ما الهجوم شبكة الكهرباء الروسية يمكن تعليم كل ما المهنية

لقد سمعت الآن أن التحقيق المشترك بين مكتب التحقيقات الفيدرالي (FBI) ووزارة الأمن الداخلي الأمريكية قد أدى إلى صدور تقرير بأن عملاء روس قاموا باختراق شركات تشكل جزءًا من شبكة الكهرباء في الولايات المتحدة. تم توضيح الهجمات بالتفصيل في تقرير من فريق الاستعداد للطوارئ بالكمبيوتر بالولايات المتحدة (US-CERT) الذي يصف كيف تمكن المهاجمون من اختراق منشآت الطاقة وما فعلوه بالمعلومات التي سرقوها.

ما لم يكن في تقارير وسائل الإعلام كان حقيقة يجب أن تسبب قلقًا لمتخصص في تكنولوجيا المعلومات ، سواء كانوا يعملون في شركة صغيرة ومتوسطة الحجم (SMB) أو مؤسسة أكبر. تلك الحقيقة: المسار الذي يستغله المهاجمون مر عبر شركاء أصغر في الهدف النهائي. لقد بدأوا هجومهم من خلال اختراق دفاعات هؤلاء الشركاء الأصغر لأنه من المحتمل أن يكون لديهم دفاعات أضعف ، ثم استخدموا المعلومات والموارد التي تم جمعها من هناك لمهاجمة المنشأة التالية.

تشريح هجوم تصيد ذكي

إحدى الوسائل الأساسية للوصول إلى الشريك الأصغر هي العثور على المعلومات العامة ، والتي ، عند تجميعها مع معلومات أخرى ، ستوفر مستوى التفاصيل اللازمة للخطوة التالية. على سبيل المثال ، قد يقوم أحد المهاجمين بفحص موقع الويب الخاص بشركة تتعامل مع الهدف النهائي ، وقد يجد هناك عنوان البريد الإلكتروني لكبير المديرين التنفيذيين في شركة الشريك أو الهدف النهائي. بعد ذلك ، قد يقوم المهاجم بفحص معلومات أخرى من مواقع كلتا الشركتين لمعرفة ماهية العلاقة ، وما هي الخدمات التي يتم تقديمها من قبل الشخص ، وشيء ما عن بنية كل شركة.

مسلحًا بهذه المعلومات ، يمكن للمهاجم بدء إرسال رسائل بريد إلكتروني تصيّدية مقنعة للغاية من عنوان بريد إلكتروني مشروع ؛ مع تلك التفاصيل التفصيلية التي قد تهزم أي مرشحات الخداع وضعت في جدار الحماية أو مستوى حماية نقطة النهاية المدارة. سيتم تصميم رسائل البريد الإلكتروني المخادعة للحصول على بيانات اعتماد تسجيل الدخول للشخص المستهدف ، وإذا نجح أي منها ، سيتجاوز المهاجمون على الفور أي تدابير لإدارة الهوية قد تكون موجودة وداخل الشبكة المستهدفة.

مع الكشف عن حصاد معلومات المستخدم من Facebook ، تتسع طبيعة التهديد. في خرق أجري تحت ستار البحث الأكاديمي الذي بدأ في عام 2014 ، تمكن باحث روسي من الوصول إلى حوالي 50 مليون ملف تعريف مستخدم لأعضاء Facebook الأمريكيين. تم نقل تلك الملفات الشخصية إلى Cambridge Analytica. كشفت التحقيقات اللاحقة أن هذه البيانات قد تم الحصول عليها دون إذن من مستخدمي Facebook ثم أسيء استخدامها.

تدقيق الاتصالات الخارجية

يطرح هذا السؤال فقط ما هي المعلومات التي يجب على الشركات الحذر إتاحتها عبر مواقعها على الويب. والأسوأ من ذلك ، أن هذا الاستعلام يحتاج على الأرجح إلى توسيع نطاق وجود وسائل الإعلام الاجتماعية للمؤسسة ، وقنوات التسويق التابعة لجهات خارجية مثل Youtube ، وحتى ملفات تعريف الموظفين الاجتماعية البارزة.

