O mercado moderno de segurança da informação está repleto de todos os tipos de soluções avançadas com prefixos no nome Próxima geração, Unified, AntiAPT ou pelo menos 2.0. Os fabricantes prometem um novo nível de automação, resposta automática, reconhecimento da zerodéia e outros milagres. Qualquer segurança sabe: você precisa proteger intensivamente o perímetro, instalar patches no prazo, implementar antivírus de host e transmitir, DLP, UEBA e outras ferramentas. Você pode e até precisa organizar um centro situacional (SOC) e criar processos para identificar e responder a incidentes, realizar Inteligência de Ameaças complexa e compartilhar feeds. Em geral, esta é a vida de um Ibeshnik comum, um pouco mais de 100% ...
Mas tudo isso é inútil! Porque em qualquer empresa o Homo é vulnerável (nas pessoas comuns - um funcionário), às vezes muito. Seus ancestrais distantes, Homo sapiens sapiens, passando pelos estágios da evolução darwiniana, dominaram perfeitamente o trabalho com o navegador, cliente de email e suíte de escritório, e agora estamos vendo o Homo vulnerável. Difere do Homo sapiens sapiens pela presença de um smartphone, um monte de contas nas redes sociais e uma capacidade atrofiada de inventar ferramentas de paus e pedras. Ele também ouviu algo sobre hackers, mas está em algum lugar por aí, porque mesmo que ele os encontre, ele não se machuca e não tem medo: o máximo que ele arrisca é uma certa quantidade de unidades monetárias.
Os funcionários do IS não têm tempo para lidar com o Homo vulnerável: relutam em ir ao treinamento, esquecem rapidamente as informações e geralmente mudam. Mas, estando dentro da infraestrutura da empresa, eles se tornam um risco não apenas para si mesmos, mas para a organização como um todo. Portanto, ignorar ou afastar esse problema mais tarde é fundamentalmente a abordagem errada.
Como mostram as observações dos últimos 30 anos, os hackers preferem cada vez mais a maneira de usar a engenharia social ao invadir o perímetro da empresa, por uma razão simples: é mais fácil, mais rápido e mais eficiente. Os boletins estão se tornando mais sofisticados e não são detectados por equipamentos de proteção.
Omitimos aqui o raciocínio no espírito de "mas nos velhos tempos ..." e "para que qualquer tolo possa!" e concentre-se no principal: como as empresas podem se proteger contra hackers através de funcionários que desconhecem a segurança da informação? O que há lá - e há manchas no sol. Os funcionários do departamento de TI e altos, embora com menos frequência do que o call center e os secretários, também se deparam com phishing, muitas vezes esse é o phishing direcionado - não há necessidade de explicar as consequências. O que fazer com o segurança com o notório fator humano? Existem várias opções, como sempre,
(além das radicais) , mas nem todas são igualmente úteis:
- compre ainda mais remédios mágicos;
- enviar todos os funcionários para cursos externos de IB;
- abandonar as pessoas sempre que possível, iniciando o caminho para a automação total da produção;
- estabelecer treinamento contínuo para os funcionários diretamente no local de trabalho.
Se você gosta dos 3 primeiros pontos, não pode ler mais.
Homo vulnerável
De acordo com nossos
dados para 2018, a participação de ataques de phishing no escopo geral de ameaças cibernéticas nos últimos dois anos aumentou de 54% para 70%. Em média, todo 7º usuário que não é submetido a uma conscientização regular se presta à engenharia social.
De acordo com
a Kaspersky Lab, em 2018, 18,32% dos usuários únicos encontraram phishing. Os portais globais da Internet lideraram o TOP hackers phishing (sua participação no número total de vítimas é de 24,72%), o setor bancário está em segundo lugar (21,70%), seguido pelos sistemas de pagamento (14,02%), lojas on-line (8,95%), autoridades governamentais e fiscais (8,88%), redes sociais (8,05%), telecomunicações (3,89%), mensagens instantâneas (1,12%) e empresas de TI (0,95%) )
Em 2018, o Grupo-IB
registra um aumento significativo no número de crimes com phishing na web, sites falsos de bancos, sistemas de pagamento, operadoras de telecomunicações, lojas on-line e marcas conhecidas. Ao mesmo tempo, os atacantes conseguiram aumentar sua receita de phishing em 6% em comparação com o período anterior.
Como você pode ver, o negócio "glorioso" de Kevin Mitnik, nascido nos distantes anos 80, não apenas vive, mas também evolui completamente. É compreensível: um escritório sério, chamando um hacker com dinheiro sério, via de regra, cria uma proteção multinível não trivial de seu cenário de TI. Um invasor precisa ter habilidades notáveis e gastar bastante tempo para encontrar uma vulnerabilidade e descobrir como explorá-la: preencha, ganhe uma posição na infraestrutura, passe um usuário despercebido pelos administradores - e você pode facilmente "cortar" a qualquer momento ... É muito mais fácil e rápido envie uma carta de phishing e encontre pelo menos uma pessoa na empresa que RESPONDERÁ ou peça para escrever algo em uma unidade flash USB.
Quem e com que frequência criados
De acordo com
nossas estatísticas, coletadas no exemplo de várias dúzias de grandes empresas russas, os concidadãos que respondem melhor ao phishing por
hipnose trabalham nas seguintes divisões:
- serviço jurídico - a cada 4 funcionários
- serviços contábeis, financeiros e econômicos - a cada 5 funcionários
- Departamento de logística - a cada 5 funcionários
- secretariado e suporte técnico - a cada 6 funcionários
E, é claro, não estamos falando de “cartas nigerianas” - os criminosos há muito tempo escolhem “chaves” muito mais sofisticadas para os corações (e mentes) dos usuários crédulos. Simulando correspondência comercial, os fraudadores usam detalhes reais, logotipos e assinaturas de empresas ou divisões de remetentes. E então, de acordo com a antiga tradição cigana, a psicologia é usada.
Aqui, os hackers exploram as "vulnerabilidades" humanas. Por exemplo,
ganância : um mega desconto, um ingresso grátis ou um prêmio grátis não deixará indiferente nem mesmo o CEO (infelizmente, um caso da prática).
Outro fator é a
antecipação . Por exemplo, a VMI em quase todas as organizações é emitida no início do ano - nesse momento, uma carta falsa com a política cobiçada, provavelmente, não causará suspeitas entre os funcionários.
Outro truque tão antigo quanto o mundo é a
urgência e autoridade da fonte . Se um operador ou contador que trabalha em pressão perpétua no tempo recebe de repente uma carta de um amigo da contraparte pedindo que ele "URGENTEMENTE pague", ele provavelmente abrirá tanto a carta quanto o anexo (existem, infelizmente, muitos exemplos) e solicitará ao colega que faça o mesmo quando o arquivo não será aberto em seu computador e só então ele entenderá o que aconteceu ... talvez.
Obviamente, eles brincam com
medo : “Sua conta do Google / Apple está bloqueada. Confirme que você é você clicando no link "- uma opção muito funcional, e não importa se a conta está vinculada a correio pessoal, e a carta chegou à corporativa.
A
curiosidade humana também brinca nas mãos dos golpistas - quem não quer ver uma foto de uma festa no escritório? E há muita alavancagem.
Após o processamento preliminar, uma pessoa é atraída para uma página em que ele dirige com seu nome de usuário e senha (e esses dados são desfeitos). Uma pessoa recebe um pedaço de malware - um conta-gotas, que não é detectado por nenhum SZI, mas, ao entrar no computador da vítima, verifica se há antivírus no host. e realiza testes em sandbox, carregando outros utilitários para acesso remoto ou criptografia de disco - é oferecido o corpo principal do malware, após o qual ele extrai arquivos, arquivos e correspondência do escritório que ele pode alcançar ( incluindo unidades de rede e bolas) para um repositório externo controlado por um invasor.
Alfabetização cibernética? Não não ouvi
Nossa empresa possui uma equipe de agentes que conduzem regularmente os chamados testes sociotécnicos para os clientes - testes de penetração nos quais as pessoas são o principal vetor de ataque.
Caso 1
Um dos clientes encomendou esses testes no início de março deste ano. O objetivo era um departamento de recursos humanos de 30 pessoas. Como modelo de correspondência de phishing, foi escolhida uma ação de um conhecido revendedor de bebidas alcoólicas da rede, oferecendo 20% de desconto em vinho e champanhe. Obviamente, entendemos que na véspera do Dia Internacional da Mulher este é um boletim informativo muito relevante, mas não esperávamos muito ... No final do dia, o número de cliques excedia 500 visitas únicas, não apenas desta organização, mas também de endereços completamente estranhos. E no dia seguinte, descobrimos que o serviço de TI da empresa recebeu mais de 10 cartas furiosas de funcionários afirmando que não abriu o link por causa de "políticas de acesso à Internet tortas".
Como você pode ver, se você entrar na lista de correspondência e adivinhar com o tempo, o efeito pode exceder todas as expectativas.
