От Homo sapiens sapiens через Homo vulnerable к Homo science, или Security Awareness по-взрослому

    Современный рынок ИБ наполнен всевозможными продвинутыми решениями с приставками в названии Next generation, Unified, AntiAPT ну или хотя бы 2.0. Производители обещают новый уровень автоматизации, автореспонса, распознования зеродея и прочие чудеса. Любой безопасник знает: нужно усиленно защищать периметр, вовремя ставить патчи, внедрять хостовые и поточные антивирусы, DLP, UEBA и прочие средства. Можно и даже нужно организовать ситуационный центр (SOC) и выстроить процессы выявления и реагирования на инциденты, проводить сложный Threat Intelligence, обмениваться фидами. В общем-то этим и заполнена жизнь обычного ИБэшника, чуть более чем на 100%…

    Но все это бесполезно! Потому что внутри любой компании находится Homo vulnerable (в простонародье — сотрудник), иногда много. Его далекие предки Homo sapiens sapiens, проходя этапы дарвиновской эволюции, отлично освоили работу с браузером, почтовым клиентом и офисным пакетом, и теперь мы наблюдаем Homo vulnerable. От Homo sapiens sapiens он отличается наличием смартфона, кучей аккаунтов в соцсетях и атрофированным умением изобретать орудия труда из палок и камней. Он еще он что-то слышал про хакеров, но это где-то там, потому что даже если он с ними и сталкивается, то ему не больно и не страшно: максимум чем он рискует — это некое количество денежных единиц.

    image

    Сотрудникам ИБ некогда заниматься Homo vulnerable: они неохотно идут на обучение, быстро забывают информацию и часто меняются. Но, находясь внутри инфраструктуры компании, они становятся риском уже не только для себя, но и для организации в целом. Поэтому игнорирование или задвигание на потом этой проблемы — в корне неверный подход.

    Как показывают наблюдения последних 30 лет, хакеры все чаще предпочитают путь использования социальной инженерии прямому взлому периметра компании, по простой причине – это проще, быстрее и эффективнее. Рассылки становятся все более изощренными и не выявляются средствами защиты.

    Опустим тут рассуждения в духе «а вот в былые времена…» и «так любой дурак может!» и сосредоточимся на главном: как компании уберечься от взлома через несведущих в ИБ сотрудников? Да что там — и на солнце бывают пятна. Сотрудники ИТ-департамента и топы хоть и реже, чем колл-центр и секретари, но тоже попадаются на фишинг, очень часто это целевой фишинг — последствия объяснять не надо. Что делать безопаснику с пресловутым человеческим фактором? Вариантов, как водится, несколько (не считая радикальных), но не все они одинаково полезны:

    • купить еще больше волшебных средств защиты;
    • отправить всех сотрудников на внешние курсы по ИБ;
    • отказаться от людей везде где только можно, начав путь к полной автоматизации производства;
    • наладить постоянное обучение сотрудников непосредственно на рабочем месте.

    Если вам нравятся первые 3 пункта, дальше можно не читать.

    Уязвимость типа Homo vulnerable


    По нашим данным за 2018г., доля фишинговых атак в общем скоупе киберугроз за последние два года увеличилась с 54% до 70%. В среднем каждый 7-й пользователь, который не проходит регулярное повышение осведомленности, поддается на социальную инженерию.

    По данным «Лаборатории Касперского», в 2018 г. с фишингом столкнулись 18,32% уникальных пользователей. «Возглавили» хакерский фишинговый ТОП глобальные интернет-порталы (их доля от общего числа пострадавших — 24,72%), на втором месте находится банковский сектор (21,70%), далее платежные системы (14,02%), онлайн-магазины (8,95%), правительственные и налоговые органы (8,88%), соцсети (8,05%), телеком (3,89%), мессенджеры (1,12%) и ИТ-компании (0,95%).

    Group-IB отмечает в 2018 значительный рост числа преступлений с web-фишингом, фейковыми сайтами банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. При этом злоумышленникам удалось на 6% увеличить свой доход от фишинга по сравнению с предыдущим периодом.

    Как видим, «славное» дело Кевина Митника, рожденное в далеких 80-х, не только живет, но и вполне себе эволюционирует. Оно и понятно: серьезная контора, манящая хакера нешуточными деньгами, как правило, выстраивает нетривиальную многоуровневую защиту своего ИТ-ландшафта. Злоумышленнику нужно обладать недюжинными способностями и потратить довольно много времени, чтобы найти уязвимость и придумать, как ее проэксплуатировать: залить, закрепиться в инфраструктуре, завести себе пользователя незаметно для админов — и ведь на любом из этапов можно легко «срезаться»… Куда проще и быстрее отправить фишинговое письмо и найти внутри компании хотя бы одного человека, который отКЛИКНЕТся, или попросить записать что-нибудь на флешку.

