Názory k článku Nejslabším článkem je nepoučený či nezodpovědný uživatel, tvrdí bezpečáci

Spoustu utoku ktere vidim v posledni dobe nemaji uzivatele sanci odhalit. Dorazi vam email od firmy se kterou bezne komunikujete, spf/dkim vporadku, odkaz smeruje na sharepoint ze ktereho budto otevrete nejaky excel nebo PDF. Dale je to obvykle nejaky dropper. Security awareness je dulezita ale v tomhle pripade uzivatel nema sanci.

tam pak musi pomoct technologie a proces. Soubory vymenovat overenym kanalem ktery idealne soubory prozene vice AV nebo nejlepe sandboxem.

to se ti řekne, ale zrovna MS a jeho odkazy na onedrive, sharepoint a další, které cpe do emailů místo příloh jsou dost těžko rozeznatelné od sebe, dopředu skoro nevíš, na který účet to vede. Je těžké vytvořit i ad-hoc pravidla dodatečně po útoku, natož aby to uživatelé bezchybně sami rozpoznali.

Jakoze soubory se nebudou sdilet pres sharepoint/onedrive ale treba pres mega.nz? A cemu to jako ma pomoct?

ne, myslel jsem neco, co ma firma ve sve moci. Treba https://www.sofie.cloud/cs/

První komentář píše „spf/dkim vporadku“, takže asi moc firmy nepomohla. Jinak od uvedeného bych dal ruce pryč kvůli tomu logu Fortinetu :D, to firma se snad nejděravějšími a nejzabackdooro­vanějšími řešeními na světě.

Tohle je už docela sofistikovaný útok. Vetší průser je za mě běžná komunikace ve firmách. Před časem jsem měl za úkol získat nějaké informace z jedné konkrétní firmy. Nulová zkušenost s nějakými sociálními útoky.

Založil jsem si účet na freemailu na jméno jednatele, obšlehl patičku a vizuál a pak rozeslal 6 lidem maily typu potřebuji seznam dodavatelů za minulý kvartál a podobně. 4 z 6 lidí poslali přesně to, co jsem chtěl. Částečně obstály dvě ženské z účtárny, ale spíše náhodou. Chtěl jsem po nich skenované dokumenty a ony to neuměly přiložit do odpovědi, takže to nechali na aplikaci skeneru, která jim otevřela Outlook s nachystanou přílohou a pravého jednatele vybraly z adresáře.

A v tom XLS/PDF je 0day nebo jak to pak dál pokračuje?

Nicméně současný sentiment (zmíněný i v článku) „BFU něco spustil a ransomware nám zašifroval data a zablokoval továrnu, může za to BFU!“ je nesmysl, BFU ideálně nemá mít možnost něco spouštět ale především nemá mít možnost přepsat všechna data a zálohy(!) a zablokovat továrnu. Jenom se pak hledá obětní beránek -- podobně jako když se několikrát za rok člověk dočte, že nějaký strojvedoucí na železnici projel Stůj, a došlo k nehodě, a hodí se to na toho strojvedoucího, místo aby se řešilo proč proboha v roce 2022 na nejvytíženější trati v ČR není něco co vlak zastaví.

Z pohledu BFU vidím problém v tom, když bezpečnostní opatření svazují uživatelům ruce tak, že musí vynaložit nezanedbatelné úsilí navíc, aby mohli dělat svou práci. V extrémním příkladě zhasneme v knihovně, aby si nikdo nepovolaný nepřečetl žádný citlivý text a těm povolaným dáme svítilny.

Bezpečák by proto měl opatření dělat s ohledem na BFU. Jestliže BFU má tendenci používat nějaký nebezpečný nástroj, který mu zjednodušuje práci, je namístě mu nabídnout srovnatelný bezpečný nástroj. Dalo by se to nazvat "kanalizace lenosti" - či hezky anglicky "laziness drain" :-) Zkrátka usměrnit uživatelovu lenost tak, aby nenapáchala škody. Když technik ve výrobě používá okousaný šroubovák, nestačí mu jej sebrat, je třeba zjistit, proč jej používá a dát mu správný.

Mimochodem, co třeba takový Google Translate? Je bezpečné ho používat k překladu firemních textů nebo by měl být blokován?

Aby je počítač přestal obtěžovat, povolí všechno, na co se jich ptá.
Kolik uživatelů (či adminů) nepovoluje všechny cookies? Kolik uživatelů (či adminů) pročítá stovky řádků textu různých podmínek? Kolik uživatelů neodklikne hlášky, kterým nerozumí a raději přeruší svou práci.

