КРОК

Киберосознанность, как лекарство от фишинговых угроз

Фишинговые атаки, подобно вирусу, заражают инфраструктуру компании, воруя данные об организации и ее клиентах, тем самым нанося непоправимый критический ущерб. Формирование осознанного поведения сотрудников при работе с данными в веб-среде - ключевая задача специалистов по ИБ.

Киберосознанность - лекарство от фишинговых атак, об эффективности которого расскажем в исследовании, подготовленном Анастасией Федоровой, экспертом по информационной безопасности ИТ-компании КРОК и Алексеем Горелкиным, генеральным директором ООО «ФИШМАН». Выводы сделаны на основании данных 287 организаций Enterprise-сегмента, среднего и малого бизнеса.

Основная причина успешных кибератак

Довольно давно среди специалистов по информационной безопасности ходит шутка, что главная брешь в защите корпоративных сетей находится в прослойке между клавиатурой и компьютерным креслом. Но, шутки шутками, а киберпреступники тоже это прекрасно понимают и поэтому всё с большим усилием атакуют именно сотрудников компаний, пользуясь их наивностью, недостаточными знаниями и навыками для противодействия кибератакам.

Мошенники придумывают новые схемы, используя методы социальной инженерии, основной целью которых является заставить жертву сделать выгодные злоумышленнику действия. Хороший пример – скандал с Twitter в июле 2020 года, когда администратор добавил злоумышленников в рабочий чат в Slack, где был закреплен файл с мастер-паролем. В результате мошенники получили доступ к 45 аккаунтам, в том числе страницам компаний Apple, Uber, основателя Amazon Джеффа Безоса, руководителя Tesla и SpaceX Илона Маска и других. Где разместили просьбы перевести сумму в биткоинах на счет хакеров, пообещав удвоить ее. Чтобы решить проблему, Twitter временно заблокировала пользователей, пытавшихся сменить пароль за последние 30 дней. На следующий день после инцидента акции Twitter упали более чем на 4%, а акции Slack на 5%.

Но это пример, когда идет работа с конкретным человеком. Чаще злоумышленники используют фишинг – один из методов социальной инженерии, который заключается в отправке специально подготовленных писем (сообщений), которые содержат либо зловредные файлы, маскирующиеся под вполне безопасные, либо ссылки на фейковые сайты, разработанные злоумышленниками. Казалось бы, почему до сих пор кто-то попадается на подобные уловки? К сожалению, согласно статистике Phishman до 80% сотрудников попадаются на «фишинг», а порядка 25% еще и кликают по ссылкам, либо запускают вредоносный файл. И это даже в ИТ-компаниях!

От бумажек к решению проблемы

Большинство компаний пытаются организовать информирование пользователей о правилах поведения при работе с данными в интернет пространстве с помощью различных "бумажных мер". Однако судя по тому, что уровень такого мошенничества растет из года в год, понятно, что такая мера неэффективна. Другой вариант – повышение киберосознанности с помощью специальных систем Security Awareness, что кажется более результативным.

Кстати! На русский язык название подобных систем перевели не очень удачно – “системы повышения осведомлённости пользователей”. К сожалению, такой перевод не передаёт саму суть подобных систем. Смысл не только осведомлять пользователей, ведь это можно сделать, например, и с помощью рассылки по электронной почте, а в формировании осознанного поведения в киберсреде. Поэтому мы, вместе с коллегами из Phishman, переводим системы Security Awareness, как системы повышения киберосознанности – так и короче, и правильнее.

Состав лекарства под названием “киберосознанность”

Формирование навыков киберосознанности конечных пользователей играет важную роль в минимизации серьезных угроз кибербезопасности, таких как фишинговые атаки и социальная инженерия. Основные темы при формировании навыков киберосознанности обычно включают:

1) Безопасность электронной почты/фишинг

2) Управление паролями

3) Конфиденциальность данных

4) Веб-безопасность/интернет-безопасность

5) Офисная безопасность

Навыки пользователей закрепляются регулярными практическими тестированиями, в том числе и специальными тестовыми фишинговыми рассылками. Как уже упоминалось, до 80% всех пользователей компаний попадаются на тестовые фишинговые рассылки при первых тестированиях. Бытует стереотип, что ошибки допускают исключительно сотрудники далёкие от ИТ и ИБ, но это не так. Более того – в современных компаниях, администраторы систем являются очень уязвимыми к подобным атакам.

Мы регулярно подтверждаем это опытным путём, вот один из примеров. В компании сделали рассылку с заведомо ложной почты, которая маскировалась под HR, в письме была ссылка на тренировочный фишинговый сайт, но, чтобы никого не пугать, вместо обучающей страницы использовалась просто пустая. Данное письмо пришло руководителю одного из ИТ отделов, который несколько раз открыл ссылку с разных браузеров, после чего связался с HR, и сообщил, что у них сайт не работает. В случае реальной атаки – это была бы отличная возможность для злоумышленников.

