Журнал "Директор по безопасности" Сентябрь 2020 | Page 18

ЕСТЬ РЕШЕНИЕ
Повышение
осведомленности
сотрудников
для защиты
от социальной
инженерии
ЮРИЙ ДРУГАЧ,
компания StopPhish, phisher.ru
Социальная инженерия и один из ее
компонентов – фишинг наиболее часто
используются при таргетированных и
массовых атаках на организации. Порог
входа для применения того же фишинга
крайне низкий. 500 р. на рассылочный
абузоустойчивый сервер, сбор email с
сайтов (с 5 млн. сайтов в зоне .ru можно
собрать 625 тыс. email). 1–2 дня и у
злоумышленника уже идет рассылка
шифровальщика по всей стране. А
чтобы руководитель службы ИБ «выбил»
бюджет и прошел все организационные
тернии для борьбы с фишингом
потребуется несколько месяцев. В
этой статье я постараюсь с теми же
ресурсами и скоростью хакера получить
первые успехи по борьбе с кликами
по фишинговым ссылкам, открытию
вредоносных файлов и «сливу» учетных
данных через поддельные сайты.
Существует два метода борьбы с
инцидентами на основе человеческого
фактора: либо все максимально
запрещать и ограничивать,
либо повышать осведомленность сотрудников
в вопросах ИБ.
Оба пути не лишены недостатков.
Если попробовать ограничить коммуникации,
например, топ-менеджменту
или начать фильтровать их трафик,
можно нарваться на неприятности.
Если принести сотруднику пачку
бумаги с регламентами и правилами
ИБ, он тоже будет жаловаться начальству,
что ему некогда работать. Отправить
его в учебный центр пройти
курс по ИБ – через месяц он забудет,
как определить фишинговое письмо и
это при условии, что он добросовестно,
не для галочки, проходил курс.
В рамках одной статьи мы вряд ли
охватим все технические и организационные
аспекты борьбы с социальной
инженерией. Настройка всевозможного
софта, внедрение политик,
ограничение доступа в зависимости от
ролей займет не меньше времени, чем
процесс повышения осведомленности.
Давайте рассмотрим организационные
аспекты обучения сотрудников,
которые можно быстро внедрить и
постараемся придерживаться принципа
«сделал и забыл», получая лишь отчеты
по мере необходимости.
Чтобы повысить культуру ИБ в организации,
нам потребуется внедрить
две вещи:
Регулярная проверка осведомленности;
Обучение.
Остановимся на первом пункте,
в частности на слове «регулярная».
Кейс из практики:
Тестовая группа:
50 сотрудников, прошедших обучение
в учебном центре и 50 необученных.
Сценарий атаки:
призыв перейти по ссылке в письме;
на поддельном официальном
сайте предлагалось скачать файл.
Результат:
«Необученные» – 30 скачиваний
«вредоносного» файла;
«Обученные» – 25 скачиваний.
Соответственно, прежде чем сотрудники
скачали файлы, они не распознали
фишинговые ссылки и перешли
по ним, что для некоторых
организаций уже считается отклонением
от нормы.
В чем проблема, обучение не работает?
Возможно, недостаток был и
в методологии обучения, но практика
показывает, что сотрудники просто забывают
правила ИБ.
Нужно регулярно проводить учебные
атаки (2–4 раза в месяц, постепенно
снижая их количество).
Если в вашем случае применимо, то
можно использовать open source решение
Gophish. Он рассылает и отслеживает
клики по фишинговым ссылкам,
ввод учетных данных на поддельных
сайтах, разрешение небезопасного содержимого
и макросов в файлах.
С регулярной проверкой знаний
вопрос решен, двигаемся дальше.
Чему нужно обучать
При составлении множества курсов
под разные организации и требования,
нами были выделены следующие
темы обучающих материалов, которые
наиболее широко охватывают область
обучения правилам ИБ.
Вы можете оттолкнуться от этих
тем при создании собственной обучающей
базы.
Как киберпреступник может испортить
жизнь лично вам. Позиционируем
обучение так, что не просто организация,
а лично он пострадает при взломе.
Пять вредоносных сценариев, которые
используют злоумышленники
в письме. Файлы, ссылки, фишинг,
data-phishing (выманивание информации),
дезинформация. Это второй
ознакомительный курс для введения
сотрудника в тему.
В офисе или возле него найдено
устройство с USB, что делать? Рассматриваем
не только флешки, а
mp3-плееры, шнуры для зарядки, пауэрбанки
и т. п., все что соединяется с
ПК или телефоном по USB.
Как распознать вредоносное вложение
в письме? Безархивные и архивные
вложения, включая.html
Как распознать вредоносную
ссылку? По максимуму охватываем
варианты маскировки ссылок. Об
этом еще упомянем ниже.
Как киберпреступник входит в
доверие? Многоходовые атаки, когда
хакер сначала переписывается с жертвой,
а только после этого отправляет
«нагрузку», а также упоминаем другие
психологические способы манипулирования
человеком.
