Pasar keamanan informasi modern dipenuhi dengan segala macam solusi canggih dengan awalan dalam nama Next generation, Unified, AntiAPT, atau setidaknya 2.0. Pabrikan menjanjikan otomatisasi tingkat baru, respons otomatis, pengenalan zerodea, dan mukjizat lainnya. Setiap penjaga keamanan tahu: Anda perlu secara intensif melindungi perimeter, menginstal tambalan tepat waktu, mengimplementasikan antivirus host dan streaming, DLP, UEBA, dan alat-alat lainnya. Anda dapat dan bahkan perlu mengatur pusat situasional (SOC) dan membangun proses untuk mengidentifikasi dan merespons insiden, melakukan Intelijen Ancaman yang kompleks, dan berbagi umpan. Secara umum, ini adalah kehidupan seorang Ibeshnik biasa, sedikit lebih dari 100% ...
Tetapi semua ini tidak berguna! Karena di dalam perusahaan mana pun adalah Homo yang rentan (pada orang biasa - seorang karyawan), kadang-kadang banyak. Nenek moyangnya yang jauh, Homo sapiens sapiens, yang melewati tahapan evolusi Darwin, telah sepenuhnya menguasai bekerja dengan browser, klien email, dan paket kantor, dan sekarang kita melihat Homo rentan. Ini berbeda dari Homo sapiens sapiens dengan kehadiran smartphone, banyak akun di jejaring sosial dan kemampuan berhenti berkembang untuk menemukan alat dari tongkat dan batu. Dia juga mendengar sesuatu tentang peretas, tetapi ada di suatu tempat di luar sana, karena bahkan jika dia bertemu dengan mereka, dia tidak terluka dan tidak takut: maksimum yang dia ambil risiko adalah sejumlah unit moneter tertentu.
Karyawan IS tidak punya waktu untuk berurusan dengan Homo yang rentan: mereka enggan pergi ke pelatihan, cepat melupakan informasi dan sering berubah. Tetapi, karena berada di dalam infrastruktur perusahaan, mereka menjadi risiko tidak hanya untuk diri mereka sendiri, tetapi untuk organisasi secara keseluruhan. Oleh karena itu, mengabaikan atau mendorong kembali masalah ini nanti pada dasarnya merupakan pendekatan yang salah.
Seperti yang diamati dalam pengamatan 30 tahun terakhir, peretas semakin memilih cara menggunakan rekayasa sosial daripada meretas perimeter perusahaan, karena alasan sederhana - lebih mudah, lebih cepat, dan lebih efisien. Nawala menjadi lebih canggih dan tidak terdeteksi oleh peralatan pelindung.
Di sini kita menghilangkan argumen dalam semangat "tetapi di masa lalu ..." dan "agar orang bodoh pun bisa!" dan fokus pada hal utama: bagaimana perusahaan dapat melindungi diri dari peretasan melalui karyawan yang tidak mengetahui keamanan informasi? Apa yang ada - dan ada bintik-bintik di bawah sinar matahari. Karyawan departemen dan atasan TI, meskipun lebih jarang dari pusat panggilan dan sekretaris, juga menjumpai phishing, sangat sering ini adalah phishing yang ditargetkan - tidak perlu menjelaskan konsekuensinya. Apa yang harus dilakukan terhadap penjaga keamanan dengan faktor manusia yang terkenal jahat? Ada beberapa opsi, seperti biasa,
(selain dari yang radikal) , tetapi tidak semuanya sama-sama berguna:
- beli lebih banyak lagi obat ajaib;
- mengirim semua karyawan ke kursus IB eksternal;
- meninggalkan orang-orang sedapat mungkin, memulai jalan menuju otomatisasi penuh produksi;
- mengadakan pelatihan berkelanjutan untuk karyawan secara langsung di tempat kerja.
Jika Anda suka 3 poin pertama, maka Anda tidak bisa membaca lebih lanjut.
Homo rentan
Menurut
data kami untuk 2018, pangsa serangan phishing dalam cakupan ancaman cyber secara keseluruhan selama dua tahun terakhir telah meningkat dari 54% menjadi 70%. Rata-rata, setiap pengguna ke-7 yang tidak menjalani peningkatan kesadaran rutin cocok untuk rekayasa sosial.
