В современном мире киберпреступлений есть прием, который с легкостью консервного ножа вскрывает практически любой защитный периметр безопасности. При этом затраты на проведение атак подобного рода – минимальны. Конечно, речь идет о столь полюбившемся хакерам фишинге.
Наверное, пиратский черный флаг не внушал такого ужаса, как одно упоминание фишинга. И не зря, ведь для эффективного использования этого инструмента не обязательно быть хакером экстра-класса. Достаточно иметь минимальный бюджет на проведение операции и весьма посредственный уровень познания в информационных технологиях, чтобы добиться успеха. Причем, угроза висит не только над малым бизнесом, который часто в плане технической защищенности гол и бос, жертвой легко может стать крупная корпорация, хорошо оснащенная технически.
Почему фишинговые атаки настолько эффективны, если их может осуществить группа любителей, при этом в противовес им на арену выйдут профессионалы в сфере IT-безопасности? Ответ прост: злоумышленники наносят удар по самому уязвимому месту любой компании – человеку. Действия среднестатистического работника сами по себе, без воздействия извне, уже являются угрозой. Секретарь может сутками напролет скачивать музыку, а менеджер без устали играть в игры. На фоне подобного времяпрепровождения переход по непонятной ссылке в письме или запуск вредоносного вложения кажется вполне логичным. Если работник не привык думать, анализировать свои действия и предугадывать последствия, фишинговая атака пройдет успешно.
Для продвинутой системы информационной безопасности, работающей в совокупности с профессиональными IT-специалистами, среднестатистический работник представляет собой нечто, вроде вируса, регулярно вносящего риски и хаос в отлаженный кибермеханизм. С точки зрения машины, идеальная система защиты та, которая не содержит биологических объектов, то есть людей. Но, поскольку времена тотальной роботизации все еще не наступили, подобная мысль по своей сути утопическая, ведь «опасные люди» — это работники, зарабатывающие деньги компании, без них бизнес никуда не поплывет.
Раньше, как всегда, было проще, ведь даже простенький антивирус мог справиться с большей частью угроз. На сегодняшний день подобные программы с честью заслужили звание «прадедушек» систем информационной защиты, и уже давно не являются надежным щитом, спасающим от всего спектра опасностей. Угроза фишинга требует комплексного подхода, сочетающего в себе применение современных средств электронной защиты в совокупности с обучением персонала.
1. Контроль почты
Любая фишинговая атака начинается с письма. Причем письмо обязательно будет тщательно замаскированно под послание от вышестоящего руководства, организации-партнера, клиента или уведомление от госструктур и контролирующих органов.
Обычно угрозу в письме представляет именно ссылка, которая ведет на вредоносный сайт. Дальше все зависит от мастерства и подготовки хакеров. Например, на сайте может прятаться вредоносный код. Нередко внешний вид ссылки и сайта «подделывают» под какую-либо банковскую или учетную систему. Незадачливый пользователь, не видя подвоха, вводит свои регистрационные данные, которые тут же оказываются в руках у злоумышленников.
Независимо от вариаций возможного нанесения вреда, необходим трехэтапный контроль переписки. Первый – анализ адресата, именно благодаря схожим с оригинальными электронными ящиками госструктур, руководителей или партнеров по бизнесу, злоумышленникам удается манипулировать персоналом. Электронная система контроля должна отслеживать переписку и в случае возникновения опасности, начинать бить тревогу.
Второй – анализ контента. Содержащие вирус вложения и странные ссылки должны тщательно отслеживаться. Стоит отметить, что фишинговая атака обычно сопровождается массовой рассылкой писем, содержащих одинаковые заголовки и сходный контент. Современные системы защиты данных умеют выявлять подобные всплески вредоносной активности и адекватно реагировать на них.
Для руководителя есть еще один немаловажный бонус использования подобных программных комплексов. Часто утечки информации происходят именно через электронную почту. Кроме того, полезно проанализировать коммуникации персонала как внутри коллектива, так и с партнерами извне. К несчастью, случаи ненормативного общения или искажения информации происходят регулярно.
Ну и третий эшелон – использование так называемой «песочницы» для запуска подозрительных вложений. Это специальная выделенная среда, которая служит для безопасного исполнения программ.
2. Анализ трафика в режиме реального времени
Если все-таки фишинговое письмо просочилось внутрь организации, без интеллектуального анализа трафика в режиме реального времени не обойтись. Системы, обладающие такими возможностями, отслеживают опасные ссылки и блокируют клики по ним. Если, несмотря на все ухищрения, бойкий пользователь все же смог перейти на опасный сайт, система оповестит ответственное лицо, которое сможет своевременно принять меры. Это позволит не допустить заражение, либо, говоря о сайтах ворующих логины и пароли, своевременно обновить коды доступа к ресурсам.
3. Поведение пользователей
Важный элемент любой информационной защиты – мониторинг, анализ и контроль поведения пользователей. «Умные» системы контроля персонала умеют не только отслеживать активность в режиме реального времени, но и выявлять возможные рисковые ситуации. Например, если секретарь Маша бездумно открывает все письма подряд, даже те, которые рекламируют сомнительные БАДы, а менеджер Вова пытается запустить странное вложение, не смотря на крики и протесты антивируса, система выявит риски и уведомит руководителя. Останется ликвидировать потенциальные угрозы, модифицировав поведение «человеческого фактора» до приемлемого с точки зрения машины. То есть подготовить и обучить персонал.