Лучший опыт

В текущих условиях обучени? ... Юрий Другач, StopPhish: Пусть сотрудники чувствуют вашу любовь, не стесняйтесь почаще «атаковать» их в учебных целях

Юрий Другач, StopPhish: Пусть сотрудники чувствуют вашу любовь, не стесняйтесь почаще «атаковать» их в учебных целях...

Юрий Другач, StopPhish: Пусть сотрудники чувствуют вашу любовь, не стесняйтесь почаще «атаковать» их в учебных целях
Юрий Другач, StopPhish: Пусть сотрудники чувствуют вашу любовь, не стесняйтесь почаще «атаковать» их в учебных целях

В текущих условиях обучение сотрудников кибербезопасности может окупиться в считанные недели. Атаки на российские компании не сбавляют темпов, а социальная инженерия и фишинг входят в топ популярных у злоумышленников методов. О том, как донести до сотрудников необходимые знания, порталу Cyber Media рассказал основатель компании StopPhish Юрий Другач. 

 

О компании StopPhish

StopPhish – исследовательский проект в области социальной инженерии, разработчик программ повышения осведомленности сотрудников о кибербезопасности

Cyber Media: Как организации относятся к обучению сотрудников кибербезопасности?

Юрий Другач: Постепенно приходит понимание, что сотрудников нужно обучать. Все больше представителей ИБ-служб понимают, что пользователей не нужно сразу ругать за клик по опасной ссылке, а сначала обучать.

Каждая организация справляется по-своему, и все пытаются обучать сотрудников по-разному. Кто-то дает кипу регламентов на изучение, кто-то строит полноценную программу с понятными короткими курсами.

Мы заметили, что даже в государственных и сильно зарегулированных организациях все чаще не просто задумываются об обучении, а хотят строить культуру информационной безопасности. То есть компании осознают, что нужно не просто обучать пользователей, а создавать союзников на местах, в каждом офисе и отделе.

Cyber Media: Как атаки последних месяцев сказались на этом тренде?

Юрий Другач: Как минимум в три раза вырос интерес к обучению сотрудников. Мы это видим по увеличению спроса на наши услуги и программное обеспечение.

Cyber Media: А со стороны атакующих происходят какие-то изменения в наборе сценариев, темы, инструментов?

Юрий Другач: Я бы сказал, что злоумышленники ничего не забывают и методы постоянно повторяются.

Например, мы уже несколько лет рассказываем пользователям, что нужно обращать внимание на вложение, в котором есть .html файл. В одном случае злоумышленники в таком файле показывали поддельную страничку авторизации почтовой системы. Кто-то из безопасников считал этот способ обмана утсаревшим. А за последний месяц было как минимум 3 сюжета в СМИ, где именно таким способом преступники массово получали доступ к ИТ-ресурсам организации.

Да, какие-то технологические векторы могут остаться в прошлом. Но способы обмана человека практически не меняются. Меняется лишь повод, по которому пишут злоумышленники. Вчера это было: «Срочно смените пароль от почтового ящика», а сегодня: «Вам нужно пройти вакцинацию, перейдите по ссылке и выберите удобное время». Завтра поддельный директор с изменением своей внешности с помощью технологий дипфейк будет звонить через мессенджер бухгалтеру и срочно просить перевести деньги на счет мошеннику.

Cyber Media: Про эти технологии тоже хочется поговорить. Получается ли у преступников использовать дипфейки?

Юрий Другач: Да, уже было несколько случаев, в которых применялись голосовые дипфейки. Например, еще в 2019 году британская компания перевела 220 тыс евро некой венгерской компании. Как потом выяснилось, мошенники связались с руководителем этой организации, подделав голос директора. Прокололись они только потому что решили повторить затею.

В будущем мы увидим видео-дипфейки и чат-боты на основе ИИ. Мы в StopPhish сами создаем бота в благих целях. В рамках тренировочных мероприятий он по электронной почте будет переписываться с сотрудниками и в нужный момент отправлять им «вредоносную» нагрузку.

Cyber Media: Кто из сотрудников компании обязательно должен пройти обучение?

Если расставлять приоритеты, в первую очередь те, email-адреса которых находятся в открытом доступе. Найти таких сотрудников можно с помощью Hunter.io или Harvester. Потом нужно обучить всех в их отделе, а затем – остальных сотрудников.

Можно пойти в другой последовательности – начать с сотрудников из критических областей. Если у вас ИТ-бизнес и ИТ-системы «сломаются», то компания «встанет». Значит, нужно сначала обучить ИТ-отдел.

На предприятии обязательно нужно обучить бухгалтеров и всех сотрудников, кто общается с внешним миром: продавцы, отдел закупок и т.д.

Лично мы придерживаемся подхода, что обучать нужно всех сразу и регулярно проверять их навыки на практике. Неизвестно, чей почтовый адрес выберет преступник для первичной атаки при проникновении в сеть. Первой жертвой может стать как секретарь, так и представитель топ-менеджмента.

