Почему минимизация человеческих ошибок является единственной жизнеспособной защитой от направленных фишинговых атак

Почему минимизация человеческих ошибок является единственной жизнеспособной защитой от направленных фишинговых атак

Фишинговые атаки давно стали одной из основных проблем кибербезопасности в мире бизнеса. Фактически эти атаки социальной инженерии непрерывно растут на протяжении многих лет.

По итогам последнего доклада Anti-Phishing Work Group выявлено более 266000 активных подставных веб-сайтов, что почти в два раза больше, чем в 4 квартале 2018 года.

Более того, хакеры разработали свои методы регулярных атак направленного фишинга (spear-phishing) в которых используются сообщения электронной почты под видом исходящих из законных источников, чтобы атаковать конкретных лиц.

Именно поэтому мировой рынок программного обеспечения для защиты от spear phishing, по оценкам, достигнет $1,8 млрд к 2025 году.

Обычные средства защиты все еще мало помогают из-за человеческого фактора, который является основной слабой точкой в обороне. Около  33 процентов  данных 2019 года были связаны с тем, что люди стали жертвами атак на социальную инженерию.

Учитывая сложность и творческий подход злоумышленников, часто можно видеть, что даже самые технически образованные и подготовленные пользователи могут стать жертвами подобных аатак.

«Как правило, у отделов информационной безопасности есть две проблемы: технологии и человеческие факторы, — говорит Mika Aalto, CIO компании Hoxhunt по обучению антифишингу. Можно иметь лучшие технологии защиты своих активов, но, если работник попадает в ловушку социальной инженерии, это может поставить под угрозу усилия по поддержанию организации в безопасности от киберпреступников «.

Растущая сложность spear phishing

Ориентация на конкретных людей с ловко замаскированными сообщениями, чтобы казаться законными, spear-phishing атаки обманывают пользователей. Пользователи открывают вложения для выполнения вредоносных программ или нажав ссылки, которые приводят на поддельные веб-сайты, предназначенные для кражи информации.

Согласно  отчету Symantec, 65 процентов всех целенаправленных атак были связаны со spear-phishing, что делает его наиболее распространенной формой атаки.

Злоумышленники теперь имеют различные виды оружия в cdjtv арсенале для выполнения своих направленных фишинговых кампаний. Огромные бот-сети теперь доступны либо напрямую, либо напрокат, что позволит им распространять мошенничество на миллионы потенциальных целей.

Злоумышленники теперь также используют искусственный интеллект (ИИ) для запуска более мощных атак.

Эта растущая изощренность позволяет spear-phishing атакам электронной почты и сообщений обойти обычные защиты, как спам-фильтры.

Люди как самое слабое звено в кибербезопасности

Организации инвестируют значительные средства в решения безопасности корпоративного уровня, чтобы охватить большинство потенциальных векторов атак, таких как инструменты безопасности конечных точек, брандмауэры, спам-фильтры, а также платформы моделирования и тестирования атак. Но независимо от этих растущих инвестиций, многие инфраструктуры по-прежнему уязвимы из-за человеческой ошибки.

По словам Евгения Касперского, халатность персонала является  второй наиболее вероятной  причиной утечки данных, уступая только вредоносным программам.

Например, некоторые сотрудники упускают из виду важность обновления операционных систем и программного обеспечения своих рабочих станций. Это предоставляет инфраструктуру их организации хакерам, которые могут легко использовать неисправленные уязвимости.

Сотрудники также продолжают попадаться на атаки социальной инженерии и фишинг-атаки, нажав на подозрительные электронные письма или следуя инструкциям мошеннического запроса.

Так как spear-phishing письма теперь могут пройти спам-фильтры, организации стали более подвержены таким атакам, следовательно, все члены команды должны поддерживать высокий уровень бдительности.

Вот почему Аалто рассматривает профилактику фишинга как вопрос взаимодействия, а не только образования. «Традиционные методы обучения кибербезопасности, такие как проведение фишинг-симуляций, не работают, потому что они сосредоточены исключительно на осведомленности», — говорит он. «Вместо этого, обучение должно подчеркивать важность участия. Успех в большой степени зависит от непрерывного обучения: в идеальном мире сотрудники часто получают и занимаются современной подготовкой, которая готовит их к сложным атакам социальной инженерии как на рабочем месте, так и в личной жизни».

И без такого рода готовности последствия могут быть очень серьезными. В конце 2019 года японская медиакорпорация Nikkei стала жертвой фишинговой аферы, когда сотрудник перевел  около $29 млн  на банковский счет киберпреступника. Мошенник выдавал себя за руководителя Nikkei и давал мошеннические указания сотруднику о переводе.

Укрепление человеческого фактора

Широкое внедрение средств безопасности может создать ложное чувство безопасности у сотрудников. Они могут быть вынуждены полагать, что каждое письмо или сообщение, которое не отправлено в папку спама является безопасным для открытия.

Вот почему автоматизированные решения для обучения сотрудников настолько сильны, когда дело доходит до того, чтобы помочь компаниям избежать стать жертвой фишинговых атак.

Hoxhunt, например, может запускать смоделированные фишинговые кампании, персонализированные в зависимости от языка и местоположения пользователя. Эти письма напоминают текущие угрозы в отрасли.

Платформа также использует ИИ для сбора информации об организации и ее членах, чтобы адаптировать обучение на основе потребностей каждого из своих пользователей. Когда пользователь не сообщает о смоделированной атаке, ему отправляют информацию о кибербезопасности и советы о том, как обнаруживать угрозы.

Кроме того, сотрудники вознаграждаются системой, когда они сообщают о фишинговых письмах.
Сотрудники могут также отслеживать их прогресс и сравнивать его с прогрессом коллег.

Повышая осведомленность этот подход гарантирует, что сотрудники оснащены необходимыми навыками и знаниями, которые позволяют им бороться с этими последними угрозами.

Развитие правильного мышления

Рост кампаний направленного фишинга и растущее количество утечек данных должны касаться всех нас. Опираться на традиционные, технологические решения безопасности для защиты от различных угроз недостаточно, тем более что человеческие ошибки по-прежнему являются ключевым фактором риска.

Настало время, чтобы люди считались важным элементом кибербезопасности.

Тем не менее, решение проблемы человеческого фактора не является легким, так как требуется изменения в менталитете каждого человека.

«Только непрерывное обучение приводит к устойчивому изменению поведения, которое имеет важное значение для обеспечения того, чтобы сотрудники могли защитить активы организации», заключает Аалто, –Сосредоточение внимания на позитивном усилении в подготовке по кибербезопасности будет гарантировать более сильную оборону».

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только