- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 388 zobrazení
Podvody "Nového spolupracovníka" je pro bezpečnostní důstojníky (CSO) nejdůležitější, protože se stal jednou z největších zranitelností v jakékoli organizaci. Mnozí předpokládají, že provedli důkladnou kontrolu a ověřování, ale nemají k dispozici protokoly, které by zajistily, že osoba, kterou najímají, je vždy osobou, za kterou se vydává. Ačkoli tato obava není nic nového, lepší přístup zaměstnanců k technologiím společnosti a vnitřní práce prostřednictvím vzdálené práce podstatně usnadnila hackerům útočit na organizace zevnitř.
Jak při najímání někoho (zaměstnance nebo dodavatele), poznáte, že osoba provádějící práci je tím, koho jste skutečně najali?
K podvodu s identitou dochází několika způsoby:
Sdílení práce individuální nebo poradenské společnosti
Najme se dodavatel. Budou zapojeni do zdrojů společnosti - e-mailu, pracovních nástrojů, serverů a dalších. Například mohou být vývojáři softwaru a začít dělat nějakou práci, naučit se zásady a začít přispívat do projektu vyžadujícího větší přístup k systémům společnosti. K ověření své identity pro přístup k prostředkům společnosti obvykle mají aktivní uživatelské jméno a heslo v adresáři a nějakou formu autentizace „druhého faktoru“ jako jednorázový kódový nástroj.
Nyní se z několika důvodů dodavatel rozhodne přivést do organizace třetí stranu, aby pracovala na jejich projektu. Může to být proto, že našli někoho levnějšího, kdo tuto práci zadává externě, nebo úmysl dodavatele může být hanebný. Mohli by dostat zaplaceno třetí stranou za to, že je pustí do dveří organizace, aby mohli ukrást duševní vlastnictví nebo do organizace vložit malware.
Aby mohli tento podvod povolit, stačí, když subdodavateli poskytnete uživatelské jméno, heslo a odešlete jim kód dvoufaktorové autentizace (2FA) na začátku jejich dne a příležitostně, když se budou muset znovu autentizovat. S nástroji pro spolupráci, jako je Slack nebo WhatsApp, lze výměnu tohoto kódu 2FA provést během několika sekund.
S tím souvisí mnoho bezpečnostních a produktivních důsledků. Za prvé, náborová společnost možná provedla pečlivou práci zjištění informací o původním dodavateli, jejich dovednosti, umístění a historii zaměstnání, ale subdodavatel může být kdekoli na světě a může mít pestré pozadí. Za druhé, společnost již nemá kontrolu nad svými zdroji nebo znalostmi o tom, kdo je v systému, takže jsou zranitelní vůči vůli subdodavatele.
“Paycheck Jacking”
Řekněme, že společnost Acme Corp. potřebuje na velký projekt najmout 200 vývojářů. Nová forma organizovaného zločinu se zaměří na Acme a bude se ucházet o tucet těchto zaměstnání s pracovníky, kteří se zdají být kvalifikovaní. Budou je školit náborovým procesem, aby prošli procesem pohovorem a případnými testy hodnocení dovedností. Poté, když je naplánováno spuštění nových zaměstnanců, zapojí do procesu někoho jiného. Jejich jediným záměrem? Nechat tuto nekvalifikovanou osobu sedět na židli několik cyklů výplat, dokud se Acme nechytne a nedostanou padáka. Útočníci shromažďují desítky nebo stovky výplat, dokud nejsou všichni vypláchnuti ze společnosti.
V obou těchto případech jsou společnosti zdánlivě bezmocné vůči podvodům s novými zaměstnanci v mezích svých stávajících systémů. Společnosti se správnými protokoly identity a investicemi do nových technologií, jako je například biometrické ověřování identity, se však mohou před útokem obrnit.
Totožnost k záchraně
Vzhledem ke vzdálené povaze tohoto problému může být podvody s identitou obtížně zmírnitelné. Přidání vrstev správy a dohledu může být drahé, ale existují možnosti, které organizace mohou přijmout. Jsou to stejné principy, které již léta používají banky pro „Poznej svého zákazníka“ a společnosti pro ochranu „Poznej svého zaměstnance“ - důkaz identity.
Když nabíráte nového bankovního zákazníka nebo najmete nového zaměstnance, je organizace povinna shromažďovat důkazy o jeho identitě pro daňové a jiné účely. Tento důkaz přichází ve formě jednoho nebo více státem vydaných dokladů, jako je řidičský průkaz, cestovní pas nebo jiné národní doklady totožnosti. Tyto dokumenty jsou kontrolovány z hlediska pravosti a obrázky na nich ve srovnání s obličejem jednotlivce. Až donedávna bylo vyžadovalo, aby byl nový zájemce přítomen osobně, aby sběr a kontrolu dokumentů mohli provádět zástupci společnosti.
Historicky, dělat toto vzdáleně je méně než ideální. Tyto dokumenty byly roky naskenovány držitelem dokumentu a poté odeslány e-mailem, faxem nebo nahrány žádající společnosti. To přináší mnoho výzev pro obě strany:
- Kvalita dokumentů se může lišit v závislosti na osobě, která snímek pořizuje (špatné osvětlení nebo úhel).
- Velikost souboru obrázku se může měnit v závislosti na způsobu jeho zachycení (skener s nízkým DPI) nebo přenosu (e-maily často komprimují fotografie).
