svojho počítača otvorením prílohy e-mailu, kliknutím na reklamu, kliknutím na odkaz alebo dokonca návštevou webovej stránky, ktorá obsahuje malvér.

Útočník zvyčajne vyžaduje platbu výkupného v kryptomene, ako je bitcoin, pretože je ťažké ho vystopovať. V mnohých prípadoch žiadosť o výkupné prichádza s konečným termínom. Ak obeť nezaplatí včas, údaje sú navždy preč, výkupné sa zvyšuje alebo útočníci údaje zverejnia. Pri rokovaní s obzvlášť bezohľadným útočníkom môže obeť zaplatiť výkupné a aj tak prísť o dáta.

Ako môžu používatelia predchádzať ransomvéru?

Ransomware je hrozba zameraná na ľudí, takže používatelia zohrávajú významnú úlohu pri ochrane seba a svojich organizácií pred týmto kybernetickým útokom. Útočníci neustále vyvíjajú svoje taktiky, takže ani technické kontroly a úsilie IT bezpečnostných tímov nedokážu zabrániť tomu, aby sa niektoré hrozby dostali k používateľom.
Čo môžete ako užívateľ urobiť?

Uvedomte si, že nie všetky škodlivé e-maily budú otvorene podozrivé.

Útočníci často používajú známe značky alebo sa snažia, aby správa vyzerala, akoby pochádzala od niekoho, koho poznáte a komu dôverujete, ako je váš kolega alebo manažér. Aby ste sa vyhli chybám, zvážte nasledujúce:

  • Ak je e-mail niečím zvláštny, zavolajte odosielateľovi alebo mu napíšte SMS, aby ste potvrdili, že správu odoslali.
  • Použitie vyhľadávacieho nástroja na prístup webovú stránku predajcu na overenie komunikácie alebo požiadavky od tohto predajcu, miesto kliknutia na odkaz

Nenavštevujte podozrivé webové stránky ani nesťahujte podozrivé aplikácie.

  • Ak webová stránka znie príliš dobre na to, aby to bola pravda – ako napríklad ponuka neobmedzenej bezplatnej hudby, filmov a aplikácií – pravdepodobne môže byť škodlivá.
  • Vedzte, že aplikácie, dokonca aj tie, ktoré nájdete v obľúbených obchodoch s aplikáciami, môžu byť stále škodlivé. Buďte opatrní a hľadajte aplikácie od známych vydavateľov s vysokým počtom stiahnutí a hodnotení.
  • Prídavné moduly (pluginy) pre prehliadače, e-mail alebo iné aplikácie môžu byť rovnako nebezpečné ako škodlivé aplikácie. Pred stiahnutím a použitím akýchkoľvek doplnkov sa poraďte s IT oddelením.

Nahláste čokoľvek podozrivé – aj ak ste už urobili chybu!

Vždy je najlepšie informovať tím IT alebo bezpečnostný tím, ak sa niečo pokazilo, napríklad:

  • Dostali ste podozrivý e-mail, ktorý môže byť phishingovým e-mailom.
  • Dostali ste e-mail, ktorý vyzerá ako od kolegu, no zdá sa vám podozrivý alebo neočakávaný.
  • Omylom ste klikli na odkaz, vyplnili prihlasovacie údaje alebo stiahli prílohu a až neskoro ste si uvedomili, že môže byť škodlivá.
  • Navštívili ste webovú stránku, ktorá sa zdala byť legitímna, no neskôr ste vycítili, že niečo nie je v poriadku.

Zdroj: Proofpoint blog [ENG]

Phishing – najväčšia a najrýchlejšie rastúca kybernetická hrozba

od autora:
Phishing blog

Phishing – najväčšia a najrýchlejšie rastúca kybernetická hrozba

Phishing blog

Phishing je tu už desaťročia, ale zostáva jednou z najväčších – a najrýchlejšie rastúcich – kybernetických hrozieb súčasnosti. Phishingová aktivita, ktorá bola už dávno pred pandémiou COVID-19 rastúcou výzvou, sa odvtedy len zhoršila. Podľa najnovšej výročnej správy o internetovej kriminalite od FBI Internet Crime Complaint Center (IC3) počet podaných sťažností na phishingové podvody a súvisiace sťažnosti medzi rokmi 2019 a 2021 vyskočil o 182 %.
A tieto čísla odrážajú iba nahlásené phishingové útoky; skutočný počet je pravdepodobne oveľa vyšší.

Kybernetickým útočníkom sa v každom prípade jednoznačne darí vo využívaní ľudských zraniteľností. A napriek tomu, že ide o takúto veľkú hrozbu, výskum „State of the Phish 2022“ od spoločnosti Proofpoint zistil, že iba 53 % pracujúcich dospelých vie, čo je phishing.

Phishing musí byť ústredným bodom Vášho programu na zvyšovanie povedomia o bezpečnosti. Ak je pravdepodobné, že len asi polovica Vašich používateľov vie, čo je phishing, zvážte, že by ste mali zakomponovať vzdelávanie o tejto zásadnej téme v oblasti kybernetickej bezpečnosti.

Čo je phishing?

Phishing je príkladom sociálneho inžinierstva, čo je súbor techník –  vrátane falšovania, zavádzania a klamstva, ktoré útočníci používajú na manipuláciu s ľuďmi v online priestore.

Phishingové e-maily využívajú sociálne inžinierstvo, aby ovplyvnili používateľov, aby konali rýchlo, bez toho, aby nad vecami premýšľali. A keď sa útočníkom podarí oklamať používateľov phishingovou správou, odmenou im za to môžu byť prístupy k citlivým údajom, kritickým systémom a sieťam, cloudovým účtom a peniazom.

Väčšina phishingových správ sa posiela e-mailom. Niektorí útočníci však doručujú tieto správy obetiam prostredníctvom iných metód, vrátane smishingu a vishingu (pomocou SMS textových správ alebo softvéru na zmenu hlasu v hlasových správach alebo robocaling).

Tri primárne hrozby v phishingových správach

Keď vaši používatelia lepšie pochopia, čo znamená phishing, načrtnite niektoré z typických stratégií, ktoré útočníci používajú na kompromitáciu príjemcov phishingových správ:

Škodlivé odkazy
Útočníci často používajú škodlivé adresy URL v phishingových správach. Keď používatelia kliknú na škodlivý odkaz, môže ich to priviesť na webovú stránku podvodníka alebo stránku infikovanú škodlivým softvérom. Útočníci často tieto odkazy starostlivo zamaskujú do phishingových správ tak, aby vyzerali, že pochádzajú z dôveryhodných zdrojov. Techniky môžu zahŕňať používanie loga spoločnosti alebo registráciu e-mailových domén, ktoré sú mätúco podobné doménam dôveryhodnej značky alebo firmy.
A až príliš často sa to útočníkovi podarí. Prieskum „State of the Phish 2022“ ukazuje, že 1 z 10 používateľov klikne na škodlivý odkaz v simuláciách phishingu.

Infikované prílohy
Prílohy infikované škodlivým softvérom môžu ohroziť počítače a súbory a často vyzerajú ako legitímne prílohy súborov. Pri simuláciách phishingu, ktoré boli vykonané spoločnosťou Proofpoint sa zistilo, že 1 z 5 používateľov otvorí prílohu e-mailu.
Je dôležité vysvetliť používateľom, aké škody môže phishing spôsobiť. Malvérové ​​infekcie a ransomvéry doručené prostredníctvom phishingového útoku sa môžu ľahko šíriť cez sieťové zariadenia – a dokonca aj do cloudových systémov.

Podvodné žiadosti
Tieto požiadavky sú navrhnuté tak, aby presvedčili príjemcu e-mailu, aby odovzdali citlivé informácie, ako sú prihlasovacie údaje, informácie o kreditnej karte a ďalšie. Často sú prezentované ako formulár (napríklad od daňového úradu, ktorý sľubuje vrátenie peňazí), ktorý vyzve používateľa, aby poskytol citlivé informácie. Keď používateľ vyplní a odošle formulár, môžu útočníci použiť tieto údaje na svoj osobný zisk.

Všetky phishingové útoky využívajú sociálne inžinierstvo

Ako už sme uviedli, phishingové útoky sú formou sociálneho inžinierstva. Vo svojom školení na zvýšenie povedomia o bezpečnosti budete chcieť upozorniť na niektoré spôsoby, akými útočníci využívajú ľudskú psychológiu na manipuláciu používateľov, napríklad:

  • Vydávanie sa za niekoho alebo niečo, čo by používateľ pravdepodobne poznal a dôveroval tomu
  • Využívanie emócií, ako je strach (alebo dokonca len podnecovanie strachu z premeškania), na motiváciu používateľov konať rýchlo
  • Tvorenie lákavých sľubov, ktoré znejú príliš dobre na to, aby boli pravdivé

Phishingoví aktéri sa tiež často pokúšajú načasovať svoje útoky na to, keď je pravdepodobné, že používateľ bude nepozorný, napríklad keď sa cíti unavený alebo roztržitý. Mnoho útočníkov si pred phishingovým útokom preštuduje aj fakturačný cyklus spoločnosti alebo si zistí, kedy sa konajú dôležité stretnutia.

Pozor si musia dávať užívatelia aj v súkromnom živote

Samozrejme, na to, aby školenia o kybernetickej bezpečnosti zarezonovali u používateľov, musia pochopiť, ako môžu phishingové schémy potenciálne narúšať aj ich vlastný súkromný zisk. A s blížiacimi sa sviatkami je ideálny čas pomôcť Vašim používateľom naučiť sa dávať pozor na phishingové taktiky zahŕňajúce:

  • Online nakupovanie (ako napríklad „Kliknite sem a objednajte si teraz a získate 60% zľavu! Navyše budete zaradení do súťaže, aby ste mohli vyhrať 1 000€ zadarmo na nákup na našej webovej stránke.“)
  • Charitatívne organizácie (ako napríklad „Pomôžte v boji proti hladu počas týchto sviatkov – táto potreba je mimoriadne naliehavá. Použite tento formulár a darujte, čo môžete práve teraz.“)
  • Poskytovatelia dopravy (napríklad „Nepodarilo sa nám doručiť vašu zásielku. Skontrolujte priložené informácie o dodaní, aby ste potvrdili podrobnosti objednávky.“)

Tiež upozornite svojich používateľov na potenciál „streamovacích podvodov“, kde sa útočníci vydávajú za legitímnych poskytovateľov populárnych streamovacích služieb a ponúkajú špeciálne ponuky (možno „Jeden mesiac zadarmo!“) alebo sa snažia presvedčiť používateľov, že musia vo svojom účte vykonať zmeny ( ako napríklad „Aktualizujte svoje údaje na opätovnú aktiváciu členstva“).

Tipy pre Vašich koncových používateľov na identifikáciu pokusov o phishing

Najlepšie pre Vašu spoločnosť bude, ak implementujete kompletné riešenie vzdelávania o kybernetickej bezpečnosti. Ak takú možnosť nemáte, dokončite svoje školenie na tému phishingu  aspoň niekoľkými ľahko implementovateľnými radami, ktoré môžu pomôcť Vašim používateľom vyhnúť sa podvodu na phishing:

  • Nedôverujte odosielateľovi okamžite, aj keď sa zdá, že správa pochádza z dôveryhodného zdroja alebo značky
  • Skontrolujte adresu odosielateľa a skontrolujte všetky odkazy
  • Otvorte nové okno a pozrite si webovú stránku, na ktorú odkazuje odkaz
  • Neklikajte na výzvy na akciu v e-maile, napríklad „overte svoj účet“ alebo „prihláste sa teraz“
  • Pochopte, že odkazy na zdieľanie súborov nie sú vždy bezpečné

A nakoniec požiadajte svojich používateľov, aby nahlásili každú správu, ktorú považujú za podozrivú. E-mailové nahlasovanie by malo byť kritickou súčasťou vašej kybernetickej obrany (napríklad. ako PhishAlarm phishing tlačidlo od Proofpointu, ktoré uľahčuje Vašim používateľom stať sa ostražitými a proaktívnymi obrancami).

Zdroj: Proofpoint blog [ENG]

DMARC – čo to je a na čo slúži?

od autora:
dmarc systém , SPF, DKIM

DMARC - čo to je a na čo slúži?

DMARC je otvorený e-mailový autentifikačný protokol, ktorý poskytuje ochranu e-mailového kanála na úrovni domény. Autentifikácia DMARC zisťuje a zabraňuje technikám spoofingu e-mailov používaných pri phishingu, ohrození obchodných e-mailov (BEC) a iných útokoch založených na e-mailoch. Stavajúc na existujúcich štandardoch – SPF a DKIM – DMARC je prvá a jediná široko nasadená technológia, vďaka ktorej je dôveryhodná  hlavička domény e-mailu. Vlastník domény môže zverejniť záznam DMARC v systéme DNS (Domain Name System) a vytvoriť politiku, ktorá určí, čo sa má robiť s e-mailami, ktoré zlyhali pri autentifikácii.

