От Homo sapiens sapiens через Homo vulnerable к Homo science, или Security Awareness по-взрослому

От Homo sapiens sapiens через Homo vulnerable к Homo science, или Security Awareness по-взрослому
Современный рынок ИБ наполнен всевозможными продвинутыми решениями с приставками в названии Next generation, Unified, AntiAPT ну или хотя бы 2.0. Производители обещают новый уровень автоматизации, автореспонса, распознования зеродея и прочие чудеса. Любой безопасник знает: нужно усиленно защищать периметр, вовремя ставить патчи, внедрять хостовые и поточные антивирусы, DLP, UEBA и прочие средства. Можно и даже нужно организовать ситуационный центр (SOC) и выстроить процессы выявления и реагирования на инциденты, проводить сложный Threat Intelligence, обмениваться фидами. В общем-то этим и заполнена жизнь обычного ИБэшника, чуть более чем на 100%…

Но все это бесполезно! Потому что внутри любой компании находится Homo vulnerable (в простонародье — сотрудник), иногда много. Его далекие предки Homo sapiens sapiens, проходя этапы дарвиновской эволюции, отлично освоили работу с браузером, почтовым клиентом и офисным пакетом, и теперь мы наблюдаем Homo vulnerable. От Homo sapiens sapiens он отличается наличием смартфона, кучей аккаунтов в соцсетях и атрофированным умением изобретать орудия труда из палок и камней. Он еще он что-то слышал про хакеров, но это где-то там, потому что даже если он с ними и сталкивается, то ему не больно и не страшно: максимум чем он рискует — это некое количество денежных единиц.



Сотрудникам ИБ некогда заниматься Homo vulnerable: они неохотно идут на обучение, быстро забывают информацию и часто меняются. Но, находясь внутри инфраструктуры компании, они становятся риском уже не только для себя, но и для организации в целом. Поэтому игнорирование или задвигание на потом этой проблемы — в корне неверный подход.

Как показывают наблюдения последних 30 лет, хакеры все чаще предпочитают путь использования социальной инженерии прямому взлому периметра компании, по простой причине – это проще, быстрее и эффективнее. Рассылки становятся все более изощренными и не выявляются средствами защиты.

Опустим тут рассуждения в духе «а вот в былые времена…» и «так любой дурак может!» и сосредоточимся на главном: как компании уберечься от взлома через несведущих в ИБ сотрудников? Да что там — и на солнце бывают пятна. Сотрудники ИТ-департамента и топы хоть и реже, чем колл-центр и секретари, но тоже попадаются на фишинг, очень часто это целевой фишинг — последствия объяснять не надо. Что делать безопаснику с пресловутым человеческим фактором? Вариантов, как водится, несколько (не считая радикальных), но не все они одинаково полезны:

  • купить еще больше волшебных средств защиты;
  • отправить всех сотрудников на внешние курсы по ИБ;
  • отказаться от людей везде где только можно, начав путь к полной автоматизации производства;
  • наладить постоянное обучение сотрудников непосредственно на рабочем месте.

Если вам нравятся первые 3 пункта, дальше можно не читать.

Уязвимость типа Homo vulnerable


По нашим данным за 2018г., доля фишинговых атак в общем скоупе киберугроз за последние два года увеличилась с 54% до 70%. В среднем каждый 7-й пользователь, который не проходит регулярное повышение осведомленности, поддается на социальную инженерию.

По данным «Лаборатории Касперского», в 2018 г. с фишингом столкнулись 18,32% уникальных пользователей. «Возглавили» хакерский фишинговый ТОП глобальные интернет-порталы (их доля от общего числа пострадавших — 24,72%), на втором месте находится банковский сектор (21,70%), далее платежные системы (14,02%), онлайн-магазины (8,95%), правительственные и налоговые органы (8,88%), соцсети (8,05%), телеком (3,89%), мессенджеры (1,12%) и ИТ-компании (0,95%).

Group-IB отмечает в 2018 значительный рост числа преступлений с web-фишингом, фейковыми сайтами банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. При этом злоумышленникам удалось на 6% увеличить свой доход от фишинга по сравнению с предыдущим периодом.