Zkrátka usměrnit uživatelovu lenost tak, aby nenapáchala škody. Když technik ve výrobě používá okousaný šroubovák, nestačí mu jej sebrat, je třeba zjistit, proč jej používá a dát mu správný.

Tak tak. Koľkokrát sme videli, že firemná VPN je nastavená ako default gateway, je to vynútené na klientovi politikou na serveri, a reálne je na opačnom konci routovaných iba zopár IP adries, ku ktorým má používateľ prístup? A to, že mu nejde zvyšok internetu, nevygoogli ani prd, keď je treba, to je v poriadku, lebo veď bezpečnosť.

No a presne takto sa vychovávajú používatelia, aby mali negatívny prístup ku všetkému, čo im bezpečáci hovoria.

Mimochodem, co třeba takový Google Translate? Je bezpečné ho používat k překladu firemních textů nebo by měl být blokován?

Tu alternatíva existuje, Firefox Translations, funguje offline. Akurát treba používať Firefox :)

Kolik uživatelů neodklikne hlášky, kterým nerozumí a raději přeruší svou práci.

Koľko používateľov si prečíta EULU, ktorú na nich vyblafne softvér poskytnutý zamestnávateľom? A koľko z nich to rovno odklikne, vs koľko z nich si dovolí nesúhlasiť?

> Koľko používateľov si prečíta EULU, ktorú na nich vyblafne softvér poskytnutý zamestnávateľom?

Software poskytnutý zaměstnavatelem je přece jeho problém, ne?

To je síce pravda, ale tu ide o "nečíta a odlikne". Čítanie s porozumením je tak o jeden-dva levely ďalej.

Pokud mi zaměstnavatel řekne, abych toto používal na práci, tak to EULA odkliknu během chvilky. Nezajímá mne co je tam napsané. To jistě ví firemní právník, nebo alespoň ten šéf si to přečetl.

Pokud to tak není, je to jejich zodpovědnost. Ne moje.

To je přesně ono, spolupráce IT a bezepečáků naprostý základ, spolupráce vedení taky zásadní, ale že by se třeba mohlo spolupracovat s uživatelem to nikoho ani nenapadne (krom vás teda).
Ale všichni se diví že uživatel svádí doslova boj s IT aby mohl fungovat aspoň trochu efektivně a často i aby vůbec mohl fungovat.
Korunu tomu nasadilo svého času ZF kde se jakýkoliv požadavek na IT dělal kliknutím na tlačítko "create incident"

"Nejslabším článkem je nepoučený či nezodpovědný uživatel, tvrdí bezpečáci"
Já zase tvrdím, že nejslabším článkem je neschopnej ajťák. Schopnej ajťák by měl uživatele poučit a kontrolovat jestli to poučení dodržují.

Tím ale fakticky sám říkáš, že běžný uživatel je tím nejslabším článkem, když musí být i po poučení kontrolován. A jak má ajťák uhlídat člověka, který - byť poučen - je schopen bez přemýšlení otevřít i přílohu s názvem "klikni-na-mě-a-uvidíš-koťátko.exe", která dorazila v mailu z adresy "tvoj-tovarisc@svoloc­.ru"?

Já tvrdím, že několik kliknuti myšítkem může zaměstnavateli způsobit větší škodu než kdyby někdo ukradl vyběhaný soustruh (třeba když někdo omylem nebo ze zlé vůle přepošle konkurenci e-mail s obchodní nabídkou).
A podle toho by mělo vypadat zabezpečení.

Jde omezit situaci, kdy uživatel dostane email s přílohou "klikni-na-mě-a-uvidíš-koťátko.exe". Obvykle je výrazně těžší přesvědčit management, že řešení snížení rizika existuje, jen to chce trochu více peněz. Většina managerů bohužel očekává koupi Mercedesu s rozpočtem na Fabii :(

A jak má ajťák uhlídat člověka...
Podle mne ajťák nemá hlídat člověka, ale má mu nastavit práva, která odpovídají jeho schopnostem i potřebám. Musí mu umožnit vykonávat zadanou práci bez zbytečných buzerací (extrém: dvakrát denně si změň heslo a jednou denně nastuduj 10 stránek nových směnic). Zároveň mu neposkytovat možnosti, které k práci nepotřebuje (extrém: serverovna i trafostanice jsou volně přístupné komukoliv).

Co když místo přílohy s názvem "klikni-na-mě-a-uvidíš-koťátko.exe" bude příloha s názvem "proforma-86543.pdf.exe" z adresy "fakturace@mi­crosoft.com"?