Но давайте о хорошем. При правильном построении процесса повышения киберосознанности, при наличии соответствующих систем и правильной мотивации пользователей можно избежать большинства угроз, снизив количество инцидентов, возникающих по вине сотрудников.

К слову о мотивации. В нашей стране часто принято мотивировать кнутом, что уже плохо работает. Для многих внутренняя ИБ-служба – карательный орган, наказывающий за любую ошибку при работе с данными. Поэтому сотрудники боятся сообщать о инцидентах, причиной которых они становятся, чтобы не депремировали или «еще что хуже». Это приводит к тому, что, когда ИБ обнаруживает инцидент (если вообще обнаруживает) – становится уже слишком поздно и нанесён финансовый и/или репутационный ущерб.

Это можно исправить, если продвигать информационную безопасность внутри компании как друга и товарища, который помогает бороться с внешними угрозами и сохранять данные сотрудников и клиентов в безопасности. Закрепление навыков корректного поведения пользователей, формирующееся при использовании систем Security Awareness, позволит избежать «замалчивания» и обнаруживать инциденты значительно быстрее.

Для чего применяют киберосознанность

Обучение киберосознанности имеет и экономическое обоснование. Эксперты Phishman провели семинар с руководителями служб безопасности предприятий, среди которых были специалисты по ИБ Аэрофлота и Сбербанка, чтобы выяснить, почему они вкладывают средства в обучение по повышению осведомленности пользователей в киберсреде. Они обнаружили, что:

91% используют киберосознанность для снижения рисков кибербезопасности, связанных с поведением пользователей

64% - для изменения поведения пользователей

61% - для выполнения нормативных требований

55% - для соблюдения внутренних политик.

Насколько киберосознанность эффективна

Вернёмся к хорошему и подытожим. Если построить процесс повышения киберосознанности сотрудников на базе качественной системы, а также правильно мотивировать сотрудников, то можно добиться высоких результатов по снижению числа непреднамеренных инцидентов со стороны сотрудников, повысить число выявленных угроз самими пользователями, а также быть уверенным, что атаки методом социальной инженерии будут не эффективны против ваших работников.

К сожалению, всегда найдутся люди, которые так или иначе «противятся» обучению. Как раз для таких пользователей хорошо использовать киберучения. Практические навыки, которые приобретаются благодаря регулярным тестированиям, минимизируют риски формального ознакомления с требованиями. На наш взгляд, киберучения надо проводить регулярно, и не реже чем раз в полгода, для закрепления полученных навыков у старых пользователей и их выработки у новых.

ИТ-компания КРОК в партнерстве с Phishman уже на протяжении нескольких лет развивает киберосознанность сотрудников компаний. По статистике, уже после первого месяца использования систем повышения киберосознанности число сотрудников, попадающихся на фишинг, не превышает 20%, а чем дальше, при проведении регулярных учений, тем ближе это значение к 3%.

Авторы: Алексей Горелкин генеральный директор ООО "ФИШМАН"; Анастасия Федорова, эксперт по информационной безопасности ИТ-компании КРОК.

0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

Чему создатели метавселенных могут поучиться у 3D-игры Second Life Статьи редакции

Её основатель ещё в нулевых говорил, что физический мир канет в прошлое, и завлёк в игру не только пользователей, но также бренды, политиков и СМИ. Какой он видит метавселенную, исходя из своего опыта, — в пересказе Time.

Кадр из игры Second Life SL Community
SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

Мой опыт общения с Почтой России

Первым делом хочу попросить прощения у всех граждан России. Благодаря моим действиям, описанным вкратце в этой статье, я получил некоторую сумму денег, которая иначе могла бы попасть в бюджет РФ. Но произошло это по вине сотрудников АО «Почта России». Учредителем и единственным акционером АО «Почта России» является Российская Федерация.

ИТ-специалисты сообщили о блокировке Tor в России Статьи редакции

На проблемы с доступом пользователи жалуются с начала декабря.

Tele2. Недоразумение со сменой тарифа

Моя бабушка пользуется тарифом без абонентской платы от Tele2. Недавно ей позвонили и предложили поменять тарифный план. Бабушка в этом ничего не понимает, но прекрасно понимает, что не стоит принимать решения, не посоветовавшись с детьми/внуками. Поэтому она, почти сразу,прервала разговор. На следующий день выяснилось, что с ее номера телефона…

Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
От чтения мыслей до вторжения во сны: зачем исследуют сознание и чем это грозит Статьи редакции

Учёные научились считывать структуру фраз и даже визуальные образы из мыслей. Теперь они переживают, что компании внедрят в сны рекламу.

Сайты в 2021 году
null