Τόσες πολλές ομάδες ασφαλείας εξακολουθούν να μετρούν το phishing με το ποσοστό κλικ. Είναι εύκολο να το παρακολουθήσετε και να το τοποθετήσετε σε ένα slide deck, αλλά είναι επίσης παραπλανητικό. Η μέτρηση των κλικ είναι σαν να “μετράς την παλίρροια που έρχεται και φεύγει”—διακυμάνεται φυσικά και σπάνια προβλέπει τον πραγματικό αντίκτυπο.
Η πιο ουσιαστική ερώτηση είναι αυτή που τα περισσότερα προγράμματα δεν μπορούν να απαντήσουν: Αν ένας εισβολέας μπει σε ένα γραμματοκιβώτιο, πόση ζημιά μπορεί να κάνει;
Αυτή είναι η πραγματική σας μέτρηση ωριμότητας. Όχι ποσοστά ολοκλήρωσης και όχι ποιος θυμήθηκε να τοποθετήσει το δείκτη του ποντικιού πάνω από μια διεύθυνση URL. Ακόμα κι αν τα ποσοστά κλικ σας είναι ελάχιστα, το μόνο που χρειάζεται είναι ένας εργαζόμενος να μην δώσει προσοχή. Για να μην αναφέρουμε την αυξανόμενη επικράτηση των παραβιάσεων των εισερχομένων που συμβαίνουν χωρίς καμία επίθεση phishing.
Το phishing είναι μόνο μια πιθανή είσοδος. η κρίση ακολουθεί
Στα περιστατικά που κρατούν τους CISO σε εγρήγορση, το phishing είναι ακριβώς ο τρόπος με τον οποίο αποκτάται πρόσβαση. Το πραγματικό πρόβλημα είναι τι συμβαίνει όταν ένας εισβολέας είναι μέσα:
- Εκμεταλλεύονται ευαίσθητα δεδομένα γραμματοκιβωτίου και κοινόχρηστα αρχεία ετών.
- Χρησιμοποιούν το γραμματοκιβώτιο για να επαναφέρουν τους κωδικούς πρόσβασης για τις μεταγενέστερες εφαρμογές.
- Χρησιμοποιούν την παραβιασμένη ταυτότητα για να ψαρέψουν άλλους υπαλλήλους από μια αξιόπιστη πηγή.
Το MFA δεν είναι μια ασημένια σφαίρα εδώ – υπάρχουν πολλοί τρόποι για να εισέλθετε σε έναν χώρο εργασίας cloud που το παρακάμπτουν εντελώς. Εάν οι συμβιβασμοί είναι αναπόφευκτοι, ο στόχος μετατοπίζεται από την τέλεια πρόληψη στην ανθεκτικότητα.
Εφαρμόζοντας αυτοματοποιημένες ροές εργασιών αποκατάστασης για τον χώρο εργασίας σας στο cloud, το Material Security χειρίζεται τα κουραστικά πράγματα—όπως η ανάκτηση ευαίσθητων συνημμένων ή η ανάκληση επικίνδυνων αδειών εφαρμογών τρίτων—χωρίς να απαιτείται μη αυτόματη παρέμβαση για κάθε συμβάν.
Η πολυεπίπεδη προσέγγιση για την ανθεκτική ασφάλεια email
Τα περισσότερα εργαλεία ασφάλειας email στην αγορά σήμερα επικεντρώνονται αποκλειστικά στη διακοπή των εισερχόμενων επιθέσεων – στην πρόληψη. Και αυτό είναι φυσικά κρίσιμο – αλλά δεν μπορεί να είναι η μόνη προστασία. Οι σύγχρονες επιθέσεις κινούνται πολύ γρήγορα, έχουν πολύ μεγάλη κλίμακα και είναι πολύ εξελιγμένες. Οποιοδήποτε πρόγραμμα βασίζεται μόνο στην προστασία εισερχόμενων είναι ανεπαρκές.
- Πρόληψη – αποκλεισμός εισερχόμενων απειλών, διόρθωση λανθασμένων διαμορφώσεων, ενίσχυση ριψοκίνδυνων κοινοποιήσεων αρχείων. Λήψη όσο το δυνατόν περισσότερων μέτρων για την πρόληψη των επιθέσεων πριν εκδηλωθούν.
- Ανίχνευση και ανάκτηση – Έχοντας την ορατότητα να εντοπίσετε σημάδια συμβιβασμού και εξαγοράς προτού μπορεί να γίνει ζημιά. Όχι μόνο ασυνήθιστη συμπεριφορά σύνδεσης, αλλά μοτίβα πρόσβασης δεδομένων, κανόνες προώθησης email, συμπεριφορά κοινής χρήσης αρχείων και άλλα σημάδια ότι ένας λογαριασμός δεν συμπεριφέρεται όπως συνήθως.
- Περιορισμός – Πάντα ενεργός μετριασμός κινδύνου που μειώνει την ακτίνα έκρηξης και ελαχιστοποιεί τη ζημιά που μπορεί να κάνει ένας εισβολέας μόλις παραβιάσει έναν λογαριασμό. Περιορίστε την ικανότητά τους να διεισδύουν ευαίσθητα δεδομένα, να κινούνται πλευρικά και να εξαπλώνουν την επίθεση σε όλο το περιβάλλον.
