Ιστορίες όπως το Catch Me If You Can (η ιστορία του πώς ο απατεώνας Frank Abagnale όπου ξεγέλασε τους πάντες στο πέρασμά του) προκαλούν σε πολλούς ανθρώπους την επιθυμία να γίνουν τόσο έξυπνοι και σίγουροι όσο ο Frank, ο οποίος χρησιμοποιούσε τη γοητεία και την εξυπνάδα του για να πείσει τους ανθρώπους για σχεδόν τα πάντα.
Μετά από μια μεγάλη παραβίαση δεδομένων, είναι φυσικό να αναζητήσετε μια παρόμοια ιστορία για το πώς ένας επιτιθέμενος χρησιμοποίησε την τέχνη και την πονηριά για να ξεγελάσει το θύμα του και να τον “αφήσει να μπει”. Φανταζόμαστε τον επιτιθέμενο να τηλεφωνεί στο θύμα με μια πειστική ιστορία. Κάτι του τύπου: “Είμαι ο Βασίλης από το τμήμα πληροφορικής, και συνεργάζομαι με την Μαρία, γνωρίζεις την Δέσποινα; Λοιπόν… λυπάμαι που λαμβάνετε όλες αυτές τις ειδοποιήσεις στο τηλέφωνό σας στις 3 π.μ. Αν μου δώσετε τον κωδικό pin που έχετε λάβει, θα το τακτοποιήσω εγώ για εσάς”.
Ενώ αυτή η σκηνή θα μπορούσε να γίνει ταινία, η πραγματική ιστορία πίσω από τις σημερινές παραβιάσεις δεν αφορά ποτέ μια μεμονωμένη κακή απόφαση – αφορά τις πολλές αποφάσεις που λαμβάνονται πολύ πριν ένας ανυποψίαστος διαχειριστής του δικτύου λάβει ένα τηλεφώνημα από έναν επιτιθέμενο.
Σε αυτό το άρθρο, θα δούμε πώς οι εταιρείες μπορούν να γίνουν πιο ανθεκτικές σε κάθε επίθεση ή απάτη, ώστε μια στιγμή ανθρώπινης αδυναμίας να μην οδηγήσει σε καταστροφή.
Table of Contents
Πώς μια λανθασμένη κίνηση οδηγεί σε μια μαζική παραβίαση
Στην πρόσφατη παραβίαση μιας μεγάλης εταιρείας, ο επιτιθέμενος κατάφερε να εισέλθει και να αποκτήσει πρόσβαση σε δεδομένα στις εφαρμογές SaaS και στις υποδομές cloud της εταιρείας στο AWS και στο Google Cloud Platform.
Βλέπουμε επιτιθέμενους να στοχεύουν δεδομένα χρησιμοποιώντας τις ίδιες τεχνικές ξανά και ξανά. Σαρώνουν το περιβάλλον για αδυναμίες: δεδομένα που δεν είναι κλειδωμένα, λογαριασμούς με αδύναμους κωδικούς πρόσβασης και κωδικούς πρόσβασης αποθηκευμένους σε απλό, αναγνώσιμο κείμενο. Κατά τη διάρκεια αυτής της πρόσφατης παραβίασης, ο επιτιθέμενος βρήκε έναν κωδικό πρόσβασης που του επέτρεπε να εισέλθουν στο σύστημα αποθήκευσης μαζικών κωδικών πρόσβασης, γεγονός που τους έδωσε περαιτέρω πρόσβαση σε περισσότερα δεδομένα και σε περισσότερες υποδομές.
Τα δεδομένα είναι εκεί που βρίσκονται τα χρήματα – οι επιτιθέμενοι γνωρίζουν ότι εξαρτόμαστε από τη διαθεσιμότητα και τη μυστικότητά τους. Τα δεδομένα είναι επίσης εκεί όπου βρίσκεται ο κίνδυνος και για αυτό πρέπει να επικεντρωθούμε στην προστασία τους. Μετά από μια παραβίαση, οι εφαρμογές SaaS μπορεί να παραμείνουν ανέπαφες και οι υποδομές cloud μπορούν να αναδημιουργηθούν, αλλά τα δεδομένα δεν μπορούν ποτέ να είναι “ακάλυπτα”.
Πολλά στελέχη μπορεί να αναρωτηθούν: “Δεν υποτίθεται ότι το cloud θα μας έκανε πιο ασφαλείς;”.
Στο Cloud, κάποιος άλλος είναι υπεύθυνος για τη διασφάλιση της ασφάλειας των εφαρμογών. Κάποιος άλλος είναι υπεύθυνος για την επιδιόρθωση της εφαρμογής και τυχόν εξαρτήσεων, όπως οι βάσεις δεδομένων και τα λειτουργικά συστήματα. Κάποιος άλλος είναι υπεύθυνος για το δίκτυο, τις αποτυχίες, τα HVAC, την πυρόσβεση αλλά και την κλειδαριά στη φυσική πόρτα.
Με όλες αυτές τις ανησυχίες για την ασφάλεια στα χέρια του παρόχου cloud, αυτό που απομένει είναι να διασφαλιστεί ότι μόνο οι κατάλληλοι άνθρωποι μπορούν να έχουν πρόσβαση στα σωστά δεδομένα και να έχουν πρόσβαση μόνο σε αυτά που χρειάζονται, και στη συνέχεια να επαληθευτεί ότι οι άνθρωποι χρησιμοποιούν τα δεδομένα για τον προβλεπόμενο σκοπό τους. Αυτό θα πρέπει να είναι εύκολο, σωστά;
Δεν είναι, και είναι πιο εκτεθειμένο από ό,τι νομίζετε.
Ρίχνοντας φως στους κινδύνους των Clouds
Ο μέσος οργανισμός διαθέτει σχεδόν 20.000 φακέλους και πάνω από 150.000 αρχεία που μοιράζονται δημόσια. Τι υπάρχει σε αυτά τα εκτεθειμένα αρχεία και φακέλους; Πάνω από 100.000 δημόσια διαμοιραζόμενα ευαίσθητα αρχεία σε εφαρμογές SaaS. Μόνο στο Microsoft 365, ο μέσος οργανισμός είχε σχεδόν 50.000 ευαίσθητα αρχεία που μοιράζονται δημόσια.
Πολλές από τις σημερινές εκθέσεις είναι δυνατές επειδή το cloud διευκολύνει τους τελικούς χρήστες να μοιράζονται δεδομένα χωρίς τη βοήθεια ή την καθοδήγηση του IT. Μπορούν να μοιράζονται δεδομένα δημοσίως και με συναδέλφους τους κάνοντας κλικ στο “share”. Διαπιστώσαμε ότι οι εργαζόμενοι δημιουργούν δεκάδες χιλιάδες συνδέσμους κοινής χρήσης στο Microsoft 365. Και πολλοί από αυτούς τους συνδέσμους δίνουν πρόσβαση σε κάθε εργαζόμενο. Με τόση κοινή χρήση, ο μέσος οργανισμός έχει πλέον πάνω από 40 εκατομμύρια αντικείμενα με μοναδικά δικαιώματα και πολλές εκθέσεις που δεν θα φανούν ή δεν θα επανεξεταστούν ποτέ.
Όσον αφορά τα βασικά, παρά τα γνωστά πλεονεκτήματα ασφαλείας του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), ο μέσος οργανισμός διαθέτει χιλιάδες λογαριασμούς – συμπεριλαμβανομένων των λογαριασμών διαχείρισης – που δεν τον απαιτούν.
Κάνοντας τη δουλειά του hacker δύσκολη
Οι λογαριασμοί με μεγάλη πρόσβαση είναι ωρολογιακές βόμβες ασφαλείας δεδομένων και η ακτίνα έκρηξής τους – η πιθανότητα ζημίας μετά από παραβίαση – είναι τεράστια. Όταν ένας μόνο λογαριασμός ή μια συσκευή παραβιαστεί, πόση ζημιά μπορεί να προκαλέσει και πόσο καλά θα είστε σε θέση να περιορίσετε τη ζημιά;
Ακολουθούν τέσσερα βήματα για να διασφαλίσετε ότι όταν ένας από τους υπαλλήλους σας πέσει θύμα hacker, η δουλειά του hacker δεν θα είναι εύκολη – θα πρέπει να κοπιάσει πολύ πιο σκληρά για να θέσει σε κίνδυνο τα κρίσιμα δεδομένα σας:
- Μειώστε την εμβέλεια της επίθεσης. Ελαχιστοποιήστε τη ζημιά που θα μπορούσαν να προκαλέσουν οι επιτιθέμενοι, κλειδώνοντας την πρόσβαση στα κρίσιμα δεδομένα σας και διασφαλίζοντας ότι οι υπάλληλοι μπορούν να έχουν πρόσβαση μόνο στα δεδομένα που χρειάζονται για να κάνουν τη δουλειά τους..
- Βρείτε τα κρίσιμα δεδομένα σας (και τους κωδικούς πρόσβασης). Βρείτε και εντοπίστε τα κρίσιμα δεδομένα σας που βρίσκονται σε κίνδυνο. Σαρώστε για όλα όσα αναζητούν οι επιτιθέμενοι, συμπεριλαμβανομένων των προσωπικών δεδομένων, των οικονομικών δεδομένων και των κωδικών πρόσβασης.
- Οικειοποιείστε το MFA. Η ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) καθιστά κατά 99% λιγότερο πιθανό να σας παραβιάσουν.
- Παρακολουθήστε αυτό που έχει μεγαλύτερη σημασία για εσάς. Παρακολουθήστε τον τρόπο με τον οποίο κάθε χρήστης και λογαριασμός χρησιμοποιεί κρίσιμα δεδομένα και παρακολουθήστε για οποιαδήποτε συνήθη δραστηριότητα που θα μπορούσε να υποδηλώνει πιθανή κυβερνοεπίθεση.
Μία και μόνο κακή απόφαση ή ένα κενό ασφαλείας θα πρέπει να προκαλεί ανησυχία και εκνευρισμό. Αν ακολουθήσετε τα βήματα που περιγράφονται παραπάνω, όλες αυτές οι επιλογές ασφαλείας θα περιορίσουν την ακτίνα των επιθέσεων και θα προστατεύσουν την εταιρεία σας. Αυτή η ιστορία θα είναι πιθανώς πολύ βαρετή για το Χόλιγουντ, αλλά στον κόσμο των hacker, θα ήταν η ιδανική μέρα για επίθεση!