Все начинается с письма
По статистике Bi.Zone Threat Zone, в 2024 году 60% атак на российские организации начались с фишинговых писем. Мой опыт показывает, что цифры могут быть даже выше. Создавать вредоносные письма злоумышленникам стало проще, чем когда-либо - помогает генеративный искусственный интеллект. А эффект даже от одной успешной фишинговой атаки может привести к компрометации всей инфраструктуры и огромным финансовым потерям.
Причем чем больше сотрудников работает в компании, тем выше риски. Потому что фишинг направлен именно на обычных пользователей. Они часто не знают базовых правил кибер-гигиены и не хотят рассказывать о своих ошибках отделу безопасности. Поэтому при формировании ИБ-стратегии для компаний, в которых мне довелось работать (а это компании с численностью 5-15 тыс. человек), я всегда выделял защиту от фишинга в одно из приоритетных направлений.
В материале поделюсь опытом и расскажу, как именно мы с коллегами решаем эту проблему, минимизируем риски.
Как защититься от фишинга?
Для меня самая эффективная практика защиты от фишинга - связка из технических средств защиты: антиспама и DLP, а также регулярное взаимодействие с сотрудниками по вопросам ИБ. На практике ситуации бывают очень разные, но общая схема работает так:
- Антиспам на почтовом шлюзе первично фильтрует вредоносные письма.
- DLP на рабочей станции выявляет письма, которые смогли пройти антиспам, и фиксирует действия пользователя с ними.
- Сотрудники сообщают ИБ-отделу об обнаружении угрозы или о том, что попались на фишинг, а специалисты принимают меры по локализации инцидента.
С антиспамом все понятно, но для DLP это далеко не основная задача. Как и зачем системы противодействия утечкам выявляют фишинговые письма?
Причем тут DLP
1. Выявляет пропущенные антиспамом фишинговые письма
В КИБ мы настроили автоматический поиск таких инцидентов. За это отвечают политики безопасности: алгоритмы, которые обнаруживают инцидент по заданным критериям и уведомляют ИБ-специалиста. Политики можно настроить очень гибко, поэтому они хорошо обнаруживают, что пропустил антиспам. Мы настроили автопоиск по двум критериям:
- Поиск слов и фраз, которые указывают на фишинг. Например, «ваша учетная запись будет заблокирована»; «необходимо оплатить»; «срочно авторизуйтесь»; «смена пароля»; secure login; urgent action required и т.д.
- Поиск сокращенных и замаскированных ссылок(bit.ly, tinyurl, и т.п.) при помощи регулярных выражений. Например: «https?://(bit\.ly|tinyurl\.com|t\.co|goo\.su|vk\.cc)/[A-Za-z0-9]+».
2. Указывает на потенциально вредоносные ссылки и файлы
Поиск «подозрительных» писем в DLP тоже можно автоматизировать с помощью политик. Только в этом случае перед системой стоит другая задача - вычленить из общего потока внешне «нормальные» письма, которые все еще могут содержать вредоносный контент: если не в тексте, то во вложениях. От этого меняются критерии «под капотом» политики безопасности. В данном случае мы ищем:
- Ссылки, которые ведут на домены из черных списков сервисов по борьбе с фишингом: PhishTank, VirusTotal, Spamhaus и др.
Письма, в которых система нашла эти признаки, попадают в списки инцидентов. Далее ИБ-специалист изучает их и, если считает, что письмо вредоносное - отправляет коллегам из ИТ-департамента запрос на его удаление с почтового сервера. Все происходит в течение 10-15 минут. Такая слаженная работа позволяет оперативно изолировать письмо, чтобы как меньше пользователей успели с ним провзаимодействовать.
3. Фиксирует взаимодействие пользователей с письмом
При помощи КИБ мы также смотрим, сколько пользователей успели получить вредоносное письмо в свой ящик, если нам не удалось оперативно его удалить с почтового сервера. Например, если сотрудник сам сообщил ИБ-отделу о фишинге или его обнаружила одна из политик. В таком случае нам нужно выяснить, кто еще потенциально стал жертвой атаки.
