Не саботирайте собствената си сигурност, обучавайте потребителите си

Мисля, че първия път, когато видях фишинг имейл, беше през 2000 г., докато работех върху тестов проект с Оливър Рист, който сега е Business Editor на PCMag. Една сутрин двамата получихме имейли с темата „Обичам те“, която също беше основната част на имейла и имаше прикачен файл. И двамата веднага разбрахме, че имейлът трябва да е фалшив, защото като редактори на списанията знаехме, че никой не ни обича. Не щракнахме върху прикачения файл. Всъщност ние действахме като човешки защитни стени. Разпознахме лъжлив имейл и го изтрихме, вместо да оставим съдържанието му да се разпространи в нашите компютри и останалата част от мрежата.

Още тогава нападенията като тези бяха наречени от социалния инженеринг от хакерския набор. Днес фишинг имейлите вероятно са най-известната версия на този вид експлоатация. Те са насочени главно към овладяване на идентификационни данни за сигурност, но също така са в състояние да доставят други видове злонамерен софтуер, особено ransomware. Но си струва да се отбележи, че има други видове атаки на социален инженеринг, освен фишинг, включително някои, при които атаката е физическа, а не строго цифрова.

Хората: Все още водещ вектор за атака

Причината фишинг имейлите са толкова широко известни е, защото те са толкова често срещани. Досега е честно да кажем, че всеки, който има имейл акаунт, в даден момент ще получи фишинг имейл. Имейлът често се преструва, че сте от вашата банка, от вашата кредитна карта или от друг бизнес, който сте често. Но фишинг имейлите също могат да бъдат заплаха за вашата организация, тъй като нападателите се опитват да използват вашите служители срещу вас. Друга ранна версия на тази атака дойде през златната ера на факс, когато нападателите просто ще изпращат фактура за услуги, които никога не са били предоставяни на големи компании, с надеждата, че заетите ръководители просто ще ги изпратят за плащане.

Фишингът е изненадващо ефективен. Според проучване на адвокатска кантора BakerHostetler, което прегледа 560 нарушения на данните миналата година, фишингът е водещата причина за инциденти със сигурността на данните днес.

За съжаление, технологията не е наваксана с фишинг атаки. Въпреки че има редица устройства за сигурност и софтуерни пакети, предназначени да филтрират злонамерени имейли, лошите, които изработват фишинг имейли, работят усилено, за да се убедят, че атаките им се плъзгат през пукнатините. Проучване на Cyren показва, че сканирането по имейл има степен на отказ от 10, 5 процента при намирането на злонамерени имейли. Дори в малък и среден бизнес (SMB), който може да добави до много имейли и всеки от тези, които съдържат атака за социален инженеринг, може да представлява заплаха за вашата организация. И не обща заплаха, какъвто би бил случаят с повечето злонамерен софтуер, който успя да се промъкне чрез вашите мерки за защита на крайните точки, а по-зловещият вид, който е насочен специално към най-ценните ви данни и цифрови ресурси.

Бях уведомен за доклада на Cyren по време на разговор със Stu Sjouwerman, основател и главен изпълнителен директор на KnowBe4, компания, която може да помогне на човешките ресурси (HR) професионалисти да учат на сигурност. Именно Sjouwerman създаде термина "човешка защитна стена" и също обсъди "човешкото хакване". Предложението му е, че организациите могат да предотвратят или намалят ефективността на атаките на социалния инженеринг с известно последователно обучение, което се прави по начин, който също ангажира вашия персонал в решаването на проблема.

Разбира се, много организации провеждат обучения за повишаване на сигурността. Вероятно сте били на няколко от тези срещи, в които старото кафе е сдвоено със застояли понички, докато изпълнител, нает от HR, прекарва 15 минути, за да ви каже да не се подлагате на фишинг имейли - без всъщност да ви казва какво представляват или да обяснявате какво да направите, ако мислите, че сте намерили такъв. Да, тези срещи.