SPF a DKIM

Sender Policy Framework (SPF) je e-mailový overovací protokol, ktorý umožňuje organizácii určiť, kto môže odosielať e-maily z ich domén. Organizácie môžu autorizovať odosielateľov v rámci záznamu SPF zverejneného v systéme názvov domén (DNS). Tento záznam obsahuje schválené adresy IP odosielateľov e-mailov vrátane adries IP poskytovateľov služieb, ktorí sú oprávnení odosielať e-maily v mene organizácie. Publikovanie a kontrola SPF záznamov je spoľahlivým spôsobom, ako zastaviť phishing a iné e-mailové hrozby, ktoré falšujú odosielateľov e-mailu.

Domain Keys Identified Mail (DKIM) je e-mailový overovací protokol, ktorý umožňuje príjemcovi skontrolovať, či bol e-mail z konkrétnej domény skutočne autorizovaný vlastníkom tejto domény. Umožňuje organizácii prevziať zodpovednosť za prenos správy tým, že k nej pripojí digitálny podpis. Overenie sa vykonáva prostredníctvom kryptografickej autentifikácie pomocou verejného kľúča podpisovateľa zverejneného v DNS. Podpis zaisťuje, že časti e-mailu neboli zmenené od času pripojenia digitálneho podpisu.

Ako funguje DMARC?

Aby správa prešla overením DMARC, musí prejsť overením SPF a zarovnaním SPF a/alebo prejsť overením DKIM a zarovnaním DKIM. Ak správa zlyhá v DMARC, odosielatelia môžu prostredníctvom politiky DMARC inštruovať príjemcov, čo majú s touto správou robiť. Existujú tri zásady DMARC, ktoré môže vlastník domény presadiť: „none“ (správa je doručená príjemcovi a report DMARC je odoslaný vlastníkovi domény), karanténa (správa je presunutá do priečinka karantény) a odmietnutie (správa nie je doručené vôbec).

Politika DMARC „none“ je dobrým prvým krokom. Týmto spôsobom môže vlastník domény zabezpečiť, aby sa všetky legitímne e-maily správne overili. Vlastník domény dostáva DMARC reporty, ktoré mu pomáhajú uistiť sa, že všetky legitímne e-maily sú identifikované a prechádzajú overením. Keď je vlastník domény presvedčený, že identifikoval všetkých legitímnych odosielateľov a vyriešil problémy s autentifikáciou, môže prejsť na politiku „odmietania“ a blokovania phishingu, BEC útokov a iných podvodných e-mailov.
Ako príjemca e-mailov môže organizácia zabezpečiť, aby jej secure mail gateaway (zabezpečená e-mailová brána) presadzovala politiku DMARC implementovanú pre vlastníka domény. To ochráni zamestnancov pred hrozbami prichádzajúcej pošty.

dmarc systém , SPF, DKIM

Autentifikácia SPF začína identifikáciou všetkých legitímnych IP adries, ktoré by mali odosielať e-maily z danej domény, a potom tento zoznam zverejní v DNS. Pred doručením správy poskytovatelia e-mailu overia záznam SPF tak, že vyhľadajú doménu zahrnutú v adrese „od“ v skrytej technickej hlavičke e-mailu. Ak IP adresa odosielajúca e-mail v mene tejto domény nie je uvedená v zázname SPF domény, správa zlyhá pri overení SPF.

Pri autentifikácii DKIM odosielateľ najprv identifikuje, ktoré polia chce zahrnúť do svojho podpisu DKIM. Tieto polia môžu zahŕňať adresu odosielateľa, telo e-mailu, predmet a ďalšie. Tieto polia musia pri prenose zostať nezmenené, inak správa zlyhá pri overení DKIM. Po druhé, e-mailová platforma odosielateľa vytvorí hash textových polí zahrnutých v podpise DKIM. Po vygenerovaní hash reťazca je zašifrovaný súkromným kľúčom, ku ktorému má prístup iba odosielateľ. Po odoslaní e-mailu je na e-mailovej bráne alebo poskytovateľovi spotrebiteľskej poštovej schránky, aby overil podpis DKIM. To sa dosiahne vyhľadaním verejného kľúča, ktorý sa presne zhoduje so súkromným kľúčom. Potom sa podpis DKIM dešifruje späť na pôvodný hash reťazec.

Najlepšie postupy s DMARC

  • Vzhľadom na množstvo reportov DMARC, ktoré môže odosielateľ e-mailu prijímať, a nedostatočnú zrozumiteľnosť správ DMARC môže byť úplná implementácia overenia DMARC náročná.
  • Nástroje na analýzu DMARC môžu organizáciám pomôcť pochopiť informácie obsiahnuté v správach DMARC.
  • Dodatočné údaje a poznatky nad rámec toho, čo je zahrnuté v prehľadoch DMARC, pomáhajú organizáciám rýchlejšie a presnejšie identifikovať odosielateľov e-mailov. Pomáha to urýchliť proces implementácie autentifikácie DMARC a znižuje riziko zablokovania legitímnych e-mailov.
  • Konzultanti profesionálnych služieb s odbornými znalosťami DMARC môžu organizáciám pomôcť s implementáciou DMARC. Konzultanti môžu pomôcť identifikovať všetkých legitímnych odosielateľov, opraviť problémy s autentifikáciou a môžu dokonca spolupracovať s poskytovateľmi e-mailových služieb, aby sa uistili, že sa overujú správne.
  • Organizácie môžu vytvoriť záznam DMARC v priebehu niekoľkých minút a začať pracovať prostredníctvom správ DMARC presadzovaním zásady DMARC „none“.
  • Správnou identifikáciou všetkých legitímnych odosielateľov e-mailov – vrátane poskytovateľov e-mailových služieb tretích strán – a odstránením akýchkoľvek problémov s autentifikáciou by organizácie mali dosiahnuť vysokú úroveň spoľahlivosti pred presadzovaním zásady „odmietania“ DMARC.