وقال ليو تاديو ، كبير مسؤولي أمن المعلومات (CISO) لشركة Cyxtera والوكيل الخاص السابق المسؤول عن قسم Cyber ​​في المكتب الميداني لمدينة FBI في مدينة نيويورك: "أعتقد أنه يتعين عليهم توخي الحذر بشأن ما هو موجود على مواقع شركاتهم". "هناك إمكانية كبيرة للكشف عن المعلومات عن غير قصد."

قال تاديو إن أحد الأمثلة الجيدة على ذلك هو الإعلان عن الوظائف حيث يمكنك الكشف عن الأدوات التي تستخدمها لأغراض التطوير أو حتى عن تخصصات الأمان التي تبحث عنها. وقال "هناك الكثير من الطرق التي يمكن للشركات من خلالها فضح أنفسهم. هناك مساحة كبيرة. ليس فقط الموقع الإلكتروني وليس فقط الاتصالات المتعمدة".

أوضح تاديو أن "وسائل التواصل الاجتماعي تشكل مخاطرة" ، مشيرًا إلى أن الموظف المنشور على وسائل التواصل الاجتماعي يمكن أن يكشف عن غير قصد. وأشار إلى أن الموظفين الذين يقولون إنهم غير راضين عن وظائفهم قد يكشفون عن هدف للاستغلال. "الموظفون الذين يتحدثون بالتفصيل عن عملهم أو إنجازاتهم يشكلون مخاطرة. التعدين على وسائل التواصل الاجتماعي مفيد للغاية للخصوم."

حذر تاديو من أن مواقع الوسائط الاحترافية ، مثل LinkedIn ، تشكل أيضًا خطرًا على أولئك الذين ليسوا حذرين. وقال إن الخصوم ينشئون حسابات وهمية على مثل هذه المواقع التي تخفي مواقعهم ، ثم تستخدم المعلومات من جهات اتصالهم. وقال "كل ما ينشرونه على مواقع التواصل الاجتماعي قد يضر صاحب العمل".

بالنظر إلى حقيقة أن الجهات الفاعلة السيئة التي تستهدفك قد تكون بعد بياناتك ، أو قد تكون بعد مؤسسة تعمل معها ، فإن السؤال ليس فقط كيف تحمي نفسك ولكن كيف يمكنك أيضًا حماية شريك عملك؟ هذا الأمر معقد بسبب حقيقة أنك قد لا تعرف ما إذا كان المهاجمون قد يكونون بعد بياناتك أو مجرد رؤيتك كنقطة انطلاق وربما موقع انطلاق للهجوم التالي.

كيف تحمي نفسك

وفي كلتا الحالتين ، هناك بعض الخطوات التي يمكنك اتخاذها. أفضل طريقة للتعامل مع ذلك هي في شكل تدقيق للمعلومات. قم بتعداد جميع القنوات التي تستخدمها شركتك للاتصالات الخارجية ، وبالتأكيد التسويق ، ولكن أيضًا الموارد البشرية والعلاقات العامة وسلسلة التوريد وغيرها. ثم قم بإنشاء فريق تدقيق يضم أصحاب مصلحة من جميع القنوات المتأثرة وابدأ في تحليل ما هو موجود بشكل منهجي مع الانتباه إلى المعلومات التي قد تكون مفيدة لصوص البيانات. أولاً ، ابدأ بموقع شركتك على الويب:

فحص موقع الويب الخاص بشركتك لمعرفة أي شيء قد يوفر تفاصيل حول العمل الذي تقوم به أو الأدوات التي تستخدمها. على سبيل المثال ، قد تحتوي شاشة الكمبيوتر التي تظهر في صورة ما على معلومات مهمة. تحقق من وجود صور لمعدات الإنتاج أو البنية الأساسية للشبكة ، والتي يمكن أن توفر أدلة مفيدة للمهاجمين.

انظر إلى قائمة الموظفين. هل لديك عناوين بريد إلكتروني لكبار موظفيك مدرجين في القائمة؟ لا توفر هذه العناوين للمهاجمين عنوان تسجيل محتمل فحسب ، بل توفر أيضًا وسيلة لتزوير رسائل البريد الإلكتروني المرسلة إلى موظفين آخرين. فكّر في استبدال هؤلاء الذين لديهم رابط بنموذج أو استخدام عنوان بريد إلكتروني مختلف للاستهلاك العام مقابل الاستخدام الداخلي.

هل يقول موقع الويب الخاص بك من هم عملاءك أو شركاؤك؟ يمكن أن يوفر ذلك للمهاجمين طريقة أخرى لمهاجمة مؤسستك إذا كان لديهم مشكلة في تجاوز الأمان الخاص بك.

