L'estate scorsa, le forze dell'ordine hanno contattato Apple e Meta, chiedendo i dati dei clienti come parte delle "richieste di dati di emergenza". Le aziende si sono conformate. Sfortunatamente, gli "ufficiali" si sono rivelati hacker affiliati a una banda informatica chiamata "Team Recursion".
Circa tre anni fa, l'amministratore delegato di una società energetica con sede nel Regno Unito ha ricevuto una telefonata dall'amministratore delegato della società madre tedesca che gli chiedeva di trasferire un quarto di milione di dollari a un "fornitore" ungherese. Ha obbedito. Sfortunatamente, il "CEO" tedesco era in realtà un criminale informatico che utilizzava la tecnologia audio deepfake per falsificare la voce dell'altro uomo.
Un gruppo di criminali è riuscito a rubare i dati, l'altro denaro. E il motivo era la fiducia. La fonte di informazioni delle vittime su chi stavano parlando erano gli stessi chiamanti.
Che cos'è la fiducia zero, esattamente?
Zero Trust è un framework di sicurezza che non si basa sulla sicurezza perimetrale. La sicurezza perimetrale è il vecchio modello pervasivo che presuppone che tutti e tutto all'interno dell'edificio aziendale e il firewall siano affidabili. La sicurezza è garantita impedendo l'ingresso di persone al di fuori del perimetro.
Uno studente di dottorato britannico presso l'Università di Stirling di nome Stephen Paul Marsh ha coniato la frase "zero trust" nel 1994 (NIST 800-207).
La sicurezza perimetrale è superata per una serie di motivi, ma principalmente per la prevalenza del lavoro a distanza. Altri motivi includono: mobile computing, cloud computing e la crescente sofisticatezza degli attacchi informatici in generale. E, naturalmente, le minacce possono provenire anche dall'interno.
In altre parole, non ci sono più confini di rete, non proprio, e anche nella misura in cui i perimetri esistono, possono essere attraversati. Una volta che i pirati entrano nel perimetro, possono spostarsi con relativa facilità.
Zero Trust mira ad affrontare tutto questo richiedendo a ciascun utente, dispositivo e applicazione di superare individualmente un test di autenticazione o autorizzazione ogni volta che accede a un componente di rete o a una risorsa aziendale.
Le tecnologie sono coinvolte in zero trust. Ma zero fiducia in se stessi non è una tecnologia. È una struttura e, in una certa misura, uno stato d'animo. Tendiamo a considerarlo come un architetto di rete e una mentalità specializzata nella sicurezza. È un errore; questa dovrebbe essere la mentalità di tutti i dipendenti.
Il motivo è semplice: l'ingegneria sociale è un trucco non tecnico della natura umana.
Perché solo Zero Trust può battere l'ingegneria sociale
Un approccio di base per applicare zero trust alla sfida degli attacchi di ingegneria sociale è vecchio e familiare. Supponi di ricevere un'e-mail in cui si afferma di provenire dalla banca in cui si afferma che c'è un problema con il tuo account. Basta fare clic qui per inserire nome utente e password e risolvere il problema, dice. Il modo corretto per gestire questa situazione (se non sei sicuro) è chiamare la banca e verificare.
In qualsiasi tipo di attacco di ingegneria sociale, la migliore pratica è non utilizzare mai il metodo di accesso che ti è stato fornito, ma ottenerne uno tuo. Non utilizzare la persona che ti contatta come fonte di informazioni sulla persona che ti contatta. Verifica sempre in autonomia.
In passato, era facile falsificare un'e-mail. Siamo di fronte a un futuro immediato in cui sarà altrettanto facile simulare voce e video dal vivo.
Oltre al phishing tramite e-mail, le organizzazioni possono essere attaccate anche tramite phishing, vishing, smishing, spear phishing, racchette da neve, hailstorming, clone phishing, whaling, tabnabbing, reverse tabnabbing, phishing in-session, siti Web, manipolazione dei link, cloaking dei link, errori di battitura, omografi. attacchi, scareware, tailgating, baiting, spoofing DNS e molti altri. La tua formazione zero ruggine dovrebbe consentire ai dipendenti di acquisire familiarità con tutti questi tipi di attacchi. Il solo fatto di essere consapevoli dei molti modi nefasti in cui gli esseri umani vengono indotti con l'inganno a consentire l'accesso non autorizzato ti aiuta a capire perché la fiducia zero è la risposta.
Nel suo eccellente libro del 2011, "Ghost in the Wires", l'ex superhacker Kevin Mitnick descrive una delle sue tecniche di ingegneria sociale più efficaci: vede i dipendenti fuori da un edificio che sta per entrare e li segue semplicemente fino alla porta con la fiducia di qualcuno a cui appartiene. Là. I dipendenti interpretano universalmente questa fiducia come tutta la verifica di cui hanno bisogno per tenere la porta aperta a un estraneo.
Quando Apple e Meta sono stati contattati da falsi agenti delle forze dell'ordine, avrebbero dovuto annotare i dettagli dell'ID chiamante, riagganciare e chiamare l'agenzia per verificare.
Quando questo CEO del Regno Unito è stato contattato da qualcuno che affermava di essere il CEO della società madre, la politica avrebbe dovuto essere un callback e non un trasferimento di fondi basato sulla chiamata iniziale.
Come adottare Zero Trust per l'ingegneria sociale
La buona notizia è che mentre molte aziende non hanno implementato zero trust, o addirittura sviluppato una roadmap zero trust, l'adozione del suo utilizzo contro l'ingegneria sociale può essere implementata immediatamente. .
Trova un modo per autenticare ogni partecipante alle riunioni audio o video.
In altre parole, attraverso cambiamenti nella formazione, nella politica e nella pratica, qualsiasi comunicazione in entrata che richiede qualcosa (trasferire fondi, fornire una password, modificare una password, fare clic su un allegato, fare clic su un collegamento, consentire a qualcuno di entrare nell'edificio) deve essere verificata e autenticati, sia la persona che il percorso della richiesta.
Quasi tutti gli attacchi di ingegneria sociale coinvolgono l'attore malintenzionato che ottiene la fiducia di qualcuno con accesso e quindi abusa di tale accesso.
La sfida con l’utilizzo della formazione e della cultura sulla sicurezza per instillare una mentalità di fiducia zero in tutti i dipendenti è che alle persone stesse piace essere fidate. Le persone si offendono quando gli viene detto: "Lascia che ti controlli prima".
Questa dovrebbe essere la parte più importante della formazione: convincere dipendenti e manager a insistere sul fatto che non sono affidabili. Non puoi semplicemente fidarti che le persone non si fidino di loro, devi convincere le persone a insistere sul fatto che non si fidano di se stesse.
Se un dirigente senior invia un allegato a un subordinato e il subordinato lo scarica e lo apre semplicemente senza ulteriori passaggi di verifica (ad esempio, chiama e chiedi), il dirigente dovrebbe considerare ciò una grave violazione delle migliori pratiche di sicurezza. .
Culturalmente, la maggior parte delle aziende è lontana dall'adottare questa pratica. E questo è ciò che va ripetuto mille volte: il permesso zero-trust per tutto è per le persone di cui ti fidi e per le persone di cui non ti fidi.
Con così tanti lavoratori ora sparsi tra l'ufficio, la casa, tra gli stati o anche tra i paesi, è tempo di un ripristino drastico, una rivoluzione zero-trust, per così dire, nel modo in cui interagiamo tra loro ogni giorno - base giornaliera giorno. comunicazioni commerciali quotidiane. .
Copyright © 2022 IDG Communications, Inc.