Ako vytvoriť záznam DMARC

    • Záznamy DMARC sú umiestnené na vašich serveroch DNS ako záznamy TXT. Každý poskytovateľ hostingu poskytuje zákazníkom prístup DNS, takže tento záznam TXT môžete pridať u vlastníka, u ktorého bola doména zaregistrovaná, alebo na paneli poskytnutom hostiteľom webovej lokality. Kroky na vytvorenie záznamu DMARC sa líšia v závislosti od hostiteľa, ale vytvorenie záznamu je pre každú doménu rovnaké. Po overení u svojho hostiteľa vytvorte záznam DNS pomocou nasledujúcich krokov:
    • Vytvorte záznam TXT. Po spustení procesu vytvárania musíte zadať názov a hodnotu záznamu.
    • Pomenujte svoj záznam DMARC. V niektorých konfiguráciách hostiteľa sa názov domény automaticky pripojí k názvu. Ak sa nepridá automaticky, pomenujte záznam _dmarc.yourdomain.com.
    • Zadajte hodnotu pre váš záznam. Nasleduje príklad hodnoty pre DMARC:

            v=DMARCI; p=none; rua=mailto:vaša adresa@vašadoména.com

    • Tieto tri hodnoty v položke sú dôležité, keď používatelia posielajú e-maily do vašej domény. Prvá hodnota „v“ je potrebná a určuje verziu. Táto hodnota bude rovnaká pre všetky záznamy. Druhá hodnota „p“ určuje, čo sa stane, keď e-mail prejde alebo zlyhá. V tomto príklade je hodnota nastavená na „none“, čo znamená, že sa nič nestane. Táto hodnota sa na začiatku odporúča, aby sa pred umiestnením správ do karantény zabezpečilo správne fungovanie DMARC.
    • Po overení, že DMARC funguje správne, možno hodnotu „p“ zmeniť na karanténu alebo odmietnuť. Odporúča sa umiestniť správy do karantény, aby ste mohli zachytiť falošné poplachy. Správa bude odložená, kým si ju neprečítate. Možnosť „odmietnuť“ priamo zahodí správy, ktoré nespĺňajú pravidlá DMARC. Pokiaľ si nie ste istí, že správy prejdú, použite možnosť odmietnutia iba vtedy, keď ste si istí, že vaše nastavenia DMARC nezahadzujú žiadne dôležité správy.

Zdroj: Proofpint [ENG]

5 najväčších rizík hybridnej pracovnej sily

od autora:
ochrana emailu

5 najväčších rizík hybridnej pracovnej sily

Pre väčšinu zamestnancov moderných spoločností už nie je ničím nezvyčajným mať slobodu pracovať odkiaľkoľvek. Zamestnanci často niektoré dni pracujú v kancelárii a iné doma. A potrebným prvkom sú teda pre nich platformy, ktoré používajú na prácu na diaľku. Nástroje ako Zoom, Microsoft Teams a Slack sú teraz nenahraditeľné, rovnako ako platformy sociálnych médií, ktoré zamestnancom predstavujú sieť spolupracovníkov a klientov.

Odvrátenou stranou týchto trendov je zvýšené riziko vnútorných hrozieb. Teraz je jednoduchšie ako kedykoľvek predtým nevhodne zdieľať dôverné informácie, či už aj neúmyselne alebo so zlým úmyslom.

Ako môžu organizácie riadiť riziká týchto nástrojov potrebných na fungovanie digitálnej spolupráce? Tu je päť oblastí, ktoré predstavujú najväčšie hrozby pri práci na diaľku:

1. Strata dát

Platformy pre spoluprácu, ako sú Microsoft Teams a Slack, umožňujú zamestnancom jednoducho spolupracovať medzi sebou, klientmi a dodávateľmi tretích strán. Predstavujú však aj nové zraniteľné miesta, pokiaľ ide o stratu údajov. Či už neúmyselne alebo zámerne, používatelia týchto platforiem by mohli zdieľať údaje spôsobom, ktorý by ohrozil spoločnosť.

Zoberme si napríklad masívne porušenie, ktoré zažil vydavateľ videohier Electronic Arts (EA). Pomocou ukradnutých cookies z black marketu útočníci infiltrovali kanál Slack v EA, pričom sa vydávali za zamestnanca, ktorý potrebuje technickú podporu. Útočníci vytvorili hodnoverný príbeh, aby presvedčili správcu IT, aby im dal token viacfaktorovej autentifikácie (MFA), a potom kompromitovali vývojovú službu, aby si stiahli viac ako 780 Gb zdrojového kódu.

Za stratu údajov však nie sú vždy zodpovední útočníci. Niekedy sú na vine nedbalí zamestnanci. Napríklad chyba pri pokuse o odstránenie konta jedného používateľa v KPMG spôsobila, že účtovná firma stratila záznamy rozhovorov s viac ako 145 000 používateľmi Microsoft Teams.

Bez ohľadu na dôvody straty údajov je vplyv týchto incidentov významný: priemerná cena za stratu údajov je 4,24 milióna USD.

Nástroje digitálnej spolupráce sú nevyhnutné pre hybridnú pracovnú silu, ale nesprávna správa môže spôsobiť, že vaša organizácia bude zraniteľná.

2. Porušovanie personálnej politiky

Sociálne médiá a chatovacie platformy, ktoré kolegovia používajú na pripojenie, môžu mať aj temnú stránku. Napriek najlepším zásadám ľudských zdrojov (HR) môže byť ťažké moderovať tieto prostredia, najmä preto, že zamestnanci môžu zabudnúť, že tieto online platformy sú stále profesionálnou platformou. Nie je preto nezvyčajné, že dôjde k nevhodnému alebo nezákonnému správaniu.

V prípade Steph Korey, CEO a spoluzakladateľa batožinového startupu Away, sa šikanovanie  na Slack platforme stalo významným problémom. Incident zasadil rýchlo rastúcej spoločnosti reputačný úder.
Tento príklad  ilustruje, že oddelenia ľudských zdrojov čelia aj výzve presadzovania svojich politík prostredníctvom kontroly digitálnych kanálov.

Negatívna firemná kultúra môže rozdúchať rôzne konflikty, čo vedie nespokojných zamestnancov k nečestnému správaniu. Bohužiaľ, ako sa nástroje digitálnej komunikácie stávajú samozrejmosťou, HR oddelenia musia monitorovať každý kanál a zabezpečiť dodržiavanie politík. Bez dôsledného presadzovania sa môžu skutky ako online šikanovanie na pracovisku alebo rôzne iné nezákonné aktivity uskutočňovať, čo ohrozuje blaho zamestnancov i spoločnosti.

