来自道德黑客的主要课程
对于组织来说,在特权进入管理确认管理确认事故毒性的信息安全科学家和咨询CISO时,组织对于如何了解网络犯罪分子是如何针对受害者的侵害而言,这是至关重要的。
“了解网络罪犯如何滥用安全性并获得含有敏感信息的系统可以帮助组织了解它们如何成为目标,以及他们可以做些什么来减少风险,并使攻击者更具挑战性,”他告诉第9届世界网络安全技术研究首脑会议,由皇后大学贝尔法斯特的安全信息技术(CSIT)主持。
为了说明这一点,Carson通过代表政府在现代电站开展的渗透测试练习,以测试一些关键国家基础设施的弹性,并指出网络罪犯并不总是必须使用最先进的黑客技术。
“在大多数情况下,他们使用最简单,最简单的技术,通常选择那些是”最不吵“并涉及最小成本的那些,”他补充道。
卡森说,任何攻击者或道德黑客的第一个也是最重要的一步是侦察。在发电站的情况下,由于无法接近Wi-Fi接入点,因此由于包围安全周长的物理安全障碍,这是具有挑战性的。
“侦察是最关键的任务,但这不是许多网络防伪的人思考或谈论,”他说,在规划渗透测试时,90%的时间在任务上进行了侦察,这通常涉及在触摸任何目标的基础架构之前,搜索开源信息以创建目标的“数字蓝图”。
该公共信息包含在目标组织的网站,招聘网站和雇员简介,以及他们的社交媒体账户中。
“这告诉我目标组织有哪些类型的安全技能,他们正在寻找哪些技能,他们正在使用哪些类型的硬件以及他们正在使用的供应商”,“卡森说。
在电站的情况下,Carson能够识别所使用的工业控制系统,从而仿制仿真软件和文档。
“从开源材料中,我能够获得足够的足够足迹和对目标,供应商和员工的理解,”他说。
这一步骤通常涉及一个对人们提供用于访问系统的用户凭证的网络钓鱼活动,并且是大多数网络攻击者使用的路线。但在该电站的情况下,卡森说,员工太少,而不引起怀疑或提高警报。
“我曾经达成了99%的成功率,并与政府赌注,我无法获得目标员工所有成员的用户凭据。我使用了一个伪造的超速通知和压迫收件人,确认收到通知,以避免罚款增加,“卡森说。
电子邮件在星期五下午迟到,这意味着收件人无法使用电子邮件中包含的合法联系方式,直到周一。
“我们唯一没有获得100%成功的原因是,一名工作人员没有检查他的电子邮件,直到他周一早上进入办公室,所以虽然我没有赢得赌注,但它强调了组织在电子邮件周围控制控件的重要性为了减少网络钓鱼运动的潜在影响,“卡森说,注意到,根据最新的verizon数据违规调查报告(DBIR),电子邮件仍然是攻击者获得目标IT系统的最佳方法。
在判定一个网络钓鱼活动将是“过于嘈杂”,特别是在过去一年的电站工作人员收到网络意识培训,卡森对电力站的供应链重视并在各种供应商处申请工作,包括维护公司。
Carson作为参观电站的电影船员参观电影船员的事实,作为一名记录拍摄项目的摄影师。通过这种方式,他能够进入电站的电站,拍摄设备和屏幕显示的照片,以及在没有任何检查的监控设备中的散流,并获得对发电机的访问。
这意味着不必使用电站中的任何应用程序或操作系统的利用以探索IT环境,但卡森强调了当这种方法有必要时,他试图在目标组织中使用现有系统来实现他的目标(像大多数攻击者一样)。
“尽可能在何处,我尽量不要使用像Microsoft的系统中心和PowerShell这样的东西,以及他们的漏洞扫描仪和安全信息和事件管理系统,”Carson说。
“我将在合法网络流量的幌子下隐藏组织自己的申请,因为引入了任何新的东西会增加被检测到的风险。”
电站内的所有IT系统和工业控制系统,端口和布线都以昂贵的措施固定,以阻止任何物理访问,配有“高级威胁保护”贴纸。
尽管如此,Carson表示,他能够找到一份文件列出员工成员的用户名,密码和IP地址,即使具有管理员级别权限也可以访问所有系统。
“从此,我能够告诉工业控制系统在安装后四年仍在使用默认凭据,因为它们与我用于仿真软件的默认凭据,”卡森说。
“这一次再次出现了,最基本的事情经常被忽视,这通常是因为系统从测试环境中取出并投入生产而不通过安全控制并检查系统康复,”他说,添加了该用户名密码不应该是保护敏感系统的全部。
几天后,Carson向电力站的董事会提出了关于进入发电机的控制的调查结果,供应链漏洞,因为电站没有关于进入或检查他们带来的设备的人员的背景检查,并使用默认凭据。
但是,尽管调查结果,电站的预算要求额外的安全措施的预算要求被拒绝。
“根据首席执行官和首席财务官,这是因为我们通过谈论威胁,漏洞和技术而不是谈论成本,投资回报,关于如何提供额外的安全支出来帮助恐惧的标准安全方法员工成功。
他们说:“网络安全的作用是通过安全地使用启用技术使员工能够更好地完成工作。所以他们要求我们修改我们的演示文稿并再试一次。“
使用默认凭据,卡森说他能够加入他的初始发现,但是当他和CISO第二次向董事会发表讲话时,他们谈到了无所事事的成本,解决风险的成本和比较与网络保险范围的差异。
“我们还讨论了拟议的变化如何使员工更安全,更成功地在他们在做什么。我们谈到了商业风险和投资回报,节省和网络保险覆盖范围。这就是董事会真正听的。
“作为安全专业人士,我们的工作是不解决网络安全,它是看待业务风险,并应用我们对如何减少这种风险的了解。展望未来,我们需要纯粹地关注业务风险,因为这是获得预算和支持董事会进行更改的方法。“
来自该电站的顶级教训示例说,卡森说,安全专业人士需要专注于解决业务风险,并采取“以人为本”的安全方法。“安全需要易于使用,所以我们必须拒绝复杂性,”他补充道。
其他关键课程包括供应链是应理解的主要风险,需要控制;多因素身份验证需要是所有特权访问和所有电子邮件帐户的标准;特权账户的管理和安全性应自动化;应赋予员工要求安全咨询和谈论安全问题。
“最终,只有在我们首先关注商业时,网络安全就可以成功,”卡森说。