עוד על האיום שמציבות רשתות חברתיות לנכסי המידע והידע של ארגונים וחברות

במסגרת סדרת הפוסטים העוסקת בדליפת מידע ארגוני באמצעות רשתות חברתיות, פוסט חדש דן באיומים הקונקרטיים הניצבים בפני ארגונים.

נסיונות לאיסוף מידע על ארגונים משתייכים לקטגוריה רחבה המכונה: "איומים עקביים מתקדמים" (APT). אלה מוגדרים כ:"ריגול מתוקצב ומאורגן היטב, המונע מאינטרסים כלכליים,המפעיל טכניקות של 'הנדסה חברתית' (Social Engineering); ועושה שימוש נצלני וחשאי בכדי לפרוץ לרשתות, בצורה הקשה לזיהוי באמצעים הטכנולוגיים הקיימים. כל זאת, במטרה לבסס כוח איסופי ארוך טווח בתוך מערכות המידע והתקשורת הארגוניות". התקפות אלו מבוססות על איסוף מידע באמצעות עובדי הארגון. התוקפים מאתרים ומסמנים עובדים העשויים להעניק להם גישה אל מידע רגיש או לספק מידע המאפשר לבצע פריצה לרשתות ולמערכות המידע הארגוניות.

רשתות חברתיות מהוות נקודת תורפה מרכזית באיסוף מידע מסוג זה. אחד המאפיינים הבולטים של סוגי ההתקפות המבוצעות דרכן הוא שההתקפות אינן חייבות להיות מתוחכמות מבחינה טכנולוגית בכדי להשיא תפוקה יעילה. איסוף בסיסי של מידע על ארגונים ברשתות חברתיות יכול להעלות מידע ערכי שיסייע באיתור הפרצה דרכה ניתן יהיה לחדור אל מערכות התקשורת והמידע של הארגון. כך לדוגמא, חיפוש פשוט ברשת החברתית המקצועית LinkedIn יכול לחשוף מיהו מנהל המערכות או הרשתות של הארגון ולסמן אותו כיעד לתקיפה. עמוד כזה יכול לכלול את שמו המלא, תפקידו בחברה, תחום ההתמחות שלו, כתובת הדוא"ל שלו, מספר הטלפון, הסטורי תעסוקתית, תמונה, מעגלי חברים ועוד. מידע זה, בוודאי אם יוצלב עם מידע אחר, עשוי לסייע לגורם זדוני לחדור אל ארגון היעד ו/או לנהל מעקב אחר עובד זה בשאיפה שבסופו של דבר יחשוף מידע רגיש.

תוכנות בסיסיות (סקריפטים) מסוגלות לבצע סריקות מסיביות ואוטומטיות של פרופילים מעין אלה ומגיעות אל המידע במהירות. איסוף מידע מכמה רשתות חברתיות יכול ליצור אצל הגורם האוסף תמונה ארגונית מלאה הכוללת: רשימות עובדים, דרכי ההתקשרות איתם, תפקידים, מבנה ארגוני, תחומי עיסוק ופעילויות, שינויים, מיפוי גורמי עבודה, מעקב אחר פרוייקטים ואפילו מידע על אנשים העשויים להוות שער כניסה אל הארגון, דוגמת בכירים או מנהלי מערכות מידע. מכיוון אחר, מידע רגיש על אנשי מפתח בארגון עשוי להוות מנוף לסחיטתם.

מידע רב-ערך זה עשוי להצביע גם על חולשות במערך האבטחה הארגוני ועל כיוונים שניתן לנצל לצרכי פריצה. מעקב אחר פרופילי עובדים מאפשר גם לעקוב אחר שינויים מבניים ותחלופת כוח-אדם בארגונים. כך לדוגמא, מעקב אחר פרופילי עובדים בתחום כוח-האדם עשוי ללמד שחברה מסויימת מגייסת עובדים לשירות הלקוחות שלה; ומכאן ניתן להסיק שהיא מתכוונת להשיק שירות או מוצר חדש ונערכת מבעוד מועד להגדלת מוקד שירות הלקוחות שלה. פיטורי עובדים רבים עשויים להעיד על קושי כלכלי, סגירת מחלקות, צמצום תחומי התמחות וכדומה.

בקשות חברות הן אמצעי קל ופשוט ליצירת קשר עם עובד ולאיסוף מידע דרכו, שהרי כאשר גולש או קבוצה מאשרים אדם כלשהו כ-"חבר" הוא הופך אותו שותף למידע נגיש ללא כל מאמץ. כך לדוגמא, תוקף יכול להצטרף לקבוצה מסויימת ולעקוב אחר הפעילות המתנהלת בה, או אף להקים קבוצה מטעמו, לצבור פופולריות, לבקש מחברי הקבוצה חברות אישית ולשאוב מהם מידע. גם עדכוני סטטוס מהווים נקודת תורפה, מאחר והם בעלי אופי אישי ולכן מאופיינים בפוטנציאל חשיפה גבוה (בוודאי אם הגולש הגדיר אותם כציבוריים). הם עשויים לכלול מידע רגיש לכשעצמו, או מידע שניתן להצליבו עם מידע ממקורות אחרים ולהפכו לבעל ערך. סטטוסים אף יכולים לכלול מידע שיצביע על פרצה פוטנציאלית לרשתות ולמערכות מידע. לדוגמא, סטטוס של עובד IT בחברה מסויימת הכותב "מסתבך עם התקנת 2007  Exchange Server בעבודה. מישהו יודע איך פותרים את הבעיה?". "חבר" לא מוכר יכול לנצל שורת סטטוס זו ולבצע חדירה זדונית לרשת המידע הארגונית.

עדכוני מיקום, כולל עדכונים אוטומטיים הנשלחים ממכשירים סלולאריים, יכולים גם הם לספק מידע רב על פעילות הארגון, באמצעות מיקום עובדיו. ניתן ללמוד על שגרת הפעילות של הארגון, על פעילויות שלעתים יש אינטרס להסתירן, לדעת עם אילו גורמי עבודה הארגון בא במגע, מהו היקף העובדים המצויים בשטח ואף לספק מידע לביצוע פעולות לוחמת-מידע נגדם. לדוגמא, אם ידוע שעובד מסויים נוהג לשבת בבית-קפה מדי בוקר (מכיוון שהוא מעדכן זאת ברשת החברתית), ניתן לשאוב מידע מרשת ה-WiFi הציבורית הבלתי-מבאובטחת, לבצע התחברות פיזית אל מחשבו, או לפרוץ אל ביתו מתוך ידיעה שהוא לא יהיה שם.

מודעות פרסומת

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s

%d בלוגרים אהבו את זה: