Ekiplerimiz bir siber saldırının kurbanı olan bir şirkete yardım etmek için müdahale ederken, çalışanlar hem şirketin organizasyonu (kim ne yapar?) hem de krizin belirli unsurları hakkında özellikle iyi bilgilendirilmiş dış aramalar almaya başladı.
Bir, iki kez… Mevcut saldırıyla hiçbir ilgisi olmayan dolandırıcıların, hileli transfer emirleri vermeye çalışmak için krizle bağlantılı düzensizlikten yararlanmaya çalıştıkları kısa sürede ortaya çıktı.
Ve bu, şirket çok bozuk bir bağlamda olduğundan daha da basit: düşük modda çalışıyor, herkesin e-postalarına erişimi yok ve bazı çalışanlar – bu tavsiye edilmese de – kişisel bir e-postadan çalışmaya devam etmeye çalışıyor.
Halihazırda bir şekilde bilgi sahibi olan saldırgan (yalnızca ortaya çıkmış olabilecek herhangi bir basın makalesi ile), örneğin siber güvenlik çözümleri veya hizmetleri için yanlış siparişler vermekte sorun yaşamaz.
Benzer bir başka durumda, olay müdahale uzmanlarımız, dolandırıcının hem organizasyon şeması hem de dahili prosedürler ve özellikle maksimum finansal tutarlar hakkında çok (hatta çok fazla!) iyi bir dahili bilgiye sahip olduğunu gözlemleyebildi. önce ikili yetkilendirme gereklidir.
Ve iyi bir nedenle: soruşturma, SMTP rölesinin kontrolünü ele geçirdiğini ve böylece, işbirlikçilerin kimliğini gasp ederek operasyonunu başlatmadan önce örgütü en küçük ayrıntısına kadar gözetleyebildiğini gösterecek. e-postalar.
O halde, kriz zamanlarında bu tür fırsatçı saldırılara maruz kalmaktan kaçınmak için nasıl hazırlanmalı? Yukarıda yaşanan durumlar arasında ortak olan iki ana nokta, kimlik hırsızlığı ve ana vektör olarak e-postanın kullanılmasıdır (telefon genellikle başka bir önemli tamamlayıcı vektör olarak görünse bile).
Saldırganlar gerçekten de dolandırıcılıklarını, örneğin şirketin lideri gibi sahte bir kimlik kisvesi altında gerçekleştiriyor. O zaman şirketin kimliklerine ve özellikle e-postalarına duyulan güveni pekiştirmek gerekir.
CISO’ya bu görevde yardımcı olacak pek çok siber güvenlik çözümü olduğu açık olsa da, halihazırda var olana dayalı olarak ilk önlemler hemen uygulanabilir.
1. Temiz ve kontrollü bir AD
Active Directory genellikle kurumsal kimliklerin sinir merkezidir. Bu nedenle, açık bir şekilde yeterli korumaya tabi olması gerekir, ancak aynı zamanda şirket dışındaki, ancak yine de genellikle rehberde bir hesabı olan (esas olarak bakım sorunları için) meşru kullanıcılar karşısında sızdırmazlığının güçlendirilmesi gerekir. Bu hesapların şirketin yapısı ve çalışanları hakkında detaylı bilgi toplamak için kullanılmamasını sağlamak gerekir.
Ayrıca Active Directory, özellikle mesajlaşma kullanımıyla bağlantılı olarak anormal davranışları tespit etmek için mükemmel bir kontrol noktasıdır – ancak bu, özel entegrasyon gerektirecektir.
2. Kimliği doğrulanmış e-postalar
Şirket adına gönderilen mektupların menşei garanti edilmelidir. Bugün, birkaç standart bunu sağlamayı mümkün kılıyor, ancak ne yazık ki bunlar her zaman uygulanmıyor ve daha da az doğru (yapılandırmaları genişletilmiş çevrelerde zor olabilir). Ancak, SPF, DMARC ve diğer DKIM’ler, şirket e-postalarına (meşru alıcılar dahil!)
3. İyi ağ denetimi
Son nokta: ağdaki anormalliklerin aranması. Bu, anormal kullanım profillerini ve hatta bilinen komuta ve kontrol sunucularına bağlantıları tanımlayabilmek için günlüklerde iyi bir ustalık gerektirir. Belki de burada küçük bir otomasyon memnuniyetle karşılanacaktır, ancak manuel olarak bile, izleme araçlarının grafiklerine (giden veri hacmi, giden e-posta sayısı, hedefe göre sınıflandırma, zaman dilimine göre) günlük olarak bakma alışkanlığı kazanın. , vb.), anormallikleri hızlı bir şekilde tanımlamayı zaten mümkün kılabilir.
Bu üç en iyi uygulama, ilk etapta yalnızca bir siber krizin kurbanı olma riskini azaltmaya yardımcı olmakla kalmaz, aynı zamanda kriz sırasında kendinizi fırsatçı saldırganlara maruz bırakmaktan kaçınmak için çok önemli olacaktır!
