Nenechte sabotovat své vlastní zabezpečení, trénujte své uživatele

Myslím, že když jsem poprvé viděl phishingový e-mail, byl zpět v roce 2000, když jsem pracoval na testovacím projektu s Oliverem Ristem, který je nyní obchodním editorem PCMag. Jednoho rána jsme oba dostali e-maily s předmětem „Miluji tě“, který byl také tělem e-mailu a byla tam příloha. Oba jsme okamžitě věděli, že e-mail musí být falešný, protože jsme jako redaktoré časopisů věděli, že nás nikdo nemiluje. Neklikli jsme na přílohu. Ve skutečnosti jsme jednali jako lidské brány firewall. Rozpoznali jsme falešný e-mail na dohled a místo toho jsme jej smazali, místo aby jsme nechali jeho obsah rozšířit do našich počítačů a zbytku sítě.

Dokonce i tehdy byly útoky, jako jsou tyto, hackerskou sadou označovány jako „sociální inženýrství“. Dnes jsou phishingové e-maily pravděpodobně nejznámější verzí tohoto druhu zneužití. Zaměřují se hlavně na zachycení bezpečnostních údajů, ale jsou také schopny doručit další druhy malwaru, zejména ransomware. Je však třeba poznamenat, že kromě phishingu existují i ​​jiné typy útoků v oblasti sociálního inženýrství, včetně těch, kde je útok spíše fyzický než přísně digitální.

Lidé: Stále vedoucí útokový vektor

Důvodem phishingových e-mailů je to, že jsou tak všeobecně známé. Nyní je spravedlivé říci, že kdokoli s e-mailovým účtem bude v určitém okamžiku obdržet e-mail s phishingem. E-mail často předstírá, že pochází od vaší banky, vaší kreditní karty nebo od jiné firmy, kterou často navštěvujete. E-maily s phishingem však mohou být pro vaši organizaci také hrozbou, protože útočníci se proti vám snaží využít své zaměstnance. Další časná verze tohoto útoku přišla ve zlatém věku faxování, kdy útočníci jednoduše faxovali fakturu za služby, které nebyly nikdy poskytnuty velkým společnostem, v naději, že je zaneprázdnění vedení jednoduše odešle k platbě.

Phishing je překvapivě efektivní. Podle studie právnické firmy BakerHostetler, která se v loňském roce zaměřila na 560 porušení dat, je phishing dnes hlavní příčinou incidentů v oblasti zabezpečení dat.

Bohužel, technologie se nedopustila phishingových útoků. Přestože existuje řada bezpečnostních zařízení a softwarových balíčků určených k odfiltrování škodlivých e-mailů, padouchy, kteří vytvářejí phishingové e-maily, tvrdě pracují, aby zajistily, že jejich útoky proklouznou trhlinami. Studie společnosti Cyren ukazuje, že skenování e-mailů má při hledání škodlivých e-mailů poruchovost 10, 5 procenta. I v malém středním podniku (SMB), který může přidat až mnoho e-mailů, a kterýkoli z těch, které obsahují útok sociálního inženýrství, může být pro vaši organizaci hrozbou. A nejedná se o obecnou hrozbu, jako by tomu bylo u většiny malwaru, kterému se vaše opatření na ochranu koncových bodů podařilo proklouznout, ale o zlověstnější druh, který je konkrétně zaměřen na vaše nejcennější data a digitální zdroje.

Byl jsem upozorněn na zprávu Cyren během rozhovoru se Stu Sjouwermanem, zakladatelem a generálním ředitelem KnowBe4, společností, která může pomoci odborníkům v oblasti lidských zdrojů (HR) učit bezpečnostní povědomí. Byl to Sjouwerman, kdo vynalezl termín „lidský firewall“ a kdo také diskutoval o „lidském hackování“. Jeho návrh je, že organizace mohou zabránit nebo snížit účinnost útoků v oblasti sociálního inženýrství pomocí důsledného školení, které se provádí způsobem, který také zapojí vaše zaměstnance do řešení problému.

Mnoho organizací samozřejmě pořádá školení o zvyšování povědomí o bezpečnosti. Pravděpodobně jste byli na několika těch setkáních, na nichž je stará káva spárována se zastaralými koblihami, zatímco dodavatel najatý společností HR tráví 15 minut a říká vám, abyste nespadli na phishingové e-maily - aniž byste vám ve skutečnosti řekli, co jsou, nebo vysvětlili, co dělat, pokud myslíš si, že jsi ji našel. Ano, ta setkání.

