Как отучить персонал нажимать на подозрительные ссылки

Как отучить персонал нажимать на подозрительные ссылки
Счет фишинговых инцидентов в мировом масштабе идет на миллиарды в год, а ущерб от одной только эпидемии WannaCry превысил 1 миллиард долларов. Прямые и косвенные убытки от атаки на корпоративную инфраструктуру могут исчисляться миллионами и практически всегда хакеры используют методы социальной инженерии, на которые попадается персонал компаний.  Поэтому от безграмотности собственных сотрудников бизнес приходится защищать.

Защита от дурака
В большинстве успешных атак на корпоративные ИТ-инфраструктуры эксплуатируется человеческий фактор. Алгоритмы работы всевозможных зловредов таковы, что для их запуска пользователю необходимо выполнить определенные действия: открыть присланный по электронной почте документ или перейти по вредоносной ссылке. Разумеется, для этого сотруднику компании потребуется серьезная мотивация. Обычно ему приходит письмо с якобы важной информацией: выпиской из банка, уведомлением о просроченной задолженности или счетом на оплату — есть масса способов заставить человека пойти по ссылке или открыть вложение.


После этого запускается программа, заражающая компьютер шпионским ПО, вымогателем, шифровальщиком или другим зловредом. Чаще всего проводятся адресные рассылки — люди оставляют свои персональные данные на каждом шагу (предъявляя паспорт на входе в бизнес-центры или заполняя анкеты в различных сервисах) и злоумышленникам не составляет особого труда их получить. Хакеры активно осваивают и новые каналы: в частном секторе участились случаи фишинговых рассылок через мессенджеры. Но в корпоративном сегменте главный канал доставки зловредов – по-прежнему электронная почта.

Антивирусы не спасают
Существующих технических методов недостаточно для надежной защиты. Антивирусы работают по сигнатурному принципу, но изменить сигнатуру вредоносного ПО довольно легко. К тому же существуют так называемые «угрозы нулевого дня», когда в базах данных популярных продуктов попросту нет нужных сигнатур.

Современные хакеры применяют технологии обфускации кода: они таким образом запутывают тело вируса, что заложенные в антивирусных решениях алгоритмы его не распознают. Наиболее опасны целевые атаки, учитывающие индивидуальные особенности устройства корпоративной инфраструктуры — защититься от них только техническими средствами практически невозможно. Во время целевых атак применяются многогоходовые комбинации: сначала с помощью специализированных инструментов хакеры анализируют средства защиты периметра, а потом подбирают тип вредоносного ПО, который их обходит.

Для борьбы с угрозами нулевого дня и защиты от целевых атак несколько лет назад были созданы так называемые «песочницы» – специальные средства, которые разворачивают подозрительные вложения и анализируют их работу в изолированной виртуальной среде. Но сейчас есть способы обойти даже песочницу.

Существуют продукты, анализирующие конечные устройства и выявляющие заражение неизвестными зловредами по целому ряду признаков, но лучше использовать превентивные меры. К тому же не все зловреды производят явно заметные действия, это может быть и программа-шпион, отправляющая небольшими порциями собранную конфиденциальную информацию. И здесь повышение осведомленности пользователя об угрозах — один из главных способов, поскольку человеческий фактор эксплуатируется в большинстве успешных атак.

Лекции не работают
Итак, учить сотрудников все равно придется. Классический подход к обучению заключается в проведении информационных рассылок и лекций о «цифровой гигиене». Этот подход был популярен в прошлом десятилетии, но практика показала, что в силу особенностей человеческой психологии сотрудники игнорируют рассылки.
Лекции они также не посещают или не придают им серьезного значения – ну, в самом деле, не увольнять же ценного специалиста за прогул мероприятия, которое даже не входит в его обязанности. По сути, это работа просто для галочки. К тому же проводить обучение всех сотрудников не требуется — в компании наверняка есть бдительные люди, понимающие как отличить фишинговое письмо от настоящего.

Найти и обучить
Сейчас появляется новый класс ИБ-решений, которые предполагают проактивный подход к обучению – среди них есть как продукты “on-premise”, так и облачные сервисы, например, Syssoft Security Awareness. Суть работы таких систем очень проста. После импорта списка сотрудников из AD и разделение его на фокус-группы, сервис проводит рассылку псевдофишинговых писем с типичным для настоящих атак содержанием: счет на оплату, сообщение о задолженности, уведомление об ограничении выезда за границу и другие сообщения-ловушки.

Никакое вредоносное ПО, разумеется, в систему не внедряется — дело ограничивается сбором и анализом статистики открытия персонализированных ссылок для выявления слабого звена. На следующем этапе попавшие в группу риска пользователи проходят интерактивные учебные курсы и сдают тесты.

У этого метода есть серьезный психологический плюс: сотрудник, «попавшемуся» на рассылку, чувствует свою вину, и его мотивация пройти обучение обычно высока. А вот работники, проигнорировавшие учебное сообщение, могут не тратить свое драгоценное рабочее время зря. Процедура регулярно повторяется и сервис анализирует результаты обучения: по опыту многих компаний, уже на втором «круге» обучающей рассылки попадается на 30-40% меньше сотрудников.

Эмуляция настоящих хакерских атак позволяет выявить слишком доверчивых пользователей и персонально с ними работать, постоянно контролируя результаты обучения. Подобный подход не только более надёжен, но и обходится заказчикам гораздо дешевле традиционного. Он активно использует современные дистанционные методы, не требует проведения малоэффективных семинаров для всего персонала и позволяет в значительной степени снизить действенность методов социальной инженерии, используемых для массовых рассылок фишинговых писем и даже для реализации целевых атак.
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену