Common Cybersecurity Breach Scenarios Disrupted by Zero Trust

Typowe scenariusze naruszeń bezpieczeństwa cybernetycznego przerwane przez Zero Trust | Hikvision

lipca 29, 2021

Cancel

Resetuj

Prześlij

Firmy muszą stawiać czoła bardziej dynamicznym źródłom cyberzagrożeń niż kiedykolwiek wcześniej, z tego powodu Zero Trust jest uznawane za wiodący model bezpieczeństwa cybernetycznego, który pozwala sprostać rosnącej liczbie niebezpieczeństw. Ponieważ przewiduje się, że do 2025 roku cyberprzestępczość będzie kosztować świat $10.5 trillion USD przyjrzyjmy się rodzajom naruszeń, którym można zapobiec i które można ograniczyć dzięki podejściu Zero Trust.

Po pierwsze, odświeżmy informacje na temat Zero Trust. Ramy Zero Trust zostały przedstawione w naszej ostatniej broszurze „Securing a New Digital World with Zero Trust” i obejmują założenie, że cały ruch internetowy powinien być traktowany jako podejrzany do momentu weryfikacji: "nigdy nie ufaj, zawsze weryfikuj". Cztery kluczowe założenia podejścia Zero Trust obejmują:

1. Chroń najcenniejsze zasoby: wdrażaj segmentację sieci w celu tworzenia perymetrów i mikrosegmentów, ograniczając jednocześnie przywileje użytkowników (takie jak niepotrzebne prawa administracyjne).

2. Zautomatyzuj swoje poszukiwania: stosuj wiodące narzędzia do wykrywania i reagowania na incydenty, z rozwiązaniami zautomatyzowanymi tam, gdzie to możliwe.

3. Spraw, aby Twoje narzędzia współpracowały ze sobą: zintegruj usługi z zakresu bezpieczeństwa cybernetycznego w sieciach wielu dostawców, aby stworzyć kompleksowe, ujednolicone podejście do cyberbezpieczeństwa.

4. Zwracaj uwagę: Mając pełną widoczność sieci, obserwuj podejrzane zachowania i inne wzorce w obrębie danych, urządzeń, aplikacji, narzędzi sieciowych i innych kanałów.

Przy takim podejściu przyjrzyjmy się typowym atakom cyberbezpieczeństwa, na które Zero Trust może reagować:

Ataki phishingowe

Phishing jest powszechnym rodzajem cyberataku, który wykorzystuje socjotechnikę do oszukiwania niczego niepodejrzewających użytkowników. Często użytkownik otrzymuje wiadomość e-mail z załącznikiem lub ukrytym linkiem do pobrania, który nakłania go do podjęcia działania polegającego na pobraniu złośliwego oprogramowania lub przeniesieniu go na fałszywą stronę logowania w celu przekazania danych uwierzytelniających. Rozważmy scenariusz, w którym pracownicy otrzymują fałszywą wiadomość e-mail z prośbą o zmianę hasła w krótkim czasie. Odwiedzając link i wprowadzając swoje dane uwierzytelniające na fałszywej stronie, użytkownicy mogą udostępnić niepowołanym osobom dane do logowania, które następnie umożliwią hakerom poruszanie się w sieci i znajdowanie dodatkowych słabych punktów.

Podejście Zero Trust uwzględnia ten fakt, zakładając, że każdy użytkownik może zostać oszukany. Protokoły bezpieczeństwa cybernetycznego, które pozwalają administratorom bezpieczeństwa zachować wgląd w sieć i obserwować podejrzane zachowania, mogą pomóc w szybkim łagodzeniu ataków w miarę ich pojawiania się.

Prawdziwe podejście Zero Trust powinno obejmować informowanie pracowników i interesariuszy organizacji o ryzyku cybernetycznym i sposobach zapobiegania zagrożeniom. Wiele Centrów Operacji Bezpieczeństwa (SOC) przeprowadza regularne ćwiczenia i testy, w tym wysyła własne fałszywe wiadomości e-mail do pracowników, aby zasymulować, jak może wyglądać atak phishingowy. W niektórych przypadkach, pracownicy mogą zostać poproszeni o wzięcie udziału w szkoleniu, jeśli przez pomyłkę zaangażują się w fałszywe złośliwe wiadomości.

