Le marché moderne de la sécurité de l'information regorge de toutes sortes de solutions avancées avec des préfixes au nom de Next generation, Unified, AntiAPT ou au moins 2.0. Les fabricants promettent un nouveau niveau d'automatisation, de réponse automatique, de reconnaissance du zerodea et d'autres miracles. Tout agent de sécurité le sait: vous devez protéger intensivement le périmètre, installer des correctifs à temps, implémenter des antivirus hôtes et stream, DLP, UEBA et d'autres outils. Vous pouvez et même avoir besoin d'organiser un centre de situation (SOC) et de créer des processus pour identifier et répondre aux incidents, effectuer des Threat Intelligence complexes et partager des flux. En général, c'est la vie d'un Ibeshnik ordinaire, un peu plus de 100% ...
Mais tout cela est inutile! Parce que dans toute entreprise, Homo est vulnérable (dans le commun des mortels - un employé), parfois beaucoup. Ses lointains ancêtres Homo sapiens sapiens, passant par les étapes de l'évolution darwinienne, maîtrisent parfaitement le travail avec le navigateur, le client de messagerie et la suite bureautique, et maintenant nous voyons Homo vulnérable. Il se distingue de l'Homo sapiens sapiens par la présence d'un smartphone, un tas de comptes sur les réseaux sociaux et une capacité atrophiée à inventer des outils à partir de bâtons et de pierres. Il a également entendu parler des hackers, mais c'est quelque part là-bas, car même s'il les rencontre, il n'est pas blessé et n'a pas peur: le maximum qu'il risque est une certaine quantité d'unités monétaires.
Les employés du SI n'ont pas le temps de s'occuper d'Homo vulnérable: ils hésitent à suivre une formation, oublient rapidement les informations et changent souvent. Mais, étant à l'intérieur de l'infrastructure de l'entreprise, ils deviennent un risque non seulement pour eux-mêmes, mais pour l'organisation dans son ensemble. Par conséquent, ignorer ou repousser ce problème plus tard est fondamentalement la mauvaise approche.
Comme le montrent les observations des 30 dernières années, les pirates informatiques préfèrent de plus en plus la façon d'utiliser l'ingénierie sociale au piratage du périmètre de l'entreprise, pour une raison simple - c'est plus facile, plus rapide et plus efficace. Les newsletters deviennent de plus en plus sophistiquées et ne sont pas détectées par les équipements de protection.
Nous omettons ici l'argument dans l'esprit de "mais dans l'ancien temps ..." et "pour que tout imbécile puisse!" et se concentrer sur l'essentiel: comment les entreprises peuvent-elles se protéger contre le piratage par des employés qui ne connaissent pas la sécurité des informations? Qu'y a-t-il - et il y a des taches au soleil. Les employés du service informatique et des hauts responsables, bien que moins souvent que le centre d'appels et les secrétaires, rencontrent également du phishing, très souvent du phishing ciblé - il n'est pas nécessaire d'expliquer les conséquences. Que faire au gardien de sécurité avec le fameux facteur humain? Il existe plusieurs options, comme d'habitude,
(à l'exception des options
radicales) , mais elles ne sont pas toutes également utiles:
- acheter encore plus de remèdes magiques;
- envoyer tous les employés à des cours externes de l'IB;
- abandonner les gens dans la mesure du possible, ouvrant la voie à une automatisation complète de la production;
- établir une formation continue pour les employés directement sur le lieu de travail.
Si vous aimez les 3 premiers points, vous ne pouvez pas lire plus loin.
Homo vulnérable
Selon nos
données pour 2018, la part des attaques de phishing dans le périmètre global des cybermenaces au cours des deux dernières années est passée de 54% à 70%. En moyenne, un utilisateur sur 7 qui ne fait pas de sensibilisation régulière se prête à l'ingénierie sociale.
Selon Kaspersky Lab, en 2018, 18,32% des utilisateurs uniques ont rencontré du phishing. Les portails Internet mondiaux «dirigent» le hacker hameçonnage TOP (leur part du nombre total de victimes est de 24,72%), le secteur bancaire arrive en deuxième position (21,70%), suivi des systèmes de paiement (14,02%), des boutiques en ligne (8,95%), autorités gouvernementales et fiscales (8,88%), réseaux sociaux (8,05%), télécommunications (3,89%), messageries instantanées (1,12%) et sociétés informatiques (0,95%) )
En 2018, le Groupe-IB
note une augmentation significative du nombre de délits de phishing sur le Web, de faux sites Web de banques, de systèmes de paiement, d'opérateurs de télécommunications, de boutiques en ligne et de marques bien connues. Dans le même temps, les attaquants ont réussi à augmenter leurs revenus de phishing de 6% par rapport à la période précédente.
