Webinář: Zabezpečte vzdálený přístup k síti a aplikacím na principu zero-trust
Veřejný internet se už dávno stal součástí firemních sítí a každá společnosti, která řeší bezpečný vzdálený přístup ke svým aplikacím, se s tím musí vypořádat. Připojte se k webináři, kde zjistíte, jak na to s cloudovou sužbou GoodAccess, kterou nasadíte během 10 minut.
Během ukázky představíme: - Jak bezpečně připojit zaměstnance k firemním IT systémům. - Jak skrýt aplikace před útočníky a předejít tak únikům dat. - Jak nastavit kontrolu přístupu na bázi řízení identit. - Jak zašifrovat komunikaci v případě, že do firemních systémů zaměstnanci přistupují z z nechráněných WiFi sítí.
Podle společnosti KnowBe4, až 9 z 10 kyberútoků začíná právě phishingovým emailem. Jedná se o velmi variabilní hrozbu, na kterou neexistuje univerzální řešení. V tomto článku se zaměříme na to, jak phishing vypadá a 6 praktických tipů pro boj s tímto velmi oblíbeným nástrojem útočníků.
Phishing je forma kyberútoku, která se snaží obelstít uživatele s cílem buďto přímo získat citlivé údaje, či nainstalovat škodlivý kód za účelem profitu nebo poškození oběti, systému. Phishingové útoky mají obvykle podobu zprávy, typicky emailu, ale běžné jsou i textové zprávy či zprávy na sociálních sítích, které díky využívání sociálního inženýrství vypadají velmi legitimně.
Jak funguje Phishing?
Phishing využívá podvržených, mystifikačních zpráv, jejichž účelem je přimět uživatele otevřít přiložený link nebo spustit přílohu se škodlivým kódem. Jakmile neopatrný uživatel takovou akci provede, může nastat jeden z následujících scénářů (podle toho, jaké jsou útočníkovy cíle):
Uživatel je přesměrován na webovu stránku, kde může být okraden o peníze tím, že vloží své bankovní údaje či přímo zaplatí za podvodnou službu
Uživatel otevře přílohu emailu nebo navštíví stránku, která následně instaluje malware na cílové zařízení. Důsledků může být celá řada v závislosti na typu malware, obvykle se ale jedná o zapojení uživatelského zařízení do botnet sítě, jeho využití pro těžbu kryptoměn, odesílání spamu, nebo dokonce poškození či zablokování přístupu uživatele k zařízení a datům (ransomware).
Uživatel je přesměrován na podvodnou stránku velmi podobnou známé, legitimní stránce s dialogovým oknem vyžadujícím zadání přihlašovacích údajů (například internetové bankovnictví). Útočník pak může citlivé informace prodat, využít je k penetrování systémů a ukrást data, a skrytě zjistit například návyky uživatelových přátel či spolupracovníků pro budoucí spear-phishing.
Co je to Spear-phishing
Spear phishing je více cílená forma phishingu, která je ušita na míru konkrétní oběti. Narozdíl od běžného phishingu, který je často podobný spamu, jak co do formy, tak objemu, spear phishing cílí na konkrétního uživatele, což mu přidává na legitimnosti a je tak i nebezpečnější.
1. Naučte své zaměstnance, jak poznat phishing
Většina phishingu útočí v e-mailových schránkách zaměstnanců. Každá firma by proto měla mít program uživatelských tréninků pro rozpoznání podvodných emailů. Phishing je dnes často natolik sofistikovaný, že je pro zaneprázdněného zaměstnance bez povědomí o kyberbezpečnosti na první pohled neroznatelný od legitimního požadavku.
Jak poznat phishing?
Phishingový e-mail na první pohled vypadá jako zpráva od dobře známé značky typu PayPal, American Express, Linkedin, FedEx, Microsoft, DHL, apod. Často je odeslán jako “velmi důležité” sdělení a jeho layout využívá grafické prvky identity, za kterou se vydává. Nicméně, obvykle obsahuje i náznaky, díky kterým jej lze odhalit.
Nevyžádanost - phishingové emaily nejsou součástí žádné předchozí komunikace a obvykle se vymykají z komunikace s danou značkou.
Gramatické a stylistické chyby - phishing nízké úrovně lze obvykle rozpoznat na základě chabé stylistiky a gramatických chyb, kterých by se “korporátní” komunikace jen těžko dopustila. Zajímavostí je, že některé phishingové e-maily dokonce záměrně obsahují chyby, aby obešly spam filtery (například CRITICAL AL3RT!). Nicméně, s tím jak se phishing stále zdokonaluje, ubývá i chyb a je třeba věnovat pozornost jiným náznakům podvodu.
