El mercado moderno de seguridad de la información está lleno de todo tipo de soluciones avanzadas con prefijos en el nombre Next generation, Unified, AntiAPT o al menos 2.0. Los fabricantes prometen un nuevo nivel de automatización, respuesta automática, reconocimiento de zerodea y otros milagros. Cualquier guardia de seguridad lo sabe: necesita proteger intensamente el perímetro, instalar parches a tiempo, implementar host y transmitir antivirus, DLP, UEBA y otras herramientas. Puede e incluso necesita organizar un centro situacional (SOC) y crear procesos para identificar y responder a incidentes, realizar Inteligencia de amenazas compleja y compartir feeds. En general, esta es la vida de un Ibeshnik ordinario, un poco más del 100% ...
¡Pero todo esto es inútil! Porque dentro de cualquier empresa es Homo vulnerable (en la gente común, un empleado), a veces mucho. Sus ancestros lejanos, el Homo sapiens sapiens, pasando por las etapas de la evolución darwiniana, han dominado perfectamente el trabajo con el navegador, el cliente de correo electrónico y la suite ofimática, y ahora estamos viendo a Homo vulnerable. Se diferencia del Homo sapiens sapiens por la presencia de un teléfono inteligente, un montón de cuentas en las redes sociales y la capacidad atrofiada de inventar herramientas a partir de palos y piedras. También escuchó algo sobre los piratas informáticos, pero está en algún lugar, porque incluso si los encuentra, no está herido ni tiene miedo: lo máximo que arriesga es una cierta cantidad de unidades monetarias.
Los empleados de IS no tienen tiempo para lidiar con los Homo vulnerables: son reacios a ir a la capacitación, olvidan rápidamente la información y a menudo cambian. Pero, al estar dentro de la infraestructura de la compañía, se convierten en un riesgo no solo para ellos, sino para la organización en general. Por lo tanto, ignorar o retrasar este problema más tarde es fundamentalmente el enfoque equivocado.
Como muestran las observaciones de los últimos 30 años, los piratas informáticos prefieren cada vez más la forma de utilizar la ingeniería social al pirateo del perímetro de la empresa, por una simple razón: es más fácil, más rápido y más eficiente. Los boletines se están volviendo más sofisticados y no son detectados por los equipos de protección.
Omitimos aquí el argumento en el espíritu de "pero en los viejos tiempos ..." y "¡así que cualquier tonto puede!" y centrarse en lo principal: ¿cómo pueden las empresas protegerse de piratear a través de empleados que desconocen la seguridad de la información? Lo que hay allí, y hay manchas en el sol. Los empleados del departamento de TI y los mejores, aunque con menos frecuencia que el centro de atención telefónica y las secretarias, también se encuentran con la suplantación de identidad, muy a menudo se trata de suplantación de identidad (phishing) dirigida; no es necesario explicar las consecuencias. ¿Qué hacer con el guardia de seguridad con el notorio factor humano? Hay varias opciones, como de costumbre,
(aparte de las radicales) , pero no todas son igualmente útiles:
- comprar aún más remedios mágicos;
- enviar a todos los empleados a cursos externos del IB;
- abandonar a las personas siempre que sea posible, comenzando el camino hacia la automatización total de la producción;
- Establecer capacitación continua para los empleados directamente en el lugar de trabajo.
Si te gustan los primeros 3 puntos, entonces no puedes seguir leyendo.
Homo vulnerable
Según nuestros
datos para 2018, la proporción de ataques de phishing en el alcance general de la amenaza cibernética en los últimos dos años ha aumentado del 54% al 70%. En promedio, cada séptimo usuario que no se somete regularmente a una toma de conciencia se presta a la ingeniería social.
Según Kaspersky Lab, en 2018 el 18,32% de los usuarios únicos encontraron phishing. Los portales mundiales de Internet "encabezaron" el hacker phishing TOP (su participación en el número total de víctimas es del 24,72%), el sector bancario ocupa el segundo lugar (21,70%), seguido de los sistemas de pago (14,02%), las tiendas en línea (8.95%), autoridades gubernamentales y fiscales (8.88%), redes sociales (8.05%), telecomunicaciones (3.89%), mensajería instantánea (1.12%) y compañías de TI (0.95%) )
En 2018, Group-IB
observa un aumento significativo en el número de delitos con phishing web, sitios web falsos de bancos, sistemas de pago, operadores de telecomunicaciones, tiendas en línea y marcas conocidas. Al mismo tiempo, los atacantes lograron aumentar sus ingresos de phishing en un 6% en comparación con el período anterior.
