BIS Journal №3(42)/2021

20 августа, 2021

Human firewall для улучшения работы технических средств защиты

Большинство современных кибератак достигают цели не благодаря уязвимости операционных систем, программ и сетевого оборудования, а из-за небезопасных действий сотрудников. Социальная инженерия, фишинговые письма с вредоносной нагрузкой и фишинговые ресурсы для кражи учётных данных оказываются эффективнее, чем попытки обойти межсетевой экран или воспользоваться ошибкой удалённого выполнения кода в VPN-сервере.

Воздействуя на эмоции людей, преступники крадут учётные данные, с помощью которых могут проникнуть в сеть под видом легальных пользователей. Но можно обойтись и без кражи, убедив получателя письма открыть вложение и разрешить выполнение макросов. И если аргументы подобраны правильно, пользователь будет рад отключить защищённый режим и, по сути, дать доступ мошенникам «ради важного документа».

Для борьбы с современными атаками технических средств недостаточно. Требуется системная работа по развитию у пользователей навыков противодействия уловкам социоинженеров. В результате компания получит новый уровень защиты в дополнение к техническому, так называемый human firewall, или «человеческий межсетевой экран», который сработает как цифровой иммунитет в организации.

В этой статье мы поговорим о том, почему привычные способы внедрения мер кибербезопасности в бизнес-процессы оказываются малоэффективны и как сформировать работающий human firewall на практике.

 

ЦИФРЫ И ФАКТЫ

По данным Group-IB, с 2019 года фишинг прочно закрепился в топ-3 векторов первичной компрометации корпоративных сетей ввиду высокой эффективности и значительно меньших затрат на подготовку, чем исключительно технические атаки.

Самые громкие инциденты последних месяцев связаны с вымогательским ПО, причём успех атакам обеспечила эксплуатация человеческих слабостей.

7 мая 2021 года произошла кибератака на оператора крупнейшего в США топливопровода Colonial Pipeline. Злоумышленники использовали фишинговую схему для получения доступа к инфраструктуре компании: один из сотрудников перешёл по ссылке в фишинговом письме и заразил все информационные системы. Заплатив выкуп в размере 5 млн долларов США, компания получила неработающий инструмент для расшифровки данных.

9 июня 2021 года компания JBS, владелец крупнейшего в мире мясоперерабатывающего производства, выплатила преступной группировке Revil 11 млн долларов США за восстановление доступа к зашифрованным в результате кибератаки системам. Для проникновения операторы вымогателя применили комбинацию из фишинговых писем и похищенных с помощью фишинга учётных данных для служб удалённого доступа.

Ещё одна примета времени, которую отмечают эксперты, — это целевой характер кибератак на крупные компании, а также участие в них различных по специализации группировок, каждая из которых выполняет свои задачи:

  • сбор информации;
  • проведение фишинговых кампаний для кражи учётных данных;
  • проведение фишинговых кампаний для загрузки в сеть жертвы вредоносного ПО;
  • сбор конфиденциальных данных внутри сети компании, их кража и шифрование;
  • переговоры о получении выкупа и распределение полученных средств.

Учитывая суммы выкупов, которые получают вымогатели, к подготовке очередной кибератаки они могут привлечь самые дорогие команды.

Неграмотные и нетренированные сотрудники чрезвычайно уязвимы к атакам с использованием продвинутой социальной инженерии. А это значит, что для защиты необходимо вложиться в формирование корпоративной киберкультуры и выработки у людей навыков безопасного поведения.

Но каким образом можно повысить уровень защищённости сотрудников и снизить вероятность успеха кибератак, построив human firewall?

 

ШАГ 1. ЗНАНИЯ

Стандартная для компаний практика после инцидентов кибербезопасности — обновление парка технических средств и проведение дополнительного обучения, информирования сотрудников. Некоторые организации приглашают экспертов для проведения тренингов по кибербезопасности, но чаще всё сводится к обучению с помощью электронного курса соответствующей тематики, например курса по безопасной работе с почтой или базового курса по информационной безопасности.

Окончив курс о безопасности электронной почты, сотрудники в лучшем случае будут знать, как действуют мошенники, в идеальном — по каким признакам можно отличить фишинговые письма от настоящих и как правильно действовать в случае, если обнаружена атака.

Для проверки знаний курс содержит итоговый тест, по результатам которого можно определить степень усвоения материала и при необходимости назначить дополнительное обучение.

Однако успешное прохождение итогового теста не означает, что полученные знания найдут применение в ходе реальных инцидентов. Проведённое компанией «Антифишинг» исследование поведения 20 тыс. пользователей различных организаций выявило интересный момент: после прохождения самых разных курсов навыки сотрудников улучшались лишь у 9% сотрудников.

Этот эффект хорошо знаком всем, кто сдавал экзамены в институтах: буквально через неделю после сессии даже у отличников в голове мало что остаётся.

Ещё одна яркая иллюстрация того, что знаний недостаточно для безопасного поведения, — недавний инцидент с генералом МВД, который перечислил телефонным мошенникам более 600 тыс. рублей. Крайне маловероятно, что высокопоставленный силовик не знал о подобных преступлениях, однако в реальной ситуации знания просто не сработали.

Важно, чтобы знания стали умениями и навыками, то есть чтобы сотрудники научились совершать осмысленные действия на базе полученных знаний.