Comme vous pouvez le voir, l'entreprise «glorieuse» de Kevin Mitnik, né dans les années 80 lointaines, vit non seulement, mais évolue aussi complètement. C'est compréhensible: un bureau sérieux, faisant signe à un pirate avec de l'argent sérieux, construit généralement une protection à plusieurs niveaux non triviale de son environnement informatique. Un attaquant doit avoir des capacités remarquables et passer beaucoup de temps à trouver une vulnérabilité et à trouver comment l'exploiter: compléter, prendre pied dans l'infrastructure, faire en sorte qu'un utilisateur ne soit pas remarqué par les administrateurs - et vous pouvez facilement "couper" à tout moment ... C'est beaucoup plus facile et plus rapide envoyer une lettre de phishing et trouver au moins une personne au sein de l'entreprise qui RÉPONDRA, ou demander à écrire quelque chose sur une clé USB.
Qui et à quelle fréquence
Selon
nos statistiques, recueillies sur l'exemple de plusieurs dizaines de grandes entreprises russes, des concitoyens les plus sensibles au phishing par
hypnose travaillent dans les divisions suivantes:
- service juridique - tous les 4 employés
- services comptables et financiers et économiques - tous les 5 employés
- Département logistique - tous les 5 employés
- secrétariat et support technique - tous les 6 employés
Et bien sûr, nous ne parlons pas de «lettres nigérianes» - les criminels récupèrent depuis longtemps des «clés» beaucoup plus sophistiquées dans le cœur (et l'esprit) des utilisateurs crédules. Simulant la correspondance commerciale, les fraudeurs utilisent des détails réels, des logos et des signatures d'entreprises ou de divisions d'expéditeurs. Et puis, selon la vieille tradition gitane, la psychologie est utilisée.
Ici, les pirates informatiques exploitent les «vulnérabilités» humaines. Par exemple, la
cupidité : un méga-rabais, un billet gratuit ou un prix gratuit ne laissera pas indifférent même le PDG (hélas, un cas de pratique).
Un autre facteur est l'
anticipation . Par exemple, VMI dans presque toutes les organisations est publiée au début de l'année - à l'heure actuelle, une fausse lettre avec la politique convoitée, très probablement, ne provoquera pas de suspicion parmi le personnel.
Une autre astuce aussi vieille que le monde est l'
urgence et l'autorité de la source . Si un opérateur ou un comptable travaillant sous la pression du temps perpétuel reçoit soudainement une lettre d'un ami contrepartie lui demandant de "payer en urgence", il ouvrira probablement à la fois la lettre et la pièce jointe (il y a, hélas, beaucoup d'exemples), et demandera à son collègue de faire de même lorsque le fichier ne s'ouvrira pas sur son ordinateur, et alors seulement il comprendra ce qui s'est passé ... peut-être.
Bien sûr, ils jouent sur la
peur : «Votre compte Google / Apple est bloqué. Confirmez que vous êtes bien en cliquant sur le lien "- une option très fonctionnelle, et peu importe que le compte soit lié à du courrier personnel, et que la lettre soit arrivée à l'entreprise.
La
curiosité humaine joue également entre les mains des escrocs - qui ne veut pas voir une photo d'une fête de bureau? Et il y a beaucoup de tels leviers.
Après un traitement préliminaire, une personne est attirée sur une page où elle conduit son nom d'utilisateur et son mot de passe (puis ces données sont déroulées). Une personne se voit proposer soit un logiciel malveillant - un compte-gouttes, qui n'est détecté par aucun SZI, mais, en pénétrant sur l'ordinateur de la victime, vérifie l'hôte pour un antivirus et effectue des tests de bac à sable, en chargeant d'autres utilitaires pour l'accès à distance ou le chiffrement de disque - soit le corps principal du malware est proposé, après quoi il pompe les fichiers de bureau, les archives et la correspondance qu'il pourrait atteindre ( y compris les lecteurs réseau et les balles) vers un référentiel externe contrôlé par un attaquant.
Cyber alphabétisation? Non pas entendu
Notre entreprise dispose d'une équipe de pentesters qui effectuent régulièrement des tests dits sociotechniques pour les clients - des tests de pénétration dans lesquels les personnes sont le principal vecteur d'attaque.
Cas 1
L'un des clients a commandé de tels tests au début du mois de mars de cette année. L'objectif était un département des ressources humaines de 30 personnes. En tant que modèle de publipostage par phishing, une action a été choisie par un détaillant en réseau bien connu de boissons alcoolisées, offrant 20% de réduction sur le vin et le champagne. Bien sûr, nous avons compris qu'à la veille de la Journée internationale de la femme, ce bulletin était très pertinent, mais nous ne nous attendions pas à autant ... À la fin de la journée, le nombre de clics a dépassé 500 visites uniques, non seulement de cette organisation, mais aussi d'adresses complètement étrangères. Et le lendemain, nous avons appris que le service informatique de l'entreprise avait reçu plus de 10 lettres de colère de la part d'employés déclarant qu'ils n'avaient pas ouvert le lien en raison de «politiques d'accès Internet tordues».
Comme vous pouvez le voir, si vous entrez dans la liste de diffusion et devinez avec le temps, l'effet peut dépasser toutes les attentes.