Como puede ver, el negocio "glorioso" de Kevin Mitnik, nacido en los lejanos años 80, no solo vive, sino que también evoluciona por completo. Es comprensible: una oficina seria, haciendo señas a un pirata informático con dinero serio, como regla, construye una protección no trivial de múltiples niveles de su panorama de TI. Un atacante necesita tener habilidades notables y pasar mucho tiempo para encontrar una vulnerabilidad y descubrir cómo explotarla: completar, obtener un punto de apoyo en la infraestructura, hacer que un administrador pase desapercibido para un usuario, y puede "cortar" fácilmente en cualquier etapa ... Es mucho más fácil y rápido envíe una carta de phishing y encuentre al menos una persona dentro de la compañía que RESPONDERÁ, o solicite escribir algo en una unidad flash USB.
Quién y con qué frecuencia criado
Según
nuestras estadísticas, recopiladas con el ejemplo de varias docenas de grandes compañías rusas, los conciudadanos que responden mejor al phishing de
hipnosis trabajan en las siguientes divisiones:
- servicio legal - cada 4 empleados
- servicios contables, financieros y económicos: cada 5 empleados
- Departamento de logística: cada 5 empleados
- secretaría y soporte técnico - cada 6 empleados
Y, por supuesto, no estamos hablando de "cartas nigerianas": los delincuentes llevan mucho tiempo recogiendo "llaves" mucho más sofisticadas para los corazones (y mentes) de los usuarios crédulos. Simulando correspondencia comercial, los estafadores usan detalles reales, logotipos y firmas de compañías o divisiones de remitentes. Y luego, según la antigua tradición gitana, se utiliza la psicología.
Aquí los hackers explotan las "vulnerabilidades" humanas. Por ejemplo, la
avaricia : un mega descuento, un boleto gratis o un premio gratis no dejarán indiferente ni siquiera al CEO (por desgracia, un caso de práctica).
Otro factor es la
anticipación . Por ejemplo, el VMI en casi todas las organizaciones se emite a principios de año; en este momento, una carta falsa con la codiciada política, muy probablemente, no causará sospechas entre el personal.
Otro truco tan antiguo como el mundo es la
urgencia y la autoridad de la fuente . Si un operador o un contador que trabaja con presión de tiempo perpetuo recibe de repente una carta de un amigo de la contraparte pidiéndole que "pague URGENTEMENTE", probablemente abrirá tanto la carta como el archivo adjunto (hay, por desgracia, muchos ejemplos), y le pedirá a su colega que haga lo mismo cuando el archivo no se abrirá en su computadora, y solo entonces comprenderá lo que sucedió ... tal vez.
Por supuesto, juegan con
miedo : “Tu cuenta de Google / Apple está bloqueada. Confirme que es usted haciendo clic en el enlace ", una opción muy funcional, y no importa que la cuenta esté vinculada al correo personal, y la carta llegó al corporativo.
La
curiosidad humana también juega en manos de los estafadores: ¿quién no quiere ver una foto de una fiesta en la oficina? Y hay mucho de ese apalancamiento.
Después del procesamiento preliminar, una persona es atraída a una página donde ingresa su nombre de usuario y contraseña (y luego estos datos se desenrollan). A una persona se le ofrece una pieza de malware: un cuentagotas, que no es detectado por ningún SZI, pero, al acceder a la computadora de la víctima, busca antivirus en el host y lleva a cabo pruebas de sandbox, cargando otras utilidades para acceso remoto o cifrado de disco: se ofrece el cuerpo principal del malware, después de lo cual bombea archivos de oficina, archivos y correspondencia a los que podría llegar ( incluyendo unidades de red y bolas) a un repositorio externo controlado por un atacante.
¿Alfabetización cibernética? No no escuchado
Nuestra empresa cuenta con un equipo de pentesters que regularmente realizan las llamadas pruebas sociotécnicas para los clientes: pruebas de penetración en las que las personas son el principal vector de ataque.
Caso 1
Uno de los clientes ordenó tales pruebas a principios de marzo de este año. El objetivo era un departamento de recursos humanos de 30 personas. Como plantilla de envío de phishing, se eligió una acción de un conocido minorista de bebidas alcohólicas de la red, que ofrece 20% de descuento en vino y champán. Por supuesto, entendimos que en vísperas del Día Internacional de la Mujer, este era un boletín muy relevante, pero no esperábamos mucho ... Al final del día, el número de clics superó las 500 visitas únicas, no solo de esta organización, sino también de direcciones completamente extrañas. Y al día siguiente, supimos que el servicio de TI de la compañía recibió más de 10 cartas de enojo de los empleados que decían que no abrieron el enlace debido a "políticas de acceso a Internet torcidas".
Como puede ver, si ingresa a la lista de correo y adivina con el tiempo, el efecto puede exceder todas las expectativas.
