Aktywność cyberprzestępców coraz bardziej skupia się na pracownikach, aby wykorzystać ich błędy i nieostrożność do łamania zabezpieczeń, ale też chęć zarobku czy zemsty na pracodawcy – według ustaleń Cisco Talos. Celowe bądź nieświadome działania pracowników odgrywały kluczowe role w cyberincydentach odnotowanych w ciągu ostatniego roku.

Chcą zaszkodzić własnej firmie

Analitycy Cisco Talos zaobserwowali na forach dark web pracowników, którzy próbowali sprzedać dostęp do sieci swoich pracodawców. Eksperci ostrzegają, że coraz większe problemy ekonomiczne sprzyjają tego typu nadużyciom.

Amerykanie cofają poświadczenia pracownikom

To, że trudna sytuacja finansowa pracownika stanowi jeden z czynników rosnącego ryzyka, potwierdza fakt, że prawie połowa odmów wydania poświadczenia bezpieczeństwa w USA ma związek z kwestiami finansowymi. Jest to również częsty czynnik powodujący cofnięcie poświadczenia.

Problemy finansowe mogą być również wykorzystywane przez atakujących do szantażowania użytkowników, w zamian za obietnicę utrzymania ich kłopotów w tajemnicy.

Jeszcze innym zagrożeniem dla przedsiębiorstw są byli pracownicy, zwłaszcza ci co zostali zmuszeni do rezygnacji lub zwolnieni z pracy. Mogą chcieć odegrać się na przedsiębiorcach. Szczególnie katastrofalne w skutkach mogą okazać się działania osób, które miały dostęp do danych o kluczowym dla organizacji znaczeniu.

Nieświadome słabe ogniwo

Druga kategoria zagrożeń wewnętrznych jest trudniejsza do opanowania, ponieważ wiąże się z nieświadomością osób, które nie zdają sobie sprawy, że są narzędziem w rękach cyberprzestępców.

Miało to miejsce wielokrotnie w atakach z wykorzystaniem fałszywych kont e-mail. Nierzadko mail zawiera prośbę o numer telefonu w celu „dalszego omówienia problemu”. Napastnicy zdali sobie sprawę, że przez telefon łatwiej jest im wyłudzić pieniądze, ponieważ ludzie zwykle chcą pomóc i można nimi lepiej manipulować w ten sposób.

W miarę wdrażania uwierzytelniania wieloskładnikowego (MFA), napastnicy coraz lepiej radzą sobie z jego unikaniem poprzez socjotechniki.

Np. według ustaleń Cisco Talos napastnicy podawali się za pracowników działu wsparcia, IT lub bezpieczeństwa wewnątrz organizacji i dzwonili do ofiar, aby skłonić ich do zaakceptowania żądania MFA.

Jak ochronić firmę przed własną załogą

Cisco radzi, by elementy inżynierii społecznej były częścią procedur bezpieczeństwa każdej organizacji i najważniejszym obszarem edukacji użytkowników w nadchodzących latach.

Ograniczanie ryzyka obejmuje edukację, kontrolę użytkowników i ich dostępu oraz zapewnienie odpowiednich procesów i procedur w przypadku odejścia ludzi z firmy.

Organizacje powinny ograniczyć zakres dostępu użytkownika do minimum wymaganego do wykonywania jego pracy (zero trust).  

Administratorzy muszą mieć pewność, że organizacja posiada właściwą obronę wielopoziomową (defense in depth) i przeprowadza inspekcję wertykalną w całej firmie, a nie tylko analizuje ruch przechodzący przez granicę sieci firmowej lub zmierzający do i z centrum danych. Jeżeli użytkownik jest wykorzystywany do wsparcia atakujących, można wykryć wówczas jego aktywność i ją zablokować.

Co sprawdzić w trakcie audytu

Niezbędny jest rutynowy audyt. Często zdarza się, że tworzone do testów konto jest zapomniane i może być wykorzystywane przez napastników. Regularne sprawdzanie dostępu użytkowników, a nawet całych grup, pomoże wyeliminować takie zjawiska, jak gromadzenie dostępu, rozrost grup i rozszerzanie uprawnień, co powoduje, że użytkownicy mają znacznie szerszy dostęp, niż powinni.

Kiedy pracownik odchodzi z firmy, najczęściej wyłącza mu się konto i dostęp przez VPN. Jednak równie istotne jest upewnienie się, że użytkownik nie ma żadnych istniejących połączeń z firmową infrastrukturą.  

Zdarza się też, iż współdzielone dane uwierzytelniające są tak powszechne, że mogą być nadużywane przez odchodzących członków zespołu. Z podobną uwagą należy podchodzić do danych uwierzytelniających w chmurze. Wszelkie linie dostępu do nich powinny być ucinane w momencie, gdy pracownik opuszcza organizację.

Szkolenia to podstawa

„Bez względu na poziom zabezpieczeń, kluczem jest edukacja użytkowników. Przedsiębiorstwa powinny uwzględniać ataki socjotechniczne jako część testów bezpieczeństwa lub innych działań na tym polu, które odbywają się regularnie. Powinny też szkolić pracowników w zakresie zagrożeń inżynierii społecznej. Szkolenia te powinny zawierać m.in. informacje o tym, jak wygląda normalna aktywność MFA, jakie są sposoby kontaktowania się z użytkownikami przez dział wsparcia i jakimi zasobami nigdy nie należy się dzielić” – radzi Nick Biasini z Cisco Talos.