Att ta itu med socialteknikbonanzan orsakad av Microsoft Exchange-hacket [Q&A]

0 Shares

Social teknik

I början av mars avslöjade Microsoft att kinesiska hackare hade utnyttjat programvarusårbarheter i lokala Microsoft Exchange-servrar för att få tillgång till e-postkonton för tusentals Microsoft-kunder.

Medan dessa företag nu är laserfokuserade på att distribuera korrigeringsfiler och andra säkerhetsåtgärder för att åtgärda sårbarheterna i sin e-postprogramvara, tror Josh Douglas, VP för produkthantering – hotinformation hos Mimecast, att dessa tekniska lösningar bara kommer att gå så långt.

Douglas anser att företag som påverkas av Exchange-hacket måste vara medvetna om de sociala tekniska riskerna som kan ligga kvar i många år framöver. Vi pratade med honom för att få en bild av denna “social engineering bonanza” och för att lära oss bästa praxis för att mildra riskerna i samband med det.

BN: Varför riskerar offren för Microsoft Exchange hack från långvariga socialtekniska attacker?

JD: Hotaktörerna bakom Microsoft Exchange-hacket fick tillgång till offrens e-postkonton, vilket gav dem en inblick i organisationens e-postdynamik och mönster. Följderna av detta går utöver tillgången till företags-, finans- och kunddata. Det ger dem också möjlighet att kartlägga en organisation och dess medarbetare, se hur de interagerar med varandra och förstå e-postavsändarnas ton och stil, som inkluderar kunder, partners och leverantörer – som alla kan användas för att imitera avsändare och falsk bekantskap med avsedda offer.

Till exempel kan de efterlikna tonen och stilen som används av olika högvärdiga chefer för att utföra valfångstattacker eller för att lura anställda att falla för nätfiskekampanjer. De kan efterlikna IT-personal för att få anställda att ändra sina lösenord på en falsk webbplats. Och eftersom de kan se hur fakturor skickas, vem de kommer från och till och med PO-nummer, kan de skicka e-postmeddelanden som externa enheter som en del av e-postkompromisskampanjer. Ännu skrämmande, de kan rikta sig mot organisationer som är relaterade till det komprometterade företaget eller redan har gjort det som ett mail i brevlådan.

Slutsatsen, genom att analysera ett företags e-postkommunikation kan dessa hotaktörer naturligtvis passa in i flödet av kommunikation inom ett företag för att enkelt lura anställda – och till och med kunder och partners – att tro att ett e-postmeddelande är legitimt.

Det är viktigt för Exchange-hackarens offer att förstå att även om de åtgärdar sårbarheterna i sina e-postserver kan de se socialteknikattacker som härrör från denna attack i många år framöver.

BN: Finns det en teknisk lösning för den här typen av attacker?

JD: Det finns ingen perfekt teknisk lösning, men organisationer kan förhärda sig från socialtekniska attacker och få proaktiv e-postsäkerhet genom att tillämpa säkerhetskontroller över tre områden eller ‘zoner’:

Vid e-postens omkrets – Tillämpa säkerhetskontroller vid in- eller utgångspunkten för organisationen eller e-postplattformen samt funktioner som använder maskininlärning för att upptäcka digital bedrägeri baserat på kommunikationsstilar och mönster. Inuti nätverket och organisationen – Implementera säkerhetsfunktioner fokuserade på applikationer, system och personer som är interna i organisationen och inkluderar medvetenhetsutbildning för att bygga upp din mänskliga säkerhetsbarriär. Utanför omkretsen – Internetets område som ligger utanför direkt syn och kontroll av en organisations IT- och säkerhetsteam, men där cyberbrottslingar utvecklar och är värd för många av sina attacker. Målet är att identifiera attacker innan de blir en incident.

Zon två är särskilt viktig när det gäller att bekämpa socialtekniska attacker som härrör från Exchange-hacket.

Naturligtvis är det självklart att slutanvändarnas medvetenhet, utbildning och utbildning fortfarande är det bästa försvaret mot socialtekniska attacker. Utbildningsprogram för säkerhetsmedvetenhet kan minska risken för mänskliga fel och göra anställda till en aktiv del av din säkerhetsstrategi. Att engagera anställda på detta sätt är ett av de mest effektiva sätten att minska cybersäkerhetsrisken.

BN: Varför tror du att socialteknikattacker fortsätter att vara så framgångsrika?

JD: Det finns flera anledningar. För det första använder hotaktörer mer omfattande och listig digital bedrägeritaktik på människor och organisationer, vilket gör det möjligt för dessa motståndare att övervinna sofistikerade försvar. De kombinerar beteendemässiga och psykologiska knep med tekniska tekniker, vilket gör dessa attacker svårare och svårare för offren att identifiera.

Den andra anledningen till att socialtekniska attacker är så framgångsrika är att alltför många organisationer fortfarande ser en indelad syn på säkerhet. Medan organisationer tänker i termer av “symtom” – t.ex. e-postsäkerhet, användarnas medvetenhet, länkavsökning, identitetshantering och så vidare – tänker hotaktörer när det gäller bedrägerikampanjer. Problemet med att se attacker isolerat är att det håller säkerhetsfolk fokuserade på de enskilda träden snarare än skogen. De mest skadliga attackerna idag är de som ingår i en svepande bedrägerikampanj som innehåller flera komponenter (falska webbplatser, socialteknik, malware i flera steg, etc.) snarare än opportunistiska engångseffekter.

BN: Vad rekommenderar du organisationer gör för att försvara sig mot digitalt bedrägeri?

JD: Det första steget är att bygga en motbedrägeristrategi – en som motverkar alla komponenter i digitalt bedrägeri (dvs. de psykologiska och tekniska elementen) och implementerar försvarsstrategier över vart och ett av de tre attackstegen:

Förberedelsestadium – När hotaktörer genomför spaning, undersöker de anställda och företag på sociala medier eller andra kanaler (som en komprometterad Exchange-server!) För att förbättra socialteknikens effektivitet. De kan också registrera domäner som deras mål litar på eller skapa likartade webbsidor som förberedelse för exekveringsstadiet. En effektiv motbedrägeristrategi kommer att fungera för att identifiera dessa ‘indikatorer för digitalt bedrägeri’ tidigt i sin cykel och använda motåtgärder för att göra dem ineffektiva. Exekveringsstadium – Som nämnts tidigare är de mest skadliga attackerna vanligtvis de som kräver tålamod och planering – och det är därför farorna med Exchange-hacket är så allvarliga. I genomförandefasen av digitala bedrägeri-kampanjer använder dåliga skådespelare multivektorsekvenser som innehåller element som detaljerade kommunikationskedjor med offret för att skapa förtroende, användningen av likadana domäner, falska LinkedIn-profiler och skrapade webbsidor. Allt detta är utformat för att meningsfullt öka intrycket av äkthet. En motbedrägeristrategi försvarar mot dessa taktiker genom att kombinera slutanvändarutbildning och bra interna processer med teknik som kan identifiera misstänkt beteende för att störa denna exekveringsfas innan någon skada görs. Exploitation Stage – De flesta motbedrägeriåtgärder kommer att spelas in i de två första etapperna. Men det finns möjligheter att stoppa attacken i tredje etappen – precis vid exploateringspunkten. Även här är utbildning i säkerhetsmedvetenhet och goda interna processer kritiska. Dessutom kan teknik hjälpa till att störa psykologin som används av en angripare, identifiera rök och speglar som slöjer bedrägeriet, vilket får ett offer att pausa och förhindra exploateringen.

Poängen är att en flerskiktad motbedrägeri-strategi kan hjälpa organisationer att göra sina anställda, kunder och leverantörskedja mer motståndskraftiga mot digitalt bedrägeri – oavsett om de är riktade idag, nästa vecka, om sex månader eller om två år.

Bildkredit: tashatuvango / depositphotos.com

0 Shares