Това, което Sjouwerman предложи да работи по-добре, е да създадете интерактивна тренировъчна среда, в която имате достъп до действителни фишинг имейли, където можете да ги разгледате. Може би имайте групово усилие, при което всеки се опитва да види факторите, които насочват към фишинг имейли, като лош правопис, адреси, които почти изглеждат реални, или искания, които при проверка нямат смисъл (като искане за незабавно прехвърляне на корпоративни средства на неизвестен получател).

Защита срещу социалното инженерство

Но Sjouwerman също посочи, че има повече от един вид социално инженерство. Той предлага набор от безплатни инструменти на уебсайта на KnowBe4, които компаниите могат да използват, за да помогнат на служителите си да учат. Той също предложи следните девет стъпки, които компаниите могат да предприемат за борба с атаките на социалния инженеринг.

• Създайте човешка защитна стена, като обучите персонала си да разпознава атаките на социалния инженеринг, когато ги видят.
• Провеждайте чести, симулирани тестове за социално инженерство, за да държите служителите си на крака.
• Провеждане на фишинг тест за сигурност; Knowbe4 има безплатен.
• Бъдете внимателни за измама с изпълнителен директор. Това са атаки, при които нападателите създават подправен имейл, който изглежда е от изпълнителния директор или друг високопоставен служител, насочващи действия като преводи на пари спешно. Можете да проверите дали вашият домейн може да бъде измамен с помощта на безплатен инструмент от KnowBe4.
• Изпратете симулирани фишинг имейли на служителите си и включете връзка, която ще ви предупреди, ако тази връзка е щракната. Следете кои служители попадат в него и фокусирайте обучението върху тези, които попадат в него повече от веднъж.
• Бъдете готови за „пожелание“, което е вид социално инженерство за гласова поща, в което се оставят съобщения, които се опитват да предприемат действия от вашите служители. Това може да изглежда, че са обаждания от органите на реда, службата за вътрешни приходи (IRS) или дори техническата поддръжка на Microsoft. Уверете се, че служителите ви не знаят да връщат обажданията.
• Предупредете служителите си за „текстово фиширане“ или „SMiShing (SMS фишинг)“, което е като фишинг по имейл, но с текстови съобщения. В този случай връзката може да бъде проектирана да получава чувствителна информация, като списъци с контакти, от техните мобилни телефони. Те трябва да бъдат обучени да не докосват връзки в текстови съобщения, дори ако изглежда, че са от приятели.
• Универсалните атаки за серийна шина (USB) са изненадващо ефективни и те са надежден начин за проникване в мрежите, затруднени с въздух. Начинът на работа е, че някой оставя USB паметта лежи наоколо в тоалетни, паркинги или други места, посещавани от вашите служители; може би пръчката има примамливи лога или етикети на тях. Когато служителите ги намерят и вмъкнат в удобен компютър - и те ще го направят, ако не бъдат научени по друг начин - тогава зловредният софтуер върху тях попада в мрежата ви. Ето как зловредният софтуер Stuxnet проникна в иранската ядрена програма. Knowbe4 има безплатен инструмент за тестване и за това.
• Пакетната атака също е изненадващо ефективна. Това е мястото, където някой се появява с обръч от кутии (или понякога пици) и моли да бъде пуснат, за да могат да бъдат доставени. Докато не търсите, те плъзгат USB устройство в компютър наблизо. Вашите служители трябва да бъдат обучени чрез извършване на симулирани атаки. Можете да ги насърчите, като се обучавате за това и след това споделяте пиците, ако се оправят.

Както можете да видите, социалният инженеринг може да бъде истинско предизвикателство и може да бъде много по-ефективен, отколкото бихте искали. Единственият начин да се преборите е активно да ангажирате служителите си да забелязват подобни атаки и да ги извикват. Правилно, вашите служители действително ще се насладят на процеса - и може би ще получат и безплатни пици от него.