Menurut Kaspersky Lab, pada 2018 18,32% pengguna unik mengalami phishing. Portal Internet global "mengepalai" hacker phishing TOP (bagian mereka dari jumlah total korban adalah 24,72%), sektor perbankan berada di tempat kedua (21,70%), diikuti oleh sistem pembayaran (14,02%), toko online (8,95%), pemerintah dan otoritas pajak (8,88%), jejaring sosial (8,05%), telekomunikasi (3,89%), pengirim pesan instan (1,12%) dan perusahaan IT (0,95%) )
Pada tahun 2018, Group-IB
mencatat peningkatan signifikan dalam jumlah kejahatan dengan phishing web, situs web palsu bank, sistem pembayaran, operator telekomunikasi, toko online dan merek-merek terkenal. Pada saat yang sama, para penyerang berhasil meningkatkan pendapatan phishing mereka sebesar 6% dibandingkan periode sebelumnya.
Seperti yang Anda lihat, bisnis "mulia" Kevin Mitnik, yang lahir di tahun 80-an yang jauh, tidak hanya hidup, tetapi juga sepenuhnya berkembang. Dapat dimengerti: kantor yang serius, memberi isyarat kepada hacker dengan uang serius, sebagai aturan, membangun perlindungan multi-level non-sepele dari lanskap IT-nya. Seorang penyerang perlu memiliki kemampuan yang luar biasa dan menghabiskan cukup banyak waktu untuk menemukan kerentanan dan mencari cara untuk mengeksploitasinya: mengisi, mendapatkan pijakan di infrastruktur, membuat pengguna tidak diperhatikan oleh admin - dan Anda dapat dengan mudah "memotong" pada tahap apa pun ... Jauh lebih mudah dan lebih cepat kirim surat phishing dan temukan setidaknya satu orang di dalam perusahaan yang AKAN MENANGGAPI, atau minta untuk menulis sesuatu di USB flash drive.
Siapa dan seberapa sering dibiakkan
Menurut statistik
kami , dikumpulkan pada contoh beberapa lusin perusahaan besar Rusia, sesama warga yang paling responsif terhadap pekerjaan phishing
hipnosis di divisi berikut:
- layanan hukum - setiap 4 karyawan
- jasa akuntansi dan keuangan dan ekonomi - setiap 5 karyawan
- Departemen logistik - setiap 5 karyawan
- dukungan sekretariat dan teknis - setiap 6 karyawan
Dan tentu saja, kita tidak berbicara tentang "huruf Nigeria" - penjahat telah lama mengambil "kunci" yang jauh lebih canggih ke hati (dan pikiran) pengguna yang mudah tertipu. Mensimulasikan korespondensi bisnis, penipu menggunakan detail nyata, logo dan tanda tangan perusahaan atau divisi pengirim. Dan kemudian, menurut tradisi Gipsi lama, psikologi digunakan.
Di sini peretas mengeksploitasi "kerentanan" manusia. Misalnya,
keserakahan : diskon besar-besaran, tiket gratis, atau hadiah gratis tidak akan meninggalkan CEO yang acuh tak acuh (sayangnya, kasus dari praktik).
Faktor lain adalah
antisipasi . Misalnya, VMI di hampir semua organisasi dikeluarkan pada awal tahun - saat ini, surat palsu dengan kebijakan yang didambakan, kemungkinan besar, tidak akan menimbulkan kecurigaan di antara staf.
Trik lain setua dunia adalah
urgensi dan otoritas sumber . Jika seorang operator atau seorang akuntan yang bekerja dalam tekanan waktu terus-menerus tiba-tiba menerima surat dari teman rekanan yang memintanya untuk "membayar dengan HATI-HATI", ia mungkin akan membuka surat dan lampiran dari surat itu (ada, sayangnya, banyak contoh), dan meminta rekannya untuk melakukan hal yang sama ketika file tidak akan terbuka di komputernya, dan baru kemudian dia akan mengerti apa yang terjadi ... mungkin.
Tentu saja, mereka bermain
ketakutan : βAkun Google / Apple Anda diblokir. Konfirmasikan bahwa Anda adalah Anda dengan mengklik tautan "- opsi yang sangat berfungsi, dan tidak masalah bahwa akun terkait dengan surat pribadi, dan surat itu datang ke surat perusahaan.
