Der moderne Markt für Informationssicherheit ist mit allen Arten von fortschrittlichen Lösungen mit Präfixen im Namen Next Generation, Unified, AntiAPT oder mindestens 2.0 gefüllt. Die Hersteller versprechen ein neues Maß an Automatisierung, automatischer Reaktion, Erkennung der Zerodea und anderen Wundern. Jeder Sicherheitsbeamte weiß: Sie müssen den Perimeter intensiv schützen, Patches rechtzeitig installieren, Host- und Stream-Antivirenprogramme, DLP, UEBA und andere Tools implementieren. Sie können und müssen sogar ein Situationszentrum (SOC) organisieren und Prozesse erstellen, um Vorfälle zu identifizieren und darauf zu reagieren, komplexe Threat Intelligence durchzuführen und Feeds auszutauschen. Im Allgemeinen ist dies das Leben eines gewöhnlichen Ibeshnik, etwas mehr als 100% ...
Aber das alles ist nutzlos! Weil Homo in jedem Unternehmen verwundbar ist (bei den einfachen Leuten - einem Angestellten), manchmal sehr. Seine entfernten Vorfahren Homo sapiens sapiens, die die Stadien der darwinistischen Evolution durchlaufen haben, haben die Arbeit mit dem Browser, dem E-Mail-Client und der Office-Suite perfekt gemeistert, und jetzt sehen wir Homo verwundbar. Es unterscheidet sich vom Homo sapiens sapiens durch das Vorhandensein eines Smartphones, einer Reihe von Konten in sozialen Netzwerken und die verkümmerte Fähigkeit, Werkzeuge aus Stöcken und Steinen zu erfinden. Er hat auch etwas über Hacker gehört, aber es ist irgendwo da draußen, denn selbst wenn er ihnen begegnet, ist er nicht verletzt und hat keine Angst: Das Maximum, das er riskiert, ist eine bestimmte Anzahl von Geldeinheiten.
IS-Mitarbeiter haben keine Zeit, sich mit Homo-Anfälligen zu befassen: Sie gehen nur ungern zur Schulung, vergessen Informationen schnell und ändern sich häufig. Da sie sich jedoch in der Infrastruktur des Unternehmens befinden, werden sie nicht nur für sich selbst, sondern für das gesamte Unternehmen zu einem Risiko. Daher ist es grundsätzlich falsch, dieses Problem später zu ignorieren oder zurückzudrängen.
Wie die Beobachtungen der letzten 30 Jahre zeigen, bevorzugen Hacker aus einem einfachen Grund zunehmend die Verwendung von Social Engineering gegenüber dem Hacken des Unternehmensumfangs - es ist einfacher, schneller und effizienter. Newsletter werden immer ausgefeilter und von Schutzausrüstung nicht erkannt.
Wir lassen hier das Argument im Sinne von "aber in den alten Tagen ..." und "so kann es jeder Dummkopf!" und konzentrieren Sie sich auf die Hauptsache: Wie können sich Unternehmen vor Hackerangriffen durch Mitarbeiter schützen, die sich der Informationssicherheit nicht bewusst sind? Was ist da - und es gibt Flecken in der Sonne. Mitarbeiter der IT-Abteilung und der obersten Bereiche, obwohl seltener als das Callcenter und die Sekretäre, stoßen ebenfalls auf Phishing. Sehr oft handelt es sich um gezieltes Phishing - die Konsequenzen müssen nicht erklärt werden. Was tun mit dem Wachmann mit dem berüchtigten menschlichen Faktor? Wie üblich gibt es mehrere Optionen
(abgesehen von radikalen) , aber nicht alle sind gleichermaßen nützlich:
- kaufe noch mehr magische Heilmittel;
- Senden Sie alle Mitarbeiter zu externen IB-Kursen.
- Verlassen Sie die Menschen, wo immer dies möglich ist, und beginnen Sie den Weg zur vollständigen Automatisierung der Produktion.
- Richten Sie fortlaufende Schulungen für Mitarbeiter direkt am Arbeitsplatz ein.
Wenn Ihnen die ersten 3 Punkte gefallen, können Sie nicht weiter lesen.
Homo verwundbar
Laut unseren
Daten für 2018 ist der Anteil der Phishing-Angriffe am gesamten Umfang der Cyber-Bedrohung in den letzten zwei Jahren von 54% auf 70% gestiegen. Im Durchschnitt eignet sich jeder 7. Benutzer, der sich keiner regelmäßigen Sensibilisierung unterzieht, für Social Engineering.
Laut Kaspersky Lab waren 2018 18,32% der Unique User auf Phishing gestoßen. Globale Internetportale haben das Hacker-Phishing TOP „angeführt“ (ihr Anteil an der Gesamtzahl der Opfer beträgt 24,72%), der Bankensektor liegt an zweiter Stelle (21,70%), gefolgt von Zahlungssystemen (14,02%) und Online-Shops (8,95%), Regierungs- und Steuerbehörden (8,88%), soziale Netzwerke (8,05%), Telekommunikation (3,89%), Instant Messenger (1,12%) und IT-Unternehmen (0,95%) )
Im Jahr 2018 verzeichnet Group-IB einen deutlichen Anstieg der Anzahl von Straftaten mit Web-Phishing, gefälschten Websites von Banken, Zahlungssystemen, Telekommunikationsbetreibern, Online-Shops und bekannten Marken. Gleichzeitig gelang es den Angreifern, ihr Phishing-Einkommen gegenüber der Vorperiode um 6% zu steigern.
Wie Sie sehen können, lebt das „glorreiche“ Geschäft von Kevin Mitnik, der in den fernen 80ern geboren wurde, nicht nur, sondern entwickelt sich auch vollständig weiter. Es ist verständlich: Ein seriöses Büro, das einem Hacker in der Regel mit seriösem Geld winkt, schafft einen nicht trivialen mehrstufigen Schutz seiner IT-Landschaft. Ein Angreifer muss über bemerkenswerte Fähigkeiten verfügen und viel Zeit damit verbringen, eine Sicherheitsanfälligkeit zu finden und herauszufinden, wie sie ausgenutzt werden kann: Ausfüllen, in der Infrastruktur Fuß fassen, einen Benutzer von Administratoren unbemerkt lassen - und Sie können jederzeit problemlos "abschneiden" ... Es ist viel einfacher und schneller Senden Sie einen Phishing-Brief und finden Sie mindestens eine Person im Unternehmen, die antwortet, oder bitten Sie darum, etwas auf einen USB-Stick zu schreiben.
Wer und wie oft gezüchtet
Laut
unserer Statistik, die am Beispiel mehrerer Dutzend großer russischer Unternehmen gesammelt wurde, arbeiten Mitbürger, die am meisten auf
Hypnose- Phishing reagieren, in den folgenden Abteilungen:
- Rechtsberatung - alle 4 Mitarbeiter
- Buchhaltung sowie Finanz- und Wirtschaftsdienstleistungen - alle 5 Mitarbeiter
- Logistikabteilung - alle 5 Mitarbeiter
- Sekretariat und technischer Support - alle 6 Mitarbeiter
Und natürlich sprechen wir nicht über „nigerianische Briefe“ - Kriminelle haben seit langem viel ausgefeiltere „Schlüssel“ für die Herzen (und Gedanken) leichtgläubiger Benutzer gefunden. Bei der Simulation von Geschäftskorrespondenz verwenden Betrüger echte Details, Logos und Unterschriften von Unternehmen oder Abteilungen von Absendern. Und dann wird nach der alten Zigeunertradition die Psychologie verwendet.
Hier nutzen Hacker menschliche „Schwachstellen“ aus. Zum Beispiel
Gier : Ein Mega-Rabatt, eine Freikarte oder ein Gratispreis lassen selbst den CEO nicht gleichgültig (leider ein Fall aus der Praxis).
Ein weiterer Faktor ist die
Vorfreude . Zum Beispiel wird VMI in fast allen Organisationen zu Beginn des Jahres ausgestellt - zu diesem Zeitpunkt wird ein gefälschter Brief mit der begehrten Richtlinie höchstwahrscheinlich keinen Verdacht bei den Mitarbeitern hervorrufen.
Ein weiterer Trick, der so alt wie die Welt ist, ist die
Dringlichkeit und Autorität der Quelle . Wenn ein Betreiber oder ein Buchhalter, der unter ständigem Zeitdruck arbeitet, plötzlich einen Brief von einem Freund einer Gegenpartei erhält, in dem er aufgefordert wird, "DRINGEND zu zahlen", wird er wahrscheinlich sowohl den Brief als auch den Anhang daraus öffnen (es gibt leider viele Beispiele) und seinen Kollegen bitten, dasselbe zu tun, wenn Die Datei wird auf ihrem Computer nicht geöffnet, und erst dann wird er verstehen, was passiert ist ... vielleicht.
Natürlich spielen sie mit der
Angst : „Ihr Google / Apple-Konto ist gesperrt. Bestätigen Sie, dass Sie Sie sind, indem Sie auf den Link "- eine sehr funktionierende Option - klicken. Es spielt keine Rolle, dass das Konto an eine persönliche E-Mail gebunden ist und der Brief an die Unternehmensmail gesendet wurde.