Помогает построение контентного маршрута, который по хеш-сумме письма или его вложений отслеживает их путь в организации. В итоге видно, скольких пользователей затронула фишинговая атака.
Дальше мы изучаем, что сотрудники делали с письмом. КИБ фиксирует всю активность пользователей за ПК, так что мы можем достоверно узнать, кто открыл или скачал вложение в письме, перешел по ссылке в нем или переслал коллегам. Например, по скриншотам или записям экранов можно увидеть, как получатель отреагировал на письмо, куда нажимал и т.д. Также мы оцениваем объем и содержание почтового, браузерного и другого трафика, связанного с письмом. В нем может быть информация о том, что сотрудник ввел на фишинговом ресурсе, куда отправляются эти данные и т.д. Это позволяет оценить возможные последствия инцидента.
По результатам такого анализа становится ясно, что нужно сделать для локализации инцидента. Заодно понимаем, как сотрудники реагируют на угрозу - попадутся ли на фишинг, будут ли скрывать ошибку, чтобы избежать ответственности за нарушение, или оповестят отдел ИБ?
Объяснять нельзя игнорировать
В контексте ИБ не бывает ничего абсолютно надежного, злоумышленники регулярно находят новые способы обмана. Поэтому помимо работы с техникой нужно еще и регулярно взаимодействовать с пользователями. Это поможет снизить общее число инцидентов и оперативно получать информацию, если сотрудник ошибся и, например, ввел свои учетные данные на фишинговом ресурсе.
Вопрос обучения сотрудников правилам ИБ индивидуален для каждой компании и зависит от количества ресурсов. Но есть несколько базовых практик, которые я сам использую и рекомендую.
ИБ-онбординг. После приема на работу новички проходят небольшой курс по киберграмотности: что делать нельзя, что можно, как определить фишинговое письмо и т.д. В конце курса ждет обязательный тест, без прохождения которого обучение не считается завершенным.
Ежемесячно случайные сотрудники получают сгенерированные ИБ-отделом фишинговые письма. С теми, кто попался, связывается специалист и записывает на курсы ИБ-грамотности.
Дополнительно с сотрудниками, которые попались на фишинге мы проводим вебинары, на которых детально рассказываем и показываем в чем ошибся каждый из работников и как этого избежать. Такой формат позволяет выстроить доверительные отношения формата: ошибаться не страшно - главное информировать об этом.
Как правило, после вебинара сотрудники начинают просить ИБ-советов у меня или коллег. Это хорошо - способствует повышению общего уровня киберграмотности. Поэтому для удобства мы выделили отдельный почтовый ящик и контакт в мессенджере. Любой сотрудник может, например, спросить, что делать, если он отправил данные из СМС мошеннику и т.д.
Санкции и мотивация. Если работник регулярно ошибается и не идет на контакт с нами, то в дело вступает мотивирующая мера - на компьютере перестает работать интернет. Почта и все рабочие программы при этом функционируют исправно. Чтобы вернуть доступ, сотрудник должен выполнить условия: заново пройти ИБ-онбординг, сходить на вебинар и т.д.
Заключение
Описанная методика противодействия фишингу работает по принципу эшелонированной системы защиты. Первый слой - первичная фильтрация антиспамом, второй - работа с DLP (настройка автоматического обнаружения фишинга и ручное расследование инцидентов). Третий - взаимодействие с сотрудниками.
DLP в данном случае является мостом между ИБ и обычными пользователями. Система позволяет минимизировать количество вредоносных писем и понять, насколько каждый из сотрудников справляется с распознаванием фишинговых угроз. Это поможет выявить проблемные места в системе защиты.
В планах на будущее - усилиться ИИ-функционалом. Например, обучить модель получать данные индикаторов компрометации и автоматически передавать их в антиспам, DLP и другие средства защиты. Также ИИ, в теории, поможет решить проблему спуфинга. Пока это гипотеза в проработке, мы с коллегами уже «скормили» часть данных из DLP локальной модели и тестируем результаты.