BLOG

2022 / 10 / 18

Czy powtarzane w kółko porady bezpieczeństwa jeszcze się sprawdzają? A może potrzebujemy nowego podejścia?

Październik jest miesiącem świadomości w zakresie cyberbezpieczeństwa. To ten czas, w którym eksperci ds. bezpieczeństwa starają się intensywniej niż zwykle przekazywać zwykłym użytkownikom porady mające sprawić, że internet będzie bezpieczniejszym miejscem pracy i zabawy.

Problem polega na tym, że co roku są to te same porady, które chyba już wszyscy słyszeli. Dwie z nich są powtarzane nader często i powinny zostać wycofane, przemyślane od nowa oraz zaprezentowane w innej postaci.

Nie klikaj tego odnośnika

W 2022 r. rzut oka na nazwę domeny nie jest już wystarczającym sposobem na rozpoznanie fałszywego e-maila.

Załóżmy, że jesteś użytkownikiem pakietu Microsoft Office 365 i na co dzień korzystasz z usług chmurowych tego rozwiązania. Oto domeny, z którymi możesz się zetknąć zaledwie w ciągu jednego dnia pracy (a nie jest to pełna lista):

I teraz zagadka: czy jesteś w stanie wskazać na powyższym obrazku adres, który nie jest zatwierdzony przez Microsoft? Pewnie domyślasz się, że jest to pytanie podpucha – wszystkie te domeny są zatwierdzone przesz Microsoft (źródło: https://learn.microsoft.com/pl-pl/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide). Pełna udostępniona lista obejmuje przynajmniej 159 domen i subdomen (i to tylko pierwszego poziomu), z którymi może się zetknąć użytkownik narzędzi i usług chmurowych Microsoftu. Czy będzie to zatem częścią szkolenia z cyberbezpieczeństwa? Czy powinniśmy zapamiętać wszystkie domeny, które są legalne? Jak często będziemy musieli odświeżać takie szkolenie i taką listę?

Nie uruchamiaj niebezpiecznych załączników

Nawet jeżeli eksperci ds. bezpieczeństwa IT mają pewną przewagę nad zwykłymi użytkownikami, obecnie stosowanie się do tej porady stanowi problem nawet dla nich, nie mówiąc o kimś, kto korzysta z komputera jako narzędzia i nie interesuje się tym, jak on działa. Stara wersja tej porady informowała, by nie uruchamiać plików wykonywalnych (.EXE), wygaszaczy ekranu (.SCR), oraz obiektów COM (.COM). W późniejszym czasie dodano do tej listy także skrypty Visual Basica (.VBS) oraz pliki JavaScript (.JS). Na szczęście Microsoft ciągle wyświetla rozszerzenia plików w programie Outlook, jednak ukrywa je domyślnie w Eksploratorze Windows.

Próbując sprawić, by załączniki e-maili były bezpieczniejsze, Microsoft wprowadził w ostatnich miesiącach funkcję, która sprawia, że użytkownicy nie mogą uruchomić makr w plikach pakietu Office, jeżeli zostały one pobrane z internetu. Takie pliki otrzymują oznaczenie MOTW (mark of the web) i wygląda na to, że cyberprzestępcy już zaczynają obchodzić to zabezpieczenie stosując różne formaty archiwów i kontenerów, które nie mogą być w taki sposób otagowane.

Wiele z tych rodzajów plików można otworzyć w systemie Windows bez żadnych narzędzi dodatkowych – np. .CAB (pliki typu Cabinet), .ISO (obrazy dysków), .UDF (obrazy dysków), .IMG (obrazy dysków) czy .VHD (obrazy dysków wirtualnych). Inne z nich mogą zostać otwarte przy użyciu popularnych narzędzi do rozpakowywania archiwów (np. 7zip czy WinRAR) i mogą to być pliki takie jak .LZH, .ARJ, .XZ lub . ACE.

Biorąc pod uwagę to, że użytkownicy zwykle nie widzą typów plików zapisanych na dysku, ostrzeganie ich o dziwacznych rozszerzeniach określających obiekty, które być może zawierają coś niebezpiecznego, jest zadaniem wielce wymagającym. Dla obydwóch stron. Co więcej, lista typów plików wykorzystywanych w atakach ciągle się zmienia wraz z odkrywaniem przez cyberprzestępców nowych sposobów na omijanie zabezpieczeń.

Co zatem można zrobić?

Jak widać, potrzebujemy lepszego podejścia. Zadania techniczne nigdy nie powinny być przerzucane na zwykłych użytkowników, ponieważ znacznie lepiej mogą się nimi zająć osoby, które rozumieją te problemy. Lepszym rozwiązaniem będzie wprowadzenie pewnych zasad w formie firmowych polityk bezpieczeństwa niż wkładanie ich do głowy pracownikom podczas szkoleń.

Linki powinny być blokowane przez warstwy bezpieczeństwa na obrzeżu sieci oraz na punktach końcowych. Jeżeli mamy do czynienia z dużą liczbą urządzeń pracujących poza siecią firmową, ochrona musi być obecna także na nich.

Lista blokowanych typów plików powinna być zarządzana centralnie na poziomie bram pocztowych i webowych. Ważne jest także, by rozwiązanie bezpieczeństwa nie ufało ślepo rozszerzeniom plików – ochrona powinna analizować prawdziwy format i mieć możliwość zaglądania do kontenerów.
Dostęp do archiwów, które są często stosowane w atakach, może zostać w pewnym stopniu ograniczony przy użyciu funkcji kontroli aplikacji. Można także odgórnie zablokować możliwość uruchamiania plików JavaScript i skryptów Visual Basica.

Czy zatem w dalszym ciagu powinniśmy prowadzić w naszych firmach szkolenia z cyberbezpieczeństwa? Oczywiście! Im więcej wiemy o higienie korzystania z komputerów i internetu, tym cześciej stosujemy tę wiedzę w praktyce. Pracownicy powinni unikać podejrzanych linków i załączników, jednak należy ich odciążyć z wszelkich aspektów technicznych, które u niedoświadczonych użytkowników mogą prowadzić do marnowania czasu na analizowanie każdego ciągu znaków litera po literze. Zamiast tego powinniśmy podejść do tematu od strony społecznej.

Przede wszystkim użytkownicy powinni przyswoić podstawową wiedzę na temat phishingu, jednak należy się tutaj skupić na tym, do czego przestępcy mogą chcieć nakłonić swoje ofiary: ujawnienie haseł, otwarcie niedozwolonych dokumentów czy przesłanie informacji osobom, które nie są do tego upoważnione. Jeżeli coś wydaje się podejrzane, z dużym prawdopodobieństwem tak właśnie jest.

W idealnym świecie zespół ds. bezpieczeństwa powinien być łatwo dostępny, by mógł szybko „rzucić okiem” na coś, co do czego pracownik ma wątpliwości. Wiele firm pozwala pracownikom kontaktować się ze specjalistami przez telefon, e-mail lub przy użyciu czatów korporacyjnych (Slack, Teams itd.). Wysyłane do pracowników wiadomości o potencjalnych zagrożeniach zawsze powinny zawierać te informacje kontaktowe. Niegłupim pomysłem jest także przyklejenie naklejki z nimi na każdym firmowym laptopie, smartfonie czy monitorze.
Efektywną techniką przyciągania uwagi pracowników w kontekście zagrożeń e-mailowych jest pokazywanie przykładów wziętych z życia, szczególnie jeżeli takie wiadomości rzeczywiście trafiły do firmy. Wielu ludzi ciągle ma podejście „dlaczego akurat ja mam dostać e-maila od cyberprzestępcy”, a taki przykład skutecznie pokazuje, że takie rzeczy po prostu się dzieją i nie są wymyślone przez speców od bezpieczeństwa.

W ostatnich latach odróżnienie bezpiecznego odnośnika od takiego, który został spreparowany przez cyberprzestępców, staje się coraz trudniejsze. Zdecydowanie lepiej, by pracownicy poświęcili ten czas na zastanowienie się nad swoimi hasłami, oswojenie się z uwierzytelnianiem wieloskładnikowym i wysłuchanie najnowszych informacji o tym, w jaki sposób oszuści wabią swoje ofiary i nakłaniają je do rozmaitych działań.

Być może trwający miesiąc świadomości w zakresie cyberbezpieczeństwa to dobry moment na to, by to technologia zaczęła się zajmować sprawami technicznymi. Niech firmowi specjaliści ds. ochrony IT skupią się bardziej na zainteresowaniu pracowników tematem zamiast na straszeniu ich. Zdecydowanie lepiej zadziałają prawdziwe historie i przykłady sposobów wykorzystywanych przez przestępców do oszukiwania ludzi przez e-maile, SMS-y i komunikatory. Pracownicy powinni ufać swojej intuicji (oczywiście odpowiednio poinstruowanej), a w razie wątpliwości kontaktować się z firmowymi fachowcami.

Źródło: news.sophos.com/en-us/2022/10/13/for-cybersecurity-awareness-month-how-about-better-cybersecurity-advice

Polub Systemy Informatyczne ITXON na Facebooku