Современный рынок информационной безопасности наполнен всевозможными передовыми решениями с приставками под названием Next Generation, Unified, AntiAPT или хотя бы 2.0. Производители обещают новый уровень автоматизации, автоответ, распознавание нулевого дня и прочие чудеса.
Любой специалист по безопасности знает: необходимо интенсивно защищать периметр, вовремя устанавливать патчи, внедрять хостовые и потоковые антивирусы, DLP, UEBA и другие инструменты.
Можно и даже нужно организовать ситуационный центр (SOC) и выстроить процессы выявления и реагирования на инциденты, проводить сложную Threat Intelligence и обмениваться фидами.
В общем, это то, чем наполнена жизнь рядового чекиста, чуть более чем на 100%.
Но все это бесполезно! Потому что внутри любой компании есть Homo уязвимый (в просторечии — сотрудник), иногда очень много.
Его далекие предки Homo sapiens sapiens, пройдя этапы дарвиновской эволюции, в совершенстве освоили работу с браузером, почтовым клиентом и офисным пакетом, и теперь мы видим Homo уязвимым.
От Homo sapiens sapiens он отличается наличием смартфона, кучей аккаунтов в социальных сетях и атрофированной способностью изобретать инструменты из палок и камней.
Он тоже что-то слышал о хакерах, но это где-то там, потому что даже если он с ними столкнется, ему не будет больно и страшно: максимум, чем он рискует, — это определенная сумма денежных единиц.
Сотрудникам ИБ некогда заниматься Homo уязвимыми: они неохотно идут на обучение, быстро забывают информацию и часто меняются.
Но, находясь внутри инфраструктуры компании, они становятся риском не только для себя, но и для организации в целом.
Поэтому игнорировать или откладывать эту проблему на потом – в корне неверный подход. Как показывают наблюдения последних 30 лет, хакеры все чаще предпочитают путь использования социальной инженерии непосредственному взлому периметра компании по простой причине – это проще, быстрее и эффективнее.
Рассылки становятся все более изощренными и не обнаруживаются мерами безопасности.
Опустим здесь рассуждения в духе «а ведь раньше.
» и «это может сделать любой дурак!» и давайте сосредоточимся на главном: как компания может защитить себя от взлома со стороны сотрудников, неосведомленных в вопросах информационной безопасности? Ведь на солнце тоже есть пятна.
Сотрудники ИТ-отдела и топ-менеджеры, хотя и реже, чем колл-центры и секретари, также попадаются на фишинг, очень часто это целевой фишинг — последствия объяснять не нужно.
Что делать силовику с пресловутым человеческим фактором? Как обычно, вариантов несколько (не считая радикальных), но не все они одинаково полезны:
- купить еще больше волшебных средств;
- отправить всех сотрудников на внешние курсы по информационной безопасности;
- отказаться от людей везде, где это возможно, начав путь к полной автоматизации производства;
- наладить постоянное обучение сотрудников непосредственно на рабочем месте.
Уязвимость уязвимого типа гомо
По нашему данные В 2018 году доля фишинговых атак в общем ландшафте киберугроз за последние два года выросла с 54% до 70%.В среднем каждый седьмой пользователь, не проходящий регулярные разъяснительные работы, поддается социальной инженерии.
К данные «Лаборатория Касперского»: в 2018 году с фишингом столкнулись 18,32% уникальных пользователей.
ТОП хакерского фишинга «возглавили» глобальные интернет-порталы (их доля от общего числа жертв составляет 24,72%), на втором месте банковский сектор (21,70%), далее следуют платежные системы (14,02%), интернет-магазины ( 8,95%), государственные и налоговые органы (8,88%), социальные сети (8,05%), телеком (3,89%), мессенджеры (1,12%) и IT-компании (0,95%).
Группа-ИБ примечания В 2018 году значительно выросло количество преступлений, связанных с веб-фишингом, фейковыми сайтами банков, платежных систем, операторов связи, интернет-магазинов и известных брендов.
При этом злоумышленникам удалось увеличить свои доходы от фишинга на 6% по сравнению с предыдущим периодом.
Как видим, «славный» бизнес Кевина Митника, родившегося в далеких 80-х, не только живет, но и достаточно развивается.
Это и понятно: серьезная компания, завлекающая хакера серьезными деньгами, как правило, строит нетривиальную многоуровневую защиту своего ИТ-ландшафта.
Злоумышленнику нужно обладать недюжинными способностями и потратить довольно много времени, чтобы найти уязвимость и придумать, как ее эксплуатировать: загрузить, закрепиться в инфраструктуре, создать себе пользователя незаметно для администраторов — причем на любом этапе.