Problém je že používateľ často má na výber len 2 možnosti,
pretože software je tak "na chuja urobený".

- Buď urobí čo nutne potrebuje urobiť a vystaví sa pri tom riziku.
- Alebo nič neurobí, a je mu celé zariadenie zbytočné.

A toto je častý problém, dokonca aj rovno v operačných systémoch.
Najmä na mobilných zariadeniach v podstate nemá na výber.

Ano, bezpečnostní opatření musí umožnit zaměstnanci pracovat. To zní jako samozřejmost, ale pracoval jsem v jednom korporátu, kde to rozhodně samozřejmost nebyla. O tom, co bezpečnostní opatření mají umožnit, totiž rozhodují často manažeři, kterým k jejich práci stačí, když jim funguje Office a webový prohlížeč.

Mně se třeba opakovaně dostávalo kritiky od mého šéfa, že nesleduju aktuální způsob jak obejít opatření a vypnout si antivir, abych měl build projektu 4x rychlejší. A zároveň mě i varoval, abych před jeho nadřízenými neprozradil, že to někdo dělá.

Nebo spousta korporátních manažerů vymýšlí používání různých outsourcovaných služeb, které sídlí na různých podivných doménách a vlastně tím nutí zaměstnance klikat na podivné odkazy v mailech z těchto služeb. A ještě se diví, že to lidi nahlašují jako podvodný mail.

Pak nějaký zaměstnanec řekne, že něco není oprávněn udělat, protože mu to zakazují bezpečnostní opatření a je z něj hned černá ovce, která švejkuje a jenom hledá způsob, jak se vyhnout práci.

...A jak má ajťák uhlídat člověka, který - byť poučen - je schopen bez přemýšlení otevřít i přílohu s názvem "klikni-na-mě-a-uvidíš-koťátko.exe", která dorazila v mailu z adresy "tvoj-tovarisc@svoloc­.ru"?...

Ajťák má uživatele PROKAZATELNĚ poučit, nejlépe písemně, že tohle dělat NESMÍ, informovat ho, co se může stát když to udělá a jaké to bude mít následky pro něj. To poučení mu má dát i písemně a kopii si od něj má nechat podepsat.
Napadá mne analogie:
Když mi šéf ve firmě kde jsem měl to potěšení být zaměstnaný sdělil, že mne jmenoval jako řidiče - referenta pro firemní auta (o tuhle poctu jsem neusiloval ale ani jsem se jí nebránil), šel jsem za šéfem dopravy, jestli chce vidět můj řidičák. Prý ne, že mi věří.
Když jsem snad jen jednou musel vyjet firemní dodávkou mercédes co jsem podobné auto nikdy předtím neřídil, z vlastního zájmu jsem požádal kolegu co s ní jezdil, aby mne zaškolil - co se kam má lejt a podobně. Ale všechno jsme neprobrali a hledat na dálnici, kde se pouštějí stěrače není zážitek co bych ho chtěl zažívat moc často.
Pak jsem na školení řidičů referentů poznamenal, že školení by mělo mít i praktickou část , aby se podobná situace pokud možno už nestala, nevšimnul jsem si, že by to někoho zajímalo.
Pro pobavení: Ta firemní auta snad nebyla havarijně pojištěná.

Hlavní problém je v tom, že někteří si proškolení pletou s přenesením odpovědnosti.

Každý i zkušený uživatel může skočit na např Phishingovou léčku. Vzdělávání koncových uživatelů není řešením bezpečnosti, ale pouze snížením plochy přes, kterou může být útok veden. Resp. snížení pravděpodobnosti úspěšnosti daného útoku, ale už ne jeho eliminace. Tu nedokážou vyřešit ani nejlepší systémy. Ad absurdum možná, ale pak je systém nepoužitelný. Je potřeba tedy vzít v potaz i možnost úspěšného útoku a v návrhu systému řešit std. postupy, jak se s následkem rychle a co nejlevněji vypořádat a také to, že kompromitace jednoho bodu nevede k přímé kompromitaci dalšího, resp. omezení řetězové reakce.

Takže, když to doplním. Tak tvrzení, že nejslabším článkem je uživatel není z tohoto pohledu pravdivé. Pravdivé tvrzení je, že koncový uživatel je rizikem, které nedokáži eliminovat úplně, ale mohu jej snížit. Nejslabším článkem, pak je IT společně s bezpečákama, kteří s touto skutečností správně nepracují a pokud dojde k prolomení, tak označí za příčinu konkrétní osobu. Přitom je předem známo, že k tomu dojde dříve nebo později.