Caso 2
Otro caso importante fue en una empresa donde los empleados esperaban un nuevo VHI durante mucho tiempo. Preparamos la carta de "phishing" correspondiente y la enviamos a los empleados, todo a la vez. Por lo general, no recomendamos hacerlo para excluir la influencia de la mente colectiva. En esta historia, incluso aquellos que estaban realmente involucrados en la elaboración de un nuevo contrato para VHI y aquellos que trabajan codo a codo con nosotros y parecen saberlo todo, y hablamos de ello todos los días, pero no, nos han molestado. Muchos se dieron cuenta rápidamente de que habían cometido un error y se rindieron sinceramente al servicio de SI, pero hubo quienes, incluso después de varios días, continuaron exigiendo VHI, apelando a nuestro boletín y enviando una carta de "phishing" a la compañía.
Ningún sistema antispam puede captar esta ingeniería social de "costura individual", y los empleados, que no están dispuestos a hacerlo, pueden revocar fácilmente toda su protección.
Y si tiene en cuenta que el correo corporativo también está en tabletas personales de empleados y sus teléfonos inteligentes, que no están controlados por el servicio de IS de ninguna manera, entonces el guardia de seguridad solo puede
relajarse y divertirse encogiéndose de hombros ... ¿O no? Que hacer
Pesca vs phishing: cómo enseñar a los empleados a distinguir
Hay varias formas de resolver este problema. En la actualidad, muchas empresas operan de acuerdo con los clásicos (como hace muchos años, cuando los piratas informáticos todavía se metían debajo de la mesa): se destaca una persona especialmente capacitada que escribe
las normas de seguridad de la información , y al contratar a cada empleado está obligado a estudiar, firmar y toma nota Sin embargo, el último punto con este enfoque es algo puramente opcional. En el mejor de los casos, una persona recuerda todas estas formidables instrucciones antes del final del período de prueba (especialmente el vengativo no cuenta). ¿Qué crees que pasará si, después de un año o dos, o incluso antes, ve en su buzón una "carta atesorada"? La pregunta es retórica. Para un guardia de seguridad, este método de trabajar con el personal es un poco más efectivo que los dedos cruzados para tener buena suerte.
¿Qué otras opciones? Puede enviar personas a
cursos externos de alfabetización cibernética, al menos especialistas clave. En este caso, una persona va a escuchar conferencias durante un día o dos. El método, por supuesto, es más efectivo, pero: 1) sacamos a las personas del proceso de trabajo, que en sí mismo es difícil y costoso; 2) no tenemos la capacidad de controlar la calidad de la capacitación: una persona puede saltear conferencias o dormir en ellas. No se proporcionan pruebas de control para completar dichos cursos, por regla general. Pero incluso si lo son, después de algún tiempo volveremos a la situación anterior: el empleado olvidó todo, perdió la vigilancia, estaba perdido (subrayado necesario) y quedó atrapado, y detrás de él la empresa.
Nuestro enfoque para la conciencia de seguridad
Creemos que es posible y necesario capacitar a la alfabetización cibernética en el lugar de trabajo, cuando un empleado tiene algo de tiempo libre. Sin embargo, si simplemente sigue el camino de los cursos en línea, para dar una base teórica y luego probar el conocimiento, todo esto corre el riesgo de convertirse en una teoría desnuda, que está muy divorciada de la práctica
(rastrille el USO para ayudarnos a todos) .
Una persona recuerda débilmente lo que leyó: es mejor si lo experimentó personalmente, y la información con la que el estudiante tiene ciertas emociones se absorbe idealmente. Si está atrapado por una puerta en el metro para que su cabeza permanezca en el exterior, y su cuerpo esté en el interior, y el tren comience, lo más probable es que recuerde perfectamente la "decoración" completa del túnel. Una broma, por supuesto, aunque con un grano de verdad. Para llevar a cabo un "bautismo de fuego" organizando ataques de phishing simulados a los empleados, simplemente es necesario mostrarles dónde se equivocaron, dónde se encuentran y cómo transferir sus conocimientos teóricos a un plano práctico utilizando un ejemplo vivo.
Al final, esta práctica es extremadamente útil en la vida privada, por lo que los empleados (aunque no todos;) probablemente dirán gracias. Del mismo modo que a un niño se le enseña a no hablar con extraños y a no subirse a su automóvil por los dulces que se le ofrecen, también se debe enseñar a un adulto a no confiar en fuentes desconocidas y no dejarse llevar por pequeños beneficios y beneficios.
Otro punto importante: la frecuencia de tales ejercicios, un enfoque basado en procesos. Innecesariamente, las habilidades se atrofiarán con el tiempo, y la hora X puede aparecer repentinamente. Además, los ataques evolucionan constantemente, aparecen nuevos tipos de ingeniería social; de acuerdo con esto, el plan de estudios debe actualizarse.
La frecuencia de las inspecciones es individual. Si los empleados tienen poca relación con la TI, vale la pena controlar su vigilancia cibernética al menos una vez por trimestre. Si, por el contrario, estamos hablando de especialistas con acceso a sistemas clave, entonces con más frecuencia.
En el siguiente artículo, describiremos cómo nuestra plataforma de Conciencia de seguridad prueba la resistencia de los empleados al phishing. ¡No cambies! ;)