Помимо строк кода и брандмауэров в системе существуют люди, и именно люди проектируют, разрабатывают и используют системы. Человеческий фактор создает множество уязвимостей, которые невозможно обнаружить только с помощью автоматизированных средств. Социальная инженерия, фишинговые атаки и инсайдерские угрозы используют саму суть человеческой психологии, поэтому проверка сотрудников на противостояние таким способам обмана особенно важна.
Представьте себе сценарий, в котором злоумышленник выдает себя за нового сотрудника, используя общую доброжелательность коллег, чтобы получить доступ к конфиденциальной информации. Такая атака подчеркивает необходимость целостного подхода к тестированию на проникновение, при котором оценка человеческого поведения становится необходимой.
Сила социальной инженерии
В области тестирования на проникновение — социальная инженерия — это искусство по убеждению людей совершать действия, которые могут привести к каким-либо пагубным последствиям для системы, данных и так далее. Эти методы сложно контролировать, так как они опираются на общее и распространенное желание людей помочь кому-то, на желание обезопасить себя, на страх, к примеру, когда сообщают об якобы украденных средствах, на доверчивость, когда подделывают письма, выдавая отправителя за надежную компанию и все прочее, что обычно не могут проконтролировать современные средства защиты, даже лучшие.
Пентест является важным механизмом для обеспечения безопасности, потому что только с помощью него можно объективно оценить то, насколько сотрудники подготовлены к возможным атакам.
Существуют, конечно, брандмауэры, антивирусные решения, которые препятствуют распространению подозрительным фишинговых писем, а также DLP, это системы, которые могут анализировать поступающую информацию и не допускать ее утечки, если она конфиденциальна, но и они не могут дать полной защиты от таких угроз.
Фишинг — почему он опасен?
Фишинговые атаки, часто осуществляемые с помощью электронных писем, основаны на человеческом любопытстве. Даже при использовании самых продвинутых фильтров электронной почты пользователю требуется всего один клик, чтобы скомпрометировать всю систему. Тестировщики на проникновение используют симуляции фишинга для оценки уязвимости организации к таким атакам.
Пентестер отправляет электронное письмо, маскирующееся под срочное обновление системы, к примеру, и требующее немедленных действий. Несмотря на кажущуюся достоверность письма, его оформление согласно стандартам компании, от которой это письмо якобы отправлено, переход по предоставленной ссылке приводит к имитируемому нарушению. Этот пример подчеркивает необходимость постоянного обучения сотрудников и повышения их осведомленности для предотвращения попыток фишинга.
Понимание значимости человеческого фактора при тестировании на проникновение должно мотивировать организации инвестировать в такие оценки. Распространенное заблуждение заключается в том, что только технология может защитить от всех угроз. Однако реальные сценарии неизменно доказывают обратное. Тестирование на проникновение служит проверкой осведомленности людей об основных способах обмана.
Фишинговая атака на Google Docs
В мае 2016 года значительная часть пользователей Gmail подверглась изощренной фишинговой атаке.
Атака была связана с электронными письмами, которые отправлялись различным людям по всему миру. Такое электронное письмо содержало, казалось бы, безобидное сообщение, в котором обычно сообщалось, что отправитель поделился документом Google Docs с получателем.
Чтобы электронное письмо выглядело настоящим, злоумышленники использовали брендинг и стиль Google.
Когда пользователи нажимали на кнопку «Открыть в документах» в электронном письме, они перенаправлялись на страницу, которая запрашивала разрешения для приложения с именем «Google Docs». Этот запрос на доступ на самом деле был не из Google Docs, а из стороннего приложения, созданного злоумышленниками, но оно называлось схоже, чтобы усыпить бдительность людей.
После предоставления разрешений злоумышленники получили полный доступ к учетной записи жертвы, а значит и к контактам, электронной почте и другой конфиденциальной информации. Кроме того, скомпрометированные учетные записи затем использовались для дальнейшего распространения фишинговых писем, создавая бесконечный эффект.
Как обезопасить себя?
Вот несколько советов, которые помогут вам избежать распространенных ловушек:
- Пользователи всегда должны быть осторожны при предоставлении разрешений сторонним приложениям, особенно если эти разрешения связаны с доступом к конфиденциальной информации или отправкой электронных писем от их имени.
- Хотя злоумышленники часто выдают себя за известные бренды и сервисы, пользователям следует проявлять бдительность и перепроверять подлинность писем.
- Включение MFA повышает уровень безопасности, требуя второй проверки помимо пароля. Даже если злоумышленник получит доступ к паролю, ему потребуется дополнительный фактор для входа в систему.
- Пользователи должны иметь четкий механизм для сообщения о любых подозрительных электронных письмах или действиях своим ИТ-отделам или службам безопасности. Быстрая отчетность может помочь предотвратить распространение атак.
- Проверка компании на готовность к атакам социальной инженерией стоит от 200 000 рублей и должна проводиться регулярно, чтобы всегда поддерживать актуальный уровень осведомленности среди работников.
На правах рекламы
ERID LjN8KPFE3
