现代信息安全市场充满了各种各样的高级解决方案,这些解决方案的前缀为Next Generation,Unified,AntiAPT或至少为2.0。 制造商承诺将实现更高水平的自动化,自动响应,对Zerodea的认可以及其他奇迹。 任何安全防护人员都知道:您需要深入保护外围环境,按时安装补丁,实施主机和流防病毒软件,DLP,UEBA和其他工具。 您甚至可能需要组织一个情境中心(SOC),并建立用于识别和响应事件的流程,执行复杂的威胁情报以及共享摘要。 总的来说,这就是普通的伊比希尼克的生活,比100%多一点...
但这一切都没有用! 因为在任何公司内部,人都容易受到攻击(在普通百姓中为员工),有时很多。 他的远祖Homo sapiens sapiens经历了达尔文进化的各个阶段,已经完美地掌握了浏览器,电子邮件客户端和Office套件的工作,现在我们看到Homo脆弱。 它与智人的不同之处在于智能手机的存在,社交网络上的大量帐户以及从棍棒和石头发明工具的萎缩能力。 他还听到了一些有关黑客的信息,但它在那儿,因为即使遇到黑客,他也不会受伤也不怕:他所冒的最大风险是一定数量的货币单位。
IS员工没有时间与弱势的人打交道:他们不愿接受培训,迅速忘记信息并经常变化。 但是,在公司基础架构内部,它们不仅对自己构成威胁,而且对整个组织构成风险。 因此,从根本上忽略或稍后推迟该问题是错误的方法。
正如最近30年的观察所显示的那样,出于简单的原因-变得更容易,更快和更有效,黑客越来越喜欢使用社交工程的方式来入侵公司的外围。 通讯变得越来越复杂,防护设备也无法发现。
在此,我们本着“但在过去……中”和“任何傻瓜都可以!”的精神省略该论点。 并关注主要问题:公司如何通过不了解信息安全性的员工来保护自己免受黑客攻击? 那里有-太阳下有斑点。 尽管不像呼叫中心和秘书那样频繁,但IT部门和高层的员工也会遇到网络钓鱼,这通常是针对性的网络钓鱼-无需解释后果。 用臭名昭著的人为因素对保安员怎么办? 与往常一样,有几个选项
(除了激进选项
) ,但并非所有选项都同样有用:
- 购买更多魔术疗法;
- 使所有员工参加外部IB课程;
- 尽可能抛弃人们,开创生产完全自动化的道路;
- 直接在工作场所为员工建立持续的培训。
如果您喜欢前3分,则无法继续阅读。
弱势群体
根据我们2018年的
数据 ,在过去两年中,网络钓鱼攻击在整个网络威胁范围内的比例已从54%增加到70%。 平均而言,每7名没有定期进行提高意识的用户都将其用于社会工程。
根据卡巴斯基实验室的数据,2018年有18.32%的唯一
身份用户遇到了网络钓鱼。 全球互联网门户网站“领先”了黑客网络钓鱼(他们在受害者总数中的份额为24.72%),银行部门位居第二(21.70%),其次是支付系统(14.02%),在线商店(8.95%),政府和税务机关(8.88%),社交网络(8.05%),电信(3.89%),即时通讯程序(1.12%)和IT公司(0.95%) )
在2018年,IB集团
注意到网络钓鱼,银行假网站,支付系统,电信运营商,在线商店和知名品牌的犯罪数量显着增加。 同时,攻击者设法将其网络钓鱼收入与上一时期相比增加了6%。
如您所见,凯文·米特尼克(Kevin Mitnik)的“光荣”事业诞生于遥远的80年代,不仅活着,而且还在不断发展。 这是可以理解的:一个严肃的办公室,通常以巨额资金招募黑客,可以对其IT领域建立起重要的多层次保护。 攻击者需要具有非凡的能力,并花费大量时间来发现漏洞并弄清楚如何利用它:填写,在基础架构中立足,使管理员不为用户所注意-您可以在任何阶段轻松地“切断”权限……这变得越来越容易和快捷发送网上诱骗信,并在公司内找到至少一名愿意回应的人,或要求在USB闪存驱动器上写东西。
谁繁殖的频率
根据
我们的统计数据,以数十家大型俄罗斯公司为例,在以下部门中对
催眠钓鱼行为最敏感的同胞:
- 法律服务-每4名员工
- 会计,财务和经济服务-每5名员工
- 物流部门-每5名员工
- 秘书处和技术支持-每6名员工
当然,我们并不是在谈论“尼日利亚字母”-犯罪分子长期以来一直在为易受骗用户的心(和思想)选择更为复杂的“密钥”。 欺诈者模仿业务往来,使用真实的详细信息,公司或发件人部门的徽标和签名。 然后,根据古老的吉普赛传统,使用了心理学。
此处,黑客利用人类的“漏洞”。 例如,
贪婪 :巨大的折扣,免费的门票或免费的奖品,即使是首席执行官,也丝毫不动摇(阿拉斯,这是一个实践案例)。
另一个因素是
期望 。 例如,几乎所有组织中的VMI都是在年初开始发布的-此时,极有可能是令人垂涎的政策的虚假信很可能不会引起员工的怀疑。
与世界一样古老的另一个诀窍是
源头的
紧迫性和权威性 。 如果在永久时间压力下工作的操作员或会计师突然收到交易对手朋友的信,要求他“紧急付款”,则他可能会同时打开信和附件(a,很多例子),并要求同事在什么时候做同样的事情。该文件将不会在她/他的计算机上打开,只有这样他才能了解发生了什么……也许。
当然,他们
