Nenechajte sabotovať svoje vlastné zabezpečenie, školite svojich používateľov

Myslím si, že keď som prvýkrát videl phishingový e-mail, bol som späť v roku 2000, keď som pracoval na testovacom projekte s Oliverom Ristom, ktorý je teraz obchodným editorom spoločnosti PCMag. Jedného rána sme obaja dostali e-maily s predmetom „Milujem ťa“, ktorý bol tiež telom e-mailu a bola tam príloha. Obaja sme okamžite vedeli, že e-mail musí byť falošný, pretože ako redaktori časopisov sme vedeli, že nás nikto nemiloval. Neklikli sme na prílohu. V skutočnosti sme konali ako ľudské brány firewall. Na prvý pohľad sme rozpoznali falošný e-mail a namiesto odstránenia jeho obsahu do našich počítačov a zvyšku siete sme ho odstránili.

Dokonca aj vtedy boli hackerské útoky nazývané „sociálne inžinierstvo“. Dnes sú phishingové e-maily pravdepodobne najznámejšou verziou tohto druhu zneužitia. Zameriavajú sa hlavne na zachytávanie bezpečnostných údajov, ale sú tiež schopné dodávať ďalšie druhy škodlivého softvéru, najmä ransomware. Je však potrebné poznamenať, že okrem phishingu existujú aj iné typy útokov v oblasti sociálneho inžinierstva, vrátane tých, kde je útok fyzický a nie striktne digitálny.

Ľudia: stále vedúci útokový vektor

Dôvodom phishingových e-mailov je toľko známe, že sú také bežné. Teraz je spravodlivé tvrdiť, že ktokoľvek s e-mailovým účtom bude niekedy dostávať e-mail s neoprávneným získavaním údajov. Tento e-mail často predstiera, že pochádza od vašej banky, spoločnosti, ktorá vydala vašu kreditnú kartu, alebo od inej firmy, ktorú často navštevujete. E-maily s neoprávneným získavaním údajov (phishing) však môžu byť pre vašu organizáciu tiež hrozbou, pretože útočníci sa proti vám snažia použiť vašich zamestnancov. Ďalšia skorá verzia tohto útoku prišla počas zlatého veku faxovania, keď útočníci jednoducho faxovali faktúru za služby, ktoré sa nikdy neposkytli veľkým spoločnostiam, v nádeji, že ich zaneprázdnení riaditelia jednoducho predložia na platbu.

Phishing je prekvapivo efektívny. Podľa štúdie právnickej firmy BakerHostetler, ktorá sa v minulom roku zamerala na porušenia ochrany údajov 560, je phishing v súčasnosti hlavnou príčinou incidentov v oblasti bezpečnosti údajov.

Bohužiaľ, technológia nezachytila ​​phishingové útoky. Aj keď existuje niekoľko bezpečnostných zariadení a softvérových balíkov určených na odfiltrovanie škodlivých e-mailov, zlí ľudia, ktorí vymieňajú e-maily na neoprávnené získavanie údajov, tvrdo pracujú na tom, aby ich útoky prešli cez trhliny. Štúdia spoločnosti Cyren ukazuje, že pri vyhľadávaní škodlivých e-mailov je pri skenovaní e-mailov miera zlyhania 10, 5%. Dokonca aj v malom a stredne veľkom podniku (SMB), ktorý môže pridať až veľa e-mailov, a ktorýkoľvek z tých, ktoré obsahujú útok sociálneho inžinierstva, môže byť pre vašu organizáciu hrozbou. A nie je to všeobecná hrozba, ako by to bolo v prípade väčšiny škodlivého softvéru, ktorý sa vám podaril preniknúť podľa vašich opatrení na ochranu koncových bodov, ale zlovestnejší druh, ktorý je špecificky zameraný na vaše najcennejšie údaje a digitálne zdroje.

Počas rozhovoru so Stu Sjouwermanom, zakladateľom a generálnym riaditeľom spoločnosti KnowBe4, spoločnosti, ktorá môže pomôcť odborníkom v oblasti ľudských zdrojov (HR) pri výučbe bezpečnostného povedomia, ma upozornili na správu Cyrena. Bol to Sjouwerman, ktorý vyniesol termín „ľudský firewall“ a ktorý tiež diskutoval o „ľudskom hackovaní“. Jeho návrh je, že organizácie môžu zabrániť alebo znížiť účinnosť útokov v oblasti sociálneho inžinierstva pomocou konzistentného školenia, ktoré sa vykonáva spôsobom, ktorý tiež zapojí vašich zamestnancov do riešenia problému.

Mnoho organizácií samozrejme organizuje školenia o zvyšovaní povedomia o bezpečnosti. Pravdepodobne ste už boli na niekoľkých stretnutiach, na ktorých je stará káva spárovaná so zatuchnutými šiškami, zatiaľ čo dodávateľ najatý personálom HR strávi 15 minút, keď vám povie, aby ste nespadli na phishingové e-maily - bez toho, aby ste im skutočne povedali, čo sú, alebo vysvetlil, čo máte robiť, ak Myslíš si, že si ho našiel. Áno, tieto stretnutia.