Keingintahuan manusia juga berperan di tangan para scammer - siapa yang tidak ingin melihat foto dari pesta kantor? Dan ada banyak pengaruh seperti itu.
Setelah pemrosesan awal, seseorang terpikat ke halaman di mana ia mengendarai nama pengguna dan kata sandinya (dan kemudian data ini dibatalkan). Seseorang ditawari sepotong malware - sebuah penetes, yang tidak terdeteksi oleh SZI mana pun, tetapi, dengan menggunakan komputer korban, memeriksa host untuk antivirus dan melakukan tes kotak pasir, memuat utilitas lebih lanjut untuk akses jarak jauh atau enkripsi disk - baik badan utama malware ditawarkan, setelah itu memompa file kantor, arsip, dan korespondensi yang dapat dijangkau ( termasuk drive jaringan dan bola) ke repositori eksternal yang dikendalikan oleh penyerang.
Keaksaraan dunia maya? Tidak, tidak terdengar
Perusahaan kami memiliki tim pentester yang secara teratur melakukan apa yang disebut tes sosioteknik untuk pelanggan - tes penetrasi di mana orang-orang adalah vektor serangan utama.
Kasus 1
Salah satu pelanggan memesan pengujian tersebut pada awal Maret tahun ini. Tujuannya adalah departemen sumber daya manusia yang terdiri dari 30 orang. Sebagai templat pengiriman surat phising, tindakan dipilih dari satu pengecer jaringan minuman beralkohol yang terkenal, menawarkan diskon 20% untuk anggur dan sampanye. Tentu saja, kami memahami bahwa pada malam Hari Perempuan Internasional, ini adalah buletin yang sangat relevan, tetapi kami tidak berharap terlalu banyak ... Pada akhir hari, jumlah klik per tayang melebihi 500 kunjungan unik, tidak hanya dari organisasi ini, tetapi juga dari alamat yang sama sekali asing. Dan hari berikutnya, kami mengetahui bahwa layanan TI perusahaan menerima lebih dari 10 surat kemarahan dari karyawan yang menyatakan bahwa mereka tidak membuka tautan karena "kebijakan akses Internet yang bengkok".
Seperti yang Anda lihat, jika Anda masuk ke milis dan menebak dengan waktu, maka efeknya dapat melebihi semua harapan.
Kasus 2
Kasus signifikan lainnya adalah di perusahaan tempat karyawan menunggu VHI baru untuk waktu yang lama. Kami menyiapkan surat "phishing" yang sesuai dan mengirimkannya kepada karyawan, sekaligus. Biasanya kami tidak merekomendasikan hal itu untuk mengecualikan pengaruh pikiran kolektif. Dalam cerita ini, bahkan mereka yang benar-benar terlibat dalam menyusun kontrak baru untuk VHI dan mereka yang bekerja bersama kami dan tampaknya tahu semuanya tertangkap, dan kami berdengung tentang hal itu setiap hari - tetapi tidak, mereka mematuk. Banyak yang dengan cepat menyadari bahwa mereka telah melakukan kesalahan dan dengan jujur ββmenyerah kepada layanan IS, tetapi ada orang-orang yang, bahkan setelah beberapa hari, terus menuntut VHI, meminta buletin kami dan mengirimkan surat "phishing" kepada perusahaan.
Tidak ada sistem anti-spam yang dapat menangkap rekayasa sosial "menjahit individu" ini, dan karyawan, yang tidak mau melakukannya, dapat dengan mudah membatalkan semua perlindungan Anda.
Dan jika Anda menganggap bahwa surat perusahaan juga ada di tablet pribadi karyawan dan ponsel cerdas mereka, yang tidak dikontrol oleh layanan IS dengan cara apa pun, maka penjaga keamanan hanya dapat
bersantai dan bersenang-senang mengangkat bahu ... Atau tidak? Apa yang harus dilakukan
Memancing vs phishing: cara mengajar karyawan untuk membedakan
Ada beberapa cara untuk mengatasi masalah ini. Banyak perusahaan saat ini beroperasi sesuai dengan klasik (seperti bertahun-tahun lalu, ketika peretas masih berjalan di bawah meja): orang yang terlatih khusus menonjol yang menulis
peraturan keamanan informasi , dan ketika mempekerjakan setiap karyawan wajib belajar, menandatangani dan perhatikan. Namun, poin terakhir dengan pendekatan ini adalah hal yang murni opsional. Paling-paling, seseorang mengingat semua instruksi yang tangguh ini sebelum akhir masa percobaan (terutama dendam tidak masuk hitungan). Menurut Anda apa yang akan terjadi jika, setelah satu atau dua tahun, atau bahkan lebih awal, ia melihat di kotak suratnya sebuah "surat berharga"? Pertanyaannya retoris. Untuk seorang penjaga keamanan, metode bekerja dengan personel ini sedikit lebih efektif daripada semoga sukses.
