Не саботируйте свою собственную безопасность, обучайте своих пользователей

Я думаю, что первый раз, когда я увидел фишинговое электронное письмо, был в 2000 году, когда я работал над проектом по тестированию с Оливером Ристом, который сейчас является бизнес-редактором PCMag. Однажды утром мы оба получили электронные письма с темой «Я тебя люблю», которая также была основной частью письма, и там было вложение. Мы оба сразу поняли, что электронная почта должна быть фиктивной, потому что, как редакторы журналов, мы знали, что никто не любит нас. Мы не нажали на вложение. По сути, мы действовали как брандмауэры. Мы сразу распознали поддельное электронное письмо и удалили его, а не распространили его содержимое на наши компьютеры и остальную часть сети.

Уже тогда хакерские атаки называли подобные атаки «социальной инженерией». Сегодня фишинговые письма, вероятно, являются наиболее известной версией такого рода эксплойтов. Они нацелены главным образом на получение учетных данных безопасности, но они также способны доставлять другие виды вредоносных программ, особенно вымогателей. Но стоит отметить, что существуют и другие типы атак социальной инженерии, помимо фишинга, в том числе те, где атака носит не физический, а физический характер.

Люди: все еще ведущий вектор атаки

Фишинговые письма так широко известны, потому что они так распространены. К настоящему времени справедливо сказать, что любой, у кого есть аккаунт электронной почты, получит фишинговое письмо в какой-то момент. Электронное письмо часто притворяется вашим банком, вашей компанией-эмитентом кредитной карты или другим частым бизнесом, который вы часто посещаете. Но фишинговые электронные письма также могут представлять угрозу для вашей организации, поскольку злоумышленники пытаются использовать против вас ваших сотрудников. Еще одна ранняя версия этой атаки произошла во время золотого века факсимильной связи, когда злоумышленники просто отправили по факсу счет за услуги, которые никогда не оказывались крупным компаниям, в надежде, что занятые руководители просто отправят их для оплаты.

Фишинг удивительно эффективен. Согласно исследованию, проведенному юридической фирмой BakerHostetler, которая рассмотрела 560 нарушений данных в прошлом году, фишинг является основной причиной инцидентов безопасности данных сегодня.

К сожалению, технология не справилась с фишинговыми атаками. Несмотря на то, что существует ряд устройств безопасности и пакетов программного обеспечения, предназначенных для фильтрации вредоносных писем, злоумышленники, которые создают фишинговые письма, прилагают все усилия для того, чтобы их атаки проходили сквозь трещины. Исследование, проведенное Cyren, показало, что при поиске вредоносных писем при сканировании электронной почты уровень ошибок составляет 10, 5%. Даже в малом и среднем бизнесе (SMB) это может привести к большому количеству электронных писем, и любые из них, которые содержат атаки социальной инженерии, могут представлять угрозу для вашей организации. И не общая угроза, как в случае с большинством вредоносных программ, которым удалось проникнуть благодаря вашим мерам защиты конечных точек, а более зловещая разновидность, специально предназначенная для ваших наиболее ценных данных и цифровых ресурсов.

Я был предупрежден об отчете Cyren во время разговора со Стю Сьюверманом, основателем и генеральным директором KnowBe4, компании, которая может помочь специалистам по кадрам обучать осведомленности о безопасности. Это был Сьюверман, который поднял термин «брандмауэр человека» и также обсуждал «взлом человека». Он предполагает, что организации могут предотвращать или снижать эффективность атак социальной инженерии с помощью некоторого последовательного обучения, которое также привлекает ваших сотрудников к решению проблемы.

Конечно, во многих организациях проводятся учебные занятия по повышению безопасности. Вероятно, вы были на нескольких из этих встреч, на которых старый кофе сочетался с несвежими пончиками, в то время как подрядчик, нанятый HR, тратит 15 минут на то, чтобы не поддаваться фишинговым электронным письмам - фактически не сообщая вам, что они есть, или объясняя, что делать, если Вы думаете, что нашли один. Да, эти встречи.