можно запросто «недосчитаться»… Гораздо проще и быстрее отправить фишинговое письмо и найти хотя бы одного человека внутри компании, который ОТВЕТИТ, или попросит записать что-нибудь на флэшку.
Кого чаще всего обманывают и как?
В соответствии с наш Согласно статистике, собранной по нескольким десяткам крупных российских компаний, наиболее отзывчивые на фишинг-гипноз граждане работают в следующих подразделениях:- юридическое обслуживание - каждые 4 сотрудника
- бухгалтерская и финансово-экономическая служба – каждый 5-й сотрудник
- отдел логистики – каждый 5-й сотрудник
- секретариат и техническая поддержка – каждые 6 сотрудников
Имитируя деловую переписку, мошенники используют реальные реквизиты, логотипы и подписи компаний-отправителей или ведомств.
И тут, по старой цыганской традиции, в дело вступает психология.
Здесь хакеры эксплуатируют человеческие «уязвимости».
Например, жадность : мега скидка, бесплатная поездка или бесплатный приз не оставят равнодушным даже генерального директора (увы, случай из практики).
Еще одним фактором является ожидание .
Например, ДМС практически во всех организациях выдается в начале года – в это время фейковое письмо с заветным полисом, скорее всего, не вызовет подозрений у персонала.
Еще один трюк стар как время – срочность и авторитетность источника .
Если оператор или бухгалтер, работая в постоянном цейтноте, вдруг получит письмо от знакомого контрагента с просьбой «СРОЧНО оплатить», то он наверняка откроет и письмо, и вложение к нему (увы, примеров много) и попросите коллегу сделать то же самое, когда файл не откроется у нее/его компьютера, и только тогда она поймет, что произошло.
может быть.
Конечно, они тоже играют страх : «Ваша учетная запись Google/Apple заблокирована.
Подтвердите, что вы — это перейдя по ссылке» — вполне рабочий вариант, и не важно, что аккаунт привязан к личной почте, а письмо пришло на корпоративную почту.
Человек любопытство также играет на руку мошенникам – кому не захочется увидеть фотографии с корпоратива? И таких рычагов влияния очень много.
После предварительной обработки человека заманивают на страницу, где он вводит логин и пароль (а затем эти данные продвигаются).
Человеку предлагают либо вредоносное ПО - дроппер, который не обнаруживается никакой информацией о безопасности, но, попадая на компьютер жертвы, проверяет хост на наличие антивируса и проводит тесты в песочнице, далее загружая утилиты.
для удаленного доступа предлагается либо шифрование диска, либо основной корпус вредоносной программы, после чего она загружает офисные файлы, архивы и корреспонденцию, до которой могла добраться (в том числе сетевые диски и общие ресурсы), на внешнее, подконтрольное злоумышленнику хранилище.
Киберграмотность? Нет, мы не слышали
В нашей компании работает команда пентестеров, которые регулярно проводят для клиентов так называемое социотехническое тестирование — тесты на проникновение, в которых основным вектором атаки являются люди.
Дело 1
Один из заказчиков заказал такое тестирование в начале марта этого года.Целью был отдел кадров из 30 человек.
В качестве шаблона фишингового письма была выбрана акция известного интернет-торговца алкоголем, предлагающая 20% скидки на вино и шампанское.
Мы, конечно, понимали, что накануне Международного женского дня это очень актуальная рассылка, но не ожидали, что так будет. К концу дня количество переходов по ссылке превысило 500 уникальных.
визиты не только с этой организации, но и с совершенно не связанных с ней адресов.
А на следующий день мы узнали, что в ИТ-службу компании поступило более 10 гневных писем от сотрудников о том, что их ссылку невозможно открыть из-за «кривой политики доступа в Интернет».
Как мы видим, если попасть в цель и со временем добиться ее, эффект может превзойти все ожидания.
Случай 2
Еще один показательный случай произошел в компании, где сотрудники долго ждали нового ДМС.Мы подготовили соответствующее «фишинговое» письмо и разослали его всем сотрудникам.
Мы вообще не рекомендуем этого делать, чтобы избежать влияния коллективного разума.
В эту историю попали даже те, кто действительно занимался составлением нового договора добровольного медицинского страхования, и те, кто работает с нами бок о бок и вроде все знает, а мы об этом каждый день жужжим - ан нет, попали для этого.
