L'été dernier, les responsables de l'application des lois ont contacté Apple et Meta, exigeant des données clients dans le cadre de "demandes de données d'urgence". Les entreprises se sont conformées. Malheureusement, les "officiels" se sont avérés être des pirates informatiques affiliés à un cyber gang appelé "Recursion Team".
Il y a environ trois ans, le PDG d'une société d'énergie basée au Royaume-Uni a reçu un appel du PDG de la société mère allemande de la société lui demandant de virer un quart de million de dollars à un "fournisseur" hongrois. Il s'est conformé. Malheureusement, le "PDG" allemand était en fait un cybercriminel utilisant la technologie audio deepfake pour simuler la voix de l'autre homme.
Un groupe de criminels a pu voler des données, l'autre de l'argent. Et la raison était la confiance. La source d'information des victimes sur les personnes à qui elles parlaient était les appelants eux-mêmes.
Qu'est-ce que la confiance zéro, exactement ?
Zero Trust est un cadre de sécurité qui ne repose pas sur la sécurité du périmètre. La sécurité périmétrique est l'ancien modèle omniprésent qui suppose que tout le monde et tout dans le bâtiment de l'entreprise et le pare-feu sont dignes de confiance. La sécurité est garantie en empêchant l'entrée de personnes en dehors du périmètre.
Un doctorant britannique à l'Université de Stirling nommé Stephen Paul Marsh a inventé l'expression « zéro confiance » en 1994 (NIST 800-207).
La sécurité du périmètre est obsolète pour un certain nombre de raisons, mais principalement en raison de la prévalence du travail à distance. D'autres raisons incluent : l'informatique mobile, l'informatique en nuage et la sophistication croissante des cyberattaques en général. Et, bien sûr, les menaces peuvent aussi venir de l'intérieur.
Autrement dit, il n'y a plus vraiment de frontières de réseau, et même dans la mesure où des périmètres existent, ils peuvent être franchis. Une fois que les pirates pénètrent dans le périmètre, ils peuvent se déplacer relativement facilement.
Zero Trust vise à résoudre tout cela en exigeant que chaque utilisateur, appareil et application passe individuellement un test d'authentification ou d'autorisation chaque fois qu'il accède à un composant réseau ou à une ressource d'entreprise.
Les technologies sont impliquées dans le zéro confiance. Mais la confiance en soi zéro n'est pas une technologie. C'est un cadre et, dans une certaine mesure, un état d'esprit. Nous avons tendance à le considérer comme un architecte de réseau et un état d'esprit de spécialiste de la sécurité. C'est une erreur; cela devrait être l'état d'esprit de tous les employés.
La raison est simple : l'ingénierie sociale est une astuce non technique de la nature humaine.
Pourquoi seul Zero Trust peut battre l'ingénierie sociale
Une approche de base pour appliquer la confiance zéro au défi des attaques d'ingénierie sociale est ancienne et familière. Supposons que vous receviez un e-mail prétendant provenir de la banque indiquant qu'il y a un problème avec votre compte. Cliquez simplement ici pour entrer votre nom d'utilisateur et votre mot de passe et résoudre le problème, dit-il. La bonne façon de gérer cette situation (si vous n'êtes pas sûr) est d'appeler la banque et de vérifier.
Dans tout type d'attaque d'ingénierie sociale, la meilleure pratique consiste à ne jamais utiliser la méthode d'accès qui vous a été fournie, mais à en obtenir une vous-même. N'utilisez pas la personne qui vous contacte comme source d'informations sur la personne qui vous contacte. Vérifiez toujours indépendamment.
Dans le passé, il était facile d'usurper un e-mail. Nous sommes face à un futur immédiat où il sera tout aussi simple de simuler la voix et la vidéo en direct.
Au-delà du phishing par e-mail, les organisations peuvent également être attaquées par phishing, vishing, smishing, spear phishing, snowshoeing, hailstorming, clone phishing, whaling, tabnabbing, reverse tabnabbing, phishing en session, sites Web, manipulation de liens, masquage de liens, faute de frappe, homographe. attaques, scareware, talonnage, appâtage, usurpation DNS et bien d'autres. Votre formation zéro rouille doit permettre aux employés de se familiariser intimement avec tous ces types d'attaques. Le simple fait d'être conscient des nombreuses façons néfastes dont les humains sont amenés à autoriser un accès non autorisé vous aide à comprendre pourquoi la confiance zéro est la réponse.
Dans son excellent livre de 2011, "Ghost in the Wires", l'ancien superhacker Kevin Mitnick décrit l'une de ses techniques d'ingénierie sociale les plus efficaces : il voit des employés à l'extérieur d'un bâtiment sur le point d'entrer et les suit simplement jusqu'à la porte avec la confiance de quelqu'un qui y appartient. Les employés interprètent universellement cette confiance comme toute la vérification dont ils ont besoin pour tenir la porte ouverte à un étranger.
Lorsque Apple et Meta ont été contactés par de faux agents des forces de l'ordre, ils auraient dû noter les détails de l'identification de l'appelant, raccrocher le téléphone et appeler l'agence pour vérifier.
Lorsque ce PDG britannique a été contacté par quelqu'un prétendant être le PDG de la société mère, la politique aurait dû être un rappel et non un transfert de fonds basé sur l'appel initial.
Comment adopter Zero Trust pour l'ingénierie sociale
La bonne nouvelle est que, bien que de nombreuses entreprises n'aient pas mis en œuvre la confiance zéro, ni même développé une feuille de route de confiance zéro, l'adoption de son utilisation contre l'ingénierie sociale peut être mise en œuvre immédiatement. .
Trouvez un moyen d'authentifier chaque participant aux réunions audio ou vidéo.
En d'autres termes, grâce à des changements dans la formation, la politique et la pratique, toute communication entrante qui demande quelque chose (transférer des fonds, fournir un mot de passe, changer un mot de passe, cliquer sur une pièce jointe, cliquer sur un lien, permettre à quelqu'un d'entrer dans le bâtiment) doit être vérifié et authentifié, à la fois la personne et le chemin de la demande.
Presque toutes les attaques d'ingénierie sociale impliquent que l'acteur malveillant gagne la confiance d'une personne ayant accès, puis abuse de cet accès.
Le défi d'utiliser la formation et la culture de sécurité pour inculquer une mentalité de confiance zéro à tous les employés est que les gens eux-mêmes aiment qu'on leur fasse confiance. Les gens sont offensés quand on leur dit : « Laisse-moi d'abord vérifier.
Cela devrait être la partie la plus importante de la formation : amener les employés et les responsables à insister sur le fait qu'on ne leur fait pas confiance. Vous ne pouvez pas simplement faire confiance aux gens pour qu'ils ne leur fassent pas confiance, vous devez faire en sorte que les gens insistent pour qu'ils ne se fassent pas confiance.
Si un cadre supérieur envoie une pièce jointe à un subordonné et que ce dernier la télécharge et l'ouvre simplement sans aucune étape de vérification supplémentaire (par exemple, appeler et demander), le cadre doit considérer cela comme une grave violation des meilleures pratiques de sécurité. .
Culturellement, la plupart des entreprises sont loin d'adopter cette pratique. Et c'est ce qui doit être répété mille fois : l'autorisation zéro confiance pour tout est pour les personnes en qui vous avez confiance et pour les personnes en qui vous n'avez pas confiance.
Con tantos trabajadores ahora dispersos entre la oficina, el hogar, en otros estados o incluso en otros países, es hora de un reinicio drástico, una revolución de confianza cero, por así decirlo, en la forma en que interactuamos entre nosotros en el día a jour. communications commerciales quotidiennes. .
Copyright © 2022 IDG Communications, Inc.