3. Chybné kroky na sociálnych sieťach, vedúce k poškodeniu dobrého mena

Zatiaľ čo sociálne médiá môžu pomôcť mnohým spoločnostiam nájsť si verných fanúšikov, jeden nesprávny krok môže byť pre firmu katastrofálny. Chyby môžu mať mnoho podôb. Zamestnanec by mohol nevedomky odhaliť chránené informácie napríklad v zdanlivo nevinnom príspevku alebo by mohol preukázať nekvalitné služby zákazníkom tým, že by nevhodne reagoval na sťažnosť zákazníka online.

Sociálne médiá už nie sú len pre marketingové tímy; technická podpora a dokonca aj niektoré služby sú teraz ponúkané výlučne prostredníctvom sociálnych médií. A pre zamestnancov s obmedzenými odbornými znalosťami v oblasti dodržiavania predpisov alebo bez školenia v oblasti zákazníckej podpory je príliš jednoduché uverejniť na sociálnych médiách nesprávnu vec. Koniec koncov, internet má dlhú pamäť a chyby v sociálnych sieťach môžu mať skutočné dôsledky.

Ilustrovať sa to dá na príklade, ktorý uviedol veľký úverový úrad Equifax v dôsledku rozsiahleho úniku údajov, ktorý postihol viac ako 147 miliónov zákazníkov. Tweety odoslané útočníkmi z oficiálneho účtu spoločnosti Twitter nasmerovali zákazníkov na falošnú webovú stránku, čo spôsobilo veľké poškodenie reputácie podniku.

Sociálne médiá sa dajú ľahko skonštruovať tak, aby presvedčili zákazníkov a dokonca aj tých najnáročnejších zamestnancov, aby klikali na rizikové odkazy alebo si stiahli malvéri, bez toho aby niečo tušili. Chyby môžu mať za následok poškodenie reputácie a stratu údajov, z ktorých môže byť náročné zotaviť sa, najmä ak Vaši zákazníci majú zvýšené očakávania týkajúce sa bezpečnosti.

4. Podvody zvnútra

Mnoho organizácií aktívne nemonitoruje svoje platformy spolupráce. V dôsledku toho mnohí zamestnanci považujú chatovacie platformy za bezpečné miesta na zdieľanie rôznych informácií o firme alebo údajov o zákazníkoch.

Goldman Sachs sa túto lekciu naučil tvrdo v roku 2018, keď spoločnosť poskytujúca finančné služby súhlasila so zaplatením pokuty 110 miliónov za podvody pri obchodovaní s devízami, ku ktorým došlo, keď zamestnanci diskutovali o budúcich obchodoch so zákazníkmi v online diskusnej miestnosti. Podobné prípady zdieľania dôverných informácií o  obchodovaní sa vyskytli aj na sociálnych médiách alebo prostredníctvom služieb ako napr. WhatsApp.

Trestná činnosť môže byť spáchaná pomocou sociálnych médií alebo iných nástrojov vzdialenej spolupráce, najmä preto, že túto aktivitu je obzvlášť náročné monitorovať kvôli pravidlám ochrany osobných údajov. Dôsledky môžu byť významné; takéto činy robia spoločnosti zraniteľnými voči veľkým finančným stratám alebo trestným obvineniam.

Keďže čoraz viac konverzácií prebieha online, prípady podvodov zamestnancov pomerne časté. Ak organizácie nemonitorujú svoje chatovacie kanály, môžu zistiť dôkazy o podvode s nesprávnym zaobchádzaním s údajmi až keď už bude príliš neskoro. Proaktívny prístup k predchádzaniu vnútorných hrozieb zahŕňa monitorovanie nástrojov vzdialenej spolupráce.

5. Nedodržiavanie nariadení a zákonov

Zamestnanci ľahko komunikujú medzi sebou a s verejnosťou prostredníctvom neustále sa zvyšujúceho počtu digitálnych kanálov, čo je oblasť, ktorej často chýba súlad s rastúcim počtom pravidiel a nariadení. Keď zamestnanci zverejnia informácie, ktoré upútajú pozornosť regulačných orgánov, výsledné právne dôsledky môžu byť zdrvujúce.

Online pracovné konverzácie sa predtým uskutočňovali výlučne prostredníctvom e-mailu, ale čoraz viac je preferovaným digitálnym kanálom chat. Zamestnanci musia dôsledne uplatňovať zásady, ktoré sú v súlade so zákonom, ako napríklad zákon o ochrane osobných údajov, a to aj cez chat. Organizácie, ktoré nemonitorujú a neukladajú obsah chatu, môžu mať problémy so zabezpečením súladu.

Netflix sa týmto spôsobom skvele dostal do konfliktu s regulačnými orgánmi Komisie pre cenné papiere a burzy (SEC), keď generálny riaditeľ Reed Hastings odhalil údaje o sledovanosti na svojej osobnej facebookovej stránke. Tým sa porušil riadny proces, pretože investori musia byť vopred informovaní o tom, kde (a kedy) spoločnosti budú zverejňovať finančné informácie.

Nástroje digitálnej komunikácie sa môžu zdať osobné, ale vo všetkých komunikáciách sa musia dodržiavať profesionálne štandardy. Zamestnanci a spoločnosti môžu čeliť právnym následkom za zverejnenie citlivých informácií nevhodnými kanálmi. Aby sa spoločnosti vyhli nákladným súdnym konaniam a pokutám, musia dbať na dodržiavanie právnych predpisov vo všetkých komunikačných kanáloch.

Ako zvýšiť bezpečnosť a súlad s pravidlami vašej organizácie

Dobrou správou je, že napriek rizikám spojeným s platformami sociálnych médií a nástrojmi na spoluprácu je možné, aby organizácie tieto riziká účinne zmierňovali.

Na začiatok by organizácie mali vykonať tieto štyri kroky:

  • Zachyťte obchodnú komunikáciu. Dodržiavajte súlad so zákonmi pomocou zachytávania údajov bez ohľadu na typ zariadenia, umiestnenie alebo použitú platformu.
  • Dohliadajte na obchodnú komunikáciu. Monitorujte všetky relevantné nástroje a platformy sociálnych médií v reálnom čase, aby ste zistili porušenie pravidiel.
  • Predchádzajte nesprávnemu správaniu a včas naň reagujte. Vyberte si riešenie na prevenciu straty údajov (DLP), ktoré zohľadňuje údaje, správanie a hrozby. Uistite sa, že riešenie dokáže inteligentne zabrániť a urýchliť vašu reakciu na rizikové správanie zasvätených osôb a pohyb údajov.
  • Chráňte používateľov, účty a údaje pred pokročilými hrozbami, či už sú v cloude, v dátovom centre alebo na zariadení vlastnenom zamestnancami.

