Ако работите на полето на кибербезбедноста, веројатно сте ја слушнале долгогодишната поговорка за сајбер нападите: „Не е прашање дали, туку кога“. Можеби подобар начин да се размислува за тоа е вака: иако обуките, искуството и познавањето на техниките за социјално инженерство помагаат, сепак секој може да падне на добро смислена измама. Секој, вклучително и истражувачите за безбедност – постојат ранливости што може да ги направи подложни, со оглед на моменталната ситуација, време и околности.
Ниту компаниите за сајбер безбедност не се имуни. Во март 2025 година, висок вработен во Sophos стана жртва на фишинг е-пошта и ги внел своите акредитиви на лажна страница за најавување, што довело до заобиколување на повеќефакторска автентикација (MFA) и обид на заканувачка страна – и неуспешно – да се пробие во мрежата на компанијата.
Објавена е анализа на надворешната причина за овој инцидент во Центарот за доверба, која навлегува во деталите – но инцидентот покренал и некои интересни пошироки теми кои ги споделуваат со нас.
Прво, важно е да се напомене дека заобиколувањата на MFA се сè почести. Како што MFA станува се пошироко распространета, заканувачките страни се адаптираат, а некои услуги за фишинг сега вклучуваат можности за заобиколување на MFA (уште еден аргумент за поширокото усвојување на лозинката).
Второ, деталите за овој инцидент се споделуваат од страна на компанијата, не за да се пофали дека успешно одбила напад – тоа е нивна секојдневна работа – туку затоа што е добра илустрација за процесите на одбрана од крај до крај и има некои интересни точки за учење од нивното искуство.
Трето, три работи биле клучни за одговорот: контроли, соработка и култура.
Контроли
Безбедносни контроли на Sophos се слоевити, со цел да бидат отпорни на човечки грешки и заобиколувања на претходните слоеви. Водечкиот принцип зад безбедносната политика e „длабинска одбрана“ , т.e. дека ако една контрола е заобиколена или не успее, другите треба да се активираат – обезбедувајќи заштита низ што е можно поголем дел од синџирот на сајбер заштита.
Според дискусијата во процесот на идентификување на основните причини за грешки или проблеми, овој инцидент вклучувал повеќе слоеви – безбедност на е-пошта, MFA, Политика за условен пристап (CAP), управување со уреди и ограничувања на сметките. Додека актерот на заканата заобиколил некои од тие слоеви, последователните контроли потоа биле активирани.
Сепак, клучно е што не се заборавил настанот по инцидентот. Акторот на заканата бил неуспешен во својот обид, но тоа не значело дека само си честитале себеси и си продолжиле со останатите обврски. Направени се истражувања на секој аспект од нападот, спроведена е внатрешна анализа на коренските причини и проценети се перформансите на секоја вклучена контрола. Онаму каде што контролата била заобиколена, било разгледано зошто е тоа се случило и што може да се направи за да се подобри заштитата. Онаму каде што контролата работела ефикасно, се поставило прашањето што актерите на заканата би можеле да направат во иднина за да ја заобиколат, а направиле и истражувања како да се ублажи тоа.
Соработка
Внатрешните тимови на Sophos постојано работат тесно заедно, а еден од клучните резултати од тоа е културата на соработка – особено кога постои итна и активна закана, без разлика дали е внатрешна закана или закана која влијае на клиентиte.
Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR) и интерниот ИТ тим работат во рамките на нивните различни специјалности и области на експертиза за да ја елиминираат заканата, споделувајќи информации и увиди. Во иднина, се бараат начини да се подобрат способности за собирање разузнавачки информации и да се затегнеме повратните јамки – не само внатрешно, туку и во рамките на пошироката безбедносна заедница. Внесувањето и операционализирањето на разузнавачките информации, нивното правење акционо и проактивното користење за одбрана, е клучен приоритет. Иако ефикасно се изреагирало на постоечкиот инцидент, секогаш има можност за подобрување.
Култура
Се негува култура, во која доминантен фокус е решавање на проблемите и обезбедување на безбедност, наместо распределба на вината или критикување на колегите за грешките, а не е целта да се казнуваат корисниците кои кликнуваат на фишинг линкови.
Вработените во овој инцидент се чувствувале слободно директно да ги информира колегите дека паднале на фишинг мамка. Во некои организации, корисниците можеби не се чувствуваат удобно да признаат грешка, без разлика дали тоа е поради страв од одмазда или личен срам. Други може да се надеваат дека ако игнорираат сомнителен инцидент, проблемот ќе исчезне. Во Sophos, сите корисници – без оглед на нивната улога и ниво на стаж – се охрабруваат да пријават какви било сомневања, бидејќи секој може да падне на измама за социјален инженеринг во соодветни околности.
Често се истакнува дека луѓето се најслабата алка во безбедноста. Но, тие се исто така често првата линија на одбрана и можат да играат витална улога во известувањето на безбедносните тимови, валидацијата на автоматизираните предупредувања (или дури и известувањето на самите безбедносни служби, ако техничките контроли не успеат) и обезбедувањето дополнителен контекст и разузнавачки информации.
Заклучок
Напаѓачот го пробил периметарот на компанијата, но комбинацијата од контроли, соработка и култура обезбедила нивно строго ограниченување во она што можеле да го прават, пред да бидат отстранити од системот. Прегледите по инцидентот и лекциите што се извлечени од овој инцидент значат дека безбедносната позиција на Sophos е посилна, подготвена за следниот обид. Со јавно и транспарентно споделување на тие лекции Sophos очекува дека сите останати компании ќе останат безбедни и заштитени.
Решенијата на SOPHOS се достапни во КАБТЕЛ, Платинум партнер на Sophos.