担心的是 :“您的Google / Apple帐户已被封锁。 通过单击链接“-这是一个非常有用的选项,确认您是您,并且帐户绑定到个人邮件也没关系,并且这封信已发给公司。
好奇心也影响了骗子的手-谁不想看到办公室聚会的照片? 而且有很多这样的杠杆作用。
经过初步处理后,一个人被引诱到一个页面,在该页面中他输入用户名和密码(然后解开该数据)。向该人提供了一种恶意软件-滴管,任何SZI均未检测到该滴管,但是,进入受害人的计算机后,检查主机是否具有防病毒功能并进行沙盒测试,加载进一步的实用程序以进行远程访问或磁盘加密-提供了恶意软件的主体,然后恶意软件会提取出可能到达的Office文件,档案和信件( 包括网络驱动器和滚珠)到由攻击者控制的外部存储库。
网络素养? 没有听到
我们公司拥有一支渗透测试人员团队,他们定期为客户进行所谓的社会技术测试-渗透测试,其中人为主要攻击对象。
情况一
其中一位客户在今年三月初订购了此类测试。 目标是由30人组成的人力资源部门。 作为网络钓鱼邮件模板,从一家知名的酒精饮料网络零售商那里选择了一项措施,该措施对葡萄酒和香槟提供20%的折扣。 当然,我们了解到,在国际妇女节前夕,这是一个非常相关的新闻通讯,但我们没想到那么多...到今天结束时,点击率超过500次独特访问,不仅来自该组织,而且来自完全无关的地址。 第二天,我们得知该公司的IT服务收到了十多封员工发来的愤怒信,说他们由于“歪曲的Internet访问政策”而没有打开该链接。
如您所见,如果您进入邮件列表并随时间猜测,那么效果可能会超出所有预期。
情况二
另一个重要案例是在一家公司中,员工长时间等待新的VHI。 我们准备了相应的“网络钓鱼”信并将其立即发送给员工。 通常我们不建议这样做以排除集体意识的影响。 在这个故事中,即使是那些实际上正在为VHI签定新合同的人,以及那些与我们并肩合作并似乎知道一切都被抓住的人,我们每天都在嗡嗡作响-但没有,他们啄了一下。 许多人很快意识到自己犯了一个错误,并且诚实地投降了IS服务,但有些人甚至在几天后仍继续要求VHI,呼吁我们的时事通讯并向公司发送“网络钓鱼”信。
没有反垃圾邮件系统可以捕获“个人缝制”这样的社会工程,而员工不愿意这样做,很容易推翻您的所有保护。
而且,如果您考虑到公司邮件也存在于员工的个人平板电脑及其智能手机上,而这些平板电脑不受IS服务的任何控制,那么保安人员只能
放松心情,耸耸肩……还是不? 怎么办
钓鱼与网络钓鱼:如何教会员工区分
有几种方法可以解决此问题。 如今,许多公司都是按照经典经营的(就像许多年前一样,当时黑客仍然在桌子底下走动):受过专门培训的人会写
信息安全法规 ,而雇用每位员工都必须学习,签名和签名。注意。 但是,这种方法的最后一点是纯属可选项。 充其量,一个人在试用期结束之前会记住所有这些令人敬畏的指示(尤其是斗气不算在内)。 如果一年或两年或更早之后,他在信箱中看到一封“珍贵的信件”,您会怎么办? 这个问题是修辞。 对于保安人员而言,这种与人员合作的方法比用手指交叉以求好运的方法稍微有效。
还有什么其他选择? 您可以派人参加
外部网络素养
课程 -至少是关键专家。 在这种情况下,一个人要听一两天的讲座。 该方法固然更有效,但是:1)我们使人们退出工作流程,这本身既困难又昂贵。 2)我们没有能力控制培训的质量-一个人可以跳过讲课或睡觉。 通常不提供完成这些课程的对照测试。 但是即使是这样,一段时间之后,我们仍会回到原来的状态:员工忘记了一切,失去了警惕,茫然不知所措(需要强调下划线)并被抓住,并在公司的身后。
我们的安全意识方法
我们认为,当员工有空闲时间时,有可能而且有必要在工作场所中培训网络素养。 但是,如果您只是简单地遵循在线课程的路径-提供理论基础,然后测试知识-所有这些都可能会变成纯粹的理论,这与实践
相去甚远(利用USE来帮助我们所有人) 。
一个人很难记住他所读的内容-如果亲自经历,会更好,而且理想地吸收了学生有一定情感的信息。 如果您被地铁中的一扇门所束缚,以至于头部仍在外面,身体在内部,火车开动,则您很可能会记住隧道的整个内部“装饰”。 当然是在开玩笑,尽管有一定道理。 为了通过对员工进行模拟网络钓鱼攻击来进行“洗礼”,仅需向他们展示他们错了哪里,遇到什么地方以及如何使用一个生动的例子向他们展示如何将其理论知识转移到实际飞机上。
最后,这种做法在私人生活中非常有用,因此员工(尽管不是全部;)可能会表示感谢。 就像教导孩子不要与陌生人说话,不要开车上车来获得所提供的糖果一样,也应当教导成年人不要相信未知的来源,也不要被带到小额福利中。
另一个要点:此类练习的频率,过程方法。 不必要地,技能会随着时间的流逝而萎缩,并且X时刻可能突然到来。 此外,攻击在不断发展,出现了新型的社会工程学-根据此,应该更新课程表。
检查的频率是单独的。 如果员工对IT的依赖很少,那么值得至少每季度一次监视其网络警惕性。 相反,如果我们谈论的是具有关键系统访问权限的专家,那么访问频率会更高。
在下一篇文章中,我们将描述我们的安全意识平台如何测试员工对网络钓鱼的抵抗力。 不要切换! ;)