Zdroj: blog Proofpoint [ENG]

4 bezpečnostné chyby, kvôli ktorým sú spoločnosti zraniteľné voči hrozbám z vnútra

od autora:
interne hrozby blog

4 bezpečnostné chyby, kvôli ktorým sú spoločnosti zraniteľné voči hrozbám z vnútra

Vzhľadom na to, že práca na diaľku a rôzne hybridné formy spolupráce sú veľmi časté a trvácne v dnešnej dobe, potreba silného programu na riadenie vnútorných hrozieb narastá. Mnohé organizácie sa však naďalej zameriavajú iba na obranu pred vonkajšími hrozbami, a nie na hrozby, ktoré prichádzajú zvnútra – čo je voľba, ktorá môže potenciálne ohroziť ich fungovanie. Podľa výskumu Ponemon Institute sú priemerné náklady na vnútorné hrozby 11,45 milióna dolárov, čo predstavuje nárast až o 31% za dva roky.

Výsledné zraniteľnosti spojené s ohrozením jednotlivými zamestnancami a organizáciami môžu spôsobiť veľké problémy pre spoločnosť. Tieto zraniteľnosti je možné minimalizovať tým, že sa vyhnete bežným chybám spojeným s rizikami ohrozenia osobami z vnútra.

Dnes si prejdeme štyri hlavné bezpečnostné chyby, ktoré často spôsobujú, že zamestnanci (a spoločnosti) sú zraniteľnejší voči vnútorným hrozbám, a čo môžete urobiť, aby ste znížili riziko vnútornej hrozby pre Vašu organizáciu:

1. Školenie zamestnancov v oblasti kybernetickej bezpečnosti

Nie všetky vnútorné hrozby sú výsledkom zlomyseľnej činnosti zamestnancov; zamestnanci častejšie robia chyby z nevedomosti. V skutočnosti takéto neplánované vnútorné hrozby predstavujú podľa Ponemona 62 % únikov údajov. Môže to pochádzať z takých zdanlivo neškodných akcií, ako je sťahovanie citlivých dokumentov na USB disk alebo odosielanie zašifrovaných dokumentov e-mailom na dokončenie práce doma.

S nárastom pracovných riešení na diaľku sa tento druh správania stal ešte rozšírenejším. Keďže spoločnosti sa čoraz viac spoliehajú na nástroje spolupráce na diaľku, mnohým chýbajú zavedené postupy a pravidlá pre zamestnancov, ktorí pracujú z domu. Tento problém sa týka aj externých predajcov, ktorí používajú rovnaké nástroje na každodennú komunikáciu. Bez usmernenia o tom, čo predstavuje bezpečné a správne správanie, si zamestnanci možno ani neuvedomia, kedy vystavujú spoločnosť riziku.

Ako tomu predísť?

Ak chcete zmierniť riziká vnútorných hrozieb, zvážte prispôsobenie školení zamestnancov v oblasti kybernetickej bezpečnosti tak, aby boli relevantné pre riziká, ktoré vidíte. Ak môžete do svojej existujúcej technológie zabudovať prispôsobené upozornenia, aby boli používatelia upozornení v čase, keď dôjde k neopatrnému rizikovému správaniu, môžete efektívnejšie určiť dôvod upozornenia a okamžite podniknúť kroky, aby sa tento problém neopakoval.

V prípade iných rizík, s ktorými sa bežne spoločnosti stretávajú, pomôže častejšie školenie o kybernetickej bezpečnosti a najmä o dodržiavaní predpisov o osvedčených postupoch e-mailovej a cloudovej spolupráce.

2. Neberieme do úvahy vonkajšie stresory

Zmeny v spôsobe, akým dnes pracujeme, určite sťažujú rozpoznanie varovných signálov potenciálnej škodlivej činnosti. Kedysi sa považovalo za veľmi podozrivé, ak zamestnanec pristupoval k údajom v mimopracovných hodinách alebo z iného miesta, ale teraz je to už norma.

Vďaka pracovnej sile, ktorá pracuje odkiaľkoľvek, je tiež pre mnohé spoločnosti jednoduchšie prehliadať rôzne vonkajšie stresory, ktoré by mohli inšpirovať k zlomyseľnému vnútornému správaniu. Medzi tieto stresory patria:

  • Núdzové situácie s peniazmi: Zamestnanec môže byť presvedčený, aby konal zlomyseľne voči svojej spoločnosti, keď sa ocitne vo finančnej tiesni.
  • Pomsta: Nespokojný zamestnanec môže pomôcť uniknúť dátam, aby sa mohol spoločnosti pomstiť. Môže k tomu dôjsť v dôsledku zlého zaobchádzania v tíme, pracovného konfliktu alebo prepúšťania.
  • Privilégium: Zamestnanec si môže myslieť, že si zaslúži vlastniť a kontrolovať údaje, najmä ak hral hlavnú úlohu pri získavaní alebo vytváraní údajov.
  • Protichodné hodnoty: Zamestnanec s náboženským alebo politickým presvedčením, ktoré je v rozpore s hodnotami spoločnosti, by sa mohol cítiť oprávnený pri pomoci s únikom údajov.
  • Nábor tretích strán: Zločinecké organizácie alebo rôzne zahraničné špionážne agentúry môžu najímať ľudí s cieľom zneužitia systému, podvodu alebo finančného zisku.

3. Odhaľovanie škodlivých osôb

Pri rozptýlenej pracovnej sile môže byť pre tímy kybernetickej bezpečnosti ťažšie byť informovaní o nespokojných zamestnancoch, hodnoteniach zlého výkonu alebo individuálnych osobných okolnostiach, ktoré môžu spôsobiť, že zamestnanec bude konať zlomyseľne. Zanedbanie ľudskej zložky straty údajov núti Vašu spoločnosť do toho, aby konal proaktívne.

Na zmiernenie potenciálnych rizík zaistite lepšiu spoluprácu a konzistentnú komunikáciu medzi vedúcimi tímov a pracovníkmi kybernetickej bezpečnosti, najmä ak zamestnanec vyjadrí silný nesúhlas alebo ignoruje zásady spoločnosti. Čím vzdelanejší sú vedúci vašich obchodných jednotiek o príznakoch, ktoré zvyčajne predchádzajú krádeži údajov a hrozbám zasvätených osôb, tým viac môžu pomôcť pri informovaní vášho bezpečnostného tímu.