Cas 2
Un autre cas important concernait une entreprise où les employés attendaient depuis longtemps un nouveau VHI. Nous avons préparé la lettre de «phishing» correspondante et l'avons envoyée aux employés en une seule fois. Habituellement, nous ne recommandons pas de le faire afin d'exclure l'influence de l'esprit collectif. Dans cette histoire, même ceux qui étaient réellement engagés dans la rédaction d'un nouveau contrat pour VHI et ceux qui travaillent côte à côte avec nous et semblent tout savoir, et nous en parlons tous les jours - mais non, ont picoré. Beaucoup ont rapidement réalisé qu'ils avaient fait une erreur et se sont honnêtement rendus au service IS, mais il y a ceux qui, même après plusieurs jours, ont continué à demander VHI, faisant appel à notre newsletter et envoyant une lettre de "phishing" à l'entreprise.
Aucun système anti-spam ne peut intercepter cette ingénierie sociale de la «couture individuelle», et les employés qui ne le souhaitent pas peuvent facilement annuler toute votre protection.
Et si vous prenez en compte que le courrier d'entreprise se trouve également sur les tablettes personnelles des employés et leurs smartphones, qui ne sont en aucun cas contrôlés par le service IS, le gardien de sécurité ne peut que se
détendre et s'amuser en haussant
les épaules ... Ou pas? Que faire?
Pêche vs phishing: comment apprendre aux employés à distinguer
Il existe plusieurs façons de résoudre ce problème. De nombreuses entreprises opèrent aujourd'hui selon les classiques (comme il y a de nombreuses années, lorsque les pirates marchaient encore sous la table): une personne spécialement formée se démarque qui rédige
les règles de sécurité de l'information , et lors de l'embauche, chaque employé est obligé d'étudier, de signer et de prends note. Cependant, le dernier point de cette approche est une chose purement facultative. Au mieux, une personne se souvient de toutes ces formidables instructions avant la fin de la période probatoire (surtout vindicatif ne compte pas). Que va-t-il se passer si, après un an ou deux, voire plus tôt, il voit dans sa boîte aux lettres une «lettre précieuse»? La question est rhétorique. Pour un agent de sécurité, cette méthode de travail avec le personnel est légèrement plus efficace que les doigts croisés pour porter chance.
Quelles autres options? Vous pouvez envoyer des personnes à
des cours externes de cyber-alphabétisation - au moins des spécialistes clés. Dans ce cas, une personne va écouter des conférences pendant un jour ou deux. La méthode, bien sûr, est plus efficace, mais: 1) nous retirons les gens du processus de travail, qui en soi est difficile et coûteux; 2) nous n'avons pas la capacité de contrôler la qualité de la formation - une personne peut sauter des cours ou dormir dessus. En règle générale, les tests de contrôle pour suivre ces cours ne sont pas fournis. Mais même s'ils le sont, après un certain temps nous reviendrons à l'ancienne situation: le salarié a tout oublié, a perdu sa vigilance, a été confus (soulignement nécessaire) et s'est fait prendre, et derrière lui l'entreprise.
Notre approche de la sensibilisation à la sécurité
Nous pensons qu'il est possible et nécessaire de former à la cyberalphabétisation sur le lieu de travail - lorsqu'un employé a du temps libre. Cependant, si vous suivez simplement la voie des cours en ligne - pour donner une base théorique, puis tester les connaissances - tout cela risque de se transformer en une théorie nue, très éloignée de la pratique
(ratissez l'USAGE pour nous aider tous) .
Une personne se souvient faiblement de ce qu'elle a lu - il vaut mieux qu'il l'ait personnellement vécu, et les informations avec lesquelles l'élève a certaines émotions sont idéalement absorbées. Si vous êtes coincé par une porte dans le métro afin que votre tête reste à l'extérieur, et que votre corps soit à l'intérieur, et que le train démarre - très probablement, vous vous souviendrez parfaitement de toute la «décoration» du tunnel. Une plaisanterie, bien sûr, mais avec un grain de vérité. Pour effectuer un «baptême du feu» en organisant des attaques de phishing simulées sur les employés - il suffit simplement de leur montrer où ils se sont trompés, où ils se sont trouvés et comment transférer leurs connaissances théoriques sur un plan pratique en utilisant un exemple vivant.
En fin de compte, cette pratique est extrêmement utile dans la vie privée, donc les employés (mais pas tous;) diront probablement merci. Tout comme un enfant apprend à ne pas parler à des étrangers et à ne pas monter dans sa voiture pour le bonbon offert, il faut apprendre à un adulte à ne pas faire confiance à des sources inconnues et à ne pas être amené à de petits avantages.
Autre point important: la fréquence de ces exercices, une approche processus. Inutilement, les compétences s'atrophieront avec le temps et l'heure X peut arriver soudainement. De plus, les attaques évoluent constamment, de nouveaux types d'ingénierie sociale apparaissent - conformément à cela, le programme devrait être mis à jour.
La fréquence des inspections est individuelle. Si les employés sont peu attachés à l'informatique, cela vaut la peine de surveiller leur cyber vigilance au moins une fois par trimestre. Si, au contraire, nous parlons de spécialistes ayant accès à des systèmes clés, alors plus souvent.
Dans le prochain article, nous décrirons comment notre plateforme Security Awareness teste la résistance des employés au phishing. Ne changez pas! ;)