Как там в сказках? В некотором царстве, некотором государстве жила-была царевна Несмеяна крупная энергетическая компания. И повадился ее камнями фишинговыми письмами с вредоносами забрасывать Соловей-разбойник киберзлодей. «Типичная ситуация», – скажете вы. И ведь не поспоришь. В наш век крутых ИБ-решений, имея физическую и программную защиту контура, используя DLP, SIEM, антивирус и прочие ИБ-системы, бизнес зачастую остается совершенно беззащитным из-за сотрудников, открывающих фишинговые письма. И все же – не все так плохо. Статистика говорит, что в последние семь лет интерес к продуктам повышения киберосознанности (Security awareness, SA) растёт на российском рынке, в среднем, на 50% год к году. О том, как SA помогают бизнесу не стать жертвой злоумышленников, как подготовить сотрудников к кибератакам и в целом о поисках «волшебной таблетки» редакция CISOCLUB поговорила с Игорем Тюкачевым, руководителем отдела развития бизнеса продуктов ИБ Axoft.
Профилактика – наше всё!
По разным оценкам исследовательских центров 80% кибератак начинается с почты. Есть разные решения по защите почты – антифишинг, песочницы, но, как показывает практика, этого недостаточно. «Вместо того, чтобы лечить болезнь – лучше её предупредить», – так говорят врачи. Нужно провести профилактику! Чтобы повысить эффективность мер информационной безопасности, необходимо вовлекать сотрудников, обучать их и повышать их осведомленность о возможностях злоумышленников.
Люди – самое слабое звено
Особенно при текущем развитии социальных сетей, оставленных цифровых следах и слитых базах данных с информацией о людях. Сейчас даже деньги тратить не нужно на поиск информации – периодически появляются сервисы, где по номеру телефона можно узнать:
— адреса и суммы заказов из сервиса доставки еды;
— если есть авто – его марку, номер и данные страховки, были или нет аварии;
— ссылки на соц.сети, а также, в некоторых случаях, пароль от них;
— в каких банках есть счета, пластиковые карты.
На основе этой информации, после обогащения данными из соц.сетей можно составить портрет «цели», круг его знакомых, места отдыха, интересы и т.д. И подготовить «правильное письмо».
Злоумышленники делают и веерные рассылки, в надежде, что они пройдут все средства защиты и пользователь нажмет на ссылку или откроет прикрепленный файл. И тем самым запустит вредоносное ПО или иным способом вызовет атаку. Таким образом, становится понятно, что сотрудников надо обучать. Но, как мы знаем, полученные теоретические знания очень быстро забываются, если не применять их на практике. Поэтому основной вопрос – как выстроить процесс регулярной проверки, чтобы понимать, кто из сотрудников «самое слабое звено» и требует переобучения.
Решение есть – Security awareness
SA – хороший инструмент, который поможет ИБ-департаменту повысить уровень киберосознанности сотрудников, снизить риски, которые могут быть через них реализованы.
ТОП-проблем, с которыми чаще всего сталкиваются компании:
- Сотрудники умалчивают об инцидентах ИБ (боятся/не знают, как сообщить о них).
- Социальная инженерия и фишинг как частный пример: сотрудник – самое слабое звено, через которое проникают злоумышленники в сеть компаний.
- Отсутствие регулярной работы с сотрудниками по предотвращению повторных инцидентов.
- Выявление сотрудников, которых сложно обучить или которые саботируют обучение.
Всего 4 шага до киберосознанности
Вот как, например, решает эти вопросы отечественная SA-платформа Phishman, которую компании выбирают за:
- автономность (может работать в закрытом контуре),
- хорошие учебные материалы и их кастомизацию под нужды заказчиков,
- автоматизацию процесса киберосознанности на базе событий из внешних систем (DLP, антивирус, SOAR и т.д.):
Шаг 1
Сбор информации. Это и тестовый фишинг (сайты, вложения, формы), и флешки со специальными файлами, и информация из внешних систем. В общем, вся информация, необходимая, чтобы собрать профиль пользователя и понять, где и какие ошибки он допускает.
Шаг 2
Направление пользователя на курс, который повысит недостающий навык. Это может быть курс по созданию паролей, или курс по основам ИБ, или курс по противодействию фишингу. Всего их пятнадцать.
Шаг 3
На протяжении курса, а также в конце обучения пользователь проходит проверочные задания и тест для оценки усвоения пройденной информации. Платформа оценивает реакцию пользователя на фишинг – для дополнения статистики.
Шаг 4
Работа, которую не видит пользователь – автоматизация на базе сценариев и правил. Как пример: пользователь третий раз за месяц вставляет флешку, SA-продукт видит это через антивирус (даже, если флешка блокируется) и отправляет пользователя (через сообщение в почте) на курс по работе с внешними накопителями.
В поисках «волшебной таблетки». Или всё дело – в комплексе
Конечно, ни одно из решений по информационной безопасности не является панацеей или волшебной таблеткой от всех проблем. ИБ – это комплекс организационных и технических мер, поэтому SA-решение нужно рассматривать только как часть комплексной защиты. Достаточно ли Security awareness для обеспечения процесса повышения осведомленности и обучения? Нет, недостаточно. ИБ-директору нужно сформировать набор мероприятий. И способы донесения информации должны быть разные: семинары, тренинги, мультимедиа-курсы, рассылки, бюллетени безопасности, постеры и т.д. Это могут быть скринсейверы на экранах компьютеров с надписью – «Уходя, заблокируй компьютер». То есть варианты обучения и повышения осведомленности должны быть разные, так как все люди – разные и по-разному реагируют на различные форматы обучения.
Источник: CISOCLUB