- Dokumenty se nyní pohybují po digitálním prostředí - v e-mailu uchazeče, v e-mailu zástupce HR nebo sedí na nějakém serveru. Tím jsou osobní identifikační údaje ohroženy v každém kroku cesty.
- I když jsou dokumenty odeslány e-mailem nebo nahrány, nemáte spolehlivý způsob, jak ověřit, že osoba, která je odesílá, je skutečně tím, s kým komunikujete.
Vzdálené digitální ověřování a silné ověřování zákazníků
Nedávné pokroky v technologii a nové standardy kontroly identity poskytují společnostem bezpečné a důvěryhodné možnosti, jak tato rizika zmírnit. Kromě toho lze dokumenty shromážděné během náborového procesu použít pokaždé, když jednotlivec potřebuje přístup k prostředkům společnosti.
Ověřování identity zaměřené na dokumenty je rostoucí trend v podnikové kybernetické bezpečnosti. Nedávná studie společnosti Gartner zjistila, že do roku 2022 bude ve svých organizacích tuto metodu ověřování používat 80% společností a více než 60% středně velkých a globálních podniků bude ve stejnou dobu implementovat metody ověřování bez hesla. Účinné nasazení této technologie však vyžaduje integraci ověřování zaměřeného na dokumenty a ověřování bez hesla a pečlivou pozornost průmyslovým standardům, které organizacím poskytnou maximální ochranu.
V roce 2017 americká federální vláda zavedla standard pro ověřování identity NIST 800-63-3a, který má zásadní význam pro dodržování opatření organizační bezpečnosti. Stručně řečeno, NIST 800-63-3a poskytuje návod, jak zachytit dvě formy dokumentace identity, ověřit je a porovnat s obrázky na dokumentech s obličejem osoby. Pro organizace najímající nové zaměstnance to znamená, že mají ověřitelný důkaz podložený přísným standardem, že každý, kdo se přihlásí do jejich systémů, je tím, kým pokaždé říká, že je.
Průlomy v technologii tento proces umožnily využitím chytrého telefonu nebo počítače nového nájemce. Biometrické ID ověřování a digitální autentizace konkrétně usnadňují společnostem tento proces ověřovat identitu svých zaměstnanců bez výrazných investic do sofistikovaných systémů. Jednoduše naskenují dokumenty, pořídí si selfie a zbytek provede systém, včetně provedení uživatele pořízením kvalitních obrázků. Výsledkem je identita založená na standardech, které může organizace důvěřovat při registraci a opětovné autentizaci po celou dobu, kdy je v organizaci.
Je důležité si uvědomit, že tato forma biometrické registrace není stejná jako TouchID, FaceID a další biometrie založená na zařízení. Tyto formy biometrie nejsou spojeny se skutečnou identitou. Biometrický údaj musí představovat jednoho uživatele a musí se okamžitě shodovat s vládními dokumenty.
Pokroky v kryptografii a výpočetním hardwaru nyní umožňují ověřit tuto zapsanou identitu pokaždé, když nový pronájem přistupuje k výpočetnímu prostředku. Když si uživatel zaregistruje své doklady totožnosti a své selfie, dostane soukromý klíč. Informace o jejich identitě a selfie jsou šifrovány a uloženy na bezpečném místě. Tento soukromý klíč je stejný koncept, jaký používají kryptoměny k zabezpečení a zabezpečení digitálních peněženek. Jediný způsob, jak jej lze odemknout, je se svolením uživatele. Nikdo nemá přístup k datům uživatele kromě daného uživatele.
Společnosti, které přijmou řešení pro kontrolu identity, mohou vydat digitální pověření, které jim umožní přístup k jejich interním systémům, jako je například aktivní certifikát adresáře. Toto je chráněno stejným způsobem jako doklady totožnosti. Používání kryptografických klíčů je rostoucím trendem podporovaným dalším standardním orgánem, FIDO Alliance. Zkratka „FIDO“ znamená „Fast Identity Online“. Cílem FIDO je zbavit se uživatelských jmen a hesel. Nastavují laťku toho, jak může společnost implementovat různé technologie ověřování. Samotný FIDO však není dostatečně silný na to, aby zcela chránil organizace, protože jako součást standardu nemá důkaz totožnosti (tj. Ověřování na základě dokumentů vydaných vládou).
Když je FIDO kombinováno se silným ověřováním identity, jako je NIST 800-63-3, tento proces poskytuje nesporný důkaz, že zaměstnanci, dodavatelé nebo partneři jsou tím, kým jsou. Když osoba předá své přihlašovací údaje, má stejné digitální podpisy, které byly zapsány s jejich identitou a které nelze použít ani replikovat třetí stranou.
Když uživatel potřebuje přístup ke zdroji, poskytne svou biometrii (selfie) a může se dostat do sítě společnosti. Existuje několik způsobů, jak se uživatel může připojit ke vzdálenému zdroji, včetně skenování QR kódu nebo spuštění zprávy push ve svém smartphonu. Z tohoto důvodu organizace nyní s vysokou mírou jistoty ví, že osoba, která sedí u klávesnice, je tím, za koho se vydává - pokaždé, když se autentizuje.
Nyní je na čase, aby organizace přijaly tyto standardy identity - kvůli nim i pro jejich uživatele. Jelikož hybridní práce zde pravděpodobně zůstane a společnosti posoudí své náborové a bezpečnostní postupy, nikdy nebyl vhodnější čas investovat do nových systémů, které zajišťují maximální ochranu jejich nejdůležitějších aktiv.
Autor původního článku: Mike Engle
Překlad: Ondřej Strachota