Не саботуйте власну безпеку, тренуйте своїх користувачів

Я думаю, що вперше я побачив фішинговий електронний лист був у 2000 році, коли я працював над тестовим проектом з Олівером Рістом, який зараз є бізнес-редактором PCMag. Одного ранку ми обоє отримали електронні листи з темою "Я тебе люблю", яка також була частиною електронної пошти, і там було додаток. Ми обоє миттєво зрозуміли, що електронна пошта повинна бути неправдивою, оскільки, як редактори журналів, ми знали, що нас ніхто не любить. Ми не натискали на вкладення. Насправді ми виконували роль брандмауера людини. Ми розпізнали неправдиву електронну пошту з виду, і ми її видалили, а не дозволили її вмісту поширюватися на наші комп’ютери та іншу мережу.

Ще тоді подібні напади хакерським набором називали "соціальною інженерією". Сьогодні фішинг-листи є, мабуть, найвідомішою версією подібного роду експлуатації. Вони спрямовані, головним чином, на обробку облікових даних про безпеку, але вони також здатні доставляти інші види шкідливих програм, особливо викупних програм. Але варто зазначити, що існують й інші види атак на соціальну інженерію, крім фішингу, включаючи такі, де ця атака є фізичною, а не суто цифровою.

Люди: все ще провідний вектор атаки

Причина фішингових листів настільки відома в тому, що вони такі поширені. На сьогоднішній день справедливо сказати, що хтось із обліковим записом електронної пошти отримав фішинг-повідомлення в якийсь момент. Електронний лист часто робить вигляд від вашого банку, вашої кредитної картки чи іншого вашого бізнесу. Але фішинг-листи можуть також загрожувати вашій організації, оскільки зловмисники намагаються використовувати ваших співробітників проти вас. Ще одна рання версія цього нападу з'явилася в золотий вік факсу, коли зловмисники просто факсували рахунок-фактуру за послуги, які ніколи не надавались великим компаніям, сподіваючись, що зайняті керівники просто подадуть їх на оплату.

Фішинг напрочуд ефективний. Згідно з дослідженням юридичної фірми BakerHostetler, яке розглядало 560 порушень даних минулого року, фішинг є провідною причиною інцидентів безпеки даних сьогодні.

На жаль, технологія не наздогнала фішинг-атак. Хоча існує ряд пристроїв безпеки та програмних пакетів, призначених для фільтрації шкідливих електронних листів, погані хлопці, які розробляють фішинг-листи, наполегливо працюють над тим, щоб їхні атаки прослизнули через тріщини. Дослідження Cyren показує, що сканування електронної пошти має 10, 5 відсотка відмов у пошуку шкідливих електронних листів. Навіть у невеликому середньому бізнесі (SMB), який може додавати багато електронних листів, і будь-який із тих, що містять атаку соціального інжинірингу, може загрожувати вашій організації. І це не загальна загроза, як це було б у випадку з більшістю шкідливих програм, які вдалося прокрастися вашими заходами захисту кінцевих точок, а більш зловісним видом, який спеціально орієнтований на ваші найцінніші дані та цифрові ресурси.

Мене попередили про звіт Cyren під час розмови зі Стю Сюуверманом, засновником та генеральним директором KnowBe4, компанії, яка може допомогти професіоналам людських ресурсів (HR) навчати обізнаності з безпеки. Саме Sjouwerman вивів термін "людський брандмауер" і також обговорив "зловживання людьми". Його пропозиція полягає в тому, що організації можуть запобігти або зменшити ефективність атак на соціальну інженерію за допомогою послідовної підготовки, яка проводиться таким чином, що також залучає ваш персонал до вирішення проблеми.

Звичайно, у багатьох організаціях проводяться тренінги з підвищення безпеки. Ви, напевно, бували на кількох тих зустрічах, на яких стара кава поєднується з усталеними пампушками, тоді як підрядник, який наймає HR, витрачає 15 хвилин, кажучи вам не потрапляти на фішинг-листи - без того, щоб розповісти вам, що вони є, чи пояснити, що робити, якщо ти думаєш, що знайшов його. Так, ці зустрічі.

