Dla wielu organizacji konieczność uruchomienia pracownikom możliwości pracy zdalnej była nie lada wyzwaniem między innymi ze względów bezpieczeństwa. Zwłaszcza że w wielu przypadkach postanowiono przenosić życie biurowe do wirtualnej 1:1, co poskutkowałem wybuchem popularności umiarkowanie bezpiecznych narzędzi, np. Zooma. Niektóre firmy zdecydowały się jednak podejść do bezpieczeństwa pracy zdalnej bardzo na serio, o czym przekonały się osoby zatrudnione przez repozytorium GitHub.

Ofensywne bezpieczeństwo na GitHubie

GitLaba oczywiście nie trzeba nikomu przedstawiać, jest to jedno z największych internetowych repozytoriów kodu, które wzbogaciło się znacznie, jeśli chodzi o liczbę użytkowników, po przejęciu GitHuba przez Microsoft. Można zakładać, że GitLab już wcześniej miał wypracowane sprawdzone standardy pracy zdalnej, ale jej popularyzacja po wybuchu pandemii wymusiła wprowadzenie nowych miar bezpieczeństwa. Jak się teraz przekonujemy, nie brakowało przedsięwzięć noszących znamiona tzw. ofensywnego bezpieczeństwa.

Grupa GitLab Red Team, a zatem grono specjalistów zatrudnionych w firmie i wyspecjalizowanych w odgrywaniu roli napastników, przeprowadziło w ostatnim czasie kampanię phishingową wycelowaną w… pracowników GitLaba wypełniających swoje obowiązki w trybie zdalnym. Wykorzystano w tym celu framework GoPhish, za pomocą którego zrealizowano dopracowaną kampanię phishingową. Do pracowników GItLaba rozesłano maile podszywające się pod korespondencję z GSuite, które zachęcały ich do zalogowania się na stronie w domenie gitlab.company.

Warto zaznaczyć, że na żadnym etapie ataku GitLab Red Team nie użył prawdziwej domeny serwisu. Wyniki nie nastrajają optymizmem: 34% adresatów wiadomości kliknęło link zawarty w wiadomości, z czego 59% podało na fałszywej stronie swoje dane uwierzytelniające. Choć test był przeprowadzony na relatywnie małą skalę (kampania trafiła raptem do 50 pracowników), to i tak aż 20% z nich dało się nabrać i przekazało swoje loginy i hasła. Zaledwie 12% zgłosiło próbę phishingu. Oczywiście nasuwają się pytania o słuszność realizowania takich „prowokacji”, ale czy słusznie?

Tak powinno być w każdej firmie

Wyniki eksperymentu przeprowadzonego przez GitLab Red Team siłą rzeczy muszą wypadać nieźle ze względu na specyfikę serwisu, jego branżę, a co za tym idzie – profil pracowników. Mimo to co piąty pracownik dał się przekonać, że ma do czynienia z prawdziwą witryną. Nie ma wątpliwości, że gdyby podobne próby przeprowadzono na przykład wobec w stosunku pracowników rodzimej administracji czy innych instytucji, złapać w pułapkę dałoby się znacznie więcej osób. Tego typu ofensywne bezpieczeństwo to więc dobry sposób, by zidentyfikować słabe punkty.