Ideálne by si mal váš bezpečnostný tím tiež pravidelne porovnávať aktivitu používateľov a interakciu s údajmi. V spojení s prehľadom o možných signáloch nekalých aktivít môže táto korelácia aktivity a interakcie pomôcť tímu byť proaktívny pri práci na odhalení zneužitia privilégií a potenciálnych rizík straty údajov.

Neúplné alebo neúčinné procesy

Ako už bolo spomenuté, priemerné náklady na vnútorné hrozby sú ohromujúcich 11,45 milióna dolárov. Toto číslo sa však môže drasticky zvýšiť, keď organizácii chýba účinný proces na včasné riešenie vnútorných hrozieb. Zatiaľ čo priemerný počet dní na riešenie incidentu je 77, podľa Ponemona 35 % spoločností trvalo viac ako 90 dní, čo zodpovedá priemerným nákladom 13,71 milióna dolárov.

Bez efektívneho procesu by váš tím mohol stráviť hodiny skúšaním, či si potenciálna hrozba vyžaduje následné opatrenia. To bol prípad spoločnosti Certified Collateral Corporation (CCC), ktorej bezpečnostnému tímu trvalo posúdenie potenciálnych hrozieb šesť až sedem hodín.

Zlepšite svoj priemerný čas odozvy

Keď sa vyskytnú vnútorné hrozby, je nevyhnutné urýchliť váš čas na reakciu. CCC z vyššie uvedeného príkladu znížilo čas strávený počiatočným vyšetrovaním zo šiestich na sedem hodín na 10 až 15 minút pomocou riešenia Proofpoint Insider Threat Management.

Najúčinnejšie programy ITM zahŕňajú prepojenie medzi oddeleniami, čo znamená, že nie každý bude mať skúsenosti s porozumením žargónu alebo analýze IT tímu. Používanie platformy, ktorá dokáže zvýrazniť relevantné dôkazy v ľahko zrozumiteľných správach, uľahčuje zdieľanie dôkazov na účely rozhodovania.

4. Nedostatok moderného prístupu k prevencii straty dát (DLP)

Existuje veľa spôsobov, ako môžu organizácie utrpieť incident straty údajov, v súčasnosti viac ako kedykoľvek predtým, najmä ak vezmete do úvahy rastúci počet diaľkových spoluprác, ktoré si vyžadujú, aby malo prístup k citlivejším informáciám o spoločnosti viac cudzincov.

Programy na prevenciu straty údajov, ktoré spoločnosti kedysi implementovali, aby zostali v súlade s normami, zvyčajne vytvárajú príliš veľa napätia pre digitálne fungujúcich zamestnancov. To v konečnom dôsledku vedie k tomu, že zamestnanci volia riešenia, ktoré môžu neúmyselne zväčšiť potenciál hrozby, čo je úplne v rozpore so zamýšľaným cieľom implementácie riešenia na prevenciu straty dát.

Aktualizujte svoj prístup k prevencii strate dát

Presvedčte svoj tím, aby sa vzdialil od tradičného prístupu. Koniec koncov, údaje sa sami nepohybujú; ľudia presúvajú dáta. Moderný prístup si vyžaduje implementáciu riešenia zameraného na ľudí, ktoré mení spôsob, akým organizácie zisťujú, predchádzajú a reagujú na incidenty vnútorných hrozieb na základe kombinácie rizikovosti používateľa a citlivosti údajov.

Získanie prehľadu o kontexte pohybu údajov v reálnom čase môže bezpečnostným tímom pomôcť efektívnejšie identifikovať rizikový pohyb údajov. Umožňuje efektívnejšiu prevenciu a riešenie na zastavenie incidentov straty údajov skôr, ako môžu organizácii spôsobiť značné finančné škody alebo škody na značke.

Kľúčový poznatok

Lepším pochopením toho, kde sú vaše zraniteľné miesta medzi vašimi zamestnancami a v rámci vašich interných firemných procesov, môžete podniknúť kroky na zabránenie straty údajov a riziku ohrozenia zo strany zamestnancov. Lepší prehľad o včasných indikátoroch, ktoré môžu spustiť takýto incident, vám umožní efektívnejšie riešiť slabé miesta a zmierniť riziká.

Zdroj: blog Proofpoint [ENG]

Čo robiť ak ste sa nachytali na phishing?

od autora:
phishing blog

Čo robiť ak ste sa nachytali na phishingový e-mail?

Pravdepodobnosť,  že používateľ môže omylom kliknúť na phishingový e-mail je pomerne vysoká. Útoky typu phishing sú na dennom poriadku a spear-phishing je považovaný za jednu z najlepších taktík, ktoré dnes útočníci používajú. Potreba zabezpečenia elektronickej pošty je kľúčová, ale ani to nemusí vždy dostačovať. Koncoví používatelia musia vedieť, čo majú robiť a ako rýchlo jednať, ak kliknú na phishingový e -mail.

E -maily typu phishing môžu byť zacielené na kohokoľvek v rámci organizácie. Je preto dôležité stanoviť osvedčené postupy, ktoré môžu používať všetci používatelia. Tieto pokyny by mali byť začlenené do komplexného školiaceho programu o povedomí o bezpečnosti.

Predtým, ako zavediete vhodné opatrenia, ktoré je potrebné vykonať potom, čo je zamestnanec oklamaný phishingovým e -mailom, je dôležité zdôrazniť, že tieto podvody je možné doručovať nielen prostredníctvom tradičných e -mailov, ale aj pomocou sms textových správ. Útočníci sa budú zväčša vydávať za legitímny existujúci subjekt, napríklad banku používateľa.

Kroky uvedené nižšie pri reakcii na phishingový útok vyžadujú efektívnu spoluprácu viacerých zodpovedných strán v rámci organizácie. Medzi príslušnými entitami – osobou, ktorá klikla na e -mail, bezpečnostnými analytikmi a manažérom informačnej bezpečnosti by mala existovať koordinácia.

1. Zmena hesiel k účtom

Útoky typu phishing sú v priebehu rokov stále vyspelejšie a nenápadnejšie. Môžu byť nasadené niekoľkými spôsobmi, ale ich hlavný cieľ – získanie prihlasovacích používateľských mien a hesiel – zostal vo všeobecnosti konzistentný.

