Študija primera obravnava varnostni incident, ki je nastal kot posledica pomanjkljive varnostne infrastrukture ter zlorabe identitete pri enem od naših naročnikov.

Vzrok za incident je bila neustrezna preverljivost/avtentikacija in pomanjkanje varnostnih mehanizmov.

Študija opisuje potek dogodkov, analizo varnostnih ranljivosti ter ukrepe za preprečevanje podobnih incidentov v prihodnje.

PREDSTAVITEV IZZIVA

1) Analiza stanja

Podjetje je za komunikacijo in delo uporabljalo storitve elektronske pošte preko platforme M365 ter delno koristilo uporabo platforme Sharepoint.

Poleg tega so imeli tudi nekaj On-premise storitev, vključno s strežnikom na katerem so izvajali ERP procese.

Vsak zaposleni je imel svoj računalnik ali prenosnik, v katerega se je prijavljal s svojim geslom. Podatke so shranjevali znotraj omrežja na NAS, do katerega so dostopali. Za oddaljen dostop do omrežja so uporabljali VPN , pri čemer so vsi uporabniki uporabljali isto geslo za vzpostavitev povezave.

Znotraj podjetja so zaposleni za dostop do Microsoft 365 storitev imeli v uporabi 2-3 gesla, katera so uporabljali za medsebojno dostopanje do spletne pošte in drugih Online virov (OneDrive for Business, Sharepoint, Teams). Ob tem niso uporabljali več faktorske avtentikacije (MFA), ki bi dodatno varovala pred nepooblaščenimi dostopi do storitev in zmanjšali število varnostnih tveganj.

2) Opis incidenta

Neznana oseba oz. heker je prek socialnega inženiringa pridobil geslo enega od uporabnikov ter nepooblaščeno dostopal do elektronske pošte, kjer je pridobival podatke in sledil komunikaciji med podjetjem in njegovimi kupci.

V eni izmed korespondenc je zasledil ameriškega kupca, ki je kupnino v vrednosti 300.000EUR želel poravnati v treh delih. Pred plačilom zadnjega dela kupnine je heker namenoma prestregel komunikacijo med prodajalcem in kupcem tako, da je preko nepooblaščenega dostopa do elektronskega predala, v imenu prodajalca, kupcu posredoval navodila o spremembi bančnih podatkov za plačilo. S tem je preusmeril plačilo na »svoj« bančni račun.

Kupec je sicer preveril informacije o spremembi plačila pri prodajalcu, vendar po istem kanalu – spletni pošti, zato je heker znova uspel prestreči komunikacijo med prodajalcem in kupcem ter v imenu prodajalca potrdil spremembo plačila na drug račun.

Nepravilnost je bila opažena dobre tri tedne po izvedbi plačila, s strani zaposlene osebe v prodajalčevem podjetju.

Odgovornosti dogodka ni želel prevzeti niti kupec niti prodajalec, zato se je prodajalec moral soočiti z izgubo v vrednosti 100.000EUR.

VARNOSTNA ANALIZA

Opravili smo varnostna analiza, ki je razkrila več ranljivosti:

1)Odsotnost poenotene avtentikacije –  Poenotena avtentikacija predstavlja postopek, pri katerem se omogoča konsolidiran dostop uporabnika do več sistemov z enotnim naborom poverilnic, kot so uporabniško ime in geslo. Pomanjkanje takšnega sistema v organizaciji lahko povzroči povečano kompleksnost v upravljanju identitet in dostopov, kar posledično zmanjšuje varnostni okvir ter izpostavlja podjetje tveganjem neavtoriziranega dostopa in varnostnim incidentom. Poleg tega lahko pomanjkanje poenotene avtentikacije negativno vpliva na produktivnost uporabnikov ter otežuje implementacijo konsistentnih varnostnih politik.

V primeru podjetja je odsotnost dodatne avtentikacije omogočila hekerju enostaven dostop do gesla spletne pošte prodajalca.

2)Pomanjkljiva komunikacija –  pomanjkanje varnih komunikacijskih kanalov je omogočilo napadalcu olajšano prestrezanje elektronskih sporočil. Varen komunikacijski kanal zagotavlja zaščito zasebnosti in integritete podatkov med komuniciranjem, običajno s šifriranjem in drugimi varnostnimi mehanizmi.

V tem primeru so namesto večih kanalov (npr. telefonski klic, skype, zoom,…) za preverjanje informacij uporabili le enega (elektronsko pošto).

3)Odsotnost večkratnega preverjanja pristnosti (MFA) – MFA (Multi-Factor Authentication) ali več faktorska avtentikacija je varnostni postopek, pri katerem uporabnik za potrditev svoje identitete pri prijavi v sistem uporabi več kot eno metodo avtentikacije. To običajno vključuje kombinacijo nečesa, kar uporabnik ve (geslo), nečesa, kar uporabnik ima (fizični ključ, pametni telefon) in nečesa, kar uporabnik je (biometrični podatki, kot so prstni odtis, prepoznavanje obraza).

V primeru podjetja je odsotnost MFA hekerju omogočila uporabo ukradenih podatkov za neovirano preusmeritev plačila.

UKREPI IN POSLEDICE

Po digitalni forenziki smo za naročnika izvedli naslednje ukrepe:

1)Ureditev celovite infrastrukture

Za naročnika smo uspešno uvedli Active Directory (AD) – vzpostavitev centraliziranega sistema za upravljanje identitet in virov v omrežju. S tem smo naročniku omogočili večjo organiziranost, poenostavljeno upravljanje dostopov, boljšo varnost ter olajšali sledenje in opravljanje identitet. V sklopu tega smo uredili tudi poenoteno avtentikacijo, ki pri uporabnikih zagotovi poenostavitev dostopa, saj imajo uporabniki zgolj eno kombinacijo uporabniškega imena in gesla, ki hkrati omogoča transparenten dostop do podatkov znotraj podjetja in možnost prijave na svojo delovno postajo. Poenotena avtentikacija zagotavlja tudi transparentnost oz. sledljivost dostopanja posameznikov do podatkov (kdo, kdaj in iz katere lokacije je dostopal do podatkov).

Urejena je bila tudi integracija lokalnega AD z Azure AD, saj smo s tem zmanjšali število podatkov za dostop do storitev pri uporabnikih.

2)Ureditev proaktivne varnostne zaščite

Za naročnika smo

• Nastavili MFA – večkratno preverjanje pristnosti MFA, kar je dodatno povečalo varnost pri dostopu do podatkov,
• izvedli izobraževanje zaposlenih na področju kibernetske varnosti,
• opravljali redne sistemske varnostne preglede.

Študija primera pri naročniku razkriva kako lahko pomanjkljiva varnostna infrastruktura in zloraba identitete privedeta do finančne goljufije.

Incident je poudaril pomen enotne avtentikacije, uporabe MFA ter izobraževanja zaposlenih o varnostnih tveganjih, ki so lahko posledica pomanjkanja kibernetske varnosti.

Pravilna implementacija teh ukrepov je ključna za zagotavljanje celovite varnosti poslovanja ter preprečevanje podobnih incidentov v prihodnje.

Predvsem je bistveno razumevanje, da se proaktivno ravnanje na področju kibernetske varnosti s strani podjetij večkratno obrestuje skozi vse obdobje, ko je le-ta vzpostavljena. Vseskozi pa je potrebna tudi miselna naravnanost, kako obstoječo zaščito redno preverjati in skladno s tem nadgrajevati, saj se število kibernetskih nevarnosti ne le povečuje, ampak postaja tudi vse bolj sofisticirano.