Многие быстро поняли, что допустили ошибку, и честно сдались в службу ИБ, но были и те, кто даже через несколько дней продолжал требовать ДМС, обращаясь к нашей рассылке и рассылая «фишинговое» письмо по всей компании.
.
Подобную социальную инженерию «индивидуального пошива» не отловит ни одна антиспам-система, и сотрудники, сами того не желая, могут легко отменить всю вашу защиту.
А если учесть, что корпоративная почта есть еще и на личных планшетах и смартфонах сотрудников, которые никак не контролируются службой информационной безопасности, то сотруднику службы безопасности остается только расслабиться и с удовольствием развести руками.
Или нет? Что я должен делать?
Фишинг против фишинга: как научить сотрудников различать
Есть несколько способов решить эту проблему.Многие компании сегодня работают по классике (как и много лет назад, когда хакеры еще ходили под столом): выделяется специально обученный человек, который пишет правила ИБ поведения, и при приеме на работу каждый сотрудник обязан изучить этот нетленный документ, подписать и принять к сведению.
Однако последний пункт при таком подходе является совершенно необязательным.
Все эти грозные указания человек помнит в лучшем случае до конца испытательного срока (особо мстительные не в счет).
Как вы думаете, что произойдет, если через год-два или даже раньше он увидит в своем почтовом ящике «заветное письмо»? Вопрос риторический.
Для сотрудника службы безопасности такой метод работы с личным составом немногим эффективнее, чем скрещивание пальцев на удачу.
Какие еще варианты? Вы можете отправлять людей в внешние курсы повышение киберграмотности – по крайней мере, для ключевых специалистов.
В этом случае человек идет слушать лекции на день-два.
Метод, конечно, более эффективный, но: 1) мы вытаскиваем людей из рабочего процесса, что само по себе сложно и дорого; 2) у нас нет возможности контролировать качество обучения — человек может пропускать лекции или спать во время них.
Как правило, по окончании таких курсов тесты не проводятся.
Но даже если они есть, через какое-то время мы снова вернемся к старой ситуации: сотрудник все забыл, потерял бдительность, запутался (нужное подчеркнуть) и попался, а компания пошла за ним.
Наш подход к обеспечению безопасности
Мы считаем, что киберграмотности можно и нужно обучать на рабочем месте — когда у сотрудника есть свободное время.Однако если просто пойти по пути онлайн-курсов – дать теоретическую базу, а затем проверить свои знания – все это рискует превратиться в простую теорию, сильно оторванную от практики (грабли EG? нам всем помогут).
Человек плохо запоминает прочитанное – лучше, если он испытал это лично, но идеально усваивается информация, с которой у ученика связаны определенные эмоции.
Если вас сжала дверь метро так, что ваша голова осталась снаружи, а туловище внутри, и поезд тронулся, скорее всего, вы прекрасно запомните все внутреннее «украшение» тоннеля.
Шутка, конечно, хотя и с долей истины.
Проведение «боевого крещения» путем организации имитации фишинговых атак на сотрудников просто необходимо для того, чтобы на живом примере показать им, где они были неправы, где их поймали и как перенести свои теоретические знания на практический уровень.
В конце концов, такая практика чрезвычайно полезна в частной жизни, поэтому сотрудники (пусть и не все;) наверняка скажут вам спасибо.
Как ребенка учат не разговаривать с незнакомыми людьми и не садиться к ним в машину за предложенными конфетами, так и взрослого нужно научить не доверять неизвестным источникам и не вестись на мелкие выгоды и выгоды.
Еще один важный момент: частота таких занятий, процессный подход. Без необходимости навыки со временем атрофируются, и час Х может наступить внезапно.
Кроме того, атаки постоянно развиваются, появляются новые виды социальной инженерии — соответственно должна обновляться и учебная программа.
Частота проверок варьируется индивидуально.
Если сотрудники мало привязаны к ИТ, стоит проверять их кибербдительность хотя бы раз в квартал.
Если же, наоборот, речь идет о специалистах, имеющих доступ к ключевым системам, то чаще.
В следующей статье мы расскажем, как наша платформа Security Awareness проверяет устойчивость сотрудников к фишингу.
Не переключайтесь! ;) Теги: #информационная безопасность #фишинг #социальная инженерия #защита от фишинга #фишинг #осведомленность о безопасности #solar mss #социальная инженерия
-
Вдохновляющие Функции Dell Inspiron
19 Oct, 24 -
Lhc@Home 2.0 Открыт Для Всех
19 Oct, 24 -
W3Cast №3
19 Oct, 24