V mnohých prípadoch môže odpoveď na phishingový e -mail zahŕňať poskytnutie prihlasovacích údajov do aplikácie, ktorú útočník nastavil tak, aby vyzerala ako existujúca známa aplikácia. Útočník potom môže získať prihlasovacie údaje obete phishingu a použiť ich na páchanie ďalších kybernetických útokov, ako je napríklad podvod s e-mailom. Vzhľadom na pravdepodobnosť tohto typu útoku je dôležité, aby napadnutý používateľ okamžite zmenil heslo pre príslušný účet (účty), ktoré mohli byť kompromitované.

Útočníci spear-phishing zvyčajne nasadia na svoje ciele dôkladné procesy zhromažďovania informácií. Potom, čo si útočník spojí obeť phishingového útoku s konkrétnym účtom, pokúsi sa použiť podobné prihlasovacie údaje na ostatných známych účtoch používateľa. Je preto dôležité zmeniť heslá nielen pre očakávaný ohrozený účet, ale aj pre ostatné súvisiace používateľské účty. V mnohých prípadoch obete phishingu používajú na rôznych aplikáciách a účtoch rovnaké heslo.

Stručne povedané, zmena hesiel pre všetky online účty sa odporúča. Heslá pre e -maily sa musia okamžite zmeniť a nové heslá sa musia validovať podľa stanovených zásad pre heslá pre e-maily, aby sa zaistilo, že spĺňajú požiadavky na minimálnu zložitosť hesiel.

2. Nahlásenie phishingového incidentu

Phishingové útoky sa často uskutočňujú vo veľkom rozsahu a zameriavajú sa na mnoho obetí naraz. Vo väčšine prípadov sa phishingový útok zameria na viacerých zamestnancov v rámci tej istej organizácie. Včasné nahlásenie incidentu môže pomôcť zaistiť, aby sa obeťami útoku nestali aj ostatní zamestnanci, ktorí mohli dostať ten istý phishingový e -mail, ale možno naň ešte neklikli.

Phishingové útoky by mali byť hlásené prostredníctvom servisného strediska IT alebo v súlade s postupmi organizácie na riešenie kybernetických incidentov. V tejto fáze má správa začať interné vyšetrovanie týkajúce sa phishingového útoku.

Správne načasované hlásenie incidentu znamená, že hneď ako si používateľ uvedomí, že odpovedal na phishingový e-mail, tak umožní technickému personálu informačnej bezpečnosti začať zhromažďovať dôležité informácie o útoku. PhishAlarm, nástroj na analýzu a nápravu phishingových e-mailov, súčasť Proofpoint e-mailovej ochrany, umožňuje včasné nahlasovanie podozrivých phishingových e -mailov bezpečnostným tímom a následne umožňuje tímom reagujúcim na incidenty vykonávať včasné činnosti.

3. Vyšetrovanie phishingového útoku

Podľahnutie podvodnému získaniu údajov môže mať škodlivé účinky na jednotlivých používateľov aj na celú organizáciu. Riziká súvisiace s podľahnutím phishingovým e-mailom môžu zahŕňať kompromitáciu e-mailových účtov, neoprávnený prístup k sieťam a systémom organizácie a zavedenie škodlivého softvéru do počítača a siete obete phishingu.

Preto je dôležité začať predbežné vyšetrovanie phishingového incidentu po nahlásení prostredníctvom servisného strediska IT. Cieľom tohto vyšetrovania je zhromaždiť relevantné informácie o phishingovom útoku a vyhodnotiť vplyv útoku.

K niektorým kľúčovým procesom, ktoré je v tejto fáze potrebné vykonať, patrí identifikácia phishingových e-mailov, s ktorými sa používatelia dostali do kontaktu, lokalizácia ďalších správ od rovnakého odosielateľa alebo s rovnakým odkazom, zisťovanie, kto iný v organizácii mohol dostať rovnaký e-mail, aby sa pochopilo, ako rozšírený je útok.

Musí sa tiež začať analýza koncových bodov, aby sa identifikoval škodlivý softvér, ktorý mohol byť zavedený do počítača obete phishingového útoku alebo do súvisiacej siete.

Obete phishingového útoku si musia dávať pozor aj na krádež identity. V prípade potreby by mal byť napadnutý účet zablokovaný. Užívateľ môže napríklad požiadať svoju banku o zablokovanie účtu online bankovníctva, ak bol priamo ohrozený phishingovým útokom.

4. Zapojenie príslušných regulačných orgánov a orgánov činných v trestnom konaní

Niekoľko priemyselných štandardov alebo vládnych nariadení vyžaduje, aby organizácia nahlásila incidenty typu phishing v stanovenom období po prvej identifikácii incidentu. Napríklad v prípade organizácií pôsobiacich v kľúčových sektoroch musí byť incident zahŕňajúci podľahnutie phishingovému e-mailu riešený tak, aby bol zaistený trvalý súlad s požiadavkami Zákona o kybernetickej bezpečnosti (paragraf 7, vyhláška č.4).

Okrem zabezpečenia súladu s priemyselnými normami a predpismi existuje aj potreba podať žalobu na príslušné orgány činné v trestnom konaní. Podanie správy orgánom činným v trestnom konaní môže niekedy závisieť od rozsahu škôd, ktoré by phishingový incident spôsobil.

5. Implementovanie nápravných stratégií a zaistenie ochrany pred budúcimi útokmi

Ako prvý krok obrannej línie musia byť užívatelia dobre informovaní o možnostiach  phishingového útoku, ktoré útočníci v súčasnosti používajú. Aby sa zaistilo, že sa to stane, musia organizácie vykonávať komplexné školenia a školenia týkajúce sa bezpečnosti používateľov.

Interné simulácie phishingov s neoprávneným získavaním údajov sú účinnou stratégiou, ktorá má pomôcť používateľom vyhnúť sa stať reálnou obeťou phishingových e-mailov. Simulácie vystavujú používateľov príkladom phishingových útokov v reálnom svete, aby mohli lepšie rozpoznať phishingový e-mail.

Okrem vzdelávania a školenia pracovnej sily o hrozbe podvodov typu phishing musia organizácie implementovať aj vhodné technické prvky. Tieto prvky zahrnujú, ale nie sú obmedzené na: blokovanie phishingových e -mailov pomocou techník zabezpečenia e -mailu, ako je filtrovanie e -mailov, karanténa, modely strojového učenia a izolácia prehliadača.

Zdroj: Proofpoint blog [ENG]

Zdroj obrázku