По мере того, как информационная безопасность развивается для борьбы со всё более сложными и опасными угрозами, в CRN задаются вопросом, почему самые простые формы атак до сих пор невероятно успешны.
Технологически простые атаки, такие как фишинг, давно уже обосновались в мире кибербезопасности и редко вызывают удивление. Однако за последние недели прошла целая волна атак, попавшая в заголовки, и именно это обратило всеобщее внимание на неувядаемую чуму фишинга.
В компании BBC недавно сообщили об утечке данных, в результате которой ряд обманных писем был разослан родителям учащихся платных школ с «предложением скидок», после того, как базы данных школ оказались взломаны. Вскоре вслед за этим пришли новости, что некие объединившиеся хакеры попытались устроить фишинг в рамках нашего канала CRN.
Компания-дистрибьютор Target Components получила многочисленные электронные обманные письма, в которых говорилось, что они — от известного дистрибьютора и от реселлера (оба они — клиенты Target). Управляющий директор Пол Каббэдж (Paul Cubbage) предупредил партнёров, чтобы те не велись на уловку, и опасались подобных ложных писем.
Неужели компании чересчур увлеклись всяческими новшествами индустрии кибер-безопасности, но позабыли о наиболее базовых атаках?
Надёжные источники
В нашем мире даже старые бабушки знают, что не стоит поддаваться чарам нигерийского принца и верить обещаниям его Золотой Орды. Так как же такие низко-технологичные атаки умудряются всё так же пробивать системы кибербезопасности высокого уровня?
Нацеливаться на отрасль, которая зарабатывает деньги, пресекая подобные угрозы, может казаться самонадеянным, но уязвимости существуют даже в самых озабоченных безопасностью организациях, и, по мнению специалистов по кибербезопасности, обычно они вызваны человеческим фактором. Не то, чтобы организации или их работники наплевательски относились к фишинговым письмам, а скорее всего, просто потому, что мошеннические письма часто составлены так, что выглядит, как вполне легитимная корреспонденция из надёжного источника для компании.
«Самый слабое звено в любом типе организации безопасности – это человек за клавиатурой», — поясняет Стивен Лав, главный консультант по безопасности в Computacenter. «Если есть возможность добраться до этого человека, получить его пользовательские данные, а затем использовать это для запуска атаки, то это значительно эффективнее, чем пытаться найти уязвимость на внешнем устройстве компьютерной системы».
Джейсон Холлоуэй (Jason Holloway), управляющий директор Bridgeway Security Solutions, сказал, что упредительная защита от угроз (которая пытается выявить мошеннические письма прежде, чем они попадут в почтовый ящик работников) – одно из самых крупных областей роста в области безопасности почты. «Большинство из этих технологий успешны до какой-то степени, но никогда на 100%», — предупредил он.
«По мере того, как нам всё больше удаётся вычислить и нейтрализовать наиболее очевидные, пользователи теряют бдительность и больше не ждут, что к ним попадут такие письма. Поэтому, когда такие письма просачиваются, они сделаны так умело, что могут убедить людей, ничего не подозревая, нажимать на ссылки и открывать пути».
Господин Холлоуэй добавил, что знания пользователей в области киберугроз до сих пор находятся в зачаточном состоянии, и таким образом работники организаций не получают правильного уровня информированности и поддержки, чтобы составлять своё личное мнение при получении подозрительных писем.
Дэвид Ланнин (David Lannin), технический директор в Sapphire, пояснил, что в результате судебных расследований, проводимых Sapphire в организациях, ставших жертвами подобных атак, «социальная инженерия», задействованная в мошеннических письмах, является отправной точкой для дальнейших атак на организацию. «Это надёжный и испытанный тип атак, который в ряде случаев используется уже многие годы», — сказал он. «Но, так как организации лишь эпизодически обновляют свои системы, то достаточно одной уязвимой системы, которая может стать порогом для входа во всю организацию».
Что-то плохо пахнет
По мере развития систем безопасности, развиваются и мириады способов, которыми хакеры могут проникнуть в систему организации. Все три эксперта утверждают, что манера, в которой фишинговые письма составляются, усовершенствовалась и злоумышленники очень тщательно выбирают тех, на кого нацеливаются. Люди – это самый слабый элемент в организации, и информирование конечных пользователей, чтобы те остерегались злонамеренных атак – серьёзная задача для многих компаний.
Господин Холлоуэй из Bridgeway сказал, что имеет место «конвергенция» технологии и обучения, которая нацелена на досье рисков каждого отдельного человека. «Если вы обеспечите обучение пользовательской базе, но какие-то индивиды всё-таки продолжат принимать рискованные решения, то, возможно, вам потребуется усилить фильтрацию их почты, чтобы они не создавали проблем самим себе и своей организации», — пояснил он.
Это мнение вполне соответствует тенденции, наблюдаемой последние 12 месяцев, когда большие вендоры в сфере кибербезопасности скупают небольшие компании, занимающиеся обучением за немалые деньги. Компания Proofpoint поглотила Wombat Security Technologies за 225 миллионов долларов, а Cofense (тогда ещё PhishMe) была куплена за 400 миллионов долларов частным акционерными обществами Blackstone и Pamplona.
Господин Лав из Computacenter отметил, что эти приобретения дали более крупным компаниям улучшенные возможности, чтобы отслеживать способность каждого работника распознавать угрозы в письмах и курировать обучение в соответствии с индивидуальными потребностями. «Эти приобретения показали, что в настоящее время имеется большая потребность в таком подходе к безопасности в целом, тут дело не только в брандмауэре и установке программного обеспечения, но и в обучении пользователей», — пояснил он.
В этих обучающих программах часто задействуются этические хакеры, которые взламывают систему безопасности компании, чтобы продемонстрировать, где находится уязвимое место, и чтобы выявит, какие отделы, департаменты и люди могут не устоять перед низкопробными атаками.
Господин Ланнин из Sapphire предполагает, что чувство самодовольство поразило индустрию кибербезопасности в целом. «Если смотреть с одной из крайних точек зрения, то можно сказать, что технология практически подвела индустрию, так как в реальности не дала полной безопасности», — сказал он. «Компании потратили миллионы фунтов, стараясь внедрить самые совершенные технические решения. Но Даше самые совершенные решения никогда не дадут 100%-й эффективности для организации, ведь даже с ними всё равно нужно следить за людьми».
Ланнин добавил, что организациям требуется сделать гораздо больше в плане первой линии защиты от таких атак, прежде, чем атаки дойдут до почтовых ящиков персонала. «Есть невероятное число организаций, которые внедряют решения по безопасности против «угроз нулевого дня» и самых новейших и сложных атак, но упускают из внимания базовые вещи», — пояснил он. «Усвоение основ, таких как пэтчи (patching), решит подавляющее большинство проблем с кибербезопасностью. Их основы не сложны, они просто требуют соответствующего внимания, немного времени, старания и информированности».
Подробности:http://sforp.ru/news/_mostInterest/13.htm#858