Как видим, «славное» дело Кевина Митника, рожденное в далеких 80-х, не только живет, но и вполне себе эволюционирует. Оно и понятно: серьезная контора, манящая хакера нешуточными деньгами, как правило, выстраивает нетривиальную многоуровневую защиту своего ИТ-ландшафта. Злоумышленнику нужно обладать недюжинными способностями и потратить довольно много времени, чтобы найти уязвимость и придумать, как ее проэксплуатировать: залить, закрепиться в инфраструктуре, завести себе пользователя незаметно для админов — и ведь на любом из этапов можно легко «срезаться»… Куда проще и быстрее отправить фишинговое письмо и найти внутри компании хотя бы одного человека, который отКЛИКНЕТся, или попросить записать что-нибудь на флешку.

Кого и как чаще всего разводят


Согласно нашей статистике, собранной на примере нескольких десятков крупных российских компаний, наиболее отзывчивые на гипноз фишинг сограждане трудятся в следующих подразделениях:

  • юридическая служба — каждый 4 сотрудник
  • бухгалтерия и финансово-экономическая служба — каждый 5 сотрудник
  • логистический отдел — каждый 5 сотрудник
  • секретариат и техподдержка — каждый 6 сотрудник

И речь, конечно, не о «нигерийских письмах» — преступники давно подбирают куда более изощренные «ключики» к сердцам (и умам) легковерных пользователей. Имитируя деловую переписку, мошенники используют реальные реквизиты, лого и подписи компаний- или подразделений-отправителей. А дальше по старой цыганской традиции в ход идет психология.

Тут хакеры эксплуатируют уже человеческие «уязвимости». Например, жадность: мегаскидка, бесплатная путевка или халявный приз не оставят равнодушным даже гендиректора (увы, случай из практики).
Другой фактор — ожидание. К примеру, ДМС почти во всех организациях оформляется в начале года — в это время фейковое письмо с заветным полисом, скорей всего, не вызовет подозрений у персонала.

Еще одна давняя как мир уловка — срочность и авторитет источника. Если операционист или бухгалтер, работающий в вечном цейтноте, вдруг получает письмо от знакомого контрагента с просьбой «СРОЧНО оплатить», он вероятно откроет и письмо, и вложение из него (примеров, увы, немало), и попросит коллегу сделать то же самое, когда на ее/его компьютере файл не откроется, и лишь потом поймет, что произошло… может быть.

Разумеется, играют и на страхе: «Ваш Google-/Apple-аккаунт заблокирован. Подтвердите, что вы — это вы, пройдя по ссылке» — очень даже рабочий вариант, и не важно, что аккаунт привязан к личной почте, а письмо пришло на корпоративную.

Человеческое любопытство тоже играет на руку мошенникам — кто не захочет посмотреть фото с корпоратива? И таких рычагов воздействия очень много.

После предварительной обработки человека заманивают на страницу, где он вбивает свои логин и пароль (и далее происходит раскрутка этих данных).Человеку предлагается либо кусок зловреда — дроппер, который не детектируется никакими СЗИ, но, попадая на компьютер жертвы, проверяет хост на наличие антивируса и проводит тесты на песочницу (sandbox), подгружая далее утилиты для удаленного доступа или шифрования диска, — либо предлагается основное тело зловреда, после чего тот выкачивает офисные файлы, архивы и переписку, до которых смог дотянуться (включая сетевые диски и шары) на внешнее, подконтрольное злоумышленнику хранилище.

Киберграмотность? Нет, не слышали



В нашей компании есть команда пентестеров, которые регулярно проводят для заказчиков так называемые социотехнические тестирования — тесты на проникновение, в которых основным вектором атаки являются люди.

Кейс 1


Один из заказчиков заказал такое тестирование в начале марта текущего года. Целью был отдел кадров, состоящий из 30 человек. В качестве фишингового шаблона рассылки была выбрана акция от одного известного сетевого ритейлера алкогольной продукции, предлагающая скидки в размере 20% на вина и шампанское. Мы, конечно, понимали, что в преддверии Международного женского дня это очень актуальная рассылка, но не ожидали, что настолько… К концу дня количество переходов по ссылке превысило 500 уникальных посещений, причем не только из данной организации, но и с совершенно посторонних адресов. А на следующий день мы узнали, что ИТ-служба компании получила от сотрудников более 10 гневных писем о том, что у них не открывается ссылка из-за «криво настроенных политик доступа в интернет».

Как видим, если «попасть» с темой рассылки и угадать со временем, то эффект может превзойти все ожидания.

