Il SANS Institute sta attribuendo una violazione dei dati che ha esposto circa 28.000 record contenenti informazioni di identificazione personale a un componente aggiuntivo dannoso di Office 365, che ha causato l'inoltro automatico dell'account di posta elettronica di un dipendente all'indirizzo di un utente malintenzionato.
L'autorità di formazione sulla sicurezza ha confermato a SC Media di essere stata vittima di una truffa di "phishing del consenso", un tentativo da parte degli avversari di convincere i dipendenti a installare un'applicazione dannosa e / o di concederle le autorizzazioni che le consentiranno di accedere a dati sensibili o eseguire funzioni indesiderate. E il fatto che una fonte affidabile di competenze informatiche sia stata vittima dello schema dimostra che nessuna organizzazione è immune da errori di sicurezza, poiché basta un solo dipendente disinformato, distratto o negligente per attivare un incidente.
Proprio il mese scorso, Microsoft ha avvertito di truffe di phishing del consenso rivolte ai lavoratori remoti e ai loro servizi cloud, incluso Office 365 (recentemente ribattezzato Microsoft 365). "… [C] le piattaforme rumorose sono ricche di dati ma a loro volta hanno attratto malintenzionati che cercano di ottenere un accesso ingiustificato a questi dati", ha scritto Agnieszka Girling, group program manager di Microsoft. "Uno di questi attacchi è il phishing del consenso … Invece di tentare di rubare la password dell'utente, un utente malintenzionato cerca il permesso per un'app controllata da un malintenzionato per accedere a dati preziosi".
Jim Yacone, capo missione presso il SANS Institute ed ex assistente direttore dell'FBI, ha dichiarato a SC Media che l'add-on “è stato il risultato di un'e-mail di phishing inviata a diversi dipendenti [del SANS]. Un dipendente ha fatto clic sul collegamento e ha autorizzato l'installazione del componente aggiuntivo dannoso, che ha consentito la creazione della regola di inoltro "che ha inviato 513 messaggi di posta elettronica contenenti i record esposti all'aggressore anonimo. "Non sono state divulgate credenziali, né malware attivo sul sistema della vittima o su altri sistemi SANS", ha continuato.
Yacone ha osservato che il phishing “era un messaggio di posta elettronica accuratamente creato che assomiglia a una condivisione di file da SharePoint tramite O365. Dopo l'installazione dell'add-on, al dipendente è stato specificamente “chiesto di concedere autorizzazioni speciali necessarie per impostare la regola di inoltro. Lo abbiamo convalidato durante l'analisi forense. Questa "concessione di autorizzazioni" evidenzia la necessità di istruire il personale e la comunità su questi tipi di attacchi tramite la consapevolezza della sicurezza ".
A tal fine, Girling di Microsoft ha precedentemente consigliato alle organizzazioni di comprendere i dati e le autorizzazioni richieste dalle applicazioni e di fare attenzione agli indicatori chiave di truffe di phishing del consenso come errori di ortografia e grammatica nelle e-mail e schermate di consenso delle app e nomi di dominio falsificati progettati per sembrare app e aziende legittime.
"Siamo in un'epoca in cui tutti, anche quelli delle organizzazioni di sicurezza, hanno bisogno di stare attenti agli elementi che si imbattono nella loro casella di posta, passando con il mouse sui collegamenti da tutte le fonti di posta elettronica per assicurarsi che corrispondano alle informazioni del mittente e controllando da chi proviene effettivamente l'e-mail ", ha affermato Heather Paunet, VP of Product Management presso Untangle.
In una notifica online , il SANS Institute ha affermato di aver scoperto per la prima volta la regola di inoltro sospetto durante una revisione del 6 agosto delle sue configurazioni e impostazioni di posta elettronica.
