„Neklikejte na odkazy v e-mailu.“ „Neotevírejte nebezpečné přílohy.“ Buďme upřímní, stále stejná bezpečnostní varování na uživatele nezabírají.
Opět tu máme Měsíc kybernetické bezpečnosti, období, které si každoročně vyhrazujeme pro zvyšování povědomí o online hrozbách, ve snaze učinit internet bezpečnějším místem pro práci i zábavu. Problém je v tom, že každý rok opakujeme ty samé otřepané rady, které většina lidí už dávno slyšela. Pozornost našich spolupracovníků máme vždy jen na krátkou dobu, takže bychom si měli být jisti, že je vyzbrojujeme co nejúčinnějšími radami, a ne je strašit, aby nepoužívali veřejné Wi-Fi sítě.
Existují dvě konkrétní rady, se kterými se často setkávám při školeních o kybernetické bezpečnosti, a které by měly být zapomenuty, přehodnoceny a vyřazeny ze školení. Všichni si uvědomujeme, že e-mail představuje riziko, které může způsobit průnik do našich organizací, a proto stále poučujeme o tom, že se nemá klikat na podezřelé přílohy nebo odkazy.
Neklikejte na tento odkaz
Ani já, po 25 letech působení v oboru, si nejsem zcela jistý, zda se touto radou mohu řídit. V roce 2022 už pouhý pohled na název domény, pokud jej lze vůbec vidět, není tak jasným důkazem, že jde o podvržený e-mail, jako býval kdysi. Předpokládejme, že jste zákazníkem služby Microsoft Office 365 a využíváte mnoho jejích cloudových služeb. Neúplný přehled domén, se kterými se vaši uživatelé mohou během jednoho dne setkat, vidíte na obrázku níže. Dokážete v tomto přehledu rozpoznat URL adresu neschválenou Microsoftem? Je to záludná otázka – ověřené jsou totiž všechny.
Rozsahy URL a IP adres pro Microsoft Office 365
Seznam poskytnutý Microsoftem obsahuje nejméně 159 domén a subdomén (pouze první úrovně), se kterými se můžete setkat při používání kombinace nástrojů a cloudových služeb Microsoftu. Byla tato informace součástí vašeho školení? Máme si všechny tyto domény zapamatovat a vědět, na které z nich je v pořádku kliknout nebo je povolit v našich firewallech? Jak často by pak měla být bezpečnostní školení v tomto ohledu aktualizována?
Neotevírejte nebezpečné přílohy
Pro běžného člověka je stále složitější tento přístup aplikovat. Staré rady zněly neotevírat například spustitelné soubory (.EXE), spořiče obrazovky (.SCR) a objekty COM (.COM). V posledních letech jsme se snažili přidat na seznam skripty Visual Basicu (.VBS) a JavaScript (.JS). Microsoft naštěstí přípony souborů v Outlooku zobrazuje, ale v Průzkumníku souborů ve Windows jsou stále ve výchozím nastavení skryté.
Ve snaze zvýšit bezpečnost příloh e-mailů zavedl Microsoft v posledních měsících novou funkci, která uživatelům znemožňuje spouštět makra v souborech Microsoft Office, pokud pocházejí z internetu. Soubory stažené z internetu jsou označeny takzvanou „značkou webu“ (mark of the web – MOTW) a zdá se, že zločinci hledají metody, jak se této ochraně vyhnout pomocí různých formátů archivů a kontejnerů, které nemusí MOTW v souborech Microsoft Office zachovat.
Mnohé z těchto typů souborů jsou soubory, které systém Windows dokáže otevřít bez vnější pomoci, jako například .CAB (cabint archive), .ISO (obraz disku), .UDF (obraz disku), .IMG (obraz disku) a .VHD (obraz virtuálního pevného disku). Další se zaměřují na komprimované archivní formáty, které lze běžně extrahovat populárními nástroji jako 7-Zip a WinRAR, včetně .LZH, .ARJ, .XZ a .ACE.
Vzhledem k tomu, že uživatelé obvykle po uložení na disk už nevidí typy souborů, je varování před obskurními příponami, které mohou být ochranným kontejnerem pro škodlivé soubory, velmi náročné. Nemluvě o tom, že se seznam zneužívaných typů souborů neustále mění a vyvíjí, protože zločinci objevují nové způsoby, jak obejít bezpečnostní funkce.
Co se dá dělat?
Je zřejmé, že potřebujeme změnit přístup. Technická opatření by nikdy neměla být přenášena na jednotlivé uživatele, protože je lépe zvládají ti, kteří problematice rozumí, a lze je realizovat prostřednictvím pravidel, nikoliv ad hoc školením.
Odkazy by měly být blokovány bezpečnostními vrstvami na okraji sítě a na samotných koncových počítačích. U vysoce mobilních pracovníků musí být bezpečnostní ochrana přítomna i na samotných zařízeních. Dobře koordinovaná ochrana koncových bodů zajistí, že další vrstvy pokryjí i případné mezery v blokování URL adres.
Blokované typy souborů by měly být centrálně spravovány na e-mailových a webových branách. Je důležité, aby bezpečnostní řešení slepě nedůvěřovalo příponě souboru, ale aby soubory analyzovalo a určilo jejich „skutečný“ typ a bylo schopno rekurzivně analyzovat všechny kontejnery a zkontrolovat jejich obsah. Přístup ke známým zneužívaným archivním formátům lze do jisté míry ve firemním prostředí omezit také použitím kontroly nepotřebných aplikací, jako jsou WinRAR a 7-Zip. Pomoci může i blokování spouštění JavaScriptů a skriptů Visual Basicu. Mnoha útočníkům podrazí nohy i zásady pro spouštění pouze PowerShell skriptů podepsaných organizací.
Školení rozhodně ano, jen trochu jinak! Čím větší povědomí máte, tím lépe pravděpodobně budete bezpečnostní opatření aplikovat. Stále je třeba se vyhýbat podezřele vypadajícím odkazům a přílohám, ale zátěž uživatele by se měla přesunout z technických aspektů – které mohou vést k časově náročné hyperanalýze ze strany uživatelů doufajících, že se nenechají napálit – na sociální aspekty.
V první řadě by uživatelé měli být poučeni o základech phishingu, jak to u většiny již probíhá, ale se zaměřením na to, k jakým typům aktivit se nás zločinci pravděpodobně budou snažit přimět: prozradit hesla, otevřít nevyžádané dokumenty nebo sdílet informace s neoprávněnými osobami. A zde platí, že pokud se nám cokoliv nezdá, naše instinkty jsou pravděpodobně správné.
V ideálním případě by měl být snadno a známým způsobem kontaktovatelný podnikový bezpečnostní tým, aby se „rychle podíval“ na věci, u kterých mají zaměstnanci podezření, že nejsou v pořádku. V mnoha organizacích je bezpečnostní tým k dispozici na telefonu, e-mailu a firemním chatu, například přes Slack, Teams atd. Tyto kontaktní informace by měly být součástí pravidelných e-mailů s připomenutím bezpečnostních hrozeb, stejně jako by měly být vytištěny na nálepce na každém telefonu nebo notebooku, případně je lze umístit i přímo na štítek označující firemní majetek.
Kontakty na podnikový bezpečnostní tým lze umístit i přímo na štítek označující firemní majetek.
Další účinnou technikou, jak upoutat pozornost lidí k tématu e-mailových hrozeb, je použití reálných příkladů, zejména pokud byly zaslány vašim vlastním zaměstnancům nebo vedení. Každý si myslí, že jemu se to nestane, a příklad, že se to stalo někomu, koho známe, pomáhá uvědomit si reálnou situaci.
Rozlišit bezproblémové odkazy od podvržených je v posledních letech stále obtížnější a čas uživatelů je zřejmě účelnější věnovat správě hesel, komfortnímu vícefaktorovému ověřování a poslouchání příběhů o nejnovějších typech nástrah, které zločinci používají, aby přiměli uživatele jim pomoci.
Nejen během Měsíce kybernetické bezpečnosti nechme techniku starat se o technické věci a zaměřme svou vlastní energii na zapojení zaměstnanců tam, kde je potřeba. Vyprávějte příběhy, sdílejte příklady a vysvětlujte hlavní cíle, o které zločinci usilují, když se nás snaží oklamat prostřednictvím e-mailu, SMS, WhatsAppu, Discordu nebo Facebook Messengeru. Vždy bychom měli naslouchat svému šestému smyslu, a když máme pochybnosti, zavolat svému přátelskému a ochotnému bezpečnostnímu týmu, aby to prověřil.
Chester Wisniewski, hlavní výzkumný pracovník společnosti Sophos