Nesprávné domény - Phishingový útok lze odhalit díky nesprávné či jinak pokřivené adrese, ze které byl fake e-mail odeslán, a podezřelého linku, který je v něm vložen jako tzv. CTA (call to action) a který neodpovídá doméně značky, za kterou se vydává. Typicky:
nesprávná kategorie domény (.com, .eu, .gov, .info, a podobně),
chyby v doméně typu americanexpres.com, linkdIn.com, paypa1.com,
Je třeba si dát pozor na zkrácené url odkazy, které skrývají doménové jméno. Pomoci v tomto případě může web filter nebo podobné řešení blokující spojení s nežádoucími stranami (viz níže DNS filtering).
Dojem důležitosti a emoční nátlak - Cílem phishingového útoku je získat citlivé osobní údaje pod záštitou naléhavosti potřeby či útoku na emoce adresáta. Podvodný e-mail typicky útočí na pocity, příkladem může být:
Štěstí - “Je to tam! Vyzvedněte si výhru $5,000”
Dobročinnost - “Emily trpí vážnou nemocí a potřebuje léčbu za $450,000. Každý příspěvek pomáhá.”
Nebezpečí - “Váš účet byl zablokován kvůli podezřelé aktivitě. Ověřte svoji identitu přihlášením.”
Důvěra - “HR sdělení: Update našich bezpečnostních pravidel vyžaduje Vaši součinnost. Ověřte svoji identitu.”
Strach - “Váš účet byl kompromitován. Klikněte zde pro reset hesla.”
Některé phishingové e-maily obsahují nebezpečné přílohy, které při otevření instalují na zařízení uživatele nežádoucí kód (lidově “virus”). Text emailu, zneužívající výše popsané emoce, vede uživatele k otevření legitimně vypadajícího souboru typu:
faktura,
dokumenty od finančních úřadů jako jsou daňová přiznání, vratky daně,
oznámení o soudních sporech,
objednávky produktů a služeb,
nabídky práce.
Školení třetích stran
Phishing as a service (PhaaS) má dva významy. Zaprvé může odkazovat k černému trhu s phishingovými kampaněmi řízenými profesionálními útočníky (dark web).
Zadruhé se může jednat o lehce nadsazené označení tréninkových programů pro zaměstnance. Školitelé v tomto případě nejdříve předají zaměstnancům všechny potřebné informace, a následně je testují pomocí odeslání vzorových phishingových e-mailů. Jedná se o dobrý způsob, jak uživatele seznámit s hrozbou i otestovat jejich schopnost se bránit.
Sledujte aktuální hrozby a vydávejte pravidelná varování
Online hrozby se neustále vyvíjí a útočníci vždy přijdou s novým způsobem, jak obejít bezpečnostní opatření a obelstít uživatele. 100% bezpečí je iluzorní představa.
Informovanost je základem obrany. Sledujte, co se děje nejen v oblasti IT bezpečnosti, ale i ve světě, protože útočníci často navazují své kampaně na aktuální dění, zneužívajíc z nich vyplývající strachy a nejistotu. Například, pandemie covid-19 byla doprovázena řadou phishingových útoků maskovaných jako důležité sdělení o ochraně zdraví pro občany. V poslední době se objevily e-maily zneužívající situaci na Ukrajině, maskující se jako prosba o humanitární pomoc.
Buďte ve střehu
Neotvírejte nic, co jste neočekávali nebo o to nežádali. Pokud znáte odesílatele, ale daný email vypadá podezřele, vyžádejte si verifikaci.
Věnujte pozornost tomu, jak vypadají odkazy před tím, než je otevřete. Pokud už soubor otevřete, nikdy nedovolte spuštění skriptu, pokud si nejste 100% jistí, že se jedná o bezpečný soubor. V neposlední řadě, mějte nastavený proces pro hlášení podezřelých aktivit svému IT oddělení.
2. Vyžadujte multifaktorovou autentizaci
Multifaktorová autentizace (MFA) vyžaduje dodatečný důkaz o identitě uživatele ke klasickému loginu uživatelským jménem a heslem. Tímto důkazem může být například časově omezený kód zaslaný pomocí textové zprávy, autentizace pomocí aplikace na jiném uživatelském zařízení, případně biometrická autentizace.
