Пока технологические гиганты Microsoft, Google и Apple, регулярно выпуская обновления, заплатки и исправления своего программного обеспечения, пытаются защититься от уязвимостей нулевого дня и других угроз, слабое звено в цепи безопасности — беспечный и несведущий сотрудник — остается самым слабым, как и прежде.
В значительной степени это объясняется тем, что не существует технологии, которая могла бы полностью исключить капитуляцию очередного отдельно взятого пользователя перед все более сложными атаками социальной инженерии. За последний год мы много раз слышали, что самые масштабные бреши в данных за всю историю были пробиты атакующими, которые вводили в заблуждение сотрудников организаций. И все это — несмотря на настойчивые предупреждения специалистов о том, что в вопросах повышения безопасности нельзя ограничиваться поверхностными лекциями раз в полгода или презентациями в PowerPoint.
По итогам недавнего опроса, проведенного компанией Dark Reading, более половины из 633 респондентов считают, что «опасность угроз социальной инженерии обусловлена прежде всего тем, что сотрудники организаций имеют о них недостаточное представление». Тест из десяти вопросов McAfee Phishing Quiz, в котором приняли участие более 30 тыс. человек из 49 стран, показал, что 80% из них не смогли отличить по крайней мере одно фишинговое сообщение электронной почты от настоящего. Среди бизнес-пользователей лучшие результаты продемонстрировали сотрудники ИТ-служб и научно-исследовательских подразделений, но и у них точность распознавания составила лишь 69%.
Из всего этого можно сделать вывод, что обмануть человека по-прежнему не составляет особого труда. Главный специалист компании Social-Engineer по вопросам взлома систем с использованием человеческого фактора Крис Хаднаджи в интервью Dark Reading заметил: «Как видно из новостей, атаки через социальные медиа проводятся очень успешно». По его словам, это обусловлено тремя основными причинами. Первые две связаны с человеческими слабостями, а третья — с заметным совершенствованием самих атак.
Во-первых, люди запрограммированы на то, чтобы помогать другим. Такова уж человеческая природа, что нам всегда хочется доверять людям.
Во-вторых, у большинства пользователей недостаточные знания о характере угроз. «Компании не уделяют необходимого внимания тому, чтобы обучать своих сотрудников вопросам безопасности, и это отражается на действиях работников, — указал Хаднаджи. — Психологические факторы, помноженные на недостаток образования, создают благодатную почву для социальной инженерии. Особенно опасны для пользователей хорошо подготовленные атаки. Все начинается со сбора информации в Сети или в открытых источниках. Именно отсюда социальная инженерия черпает свою жизненную силу. После того как информация собрана, злоумышленникам становится ясно, какой вектор атаки сработает лучше».
Тереза Пэйтон, занимавшая прежде пост директора ИТ-службы Белого дома, а ныне являющаяся генеральным директором компании Fortalice Solutions, согласна с тем, что информация, добытая из открытых источников, предоставляет атакующим гораздо более мощные инструменты для ввода своих жертв в заблуждение. «Они выясняют, кто входит в состав высшего руководства организации, какая юридическая фирма ее обслуживает, узнают имена корпоративных серверов, текущие проекты, характер взаимоотношений с поставщиками и многое другое, — пояснила она. — Перед началом сложной атаки с использованием методов социальной инженерии проводится разведка, на которую чаще всего уходит менее одного дня».
Атакующие уже практически устранили одно из наиболее слабых своих мест. Остались в прошлом те дни, когда в их письмах присутствовало множество орфографических и грамматических ошибок, не оставлявших сомнений в том, что мы имеем дело с фишингом.
Сегодня они используют средства орфографической и грамматической проверки и нанимают специалистов, корректирующих текст их писем. В прошлом такое встречалось крайне редко.
И наконец, все большее распространение приобретает «вишинг», когда атакующий совершает телефонный звонок, представляясь сотрудником соседнего отдела, и побуждает получателя письма щелкнуть по указанной в нем ссылке без тщательной проверки присланного.
«Представьте, что атакующий направляет секретарю зараженную электронную почту, а затем звонит ему по телефону и просит подтвердить получение письма, утверждая, что в нем содержится нечто очень важное для организации, — предлагает свой сценарий генеральный директор компании ThetaRay Марк Газит. — Причем обычно инициатор звонка остается на линии до тех пор, пока не убедится, что сотрудник запустил присоединенный файл».
К вишингу относится и отправка сотрудникам SMS со ссылкой на фишинговый сайт или электронного сообщения, в котором говорится, что их платежные карты блокированы. Отвечая на это сообщение, взволнованная жертва зачастую раскрывает атакующему свои банковские учетные сведения или персональные данные.
Единственный эффективный способ противодействия атакам подобного рода — это улучшение качества обучения. Необходимо менять преобладающую сейчас модель, когда гораздо больше внимания уделяется соблюдению требований к «проверке ящика», чем непрерывному повышению осведомленности сотрудников в вопросах безопасности.
«Тренировки не следует превращать в какое-то событие, — считает Пэйтон. — Занятия должны приводить к позитивным результатам и укреплению системы безопасности. Сегодня же большинство подобных мероприятий вырождается в компьютерные тренировки с дремлющими участниками — и от них нет никакого толку».
Необходимо поддерживать с сотрудниками обратную связь, выяснять, почему протоколы безопасности мешают им выполнять свою работу. Предлагаемые советы должны помогать людям и на работе, и дома, а рекомендации должны превратиться в нечто большее, чем просто упражнение по выполнению определенных требований.
Эффективное обучение подразумевает демонстрацию реальных примеров. «В рабочие часы мы иногда имитируем поведение других сотрудников, чтобы получить доступ в здание, — рассказал Хаднаджи. — Цель состоит не в том, чтобы люди выглядели глупо, а в том, чтобы выявить слабые места и найти способы их укрепления».
«Одноразовые тренировки, проводимые в больших группах в стиле учебного лагеря, не работают, — добавил Газит. — Обилие информации, никак не связанной с повседневной деятельностью сотрудников, вряд ли пойдет им на пользу. Они сразу забудут все, как только вернутся на свое рабочее место».
Сотрудники должны почувствовать, что обучение действительно им нужно. Руководители, бухгалтеры, администраторы и рабочие не подвергаются одним и тем же киберугрозам, и обучение должно помочь каждой из этих групп научиться распознавать и отражать конкретные атаки, с которыми им приходится сталкиваться.
Конечно, как и в технологической сфере, ничто не может сделать организацию полностью пуленепробиваемой. Но хорошее обучение значительно снижает риск. Хаднаджи упомянул об одной компании, решившей проверить уровень осведомленности своей команды, набранной два года тому назад. Тесты показали, что 80% сотрудников инициировали переход по ссылкам в фишинговой электронной почте, 90% стали жертвами вишинга и 90% не приняли никаких мер, для того чтобы защититься от коллег, которые, выдавая себя за них, проникали на их рабочее место.
«Мы провели разъяснительную беседу, после чего уже на более сложных тестах они все успешно заблокировали, — вспоминал Хаднаджи. — Нам так и не удалось войти в систему под их именем».
Это показывает, насколько эффективной может оказаться хорошая тренировка. «Утверждения, согласно которым «лекарства от человеческой глупости не существует», разбиваются о нашу веру в возможность исправления ситуации, — подчеркнул Хаднаджи. — Ведь дело вовсе не в том, что люди глупы, а в том, что, будучи недостаточно осведомленными и образованными, они просто не знают, как следует поступать в моменты, когда на них обрушивается атака».
- Taylor Armerding. The human OS: Overdue for a social engineering patch. CSO (US). 10/13/2014