Що краще запропонував Sjouwerman, це створити інтерактивне навчальне середовище, в якому ви маєте доступ до фактичних фішингових електронних листів, де ви можете їх вивчити. Можливо, докладіть групових зусиль, в яких кожен намагається побачити фактори, які вказують на фішинг-листи, такі як поганий написання, адреси, які майже виглядають реальними, або запити, які при експертизі не мають сенсу (наприклад, прохання негайно передати корпоративні кошти невідомому одержувачу).

Захист від соціальної інженерії

Але Sjuouwerman також зазначив, що існує декілька типів соціальної інженерії. Він пропонує набір безкоштовних інструментів на веб-сайті KnowBe4, які компанії можуть використовувати, щоб допомогти своїм працівникам навчатися. Він також запропонував наступні дев'ять кроків, які компанії можуть зробити для боротьби з нападами на соціальну інженерію.

• Створіть людський брандмауер, навчаючи своїх співробітників розпізнавати напади соціальних інженерів, коли вони їх бачать.
• Проводьте часті, симульовані тести соціального інженерії, щоб утримати своїх працівників на ногах.
• Провести тестування безпеки фішингу; У Knowbe4 є безкоштовна.
• Будьте уважні до шахрайства з генеральним директором. Це напади, в яких зловмисники створюють підроблений електронний лист, який, як видається, від генерального директора або іншого високопоставленого офіцера, керуючи діями, такими як перекази грошей, терміново. Ви можете перевірити, чи можна підробляти ваш домен, використовуючи безкоштовний інструмент від KnowBe4.
• Надішліть своїм працівникам імітовані фішинг-листи та включіть посилання, яке сповістить вас про натискання цього посилання. Слідкуйте за тим, на кого потрапляють працівники, і зосередьте навчання на тих, хто потрапляє на це не один раз.
• Будьте готові до "бажання", що є типом соціальної інженерії голосової пошти, в якій залишаються повідомлення, які намагаються вчинити дії у ваших співробітників. Це можуть бути дзвінки з правоохоронних органів, Служби внутрішніх доходів (IRS) або навіть технічної підтримки Microsoft. Переконайтесь, що ваші співробітники знають, що не повертати ці дзвінки.
• Повідомте своїх співробітників про "текстовий фішинг" або "SMiShing (SMS-фішинг)", який нагадує фішинг по електронній пошті, але текстові повідомлення. У цьому випадку посилання може бути розроблено для отримання конфіденційної інформації, наприклад списків контактів, зі своїх мобільних телефонів. Вони повинні бути навчені не торкатися посилань у текстових повідомленнях, навіть якщо вони здаються друзями.
• Атаки універсальної послідовної шини (USB) надзвичайно ефективні, і вони є надійним способом проникнення в мережу, що перебуває у повітрі. Як це працює, це те, що хтось залишає пам'яті USB-пам’яті, що лежать навколо у туалетах, на парковках чи в інших місцях, якими відвідують ваші співробітники; можливо, на палиці є привабливі логотипи або етикетки. Коли працівники знаходять і вставляють їх у зручний комп’ютер, а вони будуть, якщо їх не навчають інакше, то зловмисне програмне забезпечення, яке на них потрапляє, потрапляє у вашу мережу. Ось так шкідливе програмне забезпечення Stuxnet проникло в іранську ядерну програму. У Knowbe4 також є безкоштовний інструмент для перевірки цього.
• Пакетна атака також напрочуд ефективно. Тут хтось з’являється з набором ящиків (або іноді піцами) і просить його пустити, щоб вони могли бути доставлені. Поки ви не дивитесь, вони засувають USB-пристрій на сусідній комп'ютер. Ваших співробітників потрібно пройти навчання, проводячи симульовані атаки. Ви можете заохотити їх, навчившись цьому, а потім поділитися піцами, якщо вони підходять правильно.

Як бачите, соціальна інженерія може бути справжньою проблемою, і вона може бути набагато ефективнішою, ніж ви хотіли б. Єдиний спосіб боротися з цим - це активно залучати своїх працівників до виявлення таких атак та виклику їх. Зроблено правильно, ваші працівники дійсно отримають задоволення від цього процесу, і, можливо, вони також отримають безкоштовні піци від нього.