Menschliche
Neugier spielt auch Betrügern in die Hände - wer möchte nicht ein Foto von einer Büroparty sehen? Und es gibt viele solche Hebel.
Nach der vorläufigen Verarbeitung wird eine Person auf eine Seite gelockt, auf der sie ihren Benutzernamen und ihr Kennwort eingibt (und diese Daten werden dann abgewickelt). Einer Person wird entweder eine Malware angeboten - ein Dropper, der von keinem SZI erkannt wird, der jedoch auf dem Computer des Opfers auf Antivirus überprüft und führt Sandbox-Tests durch und lädt weitere Dienstprogramme für den Remotezugriff oder die Festplattenverschlüsselung - entweder wird der Hauptteil der Malware angeboten, wonach Pumpendateien, Archive und Korrespondenz herausgepumpt werden, die erreicht werden könnten ( einschließlich Netzwerklaufwerke und Bälle) an ein externes Repository, das von einem Angreifer gesteuert wird.
Cyberkompetenz? Nein, nicht gehört
Unser Unternehmen verfügt über ein Team von Pentestern, die regelmäßig sogenannte soziotechnische Tests für Kunden durchführen - Penetrationstests, bei denen Menschen der Hauptangriffsvektor sind.
Fall 1
Einer der Kunden bestellte solche Tests Anfang März dieses Jahres. Ziel war eine Personalabteilung mit 30 Mitarbeitern. Als Phishing-Mailing-Vorlage wurde eine Aktion von einem bekannten Netzwerkhändler für alkoholische Getränke ausgewählt, die 20% Rabatt auf Wein und Champagner bietet. Natürlich haben wir verstanden, dass dies am Vorabend des Internationalen Frauentags ein sehr relevanter Newsletter war, aber wir haben nicht so viel erwartet ... Am Ende des Tages hat die Anzahl der Click-throughs 500 eindeutige Besuche überschritten, nicht nur von dieser Organisation, sondern auch von völlig fremden Adressen. Am nächsten Tag erfuhren wir, dass der IT-Service des Unternehmens mehr als 10 verärgerte Briefe von Mitarbeitern erhielt, in denen angegeben wurde, dass sie den Link aufgrund von „krummen Richtlinien für den Internetzugang“ nicht geöffnet haben.
Wie Sie sehen können, kann der Effekt alle Erwartungen übertreffen, wenn Sie in die Mailingliste gelangen und mit der Zeit raten.
Fall 2
Ein weiterer wichtiger Fall war ein Unternehmen, in dem die Mitarbeiter lange auf einen neuen VHI warteten. Wir haben den entsprechenden Phishing-Brief vorbereitet und auf einmal an die Mitarbeiter gesendet. Normalerweise empfehlen wir dies nicht, um den Einfluss des kollektiven Geistes auszuschließen. In dieser Geschichte haben sogar diejenigen, die tatsächlich einen neuen Vertrag für VHI ausgearbeitet haben, und diejenigen, die Seite an Seite mit uns arbeiten und scheinbar alles wissen, und wir schwirren jeden Tag darüber - aber nein, haben gepickt. Viele erkannten schnell, dass sie einen Fehler gemacht hatten und sich ehrlich dem IS-Dienst ergeben hatten, aber es gab diejenigen, die auch nach einigen Tagen weiterhin VHI forderten, unseren Newsletter anriefen und einen Phishing-Brief an das Unternehmen schickten.
Kein Anti-Spam-System kann dieses Social Engineering des „individuellen Nähens“ auffangen, und Mitarbeiter, die dazu nicht bereit sind, können Ihren gesamten Schutz leicht aufheben.
Und wenn Sie bedenken, dass sich Unternehmenspost auch auf persönlichen Tablets von Mitarbeitern und deren Smartphones befindet, die in keiner Weise vom IS-Dienst gesteuert werden, kann sich der Sicherheitsbeamte nur
entspannen und Spaß beim Achselzucken haben ... Oder nicht? Was tun?
