来自道德黑客的主要课程
获取应用的Microsoft 6月份修补程序,但注意Win7 NIC和Old Antivirus
谷歌Chrome OS接管的下一阶段
对Edge DataceRes的需求设置为在APAC中生长
这么久,Swype:移动键盘先锋的悼词
SAP与AB Inbev定居许可争议
微软远离Windows 7,Office 2013支持论坛
在部长说,英国对网络挑战但要做的工作要做
新的大都市警察数据库提出了帮派矩阵重复的担忧
Red Hat Enterprise Linux为全球业务贡献10TN
4 Android趋势值得在2018年观看
在网络攻击中的尖峰针对思科WebEx
贝尔法斯特提供的网络安全奖学金
开放式数据计划开放式升高努力让人们脱离沙发
英国网络专家支持全球公司委员会
gmail vs.收件箱:8生产力功能Gmail仍然无法匹配
加利福尼亚州的重新修复“智能手机法”,可以加入17个其他州
CommVault添加“磁带杀手”AWS冰川深档案冷库
所有变化:供应商和IT买家可以从G-Cloud 11期望什么?
大多数组织仍然缺乏事件响应计划
到Win10明智的词:不要点击“检查更新”
微软最终在两周内退休的Windows 10 1511
这里有苹果的春季活动 - 这是一个教育
邮局董事交叉检查证实缺乏调查分支问题
政府敦促企业和慈善机构对网络安全
Microsoft Planner:办公室365集成的特拉洛竞争对手福利
全球技术周期取决于IPhone,IMF声明
花费教学科目的时间在过去六年中下降了36%
惠普的可拆卸的Chromebook和谷歌过去的幽灵
技术谈话:机器学习和AI破译
20家公司加入科技网络的网络安全扩展计划
中东国家加速量子计算研究
更多Windows补丁,主要预览,本月指向升级问题
deloitte:苹果的健康记录了医疗保健的“拐点”
一件关于两家医院的故事,采用苹果的健康录制应用程序
凝聚力计划将备份数据放在良好用途中
尚未实施NIS指令的荷兰企业
懈怠的中断导致中断,但突出了团队聊天的重要性
Android和反托拉斯:您需要了解欧盟谷歌反托拉斯案件
Cyron宣布推出最新网络安全加速器队列
Microsoft承认Surface Pro 4 Flickergate是一个硬件问题吗?
微软的iOS改进办公室随处提供企业
数据中心设备制造商必须可提供固件
Mingis关于Tech:RSA 2018的课程
Home Office Brexit应用程序将在Apple设备上使用
O2 5G网络支持Millbrook Cav试验
MySpace数据丢失:Botched Server迁移提示用户对丢失歌曲命运的疑虑
英国在扩大的投资中引导欧洲
Microsoft在查找bsod bug后持有Windows 10功能升级
快速乘以物联网网络攻击使用众所周知的弱点
您的位置:首页 >科技 > 消费电子 >

来自道德黑客的主要课程

2021-08-25 18:44:09 [来源]:

对于组织来说,在特权进入管理确认管理确认事故毒性的信息安全科学家和咨询CISO时,组织对于如何了解网络犯罪分子是如何针对受害者的侵害而言,这是至关重要的。

“了解网络罪犯如何滥用安全性并获得含有敏感信息的系统可以帮助组织了解它们如何成为目标,以及他们可以做些什么来减少风险,并使攻击者更具挑战性,”他告诉第9届世界网络安全技术研究首脑会议,由皇后大学贝尔法斯特的安全信息技术(CSIT)主持。

为了说明这一点,Carson通过代表政府在现代电站开展的渗透测试练习,以测试一些关键国家基础设施的弹性,并指出网络罪犯并不总是必须使用最先进的黑客技术。

“在大多数情况下,他们使用最简单,最简单的技术,通常选择那些是”最不吵“并涉及最小成本的那些,”他补充道。

卡森说,任何攻击者或道德黑客的第一个也是最重要的一步是侦察。在发电站的情况下,由于无法接近Wi-Fi接入点,因此由于包围安全周长的物理安全障碍,这是具有挑战性的。

“侦察是最关键的任务,但这不是许多网络防伪的人思考或谈论,”他说,在规划渗透测试时,90%的时间在任务上进行了侦察,这通常涉及在触摸任何目标的基础架构之前,搜索开源信息以创建目标的“数字蓝图”。

