Tabla de contenido:
Video: ¡ÚLTIMA HORA! Rusia Lanzó Ataque Contra Destructor De EE.UU y Turquía Se Enfrenta A Rusia. (Noviembre 2024)
A estas alturas, ha escuchado que una investigación conjunta de la Oficina Federal de Investigaciones (FBI) y el Departamento de Seguridad Nacional de los EE. UU. Ha llevado a un informe de que los operativos rusos habían pirateado empresas que forman parte de la red eléctrica en los EE. UU. Los ataques se detallan en un informe del Equipo de preparación para emergencias informáticas de EE. UU. (US-CERT) que describe cómo los atacantes pudieron penetrar en las instalaciones de energía y qué hicieron con la información que robaron.
Anatomía de un ataque de phishing inteligente
Una forma principal de obtener acceso al socio más pequeño era encontrar información pública que, cuando se combinaba con otra información, proporcionaría el nivel de detalle necesario para el siguiente paso. Por ejemplo, un atacante puede examinar el sitio web de una empresa que hace negocios con el objetivo final y allí puede encontrar la dirección de correo electrónico de un alto ejecutivo en la empresa del socio o en el objetivo final. Luego, el atacante podría examinar otra información de los sitios web de ambas compañías para ver cuál es la relación, qué servicios están siendo proporcionados por quién y algo sobre la estructura de cada compañía.
Armado con esa información, el atacante puede comenzar a enviar correos electrónicos de phishing altamente convincentes desde lo que parece ser una dirección de correo electrónico legítima; con suficientes detalles diseñados que podrían vencer cualquier filtro de suplantación de identidad (phishing) establecido en el firewall o nivel de protección de punto final administrado. Los correos electrónicos de phishing estarían diseñados para obtener credenciales de inicio de sesión para la persona a la que se dirige, y si alguno de ellos tiene éxito, los atacantes evitarían instantáneamente cualquier medida de gestión de identidad que pudiera tener y estar dentro de la red objetivo.
Con las revelaciones sobre la recolección de información del usuario de Facebook, la naturaleza de la amenaza se expande. En una violación realizada bajo el pretexto de la investigación académica a partir de 2014, un investigador ruso obtuvo acceso a unos 50 millones de perfiles de usuarios de miembros estadounidenses de Facebook. Esos perfiles fueron entregados a Cambridge Analytica. Investigaciones posteriores han revelado que esta información fue tomada sin el permiso de esos usuarios de Facebook y luego mal utilizada.
Auditoría de comunicaciones externas
Esto plantea la cuestión de qué información deben poner a disposición las empresas cautelosas a través de sus sitios web. Peor aún, es probable que esa consulta deba extenderse a la presencia en las redes sociales de la organización, canales de marketing de terceros como Youtube e incluso perfiles de redes sociales de empleados de alto perfil.
"Creo que deben ser cautelosos acerca de lo que hay en los sitios web de sus compañías", dijo Leo Taddeo, Director de Seguridad de la Información (CISO) de Cyxtera y ex Agente Especial a cargo de la División Cibernética de la oficina de campo de la Ciudad de Nueva York del FBI. "Existe un gran potencial para revelar información inadvertidamente".
Taddeo dijo que un buen ejemplo es en las ofertas de trabajo donde puede revelar qué herramientas está utilizando para el desarrollo o incluso qué especialidades de seguridad está buscando. "Hay muchas maneras en que las empresas pueden exponerse. Hay una gran superficie. No solo el sitio web y no solo las comunicaciones deliberadas", dijo.
Taddeo advirtió que los sitios web de medios profesionales, como LinkedIn, también son un riesgo para aquellos que no tienen cuidado. Dijo que los adversarios crean cuentas falsas en dichos sitios web que ocultan quiénes son realmente y luego usan la información de sus contactos. "Lo que publican en las redes sociales puede comprometer a su empleador", dijo.
Dado el hecho de que los malos actores que lo atacan pueden estar detrás de sus datos, o pueden estar detrás de una organización con la que trabaja, la pregunta no es solo cómo protegerse a sí mismo, sino también cómo protege a su socio comercial. Esto se complica por el hecho de que es posible que no sepa si los atacantes podrían estar detrás de sus datos o simplemente verlo como un trampolín y tal vez una ubicación de preparación para el próximo ataque.
