Una dintre primele lecții pe care le învață infractorii cibernetici este „dacă nu este stricat, nu remediați”. Acesta este motivul pentru care phishing-ul continuă să fie unul dintre cei mai frecventi vectori de atac inițiali: un utilizator vede un e-mail „urgent” de la cineva în care are încredere, dă clic pe un link, iar băieții răi obțin acces la sistemele și datele pe care nu ar trebui să le aibă.
Dar, în timp ce securitatea cibernetică se luptă cu phishingul de zeci de ani, asta nu înseamnă că tactica nu a evoluat. La fel ca o tulpină COVID în evoluție, actorii amenințărilor aduc noi elemente phishing-ului care îl fac mai eficient asupra țintelor sale și mai dăunător organizațiilor.
Una dintre cele mai noi evoluții este phishing-as-a-service (PHaaS), care, după cum sugerează și numele, permite infractorilor cibernetici să-și externalizeze campaniile de phishing către profesioniști calificați. O altă evoluție este preluarea conturilor în cloud (CATO), care permite actorilor amenințărilor să obțină acces la conturile cloud ale unei organizații.
Având în vedere că phishing-ul a fost cel mai frecvent vector de atac inițial și a costat organizațiile în medie 4,76 milioane USD per încălcare, orice pot face organizațiile pentru a-și limita expunerea la phishing poate contribui în mare măsură la protejarea profitului lor și de a rămâne în siguranță.
Deci, să ne uităm la PhaaS, CATO, ceea ce le face atât de eficiente și pașii pe care organizațiile îi pot lua pentru a fi în siguranță de ambele.
PhaaS: o amenințare în creștere
La fel ca ransomware-ul ca serviciu, un vector de amenințare a devenit o problemă atunci când infractorii cibernetici pot externaliza o anumită tactică. Asta se întâmplă cu PHaaS, care permite actorilor amenințărilor să externalizeze și să automatizeze atacurile cibernetice.
Phishing-ul și PHaaS tind să folosească tactici de inginerie socială pentru a le face mai dificil de detectat. Acesta este motivul pentru care țintele primesc atât de multe e-mailuri „urgente” „de la” CEO, CFO sau alte conduceri: oamenii au șanse mai mari să răspundă mai repede și cu mai puțină precauție dacă șeful șefului lor le spune să acționeze.
În plus, campaniile PHaaS nu se limitează la căsuțele de e-mail tradiționale. Atacatorii vizează acum servicii de e-mail bazate pe cloud, utilizând platforme precum Microsoft 365 sau Google Workspace. Odată cu dependența din ce în ce mai mare de instrumentele și serviciile de productivitate bazate pe cloud, atacurile CATO pot avea consecințe devastatoare pentru organizații.
Directorii de nivel C sunt o țintă
Pentru a înrăutăți lucrurile, adesea campaniile PHaaS vizează în mod deliberat directorii de nivel C. Într-o campanie recentă CATO care a folosit Evil Proxy, 39% dintre victime se aflau în C-suite.
De asemenea, s-a raportat că alte conturi sunt ignorate în favoarea CEO-ului sau CFO și este ușor de înțeles de ce. Liderii seniori au adesea acces la date sensibile și exercită o influență semnificativă în cadrul unei organizații. Drept urmare, atacatorii își adaptează încercările de phishing pentru a se concentra asupra acestor ținte de mare valoare, crescând probabilitatea unui atac CATO de succes.
Directorii de nivel C sunt, de asemenea, candidații principali pentru atacurile de tip spear-phishing, în care atacatorii creează mesaje extrem de personalizate pentru a-și păcăli victimele să dezvăluie informații sensibile sau să facă clic pe linkuri rău intenționate. Mizele sunt mai mari atunci când sunt implicați directori, ceea ce face imperativ ca organizațiile să ia măsuri proactive pentru a-și proteja conducerea.
Rolul FIDO în atenuarea CATO
Pentru a combate amenințarea tot mai mare a atacurilor CATO și a PHaaS, organizațiile pot apela la soluții moderne de autentificare precum protocolul Fast Identity Online (FIDO). FIDO oferă o modalitate sigură și ușor de utilizat de a verifica identitățile utilizatorilor, reducând riscul atacurilor de tip phishing.
Autentificarea bazată pe FIDO se bazează pe criptografia cu cheie publică, care îmbunătățește securitatea prin eliminarea nevoii de parole. În schimb, utilizatorii se autentifică folosind un dispozitiv hardware înregistrat în siguranță: atunci când se autentifică, utilizatorilor li se solicită să atingă dispozitivul pentru a îndeplini factorul „ceva pe care îl ai” al MFA. Asta înseamnă că, chiar dacă un atacator phishing acreditările unui utilizator, atacatorul nu va putea face față provocării de autentificare dacă nu este în posesia dispozitivului.