该公共信息包含在目标组织的网站,招聘网站和雇员简介,以及他们的社交媒体账户中。

“这告诉我目标组织有哪些类型的安全技能,他们正在寻找哪些技能,他们正在使用哪些类型的硬件以及他们正在使用的供应商”,“卡森说。

在电站的情况下,Carson能够识别所使用的工业控制系统,从而仿制仿真软件和文档。

“从开源材料中,我能够获得足够的足够足迹和对目标,供应商和员工的理解,”他说。

这一步骤通常涉及一个对人们提供用于访问系统的用户凭证的网络钓鱼活动,并且是大多数网络攻击者使用的路线。但在该电站的情况下,卡森说,员工太少,而不引起怀疑或提高警报。

“我曾经达成了99%的成功率,并与政府赌注,我无法获得目标员工所有成员的用户凭据。我使用了一个伪造的超速通知和压迫收件人,确认收到通知,以避免罚款增加,“卡森说。

电子邮件在星期五下午迟到,这意味着收件人无法使用电子邮件中包含的合法联系方式,直到周一。

“我们唯一没有获得100%成功的原因是,一名工作人员没有检查他的电子邮件,直到他周一早上进入办公室,所以虽然我没有赢得赌注,但它强调了组织在电子邮件周围控制控件的重要性为了减少网络钓鱼运动的潜在影响,“卡森说,注意到,根据最新的verizon数据违规调查报告(DBIR),电子邮件仍然是攻击者获得目标IT系统的最佳方法。

在判定一个网络钓鱼活动将是“过于嘈杂”,特别是在过去一年的电站工作人员收到网络意识培训,卡森对电力站的供应链重视并在各种供应商处申请工作,包括维护公司。

Carson作为参观电站的电影船员参观电影船员的事实,作为一名记录拍摄项目的摄影师。通过这种方式,他能够进入电站的电站,拍摄设备和屏幕显示的照片,以及在没有任何检查的监控设备中的散流,并获得对发电机的访问。

这意味着不必使用电站中的任何应用程序或操作系统的利用以探索IT环境,但卡森强调了当这种方法有必要时,他试图在目标组织中使用现有系统来实现他的目标(像大多数攻击者一样)。

“尽可能在何处,我尽量不要使用像Microsoft的系统中心和PowerShell这样的东西,以及他们的漏洞扫描仪和安全信息和事件管理系统,”Carson说。

“我将在合法网络流量的幌子下隐藏组织自己的申请,因为引入了任何新的东西会增加被检测到的风险。”

电站内的所有IT系统和工业控制系统,端口和布线都以昂贵的措施固定,以阻止任何物理访问,配有“高级威胁保护”贴纸。

尽管如此,Carson表示,他能够找到一份文件列出员工成员的用户名,密码和IP地址,即使具有管理员级别权限也可以访问所有系统。

“从此,我能够告诉工业控制系统在安装后四年仍在使用默认凭据,因为它们与我用于仿真软件的默认凭据,”卡森说。

“这一次再次出现了,最基本的事情经常被忽视,这通常是因为系统从测试环境中取出并投入生产而不通过安全控制并检查系统康复,”他说,添加了该用户名密码不应该是保护敏感系统的全部。

几天后,Carson向电力站的董事会提出了关于进入发电机的控制的调查结果,供应链漏洞,因为电站没有关于进入或检查他们带来的设备的人员的背景检查,并使用默认凭据。

但是,尽管调查结果,电站的预算要求额外的安全措施的预算要求被拒绝。

“根据首席执行官和首席财务官,这是因为我们通过谈论威胁,漏洞和技术而不是谈论成本,投资回报,关于如何提供额外的安全支出来帮助恐惧的标准安全方法员工成功。

他们说:“网络安全的作用是通过安全地使用启用技术使员工能够更好地完成工作。所以他们要求我们修改我们的演示文稿并再试一次。“

使用默认凭据,卡森说他能够加入他的初始发现,但是当他和CISO第二次向董事会发表讲话时,他们谈到了无所事事的成本,解决风险的成本和比较与网络保险范围的差异。

“我们还讨论了拟议的变化如何使员工更安全,更成功地在他们在做什么。我们谈到了商业风险和投资回报,节省和网络保险覆盖范围。这就是董事会真正听的。

“作为安全专业人士,我们的工作是不解决网络安全,它是看待业务风险,并应用我们对如何减少这种风险的了解。展望未来,我们需要纯粹地关注业务风险,因为这是获得预算和支持董事会进行更改的方法。“

来自该电站的顶级教训示例说,卡森说,安全专业人士需要专注于解决业务风险,并采取“以人为本”的安全方法。“安全需要易于使用,所以我们必须拒绝复杂性,”他补充道。

其他关键课程包括供应链是应理解的主要风险,需要控制;多因素身份验证需要是所有特权访问和所有电子邮件帐户的标准;特权账户的管理和安全性应自动化;应赋予员工要求安全咨询和谈论安全问题。

“最终,只有在我们首先关注商业时,网络安全就可以成功,”卡森说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。