Как повысить эффективность средств защиты через знания и навыки людей и усилить защищенность организации в сотни раз

Как выглядят актуальные цифровые атаки?

У специалистов по безопасности было и остается искаженное представление о современных цифровых атаках на крупные организации. Чаще всего такая атака представляется им операцией на грани возможного — эксплойты к 0-day-уязвимостям, сложные цепочки и самые продвинутые технологии.

Реальные цифровые атаки намного проще, но при этом, к сожалению, довольно успешны. Атакующие пользуются вредоносным кодом, но чаще всего доставляют его на целевые устройства с помощью фишинга и социальной инженерии — через действия сотрудников или подрядчиков. Подробнее об этом рассказал директор Антифишинга Сергей Волдохин.

Фишинг и социальная инженерия стали глобальной проблемой, несмотря на развитие средств защиты.

Громкие инциденты 2022 года

1. Рекордная утечка данных 25 млн клиентов и 30 тыс контрагентов СДЭК. Возможные причины: хакерская атака или некорректные настройки доступа к серверам компании из интернета. В обоих случаях причиной могли быть ошибочные действия людей:

i) рядовых сотрудников, которые могли перейти по ссылке из письма или открыть вложение;

ii) сотрудников с расширенными правами доступа, которые настраивали доступ к серверам компании.

2. Утечка данных в Twilio. Злоумышленники похитили учетные данные сотрудников компании, устроив на них фишинговую атаку. Хакеры рассылали SMS от имени ИТ-отдела компании и предлагали сотрудникам перейти по ссылке и изменить пароль, потому что он устарел. В результате жертвы попадали на фейковую страницу входа в Twilio, которая отправляла их учетные данные преступникам.

3. Хакеры взломали криптоигру Axie Infinity и украли 625 млн. долларов США с помощью фальшивого предложения о работе.
Инженер компании Sky Mavis, которая занимается разработкой криптоигры Axie Infinity, получил предложение о работе от имени фейковой фирмы через LinkedIn. Фальшивый оффер отправили в виде PDF-документа. После того как инженер его скачал и открыл, шпионское ПО проникло в системы Ronin, и компания потеряла деньги.

Способы проникновения

По данным наших исследований, в атаках через сотрудников в 2022 году атакующие чаще всего использовали следующие способы проникновения:

диаграмма1_способы_проникновения.png

Какие векторы используют атакующие

По данным нашей аналитики за 2022 год:

В 84% атак использовались фишинговые электронные письма, причем в 20% из них содержалась вредоносная ссылка, в 74% — вложение, а в 6% только указание к действию: например, номер телефона или просьба что-то сделать.

В фишинговых письмах могут быть сразу несколько типов файлов. Вот самые популярные типы вложений:

диаграмма3_типы_вложений.png

В 23% атак использовались фишинговые страницы содержащие либо форму для ввода данных, либо запускающие скачивание вредоносного файла при переходе на них.

диаграмма4_содержание_фишинговых_страниц.png

Мы в Антифишинге также разработали и развиваем собственную классификацию цифровых атак на сотрудников. По этой классификации различаются источники, персонификация и эмоции, которые мошенники стараются вызвать в ходе атаки.

Источник атаки

диаграмма5_источник_атаки.png

Персонификация атаки

диаграмма6_персонификация_атаки.png

Почему технические средства защиты не могут обеспечить полноценную защиту периметра организации, и как их обходят злоумышленники

В 2022 году у большинства компаний были внедрены качественные технические средства защиты, именно поэтому злоумышленники выбирают вектора атаки через людей — сотрудников, подрядчиков или клиентов организации. При подготовке целевой атаки на компанию они прорабатывают все варианты обхода средств защиты. Знания и навыки сотрудников по безопасности становятся последним эшелоном защиты.

Вот как был выполнен взлом компании Uber в этом году:

1 шаг. Злоумышленник приобрел в даркнете корпоративный пароль подрядчика Uber, похищенный с личного устройства подрядчика с помощью вредоносного ПО

2 шаг. Атакующий неоднократно пытался войти в учетную запись подрядчика. Каждый раз подрядчик получал двухфакторный запрос на подтверждение входа, который блокировал доступ.

3 шаг. Злоумышленник связался с подрядчиком в WhatsApp, представился службой технической поддержки и попросил человека подтвердить вход в систему с помощью MFA. Подрядчик выполнил просьбу, и злоумышленник смог войти в систему.

4 шаг. Злоумышленник получил доступ к учетным записям других сотрудников, у которых были права на администрирование G-Suite и Slack. Кроме того, он смог получить доступ к исходным кодам и bug bounty программе компании на HackerOne.

Мы видим, что техническое средство защиты — двухфакторная аутентификация — работало как следует. Даже имея украденные учетные данные, атакующий не мог войти в систему. Но, связавшись напрямую с жертвой и применив психологическое давление, преступник добился цели и получил доступ в систему.

Инцидента можно было бы избежать, если бы сотрудник понимал, как работает двухфакторная аутентификация и умел безопасно реагировать на подобные запросы.

Бывает так, что технические СЗИ не могут выявить атаку, потому что фишинговые письма не содержат ничего вредоносного. Яркий пример тому – волна атак хакеров «Luna Moth», которые взламывают организации с помощью фальшивых продлений платных подписок.

Luna Moth рассылает фишинговые письма с адресов электронной почты известных брендов. В письмах содержится фальшивая счет-фактура и контакт для тех, кто хочет узнать больше о подписке, оплату за которую вот-вот спишут, или отменить ее.

пример_фишингового_письма.jpeg

Пример фишингового письма

Звонок по номеру телефона, указанному в документе, связывает жертву с мошенником, который дает инструкции по установке инструмента удаленного доступа в системе.

Когда жертва сделает это, атакующие подключаются к ее устройству, проникают в корпоративную сеть и крадут конфиденциальную информацию.

Затем они требуют выкуп, угрожая сделать файлы общедоступными.

Как объединить знания и навыки людей с возможностями технических СЗИ для комплексной защиты компании

Есть много примеров, когда внимательные и мотивированные сотрудники помогают команде безопасности использовать средства защиты еще эффективнее, предотвращать и выявлять инциденты.

Пример 1. Сотрудники своими действиями могут обучать антиспам-системы и системы защиты от целевых атак.

плагин_антифишинга.png

Внимательные и лояльные сотрудники выявили цифровую атаку.

Статистика об этих безопасных и корректных действиях сохранилась в «Антифишинге».

Исходные данные ушли на анализ в адрес корпоративного центра мониторинга и реагирования на инциденты (Security Operations Center, SOC).

Аналитики смогли провести расследование и извлечь собственные индикаторы компрометации (IoC).

SOC блокирует атаки по выявленным IoC на технических средствах защиты до того, как информация об этих IoC станет доступна во внешних фидах.

Пример 2. Разработчик может писать безопасный код изначально и в десять раз снизить число срабатываний средств проверки безопасности кода, или быстро верифицировать и устранять уязвимости, выявленные в ходе SAST/SCA-проверок.

Если разработчик применяет практики безопасной разработки, это кратно снижает нагрузку на команду аналитики, тестирования и безопасности — код уходит в релиз изначально корректным, и его не приходится переделывать после обнаружения уязвимостей на более поздних этапах DevOps-цикла, или даже после релиза.

схема_стоимость_устранения_дефектов_по.png

Как превратить сотрудников в киберчемпионов и выстроить из них дополнительный уровень защиты организации:

Чем могут помочь обычные сотрудники и как их вовлечь в процессы ИБ

Обычные сотрудники могут быть источником бесценной информации об атаках, выявлять попытки проникновения в сеть с помощью фишинга и социальной инженерии. Передаваемая ими в SOC информация формирует социоинженерный TI фид. Задача ИБ — обучить коллег выявлять цифровые атаки и обеспечить им удобный способ передачи информации.

схема_формирование_фида.png

Именно эти задачи выполняет плагин Антифишинга. Он встраивается в почтовый клиент и обеспечивает сотрудникам удобный способ реагирования на выявленные ими атаки. А ИБ получает оперативную информацию о возможных инцидентах.

С помощью плагина Антифишинга сотрудник помогает выявлять опаснейшую разновидность фишинга — BEC-атаки, атаки на компрометацию деловой переписки, когда сами письма не содержат ничего потенциально вредоносного и не могут быть детектированы техническими средствами.

Как мотивировать разработчиков следовать процессу DevSecOps

1. Оценивать их реальный уровень навыков и поощрять тех членов команды, которые знают как применять практики по безопасности в написании кода. Растить киберчемпионов, которые помогут обеспечивать ИБ внутри продуктовых команд.

Наша платформа тестирует навыки продуктовой команды и составляет матрицу их компетенций:

скрин_тест_для_разработчиков.png

Вы можете попробовать такой тест на своей команде — мы сделали бесплатную версию.

Мы проверяем темы, основанные на контекстах или ситуациях, с которыми сталкивается разработчик и где происходят основные риски и ошибки по ИБ. Если разработчик хорошо разбирается в теме, его стоит поощрить и зачесть обучение автоматом.

2. Анализировать проектные задачи и назначать релевантное обучение.

скрин_интернет_магазин.png

Разработчик будет получать обучение только под контексты, которые есть в его приложении — например, в интернет-магазине

3. Давать не сухую теорию, а помогать приобрести полезные навыки безопасной разработки на реальных кейсах с учетом стека технологий, которые разработчик сможет применить в работе.

превращение_в_киберчемпиона.png

4. Внедрять обучение в текущие процессы, чтобы не отрывать разработчика от работы и текущих задач. Интеграция с JIRA позволяет синхронизировать обучение с другими рабочими процессами.

5. Давать очки и награды и мотивировать проходить обучение за счет соревновательного момента между членами команды.