Журнал "Information Security/ Информационная безопасность" #6, 2018

Мы проводили симуля- цию атаки на заранее выбранных сотрудников одной компании. Результаты симуляции получились сле- дующие: 40% сотрудников провалили проверку и один из них попался дважды на разные сценарии. То есть если на нашем месте был злоумышленник и хотел произвести атаку на эту компанию, то у него бы все получилось. Это уже боль- шой процент риска и пока- затель того, что компания не защищена от социальной инженерии. могли выявлять фишинговые письма. Тема социальной инже- нерии очень обширная, чтобы сотрудники лучше запоминали информацию, ее лучше давать порционно, от общих принципов до тонкостей. Не нужно стараться сразу вывалить на них все что только можно, они все сразу не усвоят. Нам ведь нужно, чтобы у них было максимальное понима- ние. После небольшого курса необходимо проверить, как они усвоили весь материал, с помо- щью теста или экзамена. Естественно, на этом все не заканчивается. Это не единора- зовый процесс. Из-за того что постоянно проявляются новые и все более изощренные способы использования социальной инже- нерии, подобные тесты и симу- ляции нужно проводить посто- янно, как правило 2–3 раза в месяц. После первого цикла уже будут видны улучшения. И вам нужно использовать постоянно новые способы в тестах и симу- ляциях, иначе эффективность сильно падает. Исходя из нашей статистики, риск угрозы падает до 3% после первого обучения. И тут есть два пути, откуда брать новые способы для симу- ляций: l отслеживать, какими сейчас письмами пользуются злоумыш- ленники; l стараться быть на шаг впе- реди, самим разрабатывать и придумывать новые способы и векторы атаки. С первым вроде все понятно, но второй требует не только осведомленности, но и хоро- шего знания социальной инже- нерии и того, каким образом хакеры придумывают и выби- рают способы атаки, а также, если это целенаправленная атака, как они выбирают жертву и чем могут воздействовать на нее. Конечно, всегда можно нанять к себе в компанию спе- циалиста, который специализи- руется на социальной инжене- рии, но, как показывает прак- тика, использование фишинг- симулятора и курсы обходятся дешевле и эффективнее для компании. К сожалению, в более круп- ных компаниях существует еще одна проблема – это сотрудни- ки, которых бесполезно обучать. Они в силу своих убеждений, обид и наплевательского отно- шения не будут воспринимать обучение. Единственное, что они будут делать, так это ста- раться определять не фишин- говые письма, а ваши, с помо- щью которых вы проводите тесты. С такими помогают толь- ко новые регламенты в компа- ниях и наказания вплоть до увольнения. А теперь рассмотрим вариант того, как злоумышленник может заполучить нужную ему инфор- мацию из компании, а также как выявлять сотрудников, кото- рые готовы за небольшое воз- награждение продать корпора- тивную тайну. Тут уже все более серьезно, так как сотрудник компании продает корпоратив- ную тайну третьему лицу/кон- курентам, это может быть кли- ентская база или информация о сделках. Можно отслеживать всю корпоративную переписку в компании, но с сотрудником могут связаться напрямую через социальную сеть или личный e-mail. Но есть и другие способы поиска "слабого звена". Вот один пример, как может происходить поиск сотрудника, который готов за деньги выдать корпоративную тайну. Зло- умышленник старается разо- слать максимальному числу сотрудников письмо с предло- жением, что он готов заплатить за какую-либо информацию о компании. Он также может играть на жадности сотрудников или обидах, т. е. использовать социальную инженерию. После такой рассылки есть веро- ятность, что кто-то из сотруд- ников ответит, и, возможно, даже не один. Но тут есть одно "но": даже если вы отслеживае- те всю корпоративную перепис- ку, сотрудник уже может начать общение со своей личной почты из дома или с телефона, и вы не узнаете об этом, пока уже не будет поздно. Теперь о том, как можно вычислить такого сотрудника. Все, что вам нужно делать, так это использовать фишинг-симулятор, только в этом случае наша цель – чтобы сотрудник вошел в контакт и сам продолжил общение. Но не стоит рубить с плеча, бывают такие случаи, когда сотрудник может вступить в контакт с целью выявить, кто это пишет и предлагает деньги. То есть у него могут быть хорошие цели и он хочет защитить компанию, в которой он работает, от кражи информации. В ряде компаний для таких случаев есть регла- менты, как необходимо дей- ствовать, и за предоставление информации о таких попытках сотрудников поощряют. И напоследок. Мы рассмот- рели только фишинг через e-mail. Но не забывайте, что все подобные методы работают в мессенджерах и социальных сетях, где сотрудник может общаться, находясь на рабочем месте, и злоумышленники могут это использовать в своих целях. l • 11 СДЕЛАНО В РОССИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru