Люди были и остаются самым ? ... Александр Герасимов, Awillix: В 80-85% случаев фишерам удается получить доступ во внутреннюю сеть
Александр Герасимов, Awillix: В 80-85% случаев фишерам удается получить доступ во внутреннюю сеть...
Люди были и остаются самым слабым звеном в любой системе безопасности. Социальная инженерия помогает злоумышленникам обходить дорогие средства защиты, чтобы украсть корпоративные данные и деньги. Александр Герасимов, директор по информационной безопасности компании Awillix, рассказал нам, почему обучать сотрудников важнее, чем запускать собственный SOC.
Awillix – один из ведущих игроков на российском рынке offensive-кибербезопасности. Команда Awillix состоит из специалистов по анализу защищенности, тестированию на проникновение, мониторингу и реагированию на инциденты информационной безопасности с широким опытом работы в банковской и энергетической отраслях.
Cyber Media: Начиная с весны, российские компании подвергаются массированным кибератакам. В новости попадают DDoS-атаки, утечки данных. Как за последние месяцы менялись угрозы, связанные с социальной инженерией?
Александр Герасимов: Действительно, такая тенденция есть. Если раньше мы наблюдали много таргетированных фишинговых кампаний, то сейчас целенаправленных атак становится меньше, а массовых – больше. Используются и сюжеты, связанные с коронавирусом, и актуальная новостная повестка. Цель – получить удаленный доступ и максимально распространить зловредное ПО на устройства жертв.
Cyber Media: Насколько компании оказались готовы к этому шквалу угроз?
Александр Герасимов: Это зависит и от зрелости самой компании, и от подготовки злоумышленников. По опыту наших пентестеров, в 80-85% случаев удается через фишинг получить доступ к конфиденциальным данным, пробраться во внутреннюю сеть.
Но есть и компании, которые выстроили процессы ИБ, инвестируют в обучение сотрудников, проводят собственные фишинговые тренинги. У них иногда получается отразить фишинговую атаку еще до того, как она началась – например, средства мониторинга сообщают о регистрации домена, похожего на официальный сайт, специализированные системы защиты анализируют входящие письма, проверяют их содержание, ссылки. Такая песочница не пропустит опасное письмо к пользователям.
Cyber Media: Эксперты говорят, что и APT-кампании стали более изощренными.
Александр Герасимов: Да, один из недавних примеров – взлом блокчейн-платформы Axie Infinity. Злоумышленники несколько месяцев общались с одним из инженеров, притворяясь HR-специалистами другой компании. Изображали процесс хантинга, проводили интервью, поддерживали общение. На третий или четвертый месяц они прислали ему «оффер» в docx-файле и так попали на компьютер. Долго находились в инфраструктуре, собрали информацию, получили доступ к кошелькам и вывели все деньги.
Блокчейн-проекты, финтех-стартапы сейчас вообще под пристальным вниманием преступников.
Cyber Media: А среди российских компаний кто под угрозой?
Александр Герасимов: У нас это либо очень известные и крупные компании, либо также финтех. У первых злоумышленники пытаются украсть данные или зашифровать их ради выкупа. Не хотите платить – ваши данные окажутся в сети. Вторых атакуют, чтобы добраться до денег.
Cyber Media: Из каких отраслей к вам чаще обращаются заказчики?
Разброс очень большой – сервисы такси, строительные компании, все-все-все. Конечно, очень много компаний из ИТ, у которых есть собственная разработка, которые занимаются интеграциями, поставляют ПО.
В принципе, сейчас ИТ-направления развивают компании из практически любой сферы. Поэтому и среди клиентов представители самого разного бизнеса. И не только столичные – есть и Санкт-Петербург, и другие миллионники.
Интерес компаний к услугам ИБ в 2022 году заметно вырос – как на уровне коммерческих запросов, так и на уровне простой заинтересованности. Спрашивают про пентесты, анализы защищенности, классические аудиты.
Эти компании приходят за комплексными проектами или закрывают отдельные участки?
Года два-три назад небольших историй было больше – заказывали тестирование каких-нибудь приложений, анализ защищенности инфраструктуры. Сейчас бизнесу чаще нужно провести и анализ кода, и пентест по методу «белого» и «черного ящиков», и социальную инженерию, и проверить WiFi. Компании стараются покрыть максимум.
Cyber Media: Какие сюжеты чаще встречаются в кампаниях? В феврале-марте в тренде были санкционные новости – «ознакомьтесь со списком компаний под запретом, и т.д.». Сейчас что-то изменилось?
Александр Герасимов: Сейчас сразу на ум приходят кампании, связанные с ипотекой для ИТ-специалистов. Мы видим сайты, которые подделываются под «Госуслуги», полезная нагрузка оформляется как файлы по этой теме. Тема коронавируса остается активной – например, в некоторых кампаниях используются ложные полисы, покрывающие случаи заражения Covid-19.
На международной арене сейчас спонсируемые государством группировки с помощью фишинга активно атакуют правозащитников и журналистов. Например, северокорейская Lazarus применяет трюк с поддельными офферами против критиков их лидера. Турки угоняют аккаунты в соцсетях и распространяют пропаганду. Иранцы выдают себя за журналистов, чтобы выйти на специалистов по Ближнему Востоку и взломать их устройства.
Cyber Media: Начинают ли компании выделять социальную инженерию в собственный класс угроз, который требует специфицеского подхода? Или бизнес по-прежнему думает о безопасности как о чем-то, что можно автоматизировать, закрыть периметр VPN-ами, рабочие станции защитить IRP и т.д.?
Александр Герасимов: Да, в последние года полтора восприятие стало меняться. Сейчас – так уже точно. Отдельно пока не заказывают – обычно социальная инженерия идет в комплексе с тестированием на проникновение, анализом защищенности.
Но сам этот вектор сейчас начинает восприниматься самостоятельно – как одна из основных угроз.
Cyber Media: Научить человека не кликать по ссылке из непонятного письма проще и дешевле, чем внедрить мощную платформу, которая будет такие попытки пресекать.
Александр Герасимов: Это и проще, и понятнее для самого заказчика. Например, по итогам проверки выяснилось, что 70% сотрудников открыли письмо, из них половина прошла по ссылке и ввела свои учетные данные. Это дает преступнику легитимный доступ в инфраструктуру, где он может делать все, что угодно – менять настройки VPN, попасть во внутреннюю сеть, развиваться дальше. При этом без соответствующей настройки средства защиты эти действия не увидят и не заблокируют.
Когда бизнес видит эти риски, он очень быстро принимает решение защищаться от социальной инженерии. Компания выстраивает дополнительные средства защиты, организует обучение, принимает организационные меры.
Cyber Media: При этом ведь есть такая проблема – заставить людей учиться. Сложно взрослого человека убедить, что он что-то делает не так, и заставить изменить поведение. Кто-то воспринимает антифишинговый тренинг как дополнительную нагрузку к рабочим задачам. Кого-то нервируют все эти имитации атак и прочие мероприятия.
Александр Герасимов: Да, многие проявляют такую защитную реакцию, если можно так сказать. И на онлайн-, и на оффлайн-мероприятиях по лицам видно, кому насколько интересно все происходящее.
Cyber Media: Можно предположить, что подобное обучение касается сотрудников, которые не очень хорошо себя чувствуют с технологиями – таким, наверно, еще сложнее привить привычки безопасности?
Александр Герасимов: Нет, на эти мероприятия приходят и сотрудники ИТ-подразделений, и CTO. Есть разные группы для разного уровня подготовки – одним будут рассказывать про VPN и парольные менеджеры, у других материал начнется с чего-то более базового.
Даже если вначале слушателям не очень интересно, все меняется, когда дело доходит до кейсов, примеров того, что взломщики могут сделать. Тут аудитория начинает слушать внимательно, общаться с тренером. Людям интересно, как происходит взлом, как действуют злоумышленники, как они готовят инфраструктуру для фишинга. Увидев, как это работает, они потом лучше воспринимают обучающие материалы. И потом это воплощается в более грамотное поведение – сотрудники узнают фишинговые письма, сообщают ИТ- или ИБ-специалистам, те реагируют.
Cyber Media: Общий уровень подготовки в последние годы становится лучше?
Александр Герасимов: Судя по нашим проверкам и пентестам, да. Больше становится зрелых компаний, которые быстро реагируют на события, у некоторых работает внутренний SOC. При атаке на такую организацию фишинг вполне может провалиться.
Cyber Media: Что самое простое может сделать компания, чтобы укрепить свою защиту?
Александр Герасимов: Я бы рекомендовал комплекс мер. Это базовое обучение сотрудников – что такое фишинг, как он работает, какие есть виды, как определить фишинговый сайт или письмо. Обязательно с кейсами.
И вторая часть – это внутренние фишинговые рассылки, например, раз в квартал. С разными сюжетами, разными методами. Такие тренировочные кампании будут держать сотрудников в тонусе. По итогам нужно смотреть аналитику и с теми, кто прошел по ссылке, ввел данные и так далее, проводить дополнительное обучение.
Есть платформы, которые воплощают в себе все, что нужно для обучения: курсы, видео, тесты, экзамены, моделирование фишинговых писем и вредоносных сайтов.
По итогам курса слушателю предлагаются дополнительные курсы, которые постоянно обновляются вендором – добавляются кейсы, разделы. Например, если появится новый способ распространения зловреда, человек об этом узнает и, если встретится с ним в реальной жизни, будет знать, что делать.
С технической стороны я бы порекомендовал настроить защиту на почтовом сервере, поставить песочницу, средства мониторинга.