Dank verbesserter Sicherheitstechnologie verlassen sich die meisten Cyberangriffe jetzt auf ein Element des Social Engineering, um das schwächste Glied, den Menschen, auszunutzen.
Phillip Wylie, Hacker in Residence bei CyCognito glaubt, dass CISOs jetzt einen Schritt zurücktreten und sich auf das Gesamtbild konzentrieren müssen, wenn es um Sicherheit geht. Dazu gehören die Sicherung interner und externer Angriffsflächen und das Testen der Sicherheit dieser Umgebungen sowie die Aufklärung der Mitarbeiter über die Risiken.
Wir haben mit ihm gesprochen, um mehr zu erfahren.
BN: Warum sehen wir a Zunahme von Social-Engineering-Angriffen?
PW: Die einfache Antwort ist, weil Social-Engineering funktioniert. Die komplexere Antwort lautet: Da die Rentabilität von Ransomware und Erpressungsverbrechen steigt und der Wert gestohlener Benutzeranmeldeinformationen – finanzielle PII und sensibles IP ebenfalls steigen – werden Angreifer mehr versuchen, all dies zu knacken, wo immer sie können.
Trends, die mit einer besseren Cybersicherheitshygiene für viele Unternehmen verbunden sind, zwingen Angreifer dazu, herkömmliche Cyberabwehrmaßnahmen zu beenden. Besseres Patchen, kürzere MTTR-Zeiten und härtere Angriffsflächen werden entschlossene Gegner zu sozialbasierten Angriffen drängen.
Ein Angreifer kann sich als Mitarbeiter, Kunde oder Geschäftspartner ausgeben. Ziel ist es, Benutzer dazu zu bringen, private Informationen wie Benutzerdaten, Netzwerkzugriff oder die Handynummer des CFO preiszugeben, um einen Angriff auszuführen oder eine Art soziale Aufklärung durchzuführen.
Das heißt, viele der sozialen Engineering-Angriffe, die wir heute sehen, sind nur Mittel zum Zweck. Dieses „Ende“ besteht darin, einen Mitarbeiter davon zu überzeugen, eine bösartige Datei anzuklicken oder herunterzuladen, damit der Angreifer Malware auf einem Zielsystem einschleusen oder sie dazu verleiten kann, private Daten zu teilen.
Der Mensch ist normalerweise das schwächste Glied den IT-Stack eines Unternehmens. Wenn die Erfolgsaussichten bei anderen Arten von Angriffen sinken, steigen soziale Angriffe.
BN: Was unterscheidet einen Social-Engineering-Angriff grundlegend von anderen Arten von Cyber-Bedrohungen?
PW: Social Engineering konzentriert sich auf den Menschen als Bedrohungsvektor. Für Schwachstellen in Hardware und Software gibt es Software-Patches, Firmware-Updates und Möglichkeiten, Geräte so zu konfigurieren, dass sie weniger anfällig für Angriffe sind. Diese Arten von IT-bezogener präventiver Sicherheitshärtung korrelieren nicht mit den Risiken, die mit der Fehlbarkeit von Mitarbeitern verbunden sind.
Menschen sind der Joker auf Ihrer internen und externen Angriffsfläche. Sicher, es gibt Mitarbeiterschulungen, Zero-Trust-Lösungen, Best Practices und Sensibilisierung für Phishing und andere Arten von Social-Engineering-Angriffen. Aber am Ende des Tages, wenn jemand ein USB-Laufwerk auf dem Parkplatz findet und es an seinen Heim-Laptop anschließt, während er mit dem VPN des Unternehmens verbunden ist, gibt es einfach keinen Patch, um dieses riskante Verhalten zu verhindern.
BN: Wir haben einen riesigen Sicherheitsstapel, mit praktisch einem Akronym für jede Kategorie. Gibt es etwas, um Social-Engineering-Angriffe zu verhindern?
PW: Es ist schwierig, Social-Engineering-Bedrohungen zu eliminieren. Bei anderen Bedrohungsvektoren gibt es Technologien, Prozesse und Verfahren, die eingesetzt werden können, um diese Risiken zu reduzieren. Die Härtung Ihrer externen Angriffsfläche ist unerlässlich, um sicherzustellen, dass ein Social-Engineering-Angriff, der auf nach außen gerichtete Assets abzielt, keinen Erfolg hat.
Die Implementierung von E-Mail-Software, die vor dem Klicken auf bösartige Links schützt, ist unverzichtbar. Endbenutzersysteme sollten so konfiguriert werden, dass sie den Zugriff mit den geringsten Rechten verwenden. Wenn ein Angreifer Zugriff auf einen Computer erhält, der mehr Zugriff als nötig hat, kann der Angreifer mehr tun und seine Angriffsbemühungen vorantreiben.
Systeme auf dem neuesten Stand zu halten, hilft, Schwachstellen zu reduzieren, die möglicherweise von Angreifern ausgenutzt werden könnten ein sozialer Angriff. Zero-Trust-Technologien, die davon ausgehen, dass jede Verbindung und jeder Endpunkt eine Bedrohung darstellt, können ebenfalls helfen.