Sjouwerman navrhl, že funguje lépe, je vytvořit interaktivní tréninkové prostředí, ve kterém budete mít přístup ke skutečným e-mailům s phishingem, kde si je můžete prohlédnout. Možná, že budete mít skupinovou snahu, ve které se všichni pokusí zjistit faktory, které poukazují na phishingové e-maily, jako je špatná pravopis, adresy, které vypadají téměř skutečně, nebo žádá, aby při kontrole nedaly smysl (například požadavek na okamžitý převod podnikové fondy neznámému příjemci).

Obrana proti sociálnímu inženýrství

Ale Sjouwerman také zdůraznil, že existuje více než jeden typ sociálního inženýrství. Na webu KnowBe4 nabízí sadu bezplatných nástrojů, které mohou společnosti použít, aby pomohly svým zaměstnancům učit se. Navrhl také následujících devět kroků, které mohou společnosti podniknout v boji proti útokům v oblasti sociálního inženýrství.

• Vytvořte lidský firewall tím, že vyškolíte své zaměstnance, aby rozpoznali útoky v oblasti sociálního inženýrství, když je uvidí.
• Provádějte časté simulované testy sociálního inženýrství, aby vaši zaměstnanci zůstali na nohou.
• Proveďte test zabezpečení phishingu; Knowbe4 má zdarma.
• Hledejte podvody s generálními řediteli. Jedná se o útoky, při nichž útočníci vytvářejí podvodný e-mail, který se zdá být od generálního ředitele nebo jiného vysoce postaveného důstojníka a který naléhavě řídí akce, jako jsou převody peněz. Pomocí bezplatného nástroje KnowBe4 můžete zkontrolovat, zda může být vaše doména spoofed.
• Pošlete simulované phishingové e-maily svým zaměstnancům a zahrňte odkaz, který vás upozorní, pokud na něj kliknete. Sledujte, na které z nich zaměstnanci spadají, a soustřeďte školení na ty, kteří se o ni více než jednou zajímají.
• Buďte připraveni na „vishing“, což je druh sociálního inženýrství hlasové pošty, ve kterém zůstávají zprávy, které se snaží získat od vašich zaměstnanců akci. Může se zdát, že to jsou hovory od vymáhání práva, Internal Revenue Service (IRS) nebo dokonce technická podpora společnosti Microsoft. Ujistěte se, že vaši zaměstnanci vědí, že tyto hovory nevracejí.
• Upozorněte své zaměstnance na „textové phishing“ nebo „SMiShing (SMS phishing)“, což je jako phishing e-mailem, ale s textovými zprávami. V tomto případě může být odkaz navržen tak, aby z mobilních telefonů získaly citlivé informace, jako jsou seznamy kontaktů. Musí být vyškoleni, aby se nedotýkali odkazů v textových zprávách, i když se zdá, že pocházejí od přátel.
• Útoky Universal Serial Bus (USB) jsou překvapivě efektivní a představují spolehlivý způsob, jak proniknout do sítí se vzduchovou mezerou. Funguje to tak, že někdo nechává paměťové karty USB ležet v toaletách, na parkovištích nebo na jiných místech navštěvovaných vašimi zaměstnanci; možná na nich hůlky lákají loga nebo štítky. Když zaměstnanci najdou a vloží je do šikovného počítače - a pokud to nebudou učit jinak, pak se malware z nich dostane do vaší sítě. Takto malware Stuxnet pronikl do íránského jaderného programu. Knowbe4 má také bezplatný nástroj k testování.
• Útok balíčku je také překvapivě účinný. To je místo, kde se někdo objeví se spoustou krabic (nebo někdy pizzy) a žádá, aby byl propuštěn, aby mohl být doručen. I když se nedíváte, zasunou zařízení USB do blízkého počítače. Vaši zaměstnanci musí být vyškoleni prováděním simulovaných útoků. Můžete je povzbudit tím, že na to zaškolíte, a poté, když to udělají, sdílejte pizzy.

Jak vidíte, sociální inženýrství může být skutečnou výzvou a může být mnohem efektivnější, než byste chtěli. Jediným způsobem, jak proti němu bojovat, je aktivně zapojit své zaměstnance do sledování takových útoků a jejich vyvolání. Správně, vaši zaměstnanci si tento proces opravdu užijí - a možná z toho také dostanou pizzy zdarma.