Οι περισσότεροι οργανισμοί τα καταφέρνουν αρκετά καλά στην πρόληψη, αν και συχνά είναι πολύ περιορισμένοι σε εύρος. Οι πιο ώριμοι οργανισμοί έχουν ορισμένες δυνατότητες ανίχνευσης και απόκρισης. Αλλά πολύ λίγοι διαχειρίζονται αποτελεσματικά τον περιορισμό.
Το στρώμα που λείπει: περιορισμός
Ο περιορισμός δεν είναι λαμπερός και δεν ταιριάζει απόλυτα σε μια υπάρχουσα κατηγορία ασφαλείας. Αλλά μπορεί επίσης να έχει απίστευτο αντίκτυπο στη σοβαρότητα μιας παραβίασης.
Σκεφτείτε το ως εξής: πρόληψη είναι η συντήρηση του αυτοκινήτου σας, η ασφαλής οδήγηση και η αποφυγή ατυχημάτων. Η ανίχνευση και η απόκριση είναι να βεβαιωθείτε ότι όλοι είναι καλά και να καλέσετε για βοήθεια μετά από ένα ατύχημα. Ο περιορισμός είναι η ζώνη ασφαλείας και οι αερόσακοι: τα μέτρα ασφαλείας που κάνουν τη σύγκρουση λιγότερο καταστροφική.
Ο περιορισμός δεν είναι σύνθημα. είναι ένα σύνολο ρεαλιστικών ελέγχων που στοχεύουν στους στόχους του επιτιθέμενου μετά τον συμβιβασμό:
- Κάντε την εξαγωγή γραμματοκιβωτίου πιο δύσκολη: Γιατί η απόκτηση πρόσβασης σε έναν λογαριασμό σημαίνει απεριόριστη πρόσβαση σε χρόνια PII και οικονομικές αναφορές; Η εσωτερική τμηματοποίηση—που απαιτεί επιπλέον επαλήθευση για ευαίσθητα μηνύματα—περιορίζει το τι μπορεί να «λεηλατήσει» ένας εισβολέας.
- Αποκλεισμός πλευρικής κίνησης μέσω επαναφοράς κωδικού πρόσβασης: Εάν θέλετε ένα στοιχείο ελέγχου που αλλάζει μια τροχιά παραβίασης, είναι το εξής: υποκλοπή μηνυμάτων ηλεκτρονικού ταχυδρομείου επαναφοράς κωδικού πρόσβασης και επιβολή μιας πρόσθετης πρόκλησης MFA, ώστε ένα παραβιασμένο γραμματοκιβώτιο να μην γίνει παραβιασμένη ταυτότητα.
- Διόρθωση “ρύθμιση χρέους”: Οι επιτιθέμενοι αγαπούν τις προεπιλογές παλαιού τύπου. Η απενεργοποίηση του IMAP/POP (το οποίο παρακάμπτει το MFA) και ο καθαρισμός των κωδικών πρόσβασης για συγκεκριμένες εφαρμογές είναι βασικά βήματα υγιεινής που μειώνουν σημαντικά την ακτίνα έκρηξής σας.
Προχωρώντας πέρα από τη χειροκίνητη διαλογή
Το εμπόδιο για τις περισσότερες ομάδες είναι ο χρόνος. Κανείς δεν έχει το εύρος ζώνης για να ελέγχει χειροκίνητα κάθε άδεια αρχείου ή να διαγράφει κάθε αναφορά χρήστη.
Εάν είστε σοβαροί για τον περιορισμό, χρειάζεστε συστήματα που κάνουν τη βαρετή δουλειά αυτόματα—εντοπίζοντας κινδύνους και αποκαθιστώντας τους στο παρασκήνιο—έτσι η ομάδα σας παρεμβαίνει μόνο όταν απαιτείται πραγματικά κρίση.
Τι να μετρήσετε αντί
Εάν το ποσοστό κλικ είναι απλώς η παλίρροια, αυτές οι μετρήσεις αντικατοπτρίζουν στην πραγματικότητα τον κίνδυνο σας:
- Δυνατότητα λεηλασίας γραμματοκιβωτίου: Πόσο ευαίσθητο περιεχόμενο είναι προσβάσιμο χωρίς επιπλέον επαλήθευση;
- Έκθεση επαναφοράς διαδρομής: Σε πόσες κρίσιμες εφαρμογές είναι δυνατή η πρόσβαση μέσω επαναφοράς κωδικού πρόσβασης μόνο μέσω email;
- Χρόνος περιορισμού: Πόσο γρήγορα μπορείτε να περιορίσετε τις ενέργειες ενός επιτιθέμενου όταν είναι μέσα;
Η ασφάλεια του email έχει περάσει χρόνια εμμονή με την μπροστινή πόρτα. Ήρθε η ώρα να αρχίσετε να ρωτάτε: εάν ένας εισβολέας βρίσκεται σε ένα γραμματοκιβώτιο αυτήν τη στιγμή, τι μπορεί να κάνει στα επόμενα δέκα λεπτά—και πόσο γρήγορα μπορείτε να αφαιρέσετε αυτήν την ισχύ;
Δείτε πώς το Material Security αυτοματοποιεί τον περιορισμό.
Χορηγός και γραμμένος από Υλική Ασφάλεια.
VIA: bleepingcomputer.com