Autentificarea atât ușoară, cât și sigură este esențială pentru a stimula adoptarea de către utilizatori în cadrul unei organizații. Tehnologia care stă la baza dispozitivelor FIDO le face extrem de utile pentru a rezista chiar și la cele mai complexe campanii de phishing.
Multe organizații au rezistat să investească în FIDO, deoarece tehnologia funcționează numai prin Web, cum ar fi aplicațiile cloud și serviciile SaaS. Această limitare lasă în urmă multe dintre aplicațiile și resursele critice la nivel local de care companiile au nevoie pentru a continua să funcționeze. Investirea timpului, efortului și bugetului într-o tehnologie care nu funcționează peste tot este problematică pentru multe organizații.
RSA a rezolvat această provocare cu o varietate de soluții:
Aplicația RSA Authenticator 4.5 oferă o cheie de acces certificată FIDO2 legată de dispozitiv pe dispozitivele mobile ale utilizatorilor, ajutând organizațiaȚările îmbunătățesc adoptarea, îmbunătățesc experiența utilizatorului, sporesc productivitatea și accelerează maturitatea Zero Trust.
Seria RSA iShield Key 2 oferă suport FIDO2, PIV, HOTP și un modul criptografic certificat FIPS 140-3. Autentificatoarele hardware îndeplinesc Ordinul executiv 14028, OMB M-22-09 și OMB M-24-14 și pot ajuta sectorul public și privat să simplifice și să asigure gestionarea acreditărilor.
RSA DS100 este un autentificator hardware care oferă atât parole unice (OTP) pentru resursele locale, cât și FIDO pentru resursele conectate la internet. Un astfel de dispozitiv nu protejează doar conturile bazate pe cloud, ci și sistemele locale vechi care se pot baza pe metode mai vechi de autentificare, cum ar fi OTP.
Capacitatea de a reduce decalajul dintre serviciile cloud moderne și sistemele vechi este crucială pentru multe organizații. Prin implementarea unei soluții hibride FIDO, cum ar fi RSA DS100, RSA Authenticator App sau RSA iShield, organizațiile pot asigura o securitate constantă în toate conturile și aplicațiile. Acest lucru vă asigură că, chiar dacă aveți unele sisteme care pot contesta doar cu metode OTP, acestea sunt în continuare protejate.
A rămâne cu un pas înaintea amenințărilor precum CATO și PHaaS necesită o abordare proactivă a securității cibernetice. Iată câteva dintre cele mai bune practici pe care organizațiile le pot adopta pentru a-și reduce riscul:
Instruirea și conștientizarea angajaților: Instruirea regulată în materie de securitate este esențială pentru a ajuta angajații să recunoască încercările de phishing și să evite căderea în tacticile de inginerie socială.
Implementarea MFA: MFA adaugă un strat suplimentar de protecție, făcând mult mai greu pentru atacatori să reușească, chiar dacă acreditările sunt compromise.
Efectuarea de audituri regulate de securitate: revizuirile regulate ale controalelor de acces, permisiunilor și configurațiilor conturilor pentru serviciile cloud sunt importante pentru identificarea vulnerabilităților pe care atacatorii le-ar putea exploata.
Implementarea unei abordări de securitate stratificată: Securitatea stratificată include mai multe mecanisme de apărare în diferite puncte ale rețelei.
Actualizarea regulată a protocoalelor de securitate: amenințările cibernetice evoluează rapid, astfel încât actualizarea periodică a protocoalelor și politicilor asigură că acestea sunt aliniate cu cele mai recente bune practici de securitate.
Fie că este vorba de PHaaS, care vizează directorii de nivel C, CATO sau orice fel de urmă pe care infractorii cibernetici o aruncă asupra organizațiilor, este esențial ca securitatea cibernetică să rămână cu un pas înainte.
Implementarea unui dispozitiv hibrid FIDO care protejează atât sistemele on-premise bazate pe cloud, cât și cele vechi reprezintă un pas puternic către asigurarea securității complete pentru organizația dvs. Prin adoptarea metodelor de autentificare fără parolă și rămânând vigilente împotriva amenințărilor în evoluție, organizațiile își pot proteja afacerea de atacurile CATO, phishing și alte riscuri. Amintiți-vă, când vine vorba de securitate cibernetică, prevenirea proactivă este întotdeauna mai bună decât recuperarea reactivă.
Soluțiile de securitate IT, risc si conformitate RSA, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.
