В нашей предыдущей статье мы обсудили концепцию управления рисками — что это такое и почему это важно. 

Однако управление рисками в сфере кибербезопасности не является чем-то новым, и многие организации работают над нормализацией рисков в качестве подхода к комплексным усилиям по обеспечению кибербезопасности и соответствия требованиям. 

Хотя этот шаг и хорош, мы также обнаружили, что многие организации будут чрезмерно полагаться на фреймворки как на конечный и всеобъемлющий подход к обеспечению безопасности, что может оказаться скорее запутанным, чем полезным. 

Читать

В прошлом году, ФБР сообщило, что инциденты компрометации деловой электронной почты (BEC), Также известные как целевой фишинг, мошенничество с генеральным директором и мошенничество со счетами-фактурами, были зарегистрированы во всех 50 штатах и ​​150 странах, а глобальные потери превысили 12 миллиардов долларов. Мошенничества BEC продолжают стремительно набирать популярность среди киберпреступников, при этом число атак увеличилось на 476% в период с четвертого квартала 4 года по четвертый квартал 2017 года, согласно исследованию ProofpointНедавно гражданин Литвы признал себя виновным в суде США в своей роли в схеме BEC, которая обманул Facebook и Alphabet на более чем 100 миллионов долларов.

Что такое компрометация деловой электронной почты?

В отличие от традиционных фишинговых мошенничеств, когда идентичные сообщения массово рассылаются тысячам получателей, мошенничество BEC подразумевает отправку персонализированных писем, нацеленных на определенных сотрудников компании, обычно тех, кто обрабатывает платежи по банковским переводам или имеет доступ к конфиденциальной информации, такой как данные о заработной плате сотрудников. Перед началом атаки хакеры очень подробно изучают свои цели, собирая информацию из общедоступных источников, таких как социальные сети и официальные веб-ресурсы компании.

Выбрав жертву, хакеры отправляют сотруднику электронное письмо, выдавая себя за руководителя компании или делового партнера. Иногда адрес электронной почты отправителя подделывается; в других случаях хакеры получают учетные данные настоящего пользователя и захватывают его учетную запись электронной почты. Электронное письмо BEC будет содержать срочный запрос на банковский перевод, якобы для оплаты просроченного счета, или конфиденциальную информацию, такую ​​как формы удержания налога с сотрудников. В одна схема, IRS вынесла официальное предупреждение о В прошлом году в электронных письмах BEC запрашивались как банковский перевод, так и данные о налогах на сотрудников.

В письме BEC предупреждается о страшных последствиях, если получатель не отреагирует немедленно, например, задержка срочной поставки деталей или следующей выплаты зарплаты сотрудникам. Письма BEC составлены так, чтобы выглядеть максимально реалистично, и иногда хакеры звонят по телефону, чтобы добавить легитимности и усилить у жертвы чувство срочности. Думая, что он поступает правильно, получатель отправляет деньги или данные.

Иногда жертвы BEC не осознают, что их обманули, до тех пор, пока не появится сообщение от имени выдающего себя поставщика о неуплате настоящего счета.

Предотвращение компрометации деловой электронной почты

Поскольку скомпрометированные бизнесом письма не содержат вредоносных ссылок или вложений, они обычно обходят традиционные меры безопасности электронной почты, такие как спам-фильтры. Однако существуют технические решения и нетехнические элементы управления, которые компании могут реализовать, чтобы помочь остановить волну, например:

• Внедрите многофакторную аутентификацию (MFA) для защиты от кражи учетных записей.
• Использовать Протокол безопасности электронной почты DMARC для защиты от подмены домена.
• Запретите сотрудникам использовать личные адреса электронной почты в служебных целях и наоборот.
• Поговорите со специалистом по кибербезопасности о технических решениях, которые могут выявить взломанные учетные записи, а также о решениях, блокирующих отправку электронных писем, содержащих конфиденциальные данные.
• Избегайте использования частного сервера электронной почты. Большинство компаний не имеют внутренних ресурсов для его защиты и мониторинга.
• Обеспечьте, чтобы все сотрудники проходили соответствующее и постоянное обучение по вопросам кибербезопасности, включая обучение по выявлению мошенничества BEC.
• Требуйте, чтобы все конфиденциальные операционные процедуры, такие как осуществление банковских переводов или предоставление данных о заработной плате сотрудников, были авторизованы более чем одним лицом.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Звоните 1-888-896-7580 чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь вашей организации соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