Проверяем отправителя. Включая
вариант, когда легитимного отправителя
взломали.
Определяем хакерское письмо по
тексту. Ошибки, описки, нестандартное
оформление.
Помимо этих тем, есть более персонализированные,
которые подойдут
не всем организациям, в зависимости
от их правил и политик:
В зависимости от браузера:
Установка дополнений в браузере.
Если сотрудник может установить
дополнение в браузер, обучаем, как
не скачать плагин-шпион.
Сохранение пароля в браузере.
Объясняем, чем это может навредить,
если в организации это возможно технически.
В зависимости от внутренних правил:
Какие данные нельзя отправлять
по email.
Действия при обнаружении взлома
email.
Что делать, если вы сомневаетесь,
кто вам пишет? Уточнить/найти доп.
информацию, проигнорировать, переслать
в СБ.
Какие сообщения стоит игнорировать,
а о каких сообщать в СБ? Например,
вам приходит много повторяющихся
бесполезных рапортов (на
деле – это обычный спам, а не фишинг)
– создаем правило, по которому можно
идентифицировать этот вид писем и
доводим до сотрудников. Но даже если
они все равно нарушат ваши рекомендации,
не ругайте их за то, что они пересылают
письма с мошенническими
«онлайн-опросами», в следующий раз
они побоятся отправлять вам письмо с
файлом-шифровальщиком.
В зависимости от парольной политики:
Создание надежного и простого
для запоминания пароля.
Безопасное хранение пароля.
Кому можно сообщать свои пароли.
Использование одинаковых паролей
на разных ресурсах.
В зависимости от взаимодействия
подразделений:
Что делать, если из одного отдела
пришло подозрительное письмо в
другой отдел.
Да, видов материалов необходимо
не мало, хотя каждый из них – это всего
5–10 слайдов с примерами атак. Но
сейчас рассмотрим, как уже за 1–2 дня
вы можете повысить осведомленность
сотрудников в несколько раз. Это не
решит проблему системно, но с этими
результатами вы можете гораздо
легче обосновать руководству, что сотрудники
кликают по фишинговым
ссылкам и вы можете уменьшить риск
взлома организации выстроив процесс
повышения осведомленности на
регулярной основе.
Сначала проводим две учебных
атаки и замеряем результаты, сколько
сотрудников кликнуло на ссылки. Потом
рассылаем памятку «Как распознавать
вредоносные ссылки».
Далее делаем еще одну рассылку,
чтобы проверить результаты обучения,
снизилось ли количество инцидентов.
Памятка по безопасной работе с корпоративной
email-корреспонденцией:
Теперь давайте рассмотрим некоторые
организационные аспекты, которые
можно внедрить, чтобы наладить
системный процесс обучения.
Сначала не предупреждаем и тестируем
на фишинг. Чтобы замерять
текущую осведомленность.
Далее, предупреждаем, что с этого
дня будут проводиться учебные
атаки. (Текст предупреждения:
icast.ru/408/).
В первый месяц отправляем
«легкие атаки», явно различимый
фишинг. На этом этапе вы должны
получить максимальное количество
рапортов об атаках. Пусть сотрудники
начнут гордиться тем, что могут
распознать фишинг. Так вы встретите
меньше сопротивления перед обучением
в будущем.
Проводим учебные атаки 2–4
раза в месяц в течение квартала. Сразу
после клика на фишинг, отправляем
сотрудника на онлайн-курс, либо
памятку.
Переходим к этапу снижения количества
отправок тем, кто перестал
попадаться, до одного письма в месяц.
Плюс, за три месяца вы выявите
откровенных диверсантов, которые
не хотят учиться.
В зависимости от ответственности
за инциденты организовываем «метод
кнута и пряника»:
- если персонал сотрудничает, снижаем
количество писем до одного в месяц;
- если не сотрудничают – пугаем.
Пугать можно по-разному, например,
вносим в черный список и говорим,
что теперь он там и ответственность
за потенциальный взлом организации
будет на нем. Еще можно делать
эмуляторы взлома: выводить ему на
экран сообщение, что ПК зашифрован,
теперь он сам прибежит к вам
испуганный.
Конечно же, второй пункт из вышеперечисленных
– отчаянная мера.
Запугивание – это низший способ мотивации.
К нему еще можно отнести
систему премий и лишений. Берется
некий фонд и в конце квартала распределяется
между сотрудниками, которые
сотрудничали. Фонд можно пополнять,
урезая зарплату диверсантов.
Но искренне желаю вам, чтобы в
вашей организации понимали роль
службы ИБ не как отдела, который мешает
работать и все запрещает, а как
союзника, который не хочет, чтобы
все ушли в неоплачиваемый отпуск на
неопределенный срок из-за простоя
ИТ-инфраструктуры после «ой, я открыла
файл и теперь вот это сообщение
о выкупе тут висит».