Angeln gegen Phishing: Wie man Mitarbeitern das Unterscheiden beibringt
Es gibt verschiedene Möglichkeiten, um dieses Problem zu lösen. Viele Unternehmen arbeiten heute nach den Klassikern (wie vor vielen Jahren, als Hacker noch unter dem Tisch standen): Eine speziell ausgebildete Person sticht heraus, die
Vorschriften zur Informationssicherheit schreibt, und bei der Einstellung ist jeder Mitarbeiter verpflichtet, zu studieren, zu unterschreiben und zur Kenntnis nehmen. Der letzte Punkt bei diesem Ansatz ist jedoch eine rein optionale Sache. Bestenfalls erinnert sich eine Person vor dem Ende der Probezeit an all diese beeindruckenden Anweisungen (besonders rachsüchtig zählt nicht). Was wird Ihrer Meinung nach passieren, wenn er nach ein oder zwei Jahren oder noch früher in seinem Briefkasten einen „Schatzbrief“ sieht? Die Frage ist rhetorisch. Für einen Sicherheitsbeamten ist diese Methode der Arbeit mit Personal etwas effektiver als das Drücken der Daumen für viel Glück.
Welche anderen Möglichkeiten? Sie können Personen zu
externen Cyber-Alphabetisierungskursen schicken - zumindest zu wichtigen Spezialisten. In diesem Fall hört sich eine Person ein oder zwei Tage lang Vorlesungen an. Die Methode ist natürlich effektiver, aber: 1) wir nehmen Menschen aus dem Arbeitsprozess heraus, was an sich schwierig und teuer ist; 2) Wir haben nicht die Möglichkeit, die Qualität des Trainings zu kontrollieren - eine Person kann Vorträge überspringen oder darauf schlafen. Kontrolltests zur Durchführung solcher Kurse werden in der Regel nicht angeboten. Aber selbst wenn dies der Fall ist, werden wir nach einiger Zeit zur alten Situation zurückkehren: Der Mitarbeiter hat alles vergessen, seine Wachsamkeit verloren, war verwirrt (unterstreicht notwendig) und wurde erwischt, und hinter ihm die Firma.
Unser Ansatz zum Sicherheitsbewusstsein
Wir glauben, dass es möglich und notwendig ist, die Cyberkompetenz am Arbeitsplatz zu trainieren - wenn ein Mitarbeiter Freizeit hat. Wenn Sie jedoch einfach dem Weg der Online-Kurse folgen - um eine theoretische Grundlage zu geben und dann das Wissen zu testen -, kann dies zu einer bloßen Theorie werden, die sehr weit von der Praxis entfernt ist
(nutzen Sie den USE, um uns allen zu helfen) .
Ein Mensch erinnert sich schwach an das, was er gelesen hat - es ist besser, wenn er es persönlich erlebt hat, und die Informationen, mit denen der Schüler bestimmte Emotionen hat, werden idealerweise aufgenommen. Wenn Sie von einer Tür in der U-Bahn festgehalten werden, so dass Ihr Kopf außen und Ihr Körper innen bleibt und der Zug startet, werden Sie sich höchstwahrscheinlich an die gesamte innere „Dekoration“ des Tunnels erinnern. Ein Witz natürlich, wenn auch mit einem Körnchen Wahrheit. Um eine „Feuertaufe“ durchzuführen, indem simulierte Phishing-Angriffe auf Mitarbeiter durchgeführt werden, muss ihnen lediglich gezeigt werden, wo sie sich geirrt haben, wo sie auf sie stoßen und wie sie ihr theoretisches Wissen anhand eines lebenden Beispiels auf eine praktische Ebene übertragen können.
Am Ende ist diese Praxis im Privatleben äußerst nützlich, daher werden sich die Mitarbeiter (wenn auch nicht alle;) wahrscheinlich bedanken. So wie einem Kind beigebracht wird, nicht mit Fremden zu sprechen und nicht für die angebotenen Süßigkeiten in sein Auto zu steigen, sollte einem Erwachsenen beigebracht werden, unbekannten Quellen nicht zu vertrauen und nicht zu geringfügigen Vorteilen und Vorteilen geführt zu werden.
Ein weiterer wichtiger Punkt: die Häufigkeit solcher Übungen, ein Prozessansatz. Unnötig, Fähigkeiten werden mit der Zeit verkümmern und Stunde X kann plötzlich kommen. Darüber hinaus entwickeln sich Angriffe ständig weiter, es treten neue Arten von Social Engineering auf - dementsprechend sollte der Lehrplan aktualisiert werden.
Die Häufigkeit der Inspektionen ist individuell. Wenn die Mitarbeiter wenig mit der IT zu tun haben, lohnt es sich, ihre Cyber-Wachsamkeit mindestens einmal im Quartal zu überwachen. Wenn es sich im Gegenteil um Spezialisten mit Zugang zu Schlüsselsystemen handelt, dann häufiger.
Im nächsten Artikel beschreiben wir, wie unsere Security Awareness-Plattform die Phishing-Resistenz von Mitarbeitern testet. Nicht wechseln! ;)