تحقق منشورات وظيفتك. كم يكشفون عن الأدوات أو اللغات أو الجوانب الأخرى لشركتك؟ فكر في العمل من خلال شركة توظيف لفصل نفسك عن تلك المعلومات.

انظر إلى وجودك على وسائل التواصل الاجتماعي ، مع مراعاة أن خصومك سيحاولون بالتأكيد استخراج المعلومات عبر هذه القناة. انظر أيضًا إلى مقدار المعلومات التي يتم الكشف عنها حول شركتك في المنشورات التي يقوم بها كبار موظفيك. لا يمكنك التحكم في كل شيء عن أنشطة موظفيك على وسائل التواصل الاجتماعي ، ولكن يمكنك مراقبة ذلك.

النظر في بنية الشبكة الخاصة بك. توصي Taddeo بإتباع نهج حسب الحاجة يتم من خلاله منح وصول المسؤول فقط عند الحاجة وفقط للنظام الذي يحتاج إلى عناية. يقترح استخدام محيط البرنامج المحدد (SDP) ، والذي تم تطويره في الأصل من قبل وزارة الدفاع الأمريكية. وقال "في النهاية ، يتم تغيير استحقاقات الوصول لكل مستخدم بشكل ديناميكي بناءً على حساسية الهوية والجهاز والشبكة والتطبيق". "تعتمد هذه السياسات على سياسات تمت تهيئتها بسهولة. من خلال محاذاة الوصول إلى الشبكة مع الوصول إلى التطبيق ، يظل المستخدمون منتجين بشكل كامل بينما يتم تقليل مساحة الهجوم بشكل كبير."

• الآن النظر في الخدمات السحابية الخاصة بك بنفس الطريقة. غالبًا ما يكون تكوينًا افتراضيًا لجعل كبار المسؤولين التنفيذيين في الشركة على الخدمات السحابية للشركات الخارجية ، مثل حسابات Google Analytics أو Salesforce الخاصة بشركتك على سبيل المثال. إذا لم يحتاجوا إلى هذا المستوى من الوصول ، فكر في إسقاطهم إلى حالة المستخدم وترك مستويات الوصول الإداري لموظفي تكنولوجيا المعلومات الذين يصعب العثور على تسجيلات البريد الإلكتروني الخاصة بهم.

أخيرًا ، قال Taddeo للبحث عن نقاط الضعف التي أنشأتها تقنية الظل. ما لم تبحث عنه ، يمكنك تجاوز عملك الأمني ​​الصعب بسبب قيام شخص ما بتثبيت جهاز توجيه لاسلكي في مكتبه حتى يتمكن من استخدام جهاز iPad الشخصي الخاص به في العمل بشكل أسهل. تندرج خدمات السحابة الخارجية غير المعروفة أيضًا ضمن هذه الفئة. في المؤسسات الكبيرة ، ليس من غير المألوف أن يقوم رؤساء الأقسام بالتسجيل ببساطة في أقسامهم للحصول على خدمات سحابية مريحة لتجاوز ما يرون أنه "شريط أحمر".

يمكن أن يشمل ذلك خدمات تكنولوجيا المعلومات الأساسية ، مثل استخدام Dropbox Business كتخزين على الشبكة أو استخدام خدمة تلقائية تسويقية مختلفة لأن الاشتراك في الأداة الرسمية المدعومة من الشركات بطيء للغاية ويتطلب ملء العديد من النماذج. يمكن لخدمات مثل هذه البرامج كشف نقاط البيانات الحساسة دون أن يكونوا على علم بها. تأكد من معرفة التطبيقات المستخدمة في مؤسستك ، ومن جانب من ، وأنك تتحكم بشدة في من يمكنه الوصول.

عمل التدقيق من هذا القبيل شاق ويستغرق وقتًا طويلًا ، ولكنه قد يؤدي إلى أرباح كبيرة على المدى الطويل. حتى يأتي خصومك بعدك ، فأنت لا تعرف ما لديك الذي قد يستحق السرقة. لذلك تحتاج إلى التعامل مع الأمن بطريقة مرنة مع الاستمرار في مراقبة الأمور المهمة ؛ والطريقة الوحيدة للقيام بذلك هي أن تكون على علم تام بما يجري على شبكتك.