То, что Сьюверман предложил лучше, - это создать интерактивную учебную среду, в которой у вас есть доступ к реальным фишинговым электронным письмам, где вы можете их просматривать. Возможно, предпримите групповое усилие, в котором каждый пытается увидеть факторы, которые указывают на фишинговые электронные письма, такие как плохое написание, адреса, которые почти выглядят реальными, или запросы, которые при рассмотрении не имеют смысла (например, запрос на немедленную передачу корпоративные средства неизвестному получателю).

Защита от социальной инженерии

Но Сьюверман также отметил, что существует более одного типа социальной инженерии. Он предлагает набор бесплатных инструментов на веб-сайте KnowBe4, которые компании могут использовать, чтобы помочь своим сотрудникам учиться. Он также предложил следующие девять шагов, которые компании могут предпринять для борьбы с атаками социальной инженерии.

• Создайте брандмауэр для людей, обучая своих сотрудников распознавать атаки социальной инженерии, когда они их видят.
• Проводите частые симулированные тесты социальной инженерии, чтобы держать своих сотрудников в напряжении.
• Провести тест на фишинговую безопасность; Knowbe4 есть бесплатный.
• Будьте в поисках мошенничества генерального директора. Это атаки, в ходе которых злоумышленники создают поддельное электронное письмо, которое, по-видимому, принадлежит генеральному директору или другому высокопоставленному сотруднику, направляя такие действия, как перевод денег в срочном порядке. Вы можете проверить, может ли ваш домен быть подделан, используя бесплатный инструмент от KnowBe4.
• Отправляйте имитируемые фишинговые письма своим сотрудникам и включайте ссылку, которая предупредит вас, если щелкнуть эту ссылку. Следите за тем, какие сотрудники влюбляются в него, и сосредотачивайте обучение на тех, кто влюбляется в него более одного раза.
• Будьте готовы к «vishing», который является разновидностью социальной инженерии голосовой почты, в которой остаются сообщения, которые пытаются добиться действий от ваших сотрудников. Это могут быть звонки из правоохранительных органов, налоговой службы или даже из технической поддержки Microsoft. Убедитесь, что ваши сотрудники знают, чтобы не отвечать на эти звонки.
• Предупредите своих сотрудников о «текстовом фишинге» или «SMiShing (SMS-фишинг)», который похож на фишинг электронной почты, но с текстовыми сообщениями. В этом случае ссылка может быть предназначена для получения конфиденциальной информации, например списков контактов, со своих мобильных телефонов. Они должны быть обучены не трогать ссылки в текстовых сообщениях, даже если они кажутся от друзей.
• Атаки по универсальной последовательной шине (USB) удивительно эффективны и являются надежным способом проникновения в сети с воздушными пробелами. Это работает так, что кто-то оставляет USB-накопители в туалетах, на парковках или в других местах, где часто бывают ваши сотрудники; может быть, на палочке есть заманчивые логотипы или ярлыки. Когда сотрудники находят и вставляют их в удобный компьютер - и они найдут, если их не учили иначе - тогда вредоносное ПО, которое они используют, попадает в вашу сеть. Вот как вредоносная программа Stuxnet проникла в иранскую ядерную программу. Knowbe4 также имеет бесплатный инструмент для проверки этого.
• Пакетная атака также удивительно эффективна. Это где кто-то появляется с кучей коробок (или иногда пиццы) и просит, чтобы их пропустили. Пока вы не смотрите, они вставляют USB-устройство в ближайший компьютер. Ваши сотрудники должны пройти обучение, выполняя симулированные атаки. Вы можете поощрять их, тренируясь для этого, а затем делиться пиццей, если они понимают это правильно.

Как видите, социальная инженерия может быть реальной проблемой, и она может быть гораздо более эффективной, чем вы хотели бы. Единственный способ бороться с ним - это активно вовлекать своих сотрудников в обнаружение таких атак и их обзывание. Если все сделано правильно, ваши сотрудники действительно получат удовольствие от этого процесса - и, возможно, они также получат бесплатную пиццу.