Гимн – да, которая Anthem – снова взломан. Примерно через месяц после того, как осажденная медицинская страховая компания согласилась раскошелиться на рекордные 115 миллионов долларов Чтобы урегулировать коллективный иск, связанный с масштабным взломом в 2015 году, он снова был взломан, точнее, один из его сторонних поставщиков. Взлом Anthem в 2017 году был связан с… около 18,000 XNUMX участников Medicare чья личная информация была украдена злонамеренным инсайдером, работающим в LaunchPoint Ventures, фирме по координации услуг страхования Medicare. Новости здравоохранения отчеты:

LaunchPoint обнаружил 12 апреля, что сотрудник, вероятно, воровал и злоупотреблял данными Anthem и не-Anthem. Сотрудник отправил файл, содержащий информацию об участниках Anthem, на свой личный адрес 8 июля 2016 года.

Файл содержал номера Medicare ID, включая номера социального страхования, номера Health Plan ID, имена и даты регистрации. Чиновники заявили, что были включены ограниченные фамилии и даты рождения.

Выводы из последнего нарушения Anthem

Взлом Anthem — последний случай, подчеркивающий необходимость управления киберрисками для всей экосистемы предприятия. Собственные системы Anthem не были взломаны; взломан был их сторонний поставщик. Другое недавние жертвы нарушений со стороны третьих лиц К ним относятся Netflix, Национальный комитет Республиканской партии, Trump Hotels, Verizon и Google (которая пострадала от взлома у стороннего поставщика одного из своих сторонних поставщиков).

Поскольку организации передают на аутсорсинг все больше и больше ИТ-услуг, от расчета заработной платы до выставления счетов и веб-разработки, хакеры все чаще нацеливаются на этих поставщиков услуг. По оценкам, 63% всех корпоративных нарушений Можно отследить связь с сторонним поставщиком. Хакеры могут атаковать именно этих поставщиков услуг, поскольку многие из них — небольшие компании, чья кибербезопасность может быть не столь надежной, как у национальных или транснациональных корпораций, чьи данные им действительно нужны.

Знай своих поставщиков

Опасность утечки данных третьих лиц является одной из причин, по которой Министерство обороны США требует, чтобы не только его основные подрядчики, но и все фирмы, с которыми они заключают субподрядные контракты на выполнение работ для Министерства обороны, были соответствует стандарту безопасности DFARS к концу 2017.

Частным организациям следует брать пример с DoD и вести бизнес только с теми поставщиками ИТ-услуг, которые выпустили отчеты AICPA SOC / SSAE16 и/или имеют важные сертификаты по ИТ-безопасности, такие как NIST, ISO или FedRAMP. Эти организации доказали свою приверженность высочайшим уровням безопасности данных, пройдя строгие аудиты безопасности, которые требуют от них соблюдения определенных процедур и мер контроля и изложения их в письменном виде.

Аналогичным образом, поставщики ИТ-услуг должны получить соответствующие сертификаты безопасности данных и продемонстрировать своим клиентам наличие у них надежных средств контроля безопасности. Континуум GRC IT Audit Machine (ITAM) позволяет организациям легко добиваться и поддерживать соответствие требованиям с помощью модулей самостоятельной помощи, охватывающих многочисленные стандарты соответствия, включая FedRAMP, SSAE 16, COBIT, ISO 27001, ISO 27002, ISO 27005, SOX, FFIEC, PCI, GLBA, HIPAA, CMS, NERC CIP, DFARS и другие федеральные и государственные предписания.

Не рассчитывайте переложить ответственность на других

Тот факт, что нарушение произошло по вине вашего поставщика, не означает, что ваша организация будет защищена от ответственности. 300 миллионов долларов Целевое нарушение, в результате которого и генеральный директор, и директор по информационной безопасности потеряли свои должности, был задействован сторонний поставщик точек продаж.

Масштаб потенциальной ответственности только что расширился: вскоре после того, как появились новости о нарушении Anthem, Апелляционный суд США вынес решение против медицинской страховой компании CareFirst, что позволило продолжить рассмотрение коллективного иска, поданного клиентами, пострадавшими от утечки данных в 2014 году. Ожидается, что это решение будет иметь широкие последствия, позволяя клиентам не только медицинских страховых компаний, но и любых других компаний подавать в суд в случае кражи их персональных данных.

Обеспечение надлежащего управления, управления рисками, соответствия требованиям и кибербезопасности во всей экосистеме вашего предприятия занимает гораздо меньше времени и стоит гораздо меньше денег, чем устранение последствий после нарушения.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.