    Кого и как чаще всего разводят


    Согласно нашей статистике, собранной на примере нескольких десятков крупных российских компаний, наиболее отзывчивые на гипноз фишинг сограждане трудятся в следующих подразделениях:

    • юридическая служба — каждый 4 сотрудник
    • бухгалтерия и финансово-экономическая служба — каждый 5 сотрудник
    • логистический отдел — каждый 5 сотрудник
    • секретариат и техподдержка — каждый 6 сотрудник

    И речь, конечно, не о «нигерийских письмах» — преступники давно подбирают куда более изощренные «ключики» к сердцам (и умам) легковерных пользователей. Имитируя деловую переписку, мошенники используют реальные реквизиты, лого и подписи компаний- или подразделений-отправителей. А дальше по старой цыганской традиции в ход идет психология.

    image Тут хакеры эксплуатируют уже человеческие «уязвимости». Например, жадность: мегаскидка, бесплатная путевка или халявный приз не оставят равнодушным даже гендиректора (увы, случай из практики).

    Другой фактор — ожидание. К примеру, ДМС почти во всех организациях оформляется в начале года — в это время фейковое письмо с заветным полисом, скорей всего, не вызовет подозрений у персонала.

    Еще одна давняя как мир уловка — срочность и авторитет источника. Если операционист или бухгалтер, работающий в вечном цейтноте, вдруг получает письмо от знакомого контрагента с просьбой «СРОЧНО оплатить», он вероятно откроет и письмо, и вложение из него (примеров, увы, немало), и попросит коллегу сделать то же самое, когда на ее/его компьютере файл не откроется, и лишь потом поймет, что произошло… может быть.

    Разумеется, играют и на страхе: «Ваш Google-/Apple-аккаунт заблокирован. Подтвердите, что вы — это вы, пройдя по ссылке» — очень даже рабочий вариант, и не важно, что аккаунт привязан к личной почте, а письмо пришло на корпоративную.

    Человеческое любопытство тоже играет на руку мошенникам — кто не захочет посмотреть фото с корпоратива? И таких рычагов воздействия очень много.

    После предварительной обработки человека заманивают на страницу, где он вбивает свои логин и пароль (и далее происходит раскрутка этих данных).Человеку предлагается либо кусок зловреда — дроппер, который не детектируется никакими СЗИ, но, попадая на компьютер жертвы, проверяет хост на наличие антивируса и проводит тесты на песочницу (sandbox), подгружая далее утилиты для удаленного доступа или шифрования диска, — либо предлагается основное тело зловреда, после чего тот выкачивает офисные файлы, архивы и переписку, до которых смог дотянуться (включая сетевые диски и шары) на внешнее, подконтрольное злоумышленнику хранилище.

    Киберграмотность? Нет, не слышали


    image

    В нашей компании есть команда пентестеров, которые регулярно проводят для заказчиков так называемые социотехнические тестирования — тесты на проникновение, в которых основным вектором атаки являются люди.

    Кейс 1


    Один из заказчиков заказал такое тестирование в начале марта текущего года. Целью был отдел кадров, состоящий из 30 человек. В качестве фишингового шаблона рассылки была выбрана акция от одного известного сетевого ритейлера алкогольной продукции, предлагающая скидки в размере 20% на вина и шампанское. Мы, конечно, понимали, что в преддверии Международного женского дня это очень актуальная рассылка, но не ожидали, что настолько… К концу дня количество переходов по ссылке превысило 500 уникальных посещений, причем не только из данной организации, но и с совершенно посторонних адресов. А на следующий день мы узнали, что ИТ-служба компании получила от сотрудников более 10 гневных писем о том, что у них не открывается ссылка из-за «криво настроенных политик доступа в интернет».

    Как видим, если «попасть» с темой рассылки и угадать со временем, то эффект может превзойти все ожидания.

    Кейс 2


    Еще один показательный случай был в компании, где сотрудники долго ждали новый ДМС. Мы подготовили соответствующее «фишинговое» письмо и отправили сотрудникам, причем всем сразу. Обычно мы не рекомендуем так делать, чтобы исключить влияние коллективного разума. В этой истории попались даже те, кто собственно был занят в оформлении нового договора на ДМС и те, кто бок о бок с нами работают и вроде бы все знают, и мы каждый день об этом жужжим —но нет, клюнули. Многие быстро поняли, что совершили ошибку и честно сдались службе ИБ, но были и такие, кто даже по прошествии нескольких дней продолжал требовать ДМС, апеллируя к нашей рассылке и пересылая «фишинговое» письмо по компании.

    Такую социальную инженерию «индивидуального пошива» не отловит ни одна антиспам-система, и сотрудники, сами того не желая, могут легко опрокинуть всю вашу защиту.

    image

    А если учесть, что корпоративная почта к тому же есть и на личных планшетах работников и их смартфонах, которые никак не подконтрольны службе ИБ, то безопаснику остается только расслабиться и получать удовольствие развести руками… Или нет? Что делать-то?

    Fishing vs phishing: как научить сотрудников различать


    Есть несколько путей решения этой проблемы. Многие компании сегодня действуют по классике (как и много лет назад, когда хакеры еще под стол пешком ходили): выделяется специально обученный человек, который пишет ИБ-регламенты поведения, и при приеме на работу каждый сотрудник обязан сию нетленку данный документ изучить, подписать и принять к сведению. Впрочем, последний пункт при таком подходе — вещь сугубо факультативная. Все эти грозные наставления человек помнит в лучшем случае до окончания испытательного срока (особо злопамятные не в счет). Как вы думаете, что произойдет, если спустя года-два или даже раньше он увидит в своем ящике «заветное письмо»? Вопрос риторический. Для безопасника такой метод работы с персоналом немногим эффективней скрещенных на удачу пальцев.