MFA je vhodným způsobem ochrany přístupu do důležitých systémů, ať už se jedná o internetové bankovnictví nebo IT systém firmy, který případně zcizené přihlašovací údaje útočníky činí bezcennými.
3. Používejte DNS filtering
Filtrování DNS, nebo též blokování DNS, zamezuje uživateli přístup na nežádoucí stránky definované administrátorem (blacklist, denylist), případně databází nežádoucích domén. Jedná se o relativně efektivní formu ochrany před navázáním komunikace s nebezpečnými doménami, které často phishing šíří.
DNS filtering je často první linií obrany proti phishingovým podvodům, která zároveň slouží jako záchranná síť neovlivňující pohodlí nebo práci uživatele. V momentě, kdy uživatel klikne na phishingový odkaz v podvrženém e-mailu, DNS filtering automaticky blokuje pokus o navázání komunikace.
4. Mějte nasazenou ochranu e-mailu
Nejzákladnější formou ochrany před phishingem je nasazení spam filteru. Pokud dostáváte tuny e-mailů každý den, může být někdy problém s false positives. Nicméně za větší bezpečnost je to přijatelná daň. “Strojový” filtr navíc odhalí věci, které lidskému oku mohou uniknout.
Souběžně s e-mailovou ochranou je vhodné mít také nainstalovaný a updatovaný antivirus, který dokáže odhalit malware v příloze.
5. Chraňte všechna zařízení
S rostoucí oblibou práce na dálku (remote work) pravděpodobně nemáte vždy kontrolu nad každým zařízením připojeným do vaší sítě. To přirozeně rozšiřuje prostor pro útočníky, který se mohou pokusit kompromitovat.
Proto je vhodné aplikovat stejná bezpečnostní měřítka, která platí pro vnitřní systémy, na všechna zařízení komunikující v síti. Veškerá komunikace s externími zařízeními by navíc měla být šifrována bez ohledu na to, zda jsou vlastněna zaměstnanci nebo kontraktory, partnery a třetími stranami obecně. Mohou se totiž připojovat prostřednictvím sítí, které nejsou pod vaší kontrolou. Často se může jednat o veřejné wi-fi, jejichž mechanismy mohou být zneužitelné útočníky pro odposlouchávání komunikace za účelem a zneužití přenášených dat a informací.
6. Limitujte dopad úspěšného útoku
Útočníci jsou vždy o krok napřed, neustále přicházejí s novými, promyšlenějšími “vektory” útoku, a je tedy jen otázkou času, kdy uspějí. Dobře zvládnutá obrana proti phishingu proto musí kromě preventivních opatření zahrnovat i plán pro omezení dopadu (mitigaci) úspěšného útoku.
Praktickou cestu, jak mitigovat dopad útoku, nabízí koncept nulové důvěry (zero trust). Zero trust network access (ZTNA)vytváří síťové prostředí, které před vnitřní hrozby staví přirozené bariéry dalšího šíření, jako je silná autentizace a segmentace na úrovni přístupových práv. Dvěma základními principy ZTNA je autentizace a segmentace.
Autentizace
V rámci ZTNA je autentizace vyžadována na aplikační i síťové úrovni, což umožňuje ztotožnit jak uživatele, tak zařízení zároveň. Pokud se tedy útočník pokusí pomocí ukradených přístupových údajů dostat do firemnímu systému, jeho přístup je zamítnut, protože nedisponuje ověřitelným (důvěryhodným) zařízením.
Segmentace
Segmentace na síťové úrovni zajišťuje, že má uživatel přístup pouze do těch systémů, které ke své práci nezbytně potřebuje. Po přihlášení se tedy nemůže volně “pohybovat” po celé síti. Pokud tedy už útočník uspěje, kompromituje cílovou infrastrukturu, nezískává automaticky přístup všude, ale je limitován pouze na segment, od kterého nelegálně získal klíče.
Závěrem
Phishing je dnes velmi rozšířeným typem útoku nejen ve firemních e-mailových schránkách a textových zprávách, ale také na sociálních sítích. Jeho oblíbenost mezi útočníky mu předurčuje budoucnost jednoho z nejdiskutovanějších bezpečnostních témat. Neměl by být brán na lehkou váhu a každá firma, která to s bezpečnostní svých systémů, dat a uživatelů myslí vážně, by měla mít nastavena opatřetní pro jeho prevenci a mitigaci,
Pokud uvažujete o vyztužení vaší IT bezpečnosti pomocí zero-trust principů a blokování phishingových útoků na úrovni DNS, vytvořte si GoodAccess účet zdarma a otestujte jeho schopnosti.