Caso 2
Outro caso significativo ocorreu em uma empresa em que os funcionários aguardavam um novo VHI por um longo tempo. Preparamos a carta correspondente de "phishing" e a enviamos aos funcionários de uma só vez. Geralmente, não recomendamos fazê-lo para excluir a influência da mente coletiva. Nesta história, mesmo aqueles que estavam realmente envolvidos na elaboração de um novo contrato para a VHI e aqueles que trabalham lado a lado conosco e parecem saber tudo, e nós conversamos sobre isso todos os dias - mas não, bicaram. Muitos rapidamente perceberam que cometeram um erro e se renderam honestamente ao serviço de SI, mas havia aqueles que, mesmo depois de vários dias, continuaram a exigir o VHI, apelando ao nosso boletim informativo e enviando uma carta de "phishing" para a empresa.
Nenhum sistema anti-spam pode capturar essa engenharia social da “costura individual”, e os funcionários, que não desejam fazê-lo, podem facilmente anular toda a sua proteção.
E se você considerar que o correio corporativo também está em tablets pessoais de funcionários e smartphones, que não são controlados pelo serviço de IS de forma alguma, o segurança só pode
relaxar e se divertir encolher os ombros ... Ou não? O que fazer?
Pesca vs phishing: como ensinar os funcionários a distinguir
Existem várias maneiras de resolver esse problema. Atualmente, muitas empresas operam de acordo com os clássicos (há muitos anos, quando os hackers ainda andavam debaixo da mesa): uma pessoa especialmente treinada se destaca, que redige
os regulamentos de segurança da informação e, ao contratar todos os funcionários, é obrigado a estudar, assinar e tome nota. No entanto, o último ponto com essa abordagem é uma coisa puramente opcional. Na melhor das hipóteses, uma pessoa se lembra de todas essas instruções formidáveis antes do final do período de estágio (especialmente vingativo, não conta). O que você acha que acontecerá se, depois de um ano ou dois, ou até mais cedo, ele vir em sua caixa de correio uma "carta preciosa"? A questão é retórica. Para um segurança, esse método de trabalho com pessoal é um pouco mais eficaz do que dedos cruzados para dar sorte.
Que outras opções? Você pode enviar pessoas para
cursos externos de alfabetização cibernética - pelo menos especialistas importantes. Nesse caso, um ou dois dias uma pessoa vai ouvir palestras. O método, é claro, é mais eficaz, mas: 1) tiramos as pessoas do processo de trabalho, o que por si só é difícil e caro; 2) não temos a capacidade de controlar a qualidade do treinamento - uma pessoa pode pular aulas ou dormir com elas. Testes de controle para concluir esses cursos, em regra, não são fornecidos. Mas, mesmo que estejam, depois de algum tempo voltaremos à velha situação: o funcionário esqueceu tudo, perdeu a vigilância, ficou sem saber (sublinhado necessário) e foi pego, e atrás dele a empresa.
Nossa abordagem à conscientização de segurança
Acreditamos que é possível e necessário treinar a alfabetização cibernética no local de trabalho - quando um funcionário tem algum tempo livre. No entanto, se você simplesmente seguir o caminho dos cursos on-line - para fornecer uma base teórica e depois testar o conhecimento - tudo isso corre o risco de se transformar em uma teoria simples, que é muito separada da prática
(use o USE para ajudar a todos) .
Uma pessoa se lembra fracamente do que leu - é melhor se ele a experimentou pessoalmente, e a informação com a qual o aluno tem certas emoções é absorvida idealmente. Se você estiver preso por uma porta no metrô para que sua cabeça permaneça do lado de fora, seu corpo fique do lado de dentro e o trem comece, você provavelmente se lembrará de toda a “decoração” interior do túnel. Uma piada, é claro, embora com um grão de verdade. Para realizar um “batismo de fogo” organizando ataques simulados de phishing aos funcionários - é simplesmente necessário mostrar a eles onde eles estavam errados, onde se depararam e como transferir seu conhecimento teórico para um plano prático usando um exemplo vivo.
No final, essa prática é extremamente útil na vida privada; portanto, os funcionários (embora não todos;) provavelmente agradecerão. Assim como uma criança é ensinada a não falar com estranhos e a não entrar no carro para o doce oferecido, um adulto deve ser ensinado a não confiar em fontes desconhecidas e não ser levado a benefícios e benefícios insignificantes.
Outro ponto importante: a frequência de tais exercícios, uma abordagem de processo. Desnecessariamente, as habilidades atrofiarão com o tempo, e a hora X poderá aparecer repentinamente. Além disso, os ataques estão em constante evolução, novos tipos de engenharia social aparecem - de acordo com isso, o currículo deve ser atualizado.
A frequência das inspeções é individual. Se os funcionários são pouco apegados à TI, vale a pena monitorar sua vigilância cibernética pelo menos uma vez por trimestre. Se, pelo contrário, estamos falando de especialistas com acesso aos principais sistemas, então com mais frequência.
No próximo artigo, descreveremos como nossa plataforma de conscientização de segurança testa a resistência dos funcionários ao phishing. Não mude! ;)