    Какие еще варианты? Можно отправить людей на внешние курсы повышения киберграмотности — хотя бы ключевых специалистов. В этом случае человек на день-два идет слушать лекции. Способ, конечно, более действенный, но: 1) мы вырываем людей из рабочего процесса, что само по себе сложно и дорого; 2) у нас нет возможности проконтролировать качество обучения — человек может пропустить лекции или спать на них. Контрольные тесты по завершению таких курсов, как правило, не предусмотрены. Но даже если они есть, спустя какое-то время мы снова вернемся к старой ситуации: сотрудник все забыл, потерял бдительность, растерялся (нужное подчеркнуть) и попался, а за ним и компания.

    Наш подход к Security Awareness


    Мы считаем, что обучать киберграмотности можно и нужно на рабочем месте — когда у сотрудника появляется немного свободного времени. Впрочем, если просто пойти по пути онлайн-курсов — давать теоретическую базу, а потом тестировать знания, — все это рискует превратиться в голую теорию, которая очень сильно оторвана от практики (грабли ЕГЭ нам всем в помощь).

    Человек слабо запоминает то, что прочитал — лучше, если он это испытал самолично, а идеально усваивается информация, с которой у учащегося связаны те или иные эмоции. Если вас зажало дверью в метро так, что голова осталась снаружи, а туловище — внутри, и поезд тронулся — скорей всего, вы отлично запомните все внутреннее «убранство» туннеля. Шутка, конечно, хотя и с долей правды. Проводить «боевое крещение», устраивая имитированные фишинговые атаки на сотрудников — просто необходимо, чтобы на живом примере показывать им, где они были неправы, где попадаются и как их теоретические знания перенести в практическую плоскость.

    В конце концов такая практика крайне полезна и в частной жизни, поэтому сотрудники (пусть и не все;) наверняка скажут спасибо. Как ребенка учат не разговаривать с незнакомцами и не садиться к ним в машину за предлагаемую конфету, так и взрослого надо приучать не доверять неизвестным источникам и не вестись на мелочные блага и выгоды.

    Еще один важный момент: периодичность таких учений, процессный подход. Без надобности навыки со временем атрофируются, а час Х может настать внезапно. К тому же атаки постоянно эволюционируют, появляются новые виды социальной инженерии — в соответствии с этим должна обновляться и учебная программа.

    Периодичность проверок индивидуальна. Если сотрудники мало привязаны к ИТ, стоит контролировать их кибербдительность хотя бы раз в квартал. Если, напротив, речь идет о специалистах, имеющих доступ к ключевым системам, то чаще.

    В следующем материале мы расскажем, как наша платформа Security Awareness проверяет устойчивость сотрудников к фишингу. Не переключайтесь! ;)
    • +15
    • 2,2k
    • 5
    Ростелеком-Солар
    287,74
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 5

      0
      обучать киберграмотности можно и нужно на рабочем месте — когда у сотрудника появляется немного свободного времени

      Ох что-то мне сомнительно

      Если серьезно. Все написанное это конечно хорошо и нужно, но вот что бы реально хотелось услышать — насколько реально снижается вероятность фишинга? Есть ли такие примеры?
        0
        В среднем каждый 7-й пользователь, который не проходит регулярное обучение киберграмотности, поддается на социальную инженерию: открывает зараженный файл или отправляет свои данные злоумышленникам. Статистика по конкретным подразделениям приведена в посте.

        Как показывает практика наших заказчиков, при регулярной тренировке ИБ-навыков сотрудников эффективность социальной инженерии снижается практически в 2 раза: на атаки поддается уже лишь каждый 12-ый пользователь. Разница в результатах до и после начала обучения и регулярных тренировок сильнее всего заметна у сотрудников финансового и юридического департаментов.
          +1
          Неплохо. Спасибо
          0
          Рально не сильно снижается. От того, что фишинговое письмо откроют не 25% сотрудников, а 10%, сильно легче не станет.
            +1
            Тут есть одна интересная особенность: каждый обученный сотрудник становится на сторону службы ИБ, начинает лучше понимать специфику ее деятельности. Обученные сотрудники расскажут своим коллегам о спаме быстрее ИТ-службы, и сотрудник не только сам не откроет письмо но еще и отговорит коллегу это делать. Помимо этого, сотрудник не пустит в офис постороннего, спрячет секретный документ в ящик стола, сразу уведомит сотрудника охраны о потерянном пропуске, не станет хранить пароль на бумажке под клавиатурой и в целом сделает безопаснее работу свою и окружающих. У любой организации есть 2 пути: путь запретов и ограничений и путь образования и повышения осведомленности. В зависимости от выбранного пути настроение и продуктивность коллектива меняется в целом, а не только в части ИБ.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое