Большинство современных кибератак достигают цели не благодаря уязвимости операционных систем, программ и сетевого оборудования, а из-за небезопасных действий сотрудников. Социальная инженерия, фишинговые письма с вредоносной нагрузкой и фишинговые ресурсы для кражи учётных данных оказываются эффективнее, чем попытки обойти межсетевой экран или воспользоваться ошибкой удалённого выполнения кода в VPN-сервере.
Воздействуя на эмоции людей, преступники крадут учётные данные, с помощью которых могут проникнуть в сеть под видом легальных пользователей. Но можно обойтись и без кражи, убедив получателя письма открыть вложение и разрешить выполнение макросов. И если аргументы подобраны правильно, пользователь будет рад отключить защищённый режим и, по сути, дать доступ мошенникам «ради важного документа».
Для борьбы с современными атаками технических средств недостаточно. Требуется системная работа по развитию у пользователей навыков противодействия уловкам социоинженеров. В результате компания получит новый уровень защиты в дополнение к техническому, так называемый human firewall, или «человеческий межсетевой экран», который сработает как цифровой иммунитет в организации.
В этой статье мы поговорим о том, почему привычные способы внедрения мер кибербезопасности в бизнес-процессы оказываются малоэффективны и как сформировать работающий human firewall на практике.
ЦИФРЫ И ФАКТЫ
По данным Group-IB, с 2019 года фишинг прочно закрепился в топ-3 векторов первичной компрометации корпоративных сетей ввиду высокой эффективности и значительно меньших затрат на подготовку, чем исключительно технические атаки.
Самые громкие инциденты последних месяцев связаны с вымогательским ПО, причём успех атакам обеспечила эксплуатация человеческих слабостей.
7 мая 2021 года произошла кибератака на оператора крупнейшего в США топливопровода Colonial Pipeline. Злоумышленники использовали фишинговую схему для получения доступа к инфраструктуре компании: один из сотрудников перешёл по ссылке в фишинговом письме и заразил все информационные системы. Заплатив выкуп в размере 5 млн долларов США, компания получила неработающий инструмент для расшифровки данных.
9 июня 2021 года компания JBS, владелец крупнейшего в мире мясоперерабатывающего производства, выплатила преступной группировке Revil 11 млн долларов США за восстановление доступа к зашифрованным в результате кибератаки системам. Для проникновения операторы вымогателя применили комбинацию из фишинговых писем и похищенных с помощью фишинга учётных данных для служб удалённого доступа.
Ещё одна примета времени, которую отмечают эксперты, — это целевой характер кибератак на крупные компании, а также участие в них различных по специализации группировок, каждая из которых выполняет свои задачи:
Учитывая суммы выкупов, которые получают вымогатели, к подготовке очередной кибератаки они могут привлечь самые дорогие команды.
Неграмотные и нетренированные сотрудники чрезвычайно уязвимы к атакам с использованием продвинутой социальной инженерии. А это значит, что для защиты необходимо вложиться в формирование корпоративной киберкультуры и выработки у людей навыков безопасного поведения.
Но каким образом можно повысить уровень защищённости сотрудников и снизить вероятность успеха кибератак, построив human firewall?
ШАГ 1. ЗНАНИЯ
Стандартная для компаний практика после инцидентов кибербезопасности — обновление парка технических средств и проведение дополнительного обучения, информирования сотрудников. Некоторые организации приглашают экспертов для проведения тренингов по кибербезопасности, но чаще всё сводится к обучению с помощью электронного курса соответствующей тематики, например курса по безопасной работе с почтой или базового курса по информационной безопасности.
Окончив курс о безопасности электронной почты, сотрудники в лучшем случае будут знать, как действуют мошенники, в идеальном — по каким признакам можно отличить фишинговые письма от настоящих и как правильно действовать в случае, если обнаружена атака.
Для проверки знаний курс содержит итоговый тест, по результатам которого можно определить степень усвоения материала и при необходимости назначить дополнительное обучение.
Однако успешное прохождение итогового теста не означает, что полученные знания найдут применение в ходе реальных инцидентов. Проведённое компанией «Антифишинг» исследование поведения 20 тыс. пользователей различных организаций выявило интересный момент: после прохождения самых разных курсов навыки сотрудников улучшались лишь у 9% сотрудников.
Этот эффект хорошо знаком всем, кто сдавал экзамены в институтах: буквально через неделю после сессии даже у отличников в голове мало что остаётся.
Ещё одна яркая иллюстрация того, что знаний недостаточно для безопасного поведения, — недавний инцидент с генералом МВД, который перечислил телефонным мошенникам более 600 тыс. рублей. Крайне маловероятно, что высокопоставленный силовик не знал о подобных преступлениях, однако в реальной ситуации знания просто не сработали.
Важно, чтобы знания стали умениями и навыками, то есть чтобы сотрудники научились совершать осмысленные действия на базе полученных знаний.
ШАГ 2. УМЕНИЯ И НАВЫКИ
Единственный способ превратить полученные знания в умения и навыки — их отработка на практике. Пример — получение водительского удостоверения. Чтобы стать водителем, необходимо не только сдать теоретический экзамен, но и пройти практический курс вождения. И никого это не удивляет, ведь автомобиль — средство повышенной опасности.
В случае с навыками в сфере информационной безопасности о практической стороне подготовки почему-то вспоминают значительно реже, хотя, как показывают те же инциденты с JBS и Colonial Pipeline, последствия небезопасных действий неподготовленных сотрудников могут быть крайне разрушительными.
Чтобы научить сотрудников правильно распознавать кибератаки и реагировать на них, нужно поместить их в условия, максимально приближённые к реальным. Сделать это своими силами сложно. Для имитации тактик мошенников требуется серьёзная подготовка, как техническая, так и психологическая, методическая и организационная.
Решить проблему с подготовкой имитированных атак можно путём использования специализированных платформ.
Рисунок 1. Редактор имитированной атаки платформы «Антифишинг»
В качестве примера подобного решения можно рассмотреть платформу «Антифишинг» (рис. 1). Входящий в её состав редактор имитированных атак позволяет на базе множества шаблонов подготовить разнообразные варианты целевых атак с нужными векторами эмоционального воздействия и целевым результатом. Сама платформа после запуска атак отслеживает действия сотрудников при получении писем и даёт им мгновенную обратную связь, обеспечивая не только формирование, но и закрепление и оценку навыка (рис. 2).
Рисунок 2. Финальная страница с объяснением неправильных действий пользователя во время имитированной атаки
По данным исследования «Антифишинга», формирование навыков с помощью регулярных имитированных атак приводит к тому, что безопасное поведение вырабатывается уже у 49% сотрудников.
ШАГ 3. ПРИВЫЧКА
Если навык можно рассматривать как целенаправленное автоматическое действие в знакомой ситуации, то привычка предполагает, что оно не просто становится автоматическим, а превращается в потребность. Другими словами, пользователь, получивший фишинговое письмо, не только распознаёт его как мошенническое, не только не совершает небезопасных действий, но и ощущает потребность немедленно «отработать» атаку, уведомив ИБ-подразделение.
Для формирования привычки важно, чтобы между желанием и реализацией не было препятствий. В платформе «Антифишинг» эта задача решена с помощью плагина для MS Outlook, с помощью которого пользователь может сообщить об атаке в один клик (рис. 3).
Рисунок 3. Интерфейс плагина «Антифишинга» для MS Outlook
Плагин умеет различать имитированные атаки и не пересылает их на анализ в службу безопасности.
Если же сотрудник выявит реальную атаку, копия письма со всеми заголовками и содержимым будет отправлена на адрес службы безопасности и переместится в папку нежелательной почты в почтовом ящике сотрудника.
Кроме того, сотрудник может дополнительно разметить атаку по психологическим векторам и атрибуции. Положительная обратная связь, предоставляемая плагином, способствует быстрому превращению навыка распознавания атак в привычку.
Благодаря плагину «Антифишинга» ИБ-служба получает максимально актуальный внутренний поток данных об угрозах (Threat Intelligence-фид), который генерируется сотрудниками. Его можно использовать для быстрого реагирования и блокировки активных цифровых атак (рис. 4).
Рисунок 4. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC
По сути, это и есть Humanfire wall в действии:
Таким образом, удобный для пользователей, основанный на привычках процесс выявления атаки и отправки оповещения повышает эффективность работы ИБ-подразделения, создавая тот самый дополнительный уровень защиты.
ПОСТРОЕНИЕ HUMAN FIREWALL: ГЛАВНОЕ
Обучающие курсы, дайджесты, буклеты — важные способы повысить осведомлённость, но они могут дать сотрудникам только знания.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных