Un programa pot controlar errors dels empleats que exposen l’empresa als hackers

Un programa pot controlar errors dels empleats que exposen l’empresa als hackers

El sistema posa a prova a la plantilla amb missatges de ‘phishing’ per reduir el risc de les vulneracions de dades corporatives.

Vulneracions de dades com la que va atacar al sistema de correu electrònic del Pentàgon el mes passat sovint comencen quan una persona comet un senzill error com obrir un missatge de phishing. Però la indústria de la seguretat informàtica s’ha construït sobretot amb eines que exploren, posen pedaços o escodrinyen el programari en lloc dels errors humans.

La CEO de SafeStack, una empresa de seguretat d’Auckland (Nova Zelanda), Laura Bell, creu que ha trobat un mètode per abordar aquesta discrepància. Està desenvolupant un tipus d’escàner de seguretat per a les persones, en forma d’un programari anomenat Ava. Envia correus electrònics dirigits o missatges de xarxes socials per posar a prova als receptors i determinar el bé que se’ls dóna resistir-se a les trampes que donen pas a atacs perillosos.

“Si jo fos el hacker, em dirigiria a les persones”, diu Bell, que va presentar Ava en la conferència de seguretat informàtica Black Hat a l’agost. “Les persones representen la menor resistència, i hem de fer alguna cosa”.

Ava agafa dades de sistemes informàtics corporatius per mapejar els permisos de què disposen els empleats i avaluar la freqüència amb què es comuniquen entre si. També busca els perfils de xarxes socials dels empleats i les connexions entre ells, que poden fer ressaltar relacions claus que podrien resultar valuoses per a un atacant.

Llavors es pot utilitzar Ava per enviar missatges d’estil phishing als empleats per posar a prova les seves reaccions. Podria haver-hi un missatge d’un alt comandament demanant una contrasenya a un empleat de menor rang, per exemple, o un d’un company desconegut que utilitzi el nom d’un amic en comú i que demani que es comparteixi un document amb ell per Facebook.

La indústria de la seguretat disposa d’algunes maneres establertes per intentar frenar els anomenats atacs d’enginyeria social. La formació de seguretat s’ha convertit en una pràctica estàndard en moltes organitzacions grans, i algunes empreses simulen atacs de phishing periòdicament per subratllar els riscos que representen els correus electrònics falsos. Però Bell diu que el flux constant dels atacs causats per error humà demostra que l’educació no funciona. Mentrestant, les empreses que fan proves de phishing són poques, i generalment són proves úniques realitzades de forma manual, afirma.

La intenció d’Ava és permetre que les organitzacions buscarà patrons de comunicació i relacions claus de forma periòdica, explica Bell – sent una mica més semblant a un sistema automatitzada de defensa, com un tallafocs. Això podria possibilitar que es rastregin canvis en el nivell de vulnerabilitat humana d’una empresa amb el pas del temps, potser descobrint relacions amb els terminis de lliurament dels projectes o esdeveniments de formació, diu.

No obstant això, Ava segueix sent un treball en curs. Bell ha provat el programari amb diverses petites organitzacions del sector públic i privat a Nova Zelanda, i l’equip que treballa en el programari ha augmentat. Ara, un comitè d’ètica i privacitat recentment format està considerant els reptes legals i de privacitat que envolten l’engany

Leave a Reply