Portret
Опытный
Самой серьезной угрозой сегодня, нацеленной на компании, по мнению специалистов Symantec, остается простая, но эффективная техника направленного мошенничества — Spear-phishing. Она остается наиболее популярным способом атаки. Что же предпринять компаниям, чтобы улучшить свою оборону?
В 2017 году усилиями специалистов по кибербезопасности были полностью отбиты все атаки нулевого дня, а эксплойты EternalBlue и EternalRomance, похищенные у правительства США, способствовали развитию двух эпидемий WannaCry и NotPetya.
Однако последняя версия отчета Symantec об угрозах безопасности в интернете подтверждает, что 71% целевых атак, обнаруженных компанией в 2017 году, использовали Spear-phishing для хищения учетных данных целевых пользователей.
По заявлению Кевина Хейли, директора по управлению продуктами Symantec Security Technology and Response group, для успешной целевой атаки сегодня все чаще используется именно такой подход. Зачем пытаться использовать 0-day-атаки? Зачем создавать фишинговые веб-сайты? Зачем делать что-то сложное и дорогое, когда можно просто отправить электронное письмо и добиться результата?
В то время как недавние массовые атаки были сосредоточены на распространении ransomware, вымогателей и банковских троянов, наиболее серьезные из них нацелены на сбор разведданных или кражу интеллектуальной собственности. И злоумышленники используют гораздо меньше пользовательских инструментов для проведения своих кампаний.
Согласно данным ISTR, девять из десяти целевых атак злоумышленников в прошлом году стремились получить информацию о своих жертвах. Об этом сообщается в отчете о том, что около 11% были направлены на разведку, а 9%, похоже, были получены после финансовой выгоды. Числа составляют более 100%, потому что 15% нападавших имеют более одного мотива нападения.
Кроме того, 71% злоумышленников использовали целевые фишинг-атаки, чтобы получить учетные данные.
Это не просто фишинг предыдущего поколения
Spear-phishing — это совсем другая технология, чем массовый фишинг. Массовые фишинговые атаки в значительной степени похожи на спам, становясь постоянно присутствующим раздражением. Однако, как правило, они имеют крайне низкий уровень успеха, ведь с учетом байесовского обучения и других алгоритмов кластеризации могут быть довольно быстро обнаружены.
Несмотря на то, что массовые фишинговые атаки все еще присутствуют, с точки зрения злоумышленников они не являются экономически эффективными.
Если киберпреступник хочет получить доступ к определенному сайту, предпочтительным методом является покупка большой базы данных с именами пользователей и паролей из-за взлома другого сайта и попытки проверки каждого из них на целевом сайте. Symantec обнаружил, что вы можете за 90 долларов купить 500 000 учетных данных, состоящих из адресов электронной почты и паролей.
Если все, что нужно сделать злоумышленнику, это потратить 90 долларов, использовать легкодоступный инструмент, и в результате он получит определенный процент учетных записей, то зачем создавать фишинговую атаку? Зачем тратить силы и средства? Ведь многие пользователи используют один и тот же логин и пароль на разных сайтах.
Кроме того, массовые фишинг-атаки имеют очень короткий жизненный цикл. Большинство из них заканчивается в течение дня.
В отличие от этого, направленные фишинговые атаки почти невозможно обнаружить, сказал Гай-Винсент Журдан, адъюнкт-профессор электротехники и информатики Университета Оттавы.
Как защититься от направленного фишинга?
Spear-phishing, как правило, нацелен только на одного человека, или, самое большее, на несколько человек, используя личную информацию, чтобы обмануть работников и заставить их открыть вложение в электронном письме или войти на поддельный веб-сайт.
Обучайте пользователей
Несмотря на то, что обучение безопасности стало использоваться гораздо чаще за последние пять лет, оно продолжает оставаться хорошей инвестицией. Более образованные сотрудники могут не только с меньшей вероятностью нажимать на фишинговые письма, но и могут стать дополнительным способом обнаружения подозрительных сообщений электронной почты.
Кроме того, исследