Apa yang bisa diajarkan oleh serangan jaringan listrik Rusia setiap profesional

Sekarang Anda telah mendengar bahwa penyelidikan bersama oleh Biro Investigasi Federal (FBI) dan Departemen Keamanan Dalam Negeri AS telah menghasilkan laporan bahwa para operator Rusia telah meretas perusahaan yang merupakan bagian dari jaringan listrik di AS. Serangan-serangan tersebut diuraikan secara terperinci dalam laporan dari Tim Kesiapan Darurat Komputer AS (US-CERT) yang menjelaskan bagaimana para penyerang dapat menembus fasilitas energi dan apa yang mereka lakukan dengan informasi yang mereka curi.

Apa yang tidak ada dalam laporan media adalah fakta yang harus menimbulkan kekhawatiran bagi profesional TI, apakah mereka bekerja untuk usaha kecil hingga menengah (SMB) atau organisasi yang lebih besar. Fakta itu: Jalan yang dieksploitasi para penyerang melewati mitra yang lebih kecil dari target akhir. Mereka memulai serangan dengan menembus pertahanan para mitra yang lebih kecil itu karena mereka kemungkinan memiliki pertahanan yang lebih lemah, dan kemudian mereka menggunakan informasi dan sumber daya yang dikumpulkan dari sana untuk menyerang fasilitas berikutnya di garis depan.

Anatomi Serangan Phishing yang Cerdas

Cara utama untuk mendapatkan akses ke mitra yang lebih kecil adalah untuk menemukan informasi publik, yang, ketika disatukan dengan informasi lain, akan memberikan tingkat perincian yang diperlukan untuk langkah selanjutnya. Misalnya, penyerang mungkin memeriksa situs web perusahaan yang melakukan bisnis dengan target akhir dan di sana ia mungkin menemukan alamat email seorang eksekutif senior di perusahaan mitra atau target akhir. Kemudian penyerang mungkin memeriksa informasi lain dari situs web kedua perusahaan untuk melihat apa hubungannya, layanan apa yang disediakan oleh siapa, dan sesuatu tentang struktur masing-masing perusahaan.

Berbekal informasi itu, penyerang dapat mulai mengirim email phishing yang sangat meyakinkan dari apa yang tampaknya merupakan alamat email yang sah; yang dengan detail kerajinan yang cukup yang mungkin mengalahkan filter phishing yang ditempatkan di firewall atau tingkat perlindungan titik akhir yang dikelola. Email phishing akan dirancang untuk memanen kredensial login untuk orang yang ditargetkan, dan jika salah satu dari mereka berhasil, penyerang akan dengan segera mem-bypass langkah-langkah manajemen identitas yang mungkin ada dan berada di dalam jaringan target.

Dengan wahyu tentang memanen informasi pengguna dari Facebook, sifat ancaman meluas. Dalam pelanggaran yang dilakukan dengan kedok penelitian akademis mulai tahun 2014, seorang peneliti Rusia memperoleh akses ke sekitar 50 juta profil pengguna anggota Facebook Amerika. Profil-profil itu diserahkan ke Cambridge Analytica. Investigasi selanjutnya telah mengungkapkan bahwa data ini diambil tanpa izin dari para pengguna Facebook dan kemudian disalahgunakan.

Mengaudit Komunikasi Eksternal

Ini memunculkan pertanyaan tentang apa saja yang harus disediakan oleh bisnis yang berhati-hati melalui situs web mereka. Lebih buruk lagi, permintaan itu kemungkinan perlu meluas ke kehadiran media sosial organisasi, saluran pemasaran pihak ketiga seperti Youtube, dan bahkan profil media sosial karyawan profil tinggi.

"Saya pikir mereka harus berhati-hati tentang apa yang ada di situs web perusahaan mereka, " kata Leo Taddeo, Kepala Petugas Keamanan Informasi (CISO) untuk Cyxtera dan mantan Agen Khusus yang bertanggung jawab atas Divisi Cyber ​​dari kantor lapangan FBI New York City City. "Ada potensi besar untuk mengungkapkan informasi secara tidak sengaja."

Taddeo mengatakan bahwa salah satu contoh yang baik adalah dalam posting pekerjaan di mana Anda dapat mengungkapkan alat apa yang Anda gunakan untuk pengembangan atau bahkan spesialisasi keamanan apa yang Anda cari. "Ada banyak cara perusahaan dapat mengekspos diri mereka sendiri. Ada area permukaan yang luas. Bukan hanya situs web dan bukan hanya komunikasi yang disengaja, " katanya.

"Media sosial adalah risiko, " Taddeo menjelaskan, menunjukkan bahwa seorang karyawan yang memposting di media sosial dapat mengungkapkan banyak hal secara tidak sengaja. Dia menunjukkan bahwa karyawan mengatakan bahwa mereka tidak senang dengan pekerjaan mereka dapat mengungkapkan target eksploitasi. "Karyawan yang berbicara secara rinci tentang pekerjaan atau prestasi mereka adalah risiko. Penambangan media sosial sangat produktif bagi lawan."

Taddeo memperingatkan bahwa situs web media profesional, seperti LinkedIn, juga berisiko bagi mereka yang tidak berhati-hati. Dia mengatakan bahwa musuh membuat akun palsu di situs web semacam itu yang menyamarkan siapa mereka sebenarnya dan kemudian menggunakan informasi dari kontak mereka. "Apa pun yang mereka posting di situs media sosial dapat membahayakan majikan mereka, " katanya.

Mengingat fakta bahwa aktor jahat yang menargetkan Anda mungkin setelah data Anda, atau mungkin setelah organisasi tempat Anda bekerja, pertanyaannya bukan hanya bagaimana Anda melindungi diri sendiri tetapi bagaimana Anda juga melindungi mitra bisnis Anda? Ini rumit oleh fakta bahwa Anda mungkin tidak tahu apakah penyerang mungkin mengejar data Anda atau hanya melihat Anda sebagai batu loncatan dan mungkin lokasi pementasan untuk serangan berikutnya.

Cara Melindungi Diri Anda

Apa pun itu, ada beberapa langkah yang bisa Anda ambil. Cara terbaik untuk mendekati ini adalah dalam bentuk audit informasi. Hitung semua saluran yang digunakan perusahaan Anda untuk komunikasi eksternal, tentu saja pemasaran, tetapi juga SDM, PR, dan rantai pasokan. Kemudian membangun tim audit yang berisi pemangku kepentingan dari semua saluran yang terkena dampak dan mulai menganalisis apa yang ada di luar sana secara sistematis dan dengan pandangan terhadap informasi yang mungkin berguna untuk pencuri data. Pertama, mulailah dengan situs web perusahaan Anda:

Periksa situs web perusahaan Anda untuk apa pun yang mungkin memberikan detail tentang pekerjaan yang Anda lakukan atau alat yang Anda gunakan. Misalnya, layar komputer yang muncul dalam foto mungkin berisi informasi penting. Periksa foto peralatan produksi atau infrastruktur jaringan, yang dapat memberikan petunjuk yang berguna bagi penyerang.

Lihatlah daftar staf. Apakah Anda memiliki alamat email untuk staf senior Anda yang terdaftar? Alamat-alamat itu tidak hanya menyediakan penyerang dengan alamat masuk potensial, tetapi juga cara untuk menipu email yang dikirim ke karyawan lain. Pertimbangkan untuk mengganti mereka yang memiliki tautan ke formulir atau gunakan alamat email lain untuk konsumsi publik dan penggunaan internal.

Apakah situs web Anda mengatakan siapa pelanggan atau mitra Anda? Ini dapat memberikan penyerang cara lain untuk menyerang organisasi Anda jika mereka kesulitan melewati keamanan Anda.

Periksa posting pekerjaan Anda. Berapa banyak yang mereka ungkapkan tentang alat, bahasa, atau aspek lain dari perusahaan Anda? Pertimbangkan bekerja melalui perusahaan rekrutmen untuk memisahkan diri dari informasi itu.

Lihatlah keberadaan media sosial Anda, ingatlah bahwa musuh Anda pasti akan mencoba menambang informasi melalui saluran ini. Lihat juga berapa banyak informasi tentang perusahaan Anda yang diungkapkan dalam posting oleh staf senior Anda. Anda tidak dapat mengontrol segala sesuatu tentang aktivitas karyawan Anda di media sosial, tetapi Anda bisa mengawasinya.

Pertimbangkan arsitektur jaringan Anda. Taddeo merekomendasikan pendekatan yang diperlukan di mana akses administrator diberikan hanya ketika diperlukan dan hanya untuk sistem yang membutuhkan perhatian. Dia menyarankan menggunakan perimeter perangkat lunak yang ditentukan (SDP), yang awalnya dikembangkan oleh Departemen Pertahanan AS. "Pada akhirnya, hak akses setiap pengguna secara dinamis diubah berdasarkan identitas, perangkat, jaringan, dan sensitivitas aplikasi, " katanya. "Ini didorong oleh kebijakan yang mudah dikonfigurasi. Dengan menyelaraskan akses jaringan dengan akses aplikasi, pengguna tetap sepenuhnya produktif sementara area permukaan serangan berkurang secara dramatis."

• Sekarang pertimbangkan layanan cloud Anda dengan cara yang sama. Ini sering merupakan konfigurasi default untuk membuat administrator eksekutif perusahaan senior pada layanan cloud perusahaan pihak ketiga, seperti akun Google Analytics atau Salesforce perusahaan Anda misalnya. Jika mereka tidak membutuhkan tingkat akses itu, pertimbangkan untuk menjatuhkan mereka ke status pengguna dan menyerahkan tingkat akses administratif kepada staf TI yang login emailnya akan lebih sulit ditemukan.

Akhirnya, Taddeo mengatakan untuk mencari kerentanan yang diciptakan oleh shadow IT. Kecuali jika Anda mencarinya, pekerjaan keamanan keras Anda dapat dilewati karena seseorang memasang router nirkabel di kantor mereka sehingga mereka dapat lebih mudah menggunakan iPad pribadi mereka di tempat kerja. Layanan cloud pihak ketiga yang tidak dikenal juga termasuk dalam kategori ini. Dalam organisasi besar, tidak jarang bagi kepala departemen untuk hanya mendaftar departemen mereka untuk layanan cloud yang nyaman untuk memotong apa yang mereka lihat sebagai "pita merah" TI.

Ini dapat mencakup layanan TI inti, seperti menggunakan Dropbox Business sebagai penyimpanan jaringan atau menggunakan layanan otomasi pemasaran yang berbeda karena mendaftar untuk alat resmi yang didukung perusahaan terlalu lambat dan perlu mengisi terlalu banyak formulir. Layanan perangkat lunak seperti ini dapat mengekspos sekumpulan data sensitif tanpa TI menyadarinya. Pastikan Anda tahu aplikasi apa yang digunakan di organisasi Anda, oleh siapa, dan bahwa Anda benar-benar mengendalikan siapa yang memiliki akses.

Pekerjaan audit seperti ini membosankan dan kadang-kadang memakan waktu, tetapi dapat membayar dividen besar dalam jangka panjang. Sampai musuh Anda datang setelah Anda, Anda tidak tahu apa yang Anda miliki yang mungkin layak untuk dicuri. Jadi, Anda perlu mendekati keamanan dengan cara yang fleksibel sambil tetap mengawasi apa yang penting; dan satu-satunya cara untuk melakukan itu adalah untuk mendapat informasi menyeluruh tentang apa yang berjalan di jaringan Anda.