俄罗斯电网攻击能教给它什么专业知识

到目前为止，您已经听说联邦调查局（FBI）和美国国土安全部的联合调查导致了一份报告，称俄罗斯特工入侵了美国电网中的公司。 美国计算机应急准备小组（US-CERT）在一份报告中详细概述了这些攻击，其中描述了攻击者如何能够穿透能源设施以及他们对所窃取的信息做了什么。

媒体报道中没有提到的事实应该引起IT专业人员的关注，无论他们为中小型企业（SMB）还是大型组织工作。 那是事实：攻击者利用的路径经过了最终目标的较小伙伴。 他们开始攻击那些较小的伙伴的防御，因为他们的防御能力可能较弱，然后他们使用从那里收集的信息和资源来攻击沿线的下一个设施。

智能网络钓鱼攻击的剖析

与较小的合作伙伴联系的一种主要方法是查找公共信息，将其与其他信息放在一起将提供下一步所需的详细程度。 例如，攻击者可能会检查与最终目标有业务往来的公司的网站，并且他可能会在该网站上找到合作伙伴公司或最终目标中高级管理人员的电子邮件地址。 然后，攻击者可能会检查来自两家公司网站的其他信息，以查看两者之间的关系，由谁提供的服务以及有关每个公司结构的信息。

有了这些信息，攻击者便可以从看似合法的电子邮件地址开始发送高度令人信服的网络钓鱼电子邮件。 具有足够精心制作的细节的应用程序，很可能会击败防火墙或托管端点保护级别上安装的任何网络钓鱼过滤器。 网络钓鱼电子邮件将被设计为为目标人员收集登录凭据，如果其中任何一个成功，攻击者将立即绕过目标网络内部可能已经实施的任何身份管理措施。

随着有关从Facebook收集用户信息的启示，威胁的性质在扩大。 自2014年以来，在以学术研究为幌子进行的一次违规中，一名俄罗斯研究人员获得了约5000万美国Facebook会员的用户资料。 这些资料已移交给Cambridge Analytica。 随后的调查显示，该数据未经这些Facebook用户的许可被获取，然后被滥用。

审核外部通讯

这就提出了一个问题，即谨慎的企业应该通过其网站提供哪些信息。 更糟糕的是，该查询可能需要扩展到组织的社交媒体形象，诸如Youtube的第三方营销渠道，甚至是知名的员工社交媒体资料。

Cyxtera首席信息安全官（CISO）以及前联邦调查局纽约市外地办事处网络部负责人特工Leo Taddeo说：“我认为他们必须谨慎对待公司网站上的内容。” “存在不经意间泄露信息的巨大潜力。”

Taddeo说，一个很好的例子是职位发布，您可以在其中透露正在使用的开发工具，甚至正在寻找的安全专业。 他说：“公司可以通过很多方法来曝光自己的身影。这是一个很大的领域。不仅仅是网站，还不仅仅是故意的交流。”

Taddeo解释说：“社交媒体是一种风险。”他指出，在社交媒体上发帖的员工可能会无意中透露很多信息。 他指出，员工说他们对工作不满意可能会显示出剥削的目标。 “详细谈论他们的工作或成就的员工是一种风险。社交媒体挖掘对对手很有帮助。”

Taddeo警告说，像LinkedIn这样的专业媒体网站也对那些不小心的人构成风险。 他说，对手会在此类网站上伪造帐户，以掩饰自己的真实身份，然后使用其联系人的信息。 他说：“无论他们在社交媒体网站上发布的内容如何，​​都可能损害雇主的利益。”

考虑到以您为目标的不良行为者可能在您的数据之后，或者在您与之合作的组织之后，因此问题不仅仅在于如何保护自己，还如何保护业务伙伴？ 由于您可能不知道攻击者是在追捕您的数据还是只是将您视为下一个攻击的垫脚石和过渡位置，这一事实使情况变得复杂。

如何保护自己

无论哪种方式，您都可以采取一些步骤。 解决此问题的最佳方法是以信息审核的形式。 列举贵公司用于外部沟通（肯定是市场营销），人力资源，公关和供应链等所有渠道的信息。 然后建立一个审计团队，其中包含来自所有受影响渠道的利益相关者，并开始系统地分析那里的内容，并着眼于可能对数据窃贼有用的信息。 首先，从您的公司网站开始：

检查公司网站上是否有任何内容可能会提供有关您所做的工作或所用工具的详细信息。 例如，出现在照片中的计算机屏幕可能包含重要信息。 检查生产设备或网络基础设施的照片，这些照片可以为攻击者提供有用的线索。

查看人员列表。 您是否列出了高级职员的电子邮件地址？ 这些地址不仅为攻击者提供了潜在的登录地址，而且还可以欺骗发送给其他员工的电子邮件。 考虑将其替换为指向表单的链接，或将其他电子邮件地址用于公共消费与内部使用。

您的网站是否说出您的客户或合作伙伴是谁？ 如果组织无法通过您的安全性，这可以为攻击者提供另一种攻击组织的方法。

检查您的职位发布。 他们透露多少有关您公司的工具，语言或其他方面的信息？ 考虑通过一家招聘公司工作，以使自己与这些信息区分开。

查看您在社交媒体上的存在，请记住，您的对手肯定会尝试通过此渠道挖掘信息。 另请参阅您的高级职员在帖子中透露了多少有关您公司的信息。 您无法在社交媒体上控制有关员工活动的所有内容，但可以随时注意。

考虑您的网络体系结构。 Taddeo建议按需使用的方法，其中仅在需要时才授予管理员访问权限，并且仅针对需要注意的系统才授予管理员访问权限。 他建议使用最初由美国国防部开发的软件定义的边界（SDP）。 他说：“最终，每个用户的访问权限将根据身份，设备，网络和应用程序的敏感性而动态更改。” “这些是由易于配置的策略驱动的。通过使网络访问与应用程序访问保持一致，用户可以保持生产力，同时大大减少攻击面。”

• 现在以同样的方式考虑您的云服务。 通常，这种默认配置是使高级公司高管成为第三方公司云服务的管理员，例如贵公司的Google Analytics（分析）或Salesforce帐户。 如果他们不需要该级别的访问，请考虑将其设置为用户状态，并将管理访问级别留给那些很难找到电子邮件登录名的IT人员。

最后，Taddeo说要寻找影子IT所创建的漏洞。 除非您寻找它，否则您可能会绕过繁琐的安全工作，因为有人在办公室里安装了无线路由器，这样他们就可以在工作中更轻松地使用个人iPad。 未知的第三方云服务也属于此类。 在大型组织中，部门主管只是简单地注册部门以获得便捷的云服务，以绕过他们所谓的IT“繁文tape节”并不少见。

这可能包括核心IT服务，例如使用Dropbox Business作为网络存储或使用其他营销自动化服务，因为注册官方的企业支持工具太慢并且需要填写太多表格。 诸如此类的软件服务可以暴露敏感数据，而IT甚至不知道它们。 确保您知道组织中正在使用哪些应用程序，由谁使用，以及对哪些人有权访问具有牢牢的控制权。

这样的审计工作很繁琐，有时很耗时，但是从长远来看，它可以带来可观的收益。 除非对手来找您，否则您不知道自己拥有的东西可能值得窃取。 因此，您需要以一种灵活的方式来处理安全问题，同时还要注意重要的事情。 唯一的方法就是彻底了解网络上正在运行的内容。