Also ist es wirklich ein mehrschichtiger Ansatz, den Sie verfolgen müssen.
Die leider Realität ist Die Anzahl tatsächlicher technologiebasierter Tools zur Abwehr von Social-Engineering-Angriffen ist begrenzt.
Vor allem erfordert die Reduzierung sozialer Risiken ein Sicherheitsbewusstsein, das den Mitarbeitern hilft zu verstehen, was Social Engineering ist, und Beispiele dafür liefert genutzt, um einen Angriff zu starten. Das Sicherheitsbewusstsein reicht jedoch nur so weit. Menschen werden immer Fehler machen. Die Entwicklung und Schulung von Mitarbeitern in Best Practices ist ein Ausgangspunkt.
BN: Sie sind ein professioneller Pentester. Wie können Penetrationstests dazu beitragen, Social-Engineering-Angriffe zu verhindern?
PW: Penetrationstests sind wichtig, weil wir als Penetrationstester unsere Sicherheitsbewertungen ähnlich angehen, wie es ein böswilliger Hacker tun würde. Dies ist die einzige Möglichkeit, alle Schwachstellen zu erkennen und vor allem die ausnutzbaren, die alle Bedrohungsakteure verwenden würden, um zu versuchen, eine Organisation zu durchbrechen.
Pen-Tester ziehen beim Aufbau der Cybersicherheit eines Unternehmens oft Social Engineering in Betracht. Bereitschaftsbewertung. Die Bewertung der Erfolgsrate von sozialbasierten Phishing-Angriffen, Köderangriffen, Scareware-Tricks, Pretexting und Spear-Phishing ist eine wichtige Metrik für die Angriffsfläche, die ein Pentester hervorheben sollte.
BN: Welche Schritte sollten CISOs tun? ergreifen, um Social-Engineering-Angriffe zu verhindern?
PW: CISOs sollten die oben erwähnten Schritte anwenden und sicherstellen, dass ihre Sicherheitsteams mit den Mitarbeitern zusammenarbeiten, um das Sicherheitsbewusstsein und die Aufklärung über die neuesten Bedrohungen zu betonen.
CISOs sollten Personen auch nicht bestrafen, wenn sie bei Social-Engineering-und E-Mail-Phishing-Kampagnen nicht erfolgreich sind. Dies wirkt als Abschreckung für Mitarbeiter, die zugeben, Opfer eines Phishing-Vorfalls geworden zu sein. Stattdessen sollten Sicherheitsteams Mitarbeiter dafür belohnen, dass sie auf Nummer sicher gehen und sie auf verdächtige Aktivitäten aufmerksam machen.
Die Förderung einer Sicherheitskultur ist in einem Unternehmen von entscheidender Bedeutung. Mitarbeiter sollten nie Angst davor haben, etwas zu teilen, wenn sie einen Fehler gemacht und auf etwas Bösartiges geklickt haben.
Es ist auch wichtig zu bedenken, dass Social-Engineering-Angriffe ein Mittel zum Zweck sind. Dieses „Ende“ ist oft mit echten Schwachstellen der externen und internen Angriffsfläche verbunden. Erfolgreiche böswillige Tricks, die über Nachrichten (E-Mail, Text oder soziale Medien) gesendet werden, und Taktiken wie Watering-Hole-Angriffe hängen von der Verwaltung schwacher Angriffsflächen ab, um erfolgreich zu sein.
Hier kommen grundlegende Cybersicherheitsblockierungen und-maßnahmen ins Spiel. Der Pen-Testing-Prozess, der den Weg des geringsten Widerstands für einen wahrscheinlichen Angreifer identifiziert, ist eine der besten Möglichkeiten, um die Risiken zu mindern, die mit einem Mitarbeiter verbunden sind, der bereits Opfer eines Angreifers geworden ist.
CISOs sind gut diente dazu, einen mehrschichtigen Ansatz zur Abwehr von Social-Engineering-Bedrohungen zu verfolgen. Der erste Schritt ist eine Selbstanalyse, um festzustellen, was ihre Social-Engineering-Angriffsfläche ist. Beispielsweise hat ein Gesundheitssystem ein völlig anderes Profil als eine Regierungsbehörde. Das wird dazu führen, welche Investitionen sie möglicherweise in Lösungen wie externes Angriffsflächenmanagement, Zero Trust und domänenbasierte Nachrichtenauthentifizierungs-Berichterstellungs-und Konformitätstechnologien (DMARC) tätigen möchten.
Ich wäre nachlässig, wenn ich das täte Ganz zu schweigen von Penetrationstests als einem der effektivsten Ansätze zur Verhinderung von Social-Engineering-Angriffen. Die Sicherheitsbewertung eines Pentesters informiert einen CISO darüber, wie ein Angreifer voraussichtlich versuchen wird, in Ihr Unternehmen einzudringen. Ein Pentester kann ermitteln, auf welches System oder welche Mitarbeiter Sie sich konzentrieren müssen, und Sie darüber informieren, für welche Arten von Social-Engineering-Angriffen Sie möglicherweise anfällig sind.
Bildnachweis: tashatuvango/depositphotos.com