Ataki typu BEC (Business Email Compromise)

Ataki BEC często wykorzystują połączenie socjotechniki, złośliwych kampanii e-mailowych i innych metod podszywania się pod użytkowników w celu zdobycia ich zaufania, stosując takie taktyki jak spoofing domen i domeny "lookalike". Poprzez kierowanie do użytkowników pozornie prawdziwych wiadomości i podpowiedzi, atakujący mogą zmanipulować pracowników do wykonania przelewów, przekazania danych uwierzytelniających i pozwolić na przeniknięcie zagrożeń do sieci.

Dzięki Zero Trust administratorzy bezpieczeństwa mogą wykorzystać swój wgląd do sieci do wykrywania podejrzanych wzorców zachowań, takich jak użytkownicy zewnętrzni komunikujący się z dużą liczbą pracowników za pomocą złośliwych kampanii e-mailowych oraz nieautoryzowane logowanie z nowych urządzeń, lokalizacji i użytkowników. Zero Trust powinno obejmować zarówno chmurę, jak i sieć lokalną, a pracownicy ochrony powinni dysponować funkcjami monitorowania - najlepiej z automatycznym wykrywaniem i reagowaniem - które nadają priorytet ograniczaniu zagrożeń BEC.

Podobnie jak w przypadku całego podejścia Zero Trust, kluczowa jest edukacja użytkowników. Użytkownicy biznesowi powinni rozumieć typowe sygnały świadczące o naruszeniu bezpieczeństwa poczty elektronicznej, w tym adresy e-mail i domeny, które nie pasują do oficjalnych wersji, pilne prośby o nietypowe lub ryzykowne finansowo zachowania, w tym przelewy i inne operacje na kontach, a także inne oznaki podejrzanej aktywności. Podobnie jak w przypadku edukacji na temat phishingu, w niektórych przypadkach pracownicy działu bezpieczeństwa mogą testować pracowników lub sieci poprzez przykładowe ataki BEC, aby określić, czy protokoły bezpieczeństwa cybernetycznego są wystarczające do przeciwdziałania zagrożeniu.

Ransomware

W 2021 r. oprogramowanie ransomware będzie jednym z głównych wyzwań stojących przed firmami, a koszt jednego incydentu w skali globalnej sięga do 1,85 mln USD. Ransomware zazwyczaj polega na tym, że pracownicy lub autoryzowani użytkownicy przypadkowo pobierają złośliwe oprogramowanie, czy to za pośrednictwem poczty elektronicznej, czy portalu internetowego lub innej aplikacji, które szyfruje pliki i dane organizacji do momentu zapłacenia okupu. W niektórych przypadkach oprogramowanie ransomware może być dostarczane za pośrednictwem phishingu lub ataków BEC. W innych przypadkach hakerzy wykorzystują dane uwierzytelniające, poruszają się w sieci i instalują oprogramowanie ransomware bezpośrednio w organizacji, podając się za jednego z jej pracowników.

Postawa bezpieczeństwa Zero Trust zakłada, że zagrożenie ransomware jest stale obecne. Dzięki zautomatyzowanym narzędziom wykrywania, implementacje Zero Trust obserwują podejrzaną aktywność, złośliwe oprogramowanie i zachowania użytkowników powszechnie kojarzone z ransomware, takie jak nieautoryzowana aktywność użytkowników lub podszywanie się pod strony internetowe i inne nośniki dostarczające złośliwe oprogramowanie.

W niektórych przypadkach ataki ransomware można powstrzymać na etapie infiltracji za pomocą prostego uwierzytelniania dwuskładnikowego. Wymagając, aby wszystkie portale firmowe używały dwuskładnikowego uwierzytelniania dostępu, takiego jak wiadomość tekstowa lub unikalny kod za pośrednictwem aplikacji dwuskładnikowej, takiej jak Google Authenticator, praktyki bezpieczeństwa Zero Trust mogą wykorzystywać warstwowe zabezpieczenia, aby uniemożliwić złośliwemu podmiotowi uzyskanie wstępnego dostępu do logowania, którego potrzebuje do eskalacji uprawnień lub zainfekowania organizacji.