«Незваные» гости в отеле
Кажется, что это обычное бронирование отеля. На самом деле это кибератака в маске. И к моменту, когда вы осознаете угрозу, уже слишком поздно — злоумышленники уже завладели данными, ради которых они пришли.
Такой сценарий стал реальностью для многих несчастных предприятий в сфере гостеприимства из-за сложной атаки, направленной на отели, сайты бронирования и туристические агенты. Злонамеренный актер делает запрос на бронирование, выбирает опцию «оплата в отеле», а затем отправляет агенту отеля серию срочных и, казалось бы, искренних писем с ссылками на «фотографии» или документы, которые на самом деле являются исполняемыми файлами для кражи данных. Теперь злоумышленнику предоставляется прямой и доверенный доступ к системе бронирования, что позволяет отправлять гостям отеля фишинговые сообщения. Вот что здесь хитро: так как сообщения идут из сообщений платформы сайта бронирования, получатели считают их легитимными. Они охотно предоставляют свои данные кредитных карт или другие личные сведения, как это было запрошено.
Это всего лишь один пример уровня сложности атак, направленных на индустрию гостеприимства, используя социальную инженерию для обхода средств защиты и принятия маски подлинности. Это драматическая иллюстрация того, почему традиционные средства защиты, такие как многофакторная аутентификация (MFA), уже не являются достаточными. Ведь доверие достигалось на каждом этапе процесса.
Слепые зоны
Предприятия, замешанные в происходящем, вероятно, имеют средства защиты во всей своей среде — предотвращение выполнения исполняемых файлов, антивирусную защиту, фильтрацию URL-адресов, фильтрацию вложений в электронной почте и многое другое. Однако нарушения продолжают случаться. Дело в том, что команды по безопасности часто имеют слепые зоны, когда речь идет о знании того, что на самом деле происходит в их среде.
Ключевым вектором угрозы является общение между внутренними системами, необходимое для ведения бизнеса. Это создает пути, которыми злоумышленники используют, чтобы достичь своей цели. Например, веб-сервер для общедоступного сайта бронирования будет иметь доверенное соединение с внутренними системами, такими как сервер баз данных для поддержки онлайн-бронирования. Если злоумышленник получает доступ к этому внутреннему серверу, он легко может узнать, какие другие системы подключены. Это предоставляет открытие для SQL-инъекции или какой-либо другой атаки на системы по всей сети.
Умное сегментирование
Хотя внутренние сети разделены и управляются правилами, этого недостаточно. Вам нужны средства защиты на основе принципов «Zero Trust» (Нулевого доверия). Основой «Zero Trust» является более продвинутая технология сегментации, которая может устанавливать не только то, какие устройства в сети общаются друг с другом, но и как они общаются друг с другом.
Изучение шаблонов
Тем не менее, такая защита не может опираться просто на статические правила. Временами могут возникнуть допустимые исключения для «нормального» трафика, которые вы не хотите блокировать. Что ещё более важно, злоумышленники постоянно изменяют свои тактики в бесконечной игре «бей крота» в области кибербезопасности. Необходимо постоянное анализирование потоков трафика на основе искусственного интеллекта для изучения «новой нормы». Это позволяет выявлять часто тонкие нюансы, которые могут свидетельствовать о подозрительном трафике, предотвращая атаку ещё до её начала.
Как показывают современные утонченные и целенаправленные атаки на предприятия в сфере гостеприимства, не всегда возможно остановить злоумышленника у входной двери. Как только этот «незванный» гость оказывается внутри вашей инфраструктуры, как можно разрядить ситуацию и уменьшить «радиус поражения» атаки? Умное сегментирование, основанное на детальном и динамичном понимании происходящего в вашей среде, является ключевой составляющей надежной стратегии Zero Trust.
Для этого собираются данные об информационно-технической инфраструктуре организации (это можно достичь с помощью агентов, сенсоров, собирающих данные о сети, журналов потоков виртуальной частной облака от поставщиков облачных услуг и интеграций, позволяющих функционировать без агентов). Результатом является подробная карта инфраструктуры, которая позволяет командам по безопасности просматривать активность с высокой детализацией — как на уровне пользователей, так и на уровне процессов — в реальном времени и в историческом аспекте.
Это понимание того, как устройства взаимодействуют, позволяет командам по безопасности определить, как выглядит «нормальный» трафик, что позволяет создать политики сегментации на основе реальных рабочих нагрузок. Необычное поведение, которое может свидетельствовать о возможной атаке, обнаруживается, и передвижение злоумышленника в сети ограничивается или блокируется. Можно представить это как наличие программно-определяемого брандмауэра вокруг каждой системы в вашей инфраструктуре, включая системы в одном сегменте.
Доверяй, но проверяй
Эта стратегия должна быть многофункциональной и включать в себя безопасные процессы аутентификации, такие как те, которые основаны на стандартах FIDO2 и WebAuthn. Эти стандарты устанавливают крепкие криптографические отношения между веб-браузером пользователя, устройством многофакторной аутентификации (например, мобильным телефоном) и самой службой аутентификации во время процесса регистрации пользователя. Каждый запрос должен проходить через эту безопасную экосистему, обеспечивая, что аутентификационные токены достигают только заданного получателя и не могут быть перехвачены или перенаправлены другому пользователю, как в случае атак «человек-в-середине» (MITM).
Все описанные в этой статье технологии уже существуют. Тем не менее, многие предприятия в сфере гостеприимства продолжают полагаться на сочетание традиционных средств безопасности и удачи. Применение подхода, основанного на идее «доверяй, но проверяй», путем использования современных технологий сегментации, может дать вам преимущество в борьбе за сохранение критических систем от «незванных» гостей.
Написать комментарий
Новости
Комментарии ()