Кейс 2


Еще один показательный случай был в компании, где сотрудники долго ждали новый ДМС. Мы подготовили соответствующее «фишинговое» письмо и отправили сотрудникам, причем всем сразу. Обычно мы не рекомендуем так делать, чтобы исключить влияние коллективного разума. В этой истории попались даже те, кто собственно был занят в оформлении нового договора на ДМС и те, кто бок о бок с нами работают и вроде бы все знают, и мы каждый день об этом жужжим —но нет, клюнули. Многие быстро поняли, что совершили ошибку и честно сдались службе ИБ, но были и такие, кто даже по прошествии нескольких дней продолжал требовать ДМС, апеллируя к нашей рассылке и пересылая «фишинговое» письмо по компании.

Такую социальную инженерию «индивидуального пошива» не отловит ни одна антиспам-система, и сотрудники, сами того не желая, могут легко опрокинуть всю вашу защиту.


А если учесть, что корпоративная почта к тому же есть и на личных планшетах работников и их смартфонах, которые никак не подконтрольны службе ИБ, то безопаснику остается только расслабиться и получать удовольствие развести руками… Или нет? Что делать-то?

Fishing vs phishing: как научить сотрудников различать


Есть несколько путей решения этой проблемы. Многие компании сегодня действуют по классике (как и много лет назад, когда хакеры еще под стол пешком ходили): выделяется специально обученный человек, который пишет ИБ-регламенты поведения, и при приеме на работу каждый сотрудник обязан сию нетленку данный документ изучить, подписать и принять к сведению. Впрочем, последний пункт при таком подходе — вещь сугубо факультативная. Все эти грозные наставления человек помнит в лучшем случае до окончания испытательного срока (особо злопамятные не в счет). Как вы думаете, что произойдет, если спустя года-два или даже раньше он увидит в своем ящике «заветное письмо»? Вопрос риторический. Для безопасника такой метод работы с персоналом немногим эффективней скрещенных на удачу пальцев.

Какие еще варианты? Можно отправить людей на внешние курсы повышения киберграмотности — хотя бы ключевых специалистов. В этом случае человек на день-два идет слушать лекции. Способ, конечно, более действенный, но: 1) мы вырываем людей из рабочего процесса, что само по себе сложно и дорого; 2) у нас нет возможности проконтролировать качество обучения — человек может пропустить лекции или спать на них. Контрольные тесты по завершению таких курсов, как правило, не предусмотрены. Но даже если они есть, спустя какое-то время мы снова вернемся к старой ситуации: сотрудник все забыл, потерял бдительность, растерялся (нужное подчеркнуть) и попался, а за ним и компания.

Наш подход к Security Awareness


Мы считаем, что обучать киберграмотности можно и нужно на рабочем месте — когда у сотрудника появляется немного свободного времени. Впрочем, если просто пойти по пути онлайн-курсов — давать теоретическую базу, а потом тестировать знания, — все это рискует превратиться в голую теорию, которая очень сильно оторвана от практики (грабли ЕГЭ нам всем в помощь).

Человек слабо запоминает то, что прочитал — лучше, если он это испытал самолично, а идеально усваивается информация, с которой у учащегося связаны те или иные эмоции. Если вас зажало дверью в метро так, что голова осталась снаружи, а туловище — внутри, и поезд тронулся — скорей всего, вы отлично запомните все внутреннее «убранство» туннеля. Шутка, конечно, хотя и с долей правды. Проводить «боевое крещение», устраивая имитированные фишинговые атаки на сотрудников — просто необходимо, чтобы на живом примере показывать им, где они были неправы, где попадаются и как их теоретические знания перенести в практическую плоскость.

В конце концов такая практика крайне полезна и в частной жизни, поэтому сотрудники (пусть и не все;) наверняка скажут спасибо. Как ребенка учат не разговаривать с незнакомцами и не садиться к ним в машину за предлагаемую конфету, так и взрослого надо приучать не доверять неизвестным источникам и не вестись на мелочные блага и выгоды.

Еще один важный момент: периодичность таких учений, процессный подход. Без надобности навыки со временем атрофируются, а час Х может настать внезапно. К тому же атаки постоянно эволюционируют, появляются новые виды социальной инженерии — в соответствии с этим должна обновляться и учебная программа.

Периодичность проверок индивидуальна. Если сотрудники мало привязаны к ИТ, стоит контролировать их кибербдительность хотя бы раз в квартал. Если, напротив, речь идет о специалистах, имеющих доступ к ключевым системам, то чаще.

В следующем материале мы расскажем, как наша платформа Security Awareness проверяет устойчивость сотрудников к фишингу. Не переключайтесь! ;)
Alt text