Cómo protegerte
De cualquier manera, hay algunos pasos que puede seguir. La mejor manera de abordar esto es en forma de una auditoría de información. Enumere todos los canales que su empresa está utilizando para comunicaciones externas, ciertamente marketing, pero también recursos humanos, relaciones públicas y cadena de suministro, entre otros. Luego, forme un equipo de auditoría que contenga a las partes interesadas de todos los canales afectados y comience a analizar lo que hay allí de manera sistemática y con un ojo puesto en la información que podría ser útil para los ladrones de datos. Primero, comience con el sitio web de su empresa:
- Ahora considere sus servicios en la nube de la misma manera. A menudo es una configuración predeterminada para hacer que los ejecutivos ejecutivos de la empresa senior administren servicios en la nube corporativos de terceros, como las cuentas de Google Analytics o Salesforce de su empresa, por ejemplo. Si no necesitan ese nivel de acceso, considere colocarlos en el estado de usuario y dejar los niveles de acceso administrativo al personal de TI cuyos inicios de sesión de correo electrónico serían más difíciles de encontrar.
Examine el sitio web de su empresa en busca de algo que pueda proporcionar detalles sobre el trabajo que realiza o las herramientas que utiliza. Por ejemplo, una pantalla de computadora que aparece en una foto puede contener información importante. Busque fotos de equipos de producción o infraestructura de red, que pueden proporcionar pistas útiles para los atacantes.
Mira la lista de personal. ¿Tiene direcciones de correo electrónico para su personal superior en la lista? Esas direcciones no solo proporcionan al atacante una posible dirección de inicio de sesión, sino también una forma de falsificar correos electrónicos enviados a otros empleados. Considere reemplazar aquellos con un enlace a un formulario o use una dirección de correo electrónico diferente para consumo público versus uso interno.
¿Su sitio web dice quiénes son sus clientes o socios? Esto puede proporcionar a un atacante otra forma de atacar a su organización si tiene problemas para superar su seguridad.
Verifique sus ofertas de trabajo. ¿Cuánto revelan sobre las herramientas, los idiomas u otros aspectos de su empresa? Considere trabajar a través de una empresa de reclutamiento para separarse de esa información.
Mire su presencia en las redes sociales, teniendo en cuenta que sus adversarios definitivamente intentarán extraer información a través de este canal. También vea cuánta información sobre su empresa se revela en las publicaciones de su personal superior. No puede controlar todo sobre las actividades de sus empleados en las redes sociales, pero puede vigilarlo.
Considere su arquitectura de red. Taddeo recomienda un enfoque según sea necesario en el que se concede acceso de administrador solo cuando es necesario y solo para el sistema que necesita atención. Sugiere usar un perímetro definido por software (SDP), que fue desarrollado originalmente por el Departamento de Defensa de los EE. UU. "En última instancia, los derechos de acceso de cada usuario se modifican dinámicamente en función de la identidad, el dispositivo, la red y la sensibilidad de la aplicación", dijo. "Estos se basan en políticas fácilmente configurables. Al alinear el acceso a la red con el acceso a la aplicación, los usuarios se mantienen completamente productivos mientras el área de superficie de ataque se reduce drásticamente".
Finalmente, Taddeo dijo que buscara vulnerabilidades creadas por la TI en la sombra. A menos que lo busque, podría pasar por alto su duro trabajo de seguridad porque alguien instaló un enrutador inalámbrico en su oficina para que pueda hacer un uso más fácil de su iPad personal en el trabajo. Los servicios en la nube de terceros desconocidos también entran en esta categoría. En organizaciones grandes, no es raro que los jefes de departamento simplemente inscriban a sus departamentos para servicios convenientes en la nube para evitar lo que ven como "burocracia" de TI.
Esto puede incluir servicios básicos de TI, como usar Dropbox Business como almacenamiento de red o usar un servicio de automatización de marketing diferente porque registrarse en la herramienta oficial respaldada por la empresa es demasiado lento y requiere completar demasiados formularios. Los servicios de software como estos pueden exponer grandes cantidades de datos confidenciales sin que TI se dé cuenta de ellos. Asegúrese de saber qué aplicaciones están siendo utilizadas en su organización, por quién y que tiene el control firme de quién tiene acceso.
El trabajo de auditoría como este es tedioso y a veces consume mucho tiempo, pero a la larga puede generar grandes dividendos. Hasta que tus adversarios te persigan, no sabes lo que tienes que vale la pena robar. Por lo tanto, debe enfocarse en la seguridad de una manera flexible y al mismo tiempo vigilar lo que importa; y la única forma de hacerlo es estar completamente informado sobre lo que se está ejecutando en su red.