Cyber Media: Как обучение, например, бухгалтера отличается от программы для условного менеджера по закупкам?

Юрий Другач: Сами обучающие материалы должны отталкиваться не от должности сотрудника. Преступники одинаково хорошо применяют социальную инженерию против любого сотрудника.

А вот учебные фишинговые атаки, да, должны различаться. Бухгалтеру мы отправляем «акты выполненных работ», менеджеру по закупкам – «договор».

Cyber Media: Какие вообще есть форматы обучения?

Юрий Другач: Если обучение проводится не «для галочки», а ИБ-служба действительно хочет подготовить сотрудников, то стоит использовать следующие форматы:

1. Изучить регламенты безопасности. Это сложно и неэффективно. Часто сотрудник не понимает, что читает и просто ставит подпись под галочкой «ознакомлен». 

2. Небольшие курсы, разбитые по темам. Этот способ лучше, курсы отнимают меньше времени в течение дня, изучение идет постепенно и занимает по 5-15 минут в день. Такие курсы нужно писать простым языком, чтобы большая часть информации была усвоена..

3. Курсы с регулярной отправкой учебных фишинговых атак. Так мы узнаем на практике, усвоили они то, что прочитали или нет. Идеальный подход с одним «но» – если делать это нерегулярно, то лучше вообще не тратить на это время.

Вспоминаю один кейс из практики: в одном из банков нам дали 50 необученных сотрудников и 50 человек, которые прошли обучение в неком центре. Этим 100 пользователям мы провели тренинг с одной и той же атакой. В одной группе попалось 63% пользователей, в другой – 61%.

Дело в том, что с момента обучения прошел месяц. Сотрудники забывают правила, и нужно регулярно проверять их навыки, сразу же обучая забывчивых.

Мы же используем такой подход: дважды в месяц отправляем учебные атаки по всем пользователям ПК в компании, имитируя вредоносные ссылки и файлы. Иногда просим пользователей отправить какую-то конфиденциальную информацию, например, список сотрудников отдела. Тех, кто попался — обучаем.

Плюс к этому ежемесячно отправляем по одному дополнительному курсу, в которых раскрыты другие аспекты атаки на человека. Например, если мы не разбрасываем флешки по организации, чтобы проверить навыки сотрудников, то это не значит, что этого не сделают злоумышленники. Поэтому мы отправляем курс «Опасность найденных USB-устройств».

Cyber Media: Поделитесь еще кейсами из вашей практики. Были у вас случаи, когда стало явно понятно, что обучение не прошло зря?

Юрий Другач: Сразу захотелось рассказать о случае, когда практики с заказчиком как раз не было. Они отложили сотрудничество, а через неделю им пришло письмо с шифровальщиком. На неделю инфраструктура одного отдела «встала» и они потеряли не очень много – около 10 млн руб.

Но было обидно, ведь они могли потратить в 10 раз меньше, а обучить даже не один отдел, а всю компанию.

Но возвращаясь к вопросу, был один кейс, когда мы тестировали 200 сотрудников в крупной организации по охране труда. Это был своего рода аудит навыков сотрудников, как они реагируют на социальную инженерию. Отправили 200 писем с фишинговой ссылкой. 199 сотрудников открыли письмо и перешли по ссылке.

24 сотрудника  отправили свои учетные данные, а это значит, что злоумышленнику нужно отправить письмо восьми пользователям, чтобы получить одну учетную запись.

В этой же компании мы провели учебную атаку по бухгалтерам, как распознавать вредоносные файлы. Обучили тех, кто попался. Через неделю, безопасник рассказал, что на следующий день после обучения, бухгалтеру пришел запрос, где злоумышленник имитировал действующего подрядчика и просил отправить 15 млн рублей по другим реквизитам.

Бухгалтер знала правила распознавания подделки по одному только email-письму, она заподозрила неладное и сообщила в службу ИБ.

Cyber Media: Есть мнение, что социнженерия способна свести к нулю эффективность многих защитных решений, т.к. многие действия легитимного пользователя не попадают на радары ИБ-средств. Можно ли говорить об обратном эффекте: эффективное обучение заменит дорогостоящие и продвинутые системы безопасности?

Юрий Другач: Ни в коем случае нельзя смещать чашу весов в ту или иную сторону. Только связка из технологий с обучением способны победить злоумышленников.

В нашей собственной классификации методов социальной инженерии есть около 12 тысяч возможных сценариев ее применения, и это только по электронным каналам связи. Теперь, зная врага в лицо, мы видим, что около 75% проблем человеческого фактора можно закрыть с помощью технологий, а остальным способам защиты можно обучить людей.

Обучение и учебные атаки работают, но здесь важна регулярность. Пусть сотрудники чувствуют вашу любовь, не стесняйтесь почаще «атаковать» их в учебных целях.