セキュリティ
IT管理者たちはボスに親切にしていると思っていたが、実は脅威アクターを支援していた
PWNED PWNEDコラムへようこそ。このコラムでは、他者の恥ずかしい失敗を研究することで、セキュリティの成功に向けた準備をお手伝いします。今日の悲劇的な物語は、警戒を緩めることで企業幹部のためにいいことをしようとした個人たちが登場します。これは決して賢い行動ではありません。
ネットワークに大きな穴を残してしまった人についての話がありますか? [email protected]でお聞かせください。匿名性はご要望に応じて提供可能です。
私たちの悲しい物語は、現在AI security企業EntのCTOおよび共同創業者を務めるBrandon Dixonからもたらされました。しかし、以前の人生では、Dixonは雇用されたペネトレーション・テスターであり、それについての話を聞いただけで、私の残りの髪がすべて立ち上がるようなことを見ました。
あるペネトレーション・テストの任務中に、Dixonはソーシャルエンジニアリングを使用して誰かのアカウントを盗むことがどれほど簡単かを調べようとしました。その答え:ほぼ問題ではありませんでした。
DixonはIT セキュリティに電話をして、パスワードを失ったセキュリティ責任者のふりをしました。チャレンジ質問を尋ねられたとき、彼はそれらの答えも忘れたと言いました。
その後、彼は電話で使いたいパスワードを彼らに与え、彼らは彼のためにリセットを行いました。その後、彼はネットワークに入ることができ、そこで彼が望むことなら何でもできました。
ここには明らかに間違っていることがたくさんあるので、どこから教訓を始めるべきかを知ることは困難です。IT サポート担当者は、チャレンジ質問に失敗した後でも特に、Dixonの言葉を受け入れて彼がセキュリティマネージャーであると信じるべきではなく、パスワードをリセットするという要求を否定すべきでした。彼らは「誰もが従わなければならない手順がある」と考えるべきでしたが、おそらく「この男は経営陣であり、彼を怒らせたくない」と考えていました。
ここでのもう一つの問題は、IT部門が電話を介してDixonの提案したパスワードを彼のために入力したことです。まず第一に、IT部門は本当の従業員のメールまたは電話番号にパスワードリセットを送信すべきでした。第二に、ユーザー自身以外の誰かがユーザーのパスワードを知っているというのは、ひどいセキュリティです。そして私はこのように言います。なぜなら、かつてある会社で働いていた人間だからです。そこでは、問題があれば、IT サポートの人々がチャットを介してパスワードを尋ねるでしょう。
Dixonはまたソーシャルエンジニアリングについて別の話も共有しました。それは彼が製薬会社のコンサルタントをしていた時代からのものです。競争相手のメンバーは営業とマーケティング担当者に電話をし、同僚のふりをし、その後、今後の医薬品についての情報を抽出します。これにより、競争相手は何が来るか、そしてそれにどのように対応するかを知ることができます。
この問題を解決するのを助けるために、Dixonは実際の従業員が会話の始まりに秘密のパスワードを与える必要があるシステムを制定しました。
「私は『Chal-Resp』という名前のシステムを構築しました。これは『チャレンジ・レスポンス』の短縮形で、ユーザーが実際の従業員と話していることを検証できるように、仕事のペアリングを生成しました」と彼はThe Registerに語った。「呼び出し側はその単語を言う必要があり、エンドユーザーは適切なチャレンジで応答する必要があります。従業員だけがアクセスできました。」
Dixonの両方の物語に共通していることは、人間は喜ばせ、役に立つことを望んでいるという証拠です。しかし、疑いはインフォセックの全ての根源です。ですから、私たちはすべて、職場の見知らぬ人に対してもう少し役に立つ必要があります。 ®