 

ШАГ 2. УМЕНИЯ И НАВЫКИ

Единственный способ превратить полученные знания в умения и навыки — их отработка на практике. Пример — получение водительского удостоверения. Чтобы стать водителем, необходимо не только сдать теоретический экзамен, но и пройти практический курс вождения. И никого это не удивляет, ведь автомобиль — средство повышенной опасности.

В случае с навыками в сфере информационной безопасности о практической стороне подготовки почему-то вспоминают значительно реже, хотя, как показывают те же инциденты с JBS и Colonial Pipeline, последствия небезопасных действий неподготовленных сотрудников могут быть крайне разрушительными.

Чтобы научить сотрудников правильно распознавать кибератаки и реагировать на них, нужно поместить их в условия, максимально приближённые к реальным. Сделать это своими силами сложно. Для имитации тактик мошенников требуется серьёзная подготовка, как техническая, так и психологическая, методическая и организационная.

Решить проблему с подготовкой имитированных атак можно путём использования специализированных платформ.

Рисунок 1. Редактор имитированной атаки платформы «Антифишинг»

 

В качестве примера подобного решения можно рассмотреть платформу «Антифишинг» (рис. 1). Входящий в её состав редактор имитированных атак позволяет на базе множества шаблонов подготовить разнообразные варианты целевых атак с нужными векторами эмоционального воздействия и целевым результатом. Сама платформа после запуска атак отслеживает действия сотрудников при получении писем и даёт им мгновенную обратную связь, обеспечивая не только формирование, но и закрепление и оценку навыка (рис. 2).

Рисунок 2. Финальная страница с объяснением неправильных действий пользователя во время имитированной атаки

 

По данным исследования «Антифишинга», формирование навыков с помощью регулярных имитированных атак приводит к тому, что безопасное поведение вырабатывается уже у 49% сотрудников.

 

ШАГ 3. ПРИВЫЧКА

Если навык можно рассматривать как целенаправленное автоматическое действие в знакомой ситуации, то привычка предполагает, что оно не просто становится автоматическим, а превращается в потребность. Другими словами, пользователь, получивший фишинговое письмо, не только распознаёт его как мошенническое, не только не совершает небезопасных действий, но и ощущает потребность немедленно «отработать» атаку, уведомив ИБ-подразделение.

Для формирования привычки важно, чтобы между желанием и реализацией не было препятствий. В платформе «Антифишинг» эта задача решена с помощью плагина для MS Outlook, с помощью которого пользователь может сообщить об атаке в один клик (рис. 3).

Рисунок 3. Интерфейс плагина «Антифишинга» для MS Outlook

 

Плагин умеет различать имитированные атаки и не пересылает их на анализ в службу безопасности.

Если же сотрудник выявит реальную атаку, копия письма со всеми заголовками и содержимым будет отправлена на адрес службы безопасности и переместится в папку нежелательной почты в почтовом ящике сотрудника.

Кроме того, сотрудник может дополнительно разметить атаку по психологическим векторам и атрибуции. Положительная обратная связь, предоставляемая плагином, способствует быстрому превращению навыка распознавания атак в привычку.

Благодаря плагину «Антифишинга» ИБ-служба получает максимально актуальный внутренний поток данных об угрозах (Threat Intelligence-фид), который генерируется сотрудниками. Его можно использовать для быстрого реагирования и блокировки активных цифровых атак (рис. 4).

Рисунок 4. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC

 

По сути, это и есть Humanfire wall в действии:

  • Тренированные сотрудники выявляют цифровую атаку.
  • Статистика об этих безопасных и корректных действиях сохраняется в «Антифишинге».
  • Исходные данные направляются для анализа в корпоративный центр мониторинга и реагирования на инциденты (Security Operations Center, SOC).
  • Аналитики проводят расследование и извлекают собственные индикаторы компрометации (IoC).
  • SOC блокирует атаки по выявленным IoC на технических средствах защиты до того, как информация об этих IoC станет доступна во внешних фидах.

Таким образом, удобный для пользователей, основанный на привычках процесс выявления атаки и отправки оповещения повышает эффективность работы ИБ-подразделения, создавая тот самый дополнительный уровень защиты.

 

ПОСТРОЕНИЕ HUMAN FIREWALL: ГЛАВНОЕ

Обучающие курсы, дайджесты, буклеты — важные способы повысить осведомлённость, но они могут дать сотрудникам только знания.

  • Для превращения знаний в умения и навыки требуются регулярные тренировки в условиях, максимально приближённых к боевым, — проведение имитированных атак, максимально напоминающих реальные, но не создающих рисков для компании.
  • Организовать качественные, сильные и разнообразные имитированные атаки можно с помощью специализированных платформ.
  • Чтобы человеческий файерволл стал по-настоящему прочным, необходимо перевести навыки на уровень привычек, превратить безопасное поведение в потребность.
  • Для этого следует обеспечить тренированным пользователям «путь наименьшего сопротивления» в виде удобного и простого способа отправки уведомления о возможной атаке в ИБ-подразделение.
  • Поток таких уведомлений позволит службе реагирования на ранних этапах получить новые индикаторы компрометации, тем самым в несколько раз ускорив реагирование и повысив общий уровень защищённости организации.

Смотрите также