Sfârșitul phishingului

Share

Când a fost ultima dată când aţi căzut pradă phishing-ului? Chiar acum? Mai devreme astazi? Ieri? Probabil că a fost mai recent decât credeți, phishing-ul domnind ca cel mai frecvent atac legat de acreditări, conform Raportului Verizon 2024 privind investigațiile privind încălcarea datelor, și 3,4 miliarde de e-mailuri spam care se spune că au fost difuzate în fiecare zi.

O întrebare și mai interesantă: când a fost prima dată când ați căzut pradă phishing-ului? Acum zece ani? Douăzeci? Mai mult? Dacă aţi fi fost online în 2000, s-ar putea să fi fost chiar atacat de viermele ILOVEYOU, o schemă de phishing foarte timpurie care a oprit sistemele de e-mail de la AT&T și Pentagon, printre altele. Toate acestea ne aduc la întrebarea cu adevărat importantă: de ce naiba se mai întâmplă asta și de ce va fi nevoie pentru a o opri?

Ei bine, până acum, nu am avut paradigma de securitate potrivită pentru a lupta eficient împotriva phishingului. Dar vestea bună este că o facem acum: Zero Trust. Cum am ajuns aici: persistența phishing-ului și provocarea de a riposta phishing-ului persistă din mai multe motive: este ușor de făcut, este greu de luptat și se plătește foarte bine. Metodologia care este implicată este incredibil de simplă; doar pretindeți că sunteți altcineva și, făcând acest lucru, păcăliți victima să furnizeze acreditări de conectare care să permită accesul la date valoroase și la alte resurse.

Victimele phishing-ului par să fie păcălite perpetuu să facă același pas greșit din când în când. Asta pentru că metodele făptuitorilor evoluează continuu. De exemplu, încercările inițiale de phishing se făceau de obicei prin e-mail; acum sunt la fel de probabil să includă mesaje text și alte forme de comunicare. Schimbările constante ale formelor și metodelor fac din ce în ce mai greu pentru destinatari să recunoască diferitele scheme de phishing pentru ceea ce sunt, chiar și atunci când destinatarul este cineva care ar trebui să știe mai bine.

Atâta timp cât schemele de phishing continuă să funcționeze, organizațiile vor continua să piardă bani, iar actorii răi se vor îmbogăți în continuare. Cea mai recentă valoare medie a încălcărilor care au rezultat din phishing? 4,76 milioane USD, conform raportului IBM Cost of a Data Breach Report 2023. Dar există o cale către un rezultat diferit și se află în Zero Trust.

După toți acești ani de atacuri de tip phishing care au victimizat organizațiile în valoare de milioane de dolari, asistăm acum la o schimbare în modul în care ne apărăm împotriva phishingului, a ransomware-ului, a atacurilor lanțului de aprovizionare și a altor amenințări – o schimbare care e de bun augur pentru o apărare mai eficientă împotriva phishing-ului. În această schimbare, Zero Trust devine una dintre cele mai eficiente modalități de îmbunătățire a securității, depășind paradigmele tradiționale bazate pe perimetru pentru a combate mai eficient amenințările.

După cum se precizează în raportul Gartner® „Răspuns rapid: Care sunt principiile de bază zero trust?”: „Zero trust este o paradigmă. Înlocuiește încrederea implicită cu riscuri și niveluri de încredere evaluate continuu, bazate pe identitate și context.” În paradigma de securitate Zero Trust, verificarea faptului că cineva sau ceva nu este de încredere nu mai este un eveniment unic care are loc doar ca răspuns la o încercare de acces sau la alt eveniment potențial riscant. În schimb, organizațiile trebuie să verifice în mod constant încrederea.

Gândiți-vă la asta ca o îndepărtare de la ideea de „încredere, dar verificare” fiind fundamentul securității – și, în schimb, îmbrățișarea conceptului de „nu ai încredere niciodată, verifică întotdeauna”. Astăzi, unele dintre organizațiile cu cea mai înaltă securitate din lume – cele care fac parte direct sau indirect din guvern – impun Zero Trust să își îmbunătățească securitatea. Memorandumul executiv M-22-09 al Oficiului de Management și Buget al SUA (OMB) stabilește o strategie federală de arhitectură Zero Trust pentru guvern. Și în Europa, Directiva NIS2, care este legislația la nivelul UE privind securitatea cibernetică, încorporează cele șapte principii ale Zero Trust, așa cum sunt definite de Institutul Național de Standarde și Tehnologie din SUA (NIST).