Pilihan apa lagi? Anda dapat mengirim orang ke
kursus melek cyber cyber - setidaknya spesialis utama. Dalam hal ini, seseorang pergi mendengarkan ceramah selama satu atau dua hari. Metode ini, tentu saja, lebih efektif, tetapi: 1) kita mengeluarkan orang dari proses kerja, yang dengan sendirinya sulit dan mahal; 2) kita tidak memiliki kemampuan untuk mengontrol kualitas pelatihan - seseorang dapat melewatkan kuliah atau tidur dengannya. Tes kontrol untuk menyelesaikan kursus seperti itu, sebagai suatu peraturan, tidak disediakan. Tetapi bahkan jika mereka, setelah beberapa waktu kita akan kembali ke situasi lama: karyawan lupa segalanya, kehilangan kewaspadaannya, bingung (perlu digarisbawahi) dan tertangkap, dan di belakangnya perusahaan.
Pendekatan kami terhadap Kesadaran Keamanan
Kami percaya bahwa adalah mungkin dan perlu untuk melatih literasi cyber di tempat kerja - ketika seorang karyawan memiliki waktu luang. Namun, jika Anda hanya mengikuti jalur kursus online - untuk memberikan dasar teoretis, dan kemudian menguji pengetahuan - semua risiko ini berubah menjadi teori telanjang, yang sangat banyak bercerai dari praktik
(gunakan USE untuk membantu kita semua) .
Seseorang dengan lemah mengingat apa yang dia baca - lebih baik jika dia mengalaminya secara pribadi, dan informasi yang dengannya siswa memiliki emosi tertentu diserap secara ideal. Jika Anda dijepit oleh pintu di metro sehingga kepala Anda tetap berada di luar, dan tubuh Anda ada di dalam, dan kereta dimulai - kemungkinan besar, Anda akan mengingat dengan baik seluruh "dekorasi" terowongan. Lelucon, tentu saja, meski dengan butiran kebenaran. Untuk melakukan "pembaptisan api" dengan mengatur serangan phising pada karyawan - hanya perlu menunjukkan kepada mereka di mana mereka salah, di mana mereka menemukan dan bagaimana mentransfer pengetahuan teoretis mereka ke pesawat praktis menggunakan contoh hidup.
Pada akhirnya, praktik ini sangat berguna dalam kehidupan pribadi, sehingga karyawan (meskipun tidak semua;) mungkin akan mengucapkan terima kasih. Sama seperti seorang anak diajarkan untuk tidak berbicara dengan orang asing dan tidak masuk ke mobil mereka untuk permen yang ditawarkan, jadi orang dewasa harus diajari untuk tidak mempercayai sumber yang tidak diketahui dan tidak akan mengarah pada manfaat dan manfaat kecil.
Poin penting lainnya: frekuensi latihan semacam itu, pendekatan proses. Tanpa perlu, keterampilan akan berhenti berkembang dari waktu ke waktu, dan jam X mungkin datang tiba-tiba. Selain itu, serangan terus berkembang, jenis baru rekayasa sosial muncul - sesuai dengan ini, kurikulum harus diperbarui.
Frekuensi inspeksi adalah individual. Jika karyawan sedikit terikat pada IT, ada baiknya memantau kewaspadaan siber mereka setidaknya sekali dalam seperempat. Sebaliknya, jika kita berbicara tentang spesialis dengan akses ke sistem kunci, maka lebih sering.
Pada artikel berikutnya, kami akan menjelaskan bagaimana platform Kesadaran Keamanan kami menguji resistensi karyawan terhadap phishing. Jangan beralih! ;)