Sjouwerman navrhol, aby fungoval lepšie, je vytvoriť interaktívne školiace prostredie, v ktorom budete mať prístup k skutočným e-mailom s neoprávneným získavaním údajov, kde ich môžete preskúmať. Možno by ste mali vyvinúť skupinové úsilie, v ktorom sa každý pokúsi zistiť faktory, ktoré poukazujú na phishingové e-maily, ako napríklad zlý pravopis, adresy, ktoré takmer vyzerajú reálne, alebo žiada, aby pri preskúmaní nedali zmysel (napríklad okamžitý prenos podnikové fondy pre neznámeho príjemcu).

Obrana proti sociálnemu inžinierstvu

Sjouwerman však zdôraznil, že existuje viac ako jeden druh sociálneho inžinierstva. Na webe KnowBe4 ponúka sadu bezplatných nástrojov, ktoré môžu spoločnosti použiť na pomoc svojim zamestnancom pri učení sa. Navrhol tiež nasledujúcich deväť krokov, ktoré môžu spoločnosti podniknúť v boji proti útokom v oblasti sociálneho inžinierstva.

• Vytvorte ľudský firewall tým, že vyškolíte svojich zamestnancov, aby rozpoznali útoky v oblasti sociálneho inžinierstva, keď ich uvidia.
• Vykonajte časté simulované testy sociálneho inžinierstva, aby vaši zamestnanci zostali na nohách.
• Vykonajte test zabezpečenia proti phishingu; Knowbe4 má bezplatnú.
• Dávajte si pozor na podvody s generálnymi riaditeľmi. Sú to útoky, pri ktorých útočníci vytvárajú spoofed e-maily, ktoré podľa všetkého pochádzajú od generálneho riaditeľa alebo iného vysokopostaveného dôstojníka a ktoré naliehavo usmerňujú akcie, ako sú prevody peňazí. Pomocou bezplatného nástroja od spoločnosti KnowBe4 môžete skontrolovať, či sa vaša doména môže podvrhnúť.
• Pošlite svojim zamestnancom simulované e-mailové adresy na phishing a zahrňte odkaz, ktorý vás upozorní, ak na tento odkaz kliknete. Sledujte, na ktoré z nich zamestnanci spadajú, a zamerajte školenie na tých, ktorí oň padnú viackrát.
• Buďte pripravení na „vishing“, čo je druh sociálneho inžinierstva v hlasovej schránke, v ktorom zostávajú správy, ktoré sa snažia získať od vašich zamestnancov akciu. Môže sa zdať, že ide o volania zo strany orgánov činných v trestnom konaní, služby Internal Revenue Service (IRS) alebo dokonca technickej podpory spoločnosti Microsoft. Uistite sa, že vaši zamestnanci vedia, že tieto hovory nevracajú.
• Upozornite svojich zamestnancov na „textové phishing“ alebo „SMiShing (SMS phishing)“, čo je ako phishing prostredníctvom e-mailov, ale pomocou textových správ. V takom prípade môže byť odkaz navrhnutý tak, aby z mobilných telefónov získal citlivé informácie, ako sú zoznamy kontaktov. Musia byť vyškolení tak, aby sa nedotýkali odkazov v textových správach, aj keď sa zdá, že pochádzajú od priateľov.
• Útoky USB (Universal Serial Bus) sú prekvapivo účinné a predstavujú spoľahlivý spôsob, ako preniknúť do sietí so vzduchovou medzerou. Funguje to tak, že niekto necháva USB kľúče ležiace v záchodoch, na parkoviskách alebo na iných miestach navštevovaných vašimi zamestnancami; možno je na nich nalepená loga alebo štítky. Keď ich zamestnanci nájdu a vložia ich do praktického počítača - a ak nebudú, tak sa do vašej siete dostanú škodlivý softvér. Týmto spôsobom prenikol malware Stuxnet do iránskeho jadrového programu. Knowbe4 má na to aj bezplatný nástroj.
• Útok balíka je tiež prekvapivo efektívny. To je miesto, kde sa niekto objaví s hromadou krabíc (alebo niekedy pizze) a žiada, aby bol prepustený, aby mohol byť doručený. Aj keď sa nepozeráte, zasunú zariadenie USB do blízkeho počítača. Vaši zamestnanci musia byť zaškolení na vykonávanie simulovaných útokov. Môžete ich povzbudiť školením na toto a potom zdieľaním pizze, ak to majú v poriadku.

Ako vidíte, sociálne inžinierstvo môže byť skutočnou výzvou a môže byť oveľa efektívnejšie, ako by ste chceli. Jediným spôsobom, ako proti nemu bojovať, je aktívne zapojiť svojich zamestnancov do zisťovania takýchto útokov a ich vyvolania. Dobre, vaši zamestnanci si tento proces skutočne užijú - a možno z toho dostanú aj nejaké bezplatné pizze.