S-ar putea să vă întrebați cum se aplică directivele guvernamentale la nivel înalt privind Zero Trust descrise mai sus, în special pentru combaterea phishingului. Raportul Gartner postulează că: „Liderii de securitate și management al riscului pot standardiza cinci principii de bază pentru a promova strategia de încredere zero a organizației lor.”

Credem că câteva dintre aceste principii de bază par direct relevante pentru eforturile de combatere a phishingului:

„Stabiliți identitatea.” Pentru a îndeplini acest principiu Zero Trust, raportul Gartner notează că organizațiile au nevoie de „O politică organizațională stabilită pentru „cine ar trebui să aibă acces la ce, când și de ce”. Considerăm că politica este unul dintre cei mai eficienți pași pe care organizațiile le pot lua pentru a-și îmbunătăți securitatea generală și pentru a se apăra în mod specific de phishing. Cu această politică în vigoare, utilizatorii care fac phishing sunt pur și simplu mai puțin probabil să aibă acces la ținte de mare valoare pe care actorii răi doresc să le obțină.

Conturile de phishing vor avea, de asemenea, o capacitate mai mică de a se deplasa lateral și de a găsi sau solicita noi drepturi de exploatat.
Raportul notează, de asemenea, că o altă cerință necesară pentru a îndeplini acest principiu este „Suport tehnologic pentru implementarea multifactorilor pentru autentificare”. Deoarece phishing-ul vizează acreditările, o soluție precum autentificarea multi-factor (MFA) RSA ar putea limita considerabil daunele pe care le-ar putea provoca o singură acreditare compromisă.

„Acces limitat.” Nu este doar faptul că organizațiile ar trebui să stabilească identitatea și să determine în prealabil de ce drepturi are nevoie un anumit utilizator: ar trebui, de asemenea, să se străduiască să limiteze accesul ori de câte ori este posibil. În cazul phishingului, limitarea accesului va ajuta la asigurarea faptului că actorii răi nu se pot baza pe acreditările unui utilizator pentru a obține ceea ce își doresc. Acesta este motivul pentru care raportul Gartner recomandă ca, pentru a trece la Zero Trust, „Utilizatorii sau sistemele ar trebui să aibă acces la o resursă doar pe baza necesității de a îndeplini o funcție necesară”.

De asemenea, raportul notează că accesul limitat necesită „Reducerea zonelor implicite de încredere și a drepturilor acordate conturilor de utilizator”. Considerăm că mai puține persoane cu acces mai puțin și mai multe blocări împreună creează un mediu în care pur și simplu nu există atât de multe de exploatat pentru un actor rău.

În sprijinul acestui mediu, RSA Governance & Lifecycle oferă un cadru pentru gestionarea accesului care se concentrează nu doar pe cunoașterea la ce au acces utilizatorii, ci și pe ce fac ei cu acel acces.

„Oferiți acces adaptativ bazat pe riscuri.” Dacă ați citit ceva despre Zero Trust, veți ști că una dintre ideile cheie din spatele arhitecturii este „Niciodată să aveți încredere, să verificați întotdeauna”. Acea idee pentru verificarea continuă este menționată în acest punct din raportul Gartner: „O trecere de la verificări unice la o evaluare continuă a riscului în timpul unei sesiuni”.

Autentificarea bazată pe risc este esențială pentru trecerea către Zero Trust și prevenirea phishing-ului, deoarece infractorii cibernetici cu acreditări de phishing vor încerca probabil să înregistreze un nou dispozitiv, să lucreze dintr-o locație nouă sau să încerce să acceseze în afara orelor de lucru tipice ale utilizatorului real. RSA Risk AI poate detecta acele semnale și poate provoca încercările de acces în consecință. (Și chiar dacă inițial un actor rău reușește cumva, capacitatea de informații bazată pe riscuri va limita cât timp poate rămâne acolo.) Deși perspectiva combaterii phishing-ului cu Zero Trust este incitantă, este, de asemenea, important de reținut că phishing-ul nu este în niciun caz singurul vector de amenințare de care organizațiile se pot apăra împotriva utilizării Zero Trust.

Soluțiile de securitate IT, risc si conformitate  RSA sunt distribuite în România de compania SolvIT Networks, ajutand la reusita celor mai importante organizatii din lume prin rezolvarea celor mai complexe si mai sensibile provocari privind securitatea.