"Si tratta di una divulgazione unica che coinvolge l'accesso a una cassetta postale piuttosto che a un database [violato]", ha affermato Zack Allen, direttore dell'intelligence sulle minacce di ZeroFOX. "Le regole di inoltro dannoso sono sicuramente un vettore interessante per gli attori che eseguono compromissione della posta elettronica aziendale o, peggio, spionaggio. Soprattutto con i clienti SANS, che sono tutti professionisti della sicurezza che lavorano nelle più grandi aziende del mondo, questo potrebbe essere un attacco interessante da parte di un attore di raccolta di informazioni / spionaggio. Ma la risposta più probabile è un attore BEC più persistente che sta cercando dettagli finanziari ".
Il SANS Institute ha infine rimosso sia il componente aggiuntivo che la regola. Tuttavia, Chris Clements, vice presidente dell'architettura delle soluzioni di Cerberus Sentinel, dubita del motivo per cui l'organizzazione non ha individuato il problema prima. "È sorprendente che un'organizzazione come SANS abbia subito una violazione così ampia e che la compromissione non sia stata rilevata fino a quando non è stata presa una revisione presumibilmente non correlata delle configurazioni di posta elettronica", ha affermato.
La società è stata criticata anche per come un account di posta elettronica abbia compromesso quasi 30.000 record. "La violazione di una singola e-mail … non dovrebbe portare a un'esposizione così significativa dei dati PII, anche se si tratta di una goccia nell'oceano di violazioni dei dati divulgate negli ultimi 18 mesi", ha affermato Ilia Kolochenko, fondatore e CEO di ImmuniWeb.
Per il momento non è chiaro il ruolo organizzativo del dipendente del SANS Institute che è stato phishing.
"Non sappiamo se il dipendente … faceva parte del team di sicurezza o se era in un'altra funzione come vendite, marketing o operazioni … ha affermato Chloé Messdaghi, vicepresidente della strategia presso la collega organizzazione di formazione di infosec Point3 Security. "Se l'obiettivo del phishing era qualcuno che non fa parte del team di sicurezza SANS, si pone domande sul tipo di formazione che avevano … E se la vittima di phishing al SANS è effettivamente qualcuno del team di sicurezza, è importante rendersi conto che probabilmente non lo è apatico nei confronti delle pratiche di sicurezza, ma che l'organizzazione potrebbe non investire nei propri team di sicurezza o che i membri del team potrebbero soffrire di burnout ".
La formazione interna del SANS Institute e i controlli di sicurezza dovrebbero essere abbastanza forti da impedire che si verifichi un evento del genere? Più facile a dirsi che a farsi.
"Non credo che dovremmo ritenere il SANS responsabile dello stesso standard di sicurezza e protezione dei dati che imponiamo, diciamo, alle istituzioni finanziarie e ad altri settori altamente regolamentati", ha affermato Kolochenko. “Altrimenti, la loro formazione diventerebbe esorbitante e poche organizzazioni potranno permettersela, provocando un effetto domino di insicurezza globale e scarsa consapevolezza. Come molti altri, il SANS sembra essere vittima di misure impreviste di lavoro da casa (WFH) che hanno minato molti meccanismi di sicurezza e controlli prontamente disponibili in ufficio ".
Salvatore Stolfo, CTO e fondatore di Allure Security e professore di informatica alla Columbia University, ha affermato che l'attacco serve come "campanello d'allarme di cui molte organizzazioni hanno bisogno: i phisher e i truffatori di oggi sono semplicemente bravi. Abbastanza buono da ingannare anche l'occhio più professionale. "
In questo senso, l'incidente funge da promemoria per la formazione sulla consapevolezza della sicurezza non è una panacea per gli attacchi informatici. Non ci sono punti salienti e le organizzazioni potrebbero voler integrare la formazione dei propri dipendenti con tecnologie progettate per rilevare le minacce basate sulla posta elettronica. Naturalmente, questo non è necessariamente il miglior messaggio di marketing per un'azienda specializzata nella formazione.
"Le organizzazioni che si affidano alla formazione e alla vigilanza dei propri utenti dovrebbero utilizzarla come un'opportunità per riconsiderare la propria strategia anti-phishing … una che toglie la responsabilità agli utenti e consente ai team di sicurezza di assumere il controllo e risolvere il problema con la tecnologia, "Ha affermato Stolfo, la cui azienda, va notato, è tra quelle che offrono un approccio basato sulla tecnologia per combattere il phishing.
Inoltre, non è una buona idea quando un'organizzazione specializzata in formazione informatica commette una gaffe informatica. "Le organizzazioni di sicurezza generalmente subiscono più danni al marchio a causa di incidenti di sicurezza rispetto alle aziende in altri settori verticali", ha affermato Stolfo, sebbene "tali impatti siano generalmente temporanei, soprattutto se l'organizzazione rivela la violazione in modo trasparente e coglie l'opportunità di parlare apertamente delle lezioni apprese che farà in modo che il passato non si ripeta. "
E questo sembra essere il caso qui. In effetti, gli esperti hanno ampiamente elogiato il SANS Institute per la sua tempestiva risposta agli incidenti e la sua resilienza.
“La reazione rapida e trasparente del SANS a questo incidente è lodevole e professionale. Inoltre, questo incidente abbastanza insignificante aumenterà probabilmente la sicurezza interna di SANS e fornirà ulteriore fiducia ai suoi clienti e partner ", ha affermato Kolochenko.
“… Bravo con loro perché sono stati veloci e schietti nel rispondere. Anche se alcune informazioni personali sono state divulgate, avrebbe potuto essere peggio – fortunatamente, nessuna informazione finanziaria è trapelata ", ha detto Messdaghi.
"Quando un'organizzazione di sicurezza rispettata come il SANS Institute sperimenta un evento come questo, sottolinea che per molte organizzazioni il tentativo di prevenire ogni singolo attacco è un compito stupido e costoso", ha affermato Tim Wade, direttore tecnico del CTO Team di Vectra. Il vero segno distintivo della sicurezza moderna è la resilienza agli attacchi: la capacità di eseguire un rilevamento e una risposta tempestivi prima che si verifichino danni materiali anche dopo che i controlli preventivi hanno fallito. Inoltre, i passi che il SANS Institute sta compiendo per completare un'indagine approfondita e utilizzare i risultati di tale attività per istruire e preparare ulteriormente il resto della comunità di sicurezza dovrebbero essere applauditi ".
Basta un clic, che può accadere in un batter d'occhio, prima ancora di rendersi conto di quello che hai fatto ", ha affermato Lisa Plaggemier, Chief Strategy Officer di MediaPro. "Pensa a quanto velocemente ci spostiamo tutti nella nostra posta elettronica nei giorni di punta. A ciò si aggiunge lo stress di Covid. In poche parole, gli esseri umani sono fallibili … La cosa importante è che siano stati rapidi e chiari con la loro divulgazione e che adottino misure per evitare che accada di nuovo. "
Yacome ha fornito a SC Media ulteriori specifiche oltre a quelle dettagliate nella notifica di violazione del SANS Institute, confermando che le PII compromesse appartengono a due gruppi diversi.
“Il primo gruppo era costituito da individui che si erano recentemente registrati per il nostro vertice virtuale DFIR (Digital Forensics and Incident Response Distribution) e il secondo gruppo erano individui che facevano parte dei programmi di sensibilizzazione generale SANS. Poiché gli elenchi compromessi erano destinati alla comunicazione di base, i dati consistevano in informazioni ampiamente disponibili in database disponibili al pubblico ". I record dei clienti e degli istruttori non sono stati influenzati e non tutti coloro che si sono registrati per il summit sono stati influenzati.
I dati esposti includevano nome, luogo di lavoro, titolo di lavoro, settore, indirizzo e paese di residenza.
Il SANS Institute condividerà ulteriori dettagli in un prossimo webcast, che includerà screenshot dell'e-mail di phishing oscurata, ha detto Yacone.
La violazione post SANS Institute dimostra che chiunque può cadere vittima di una truffa di "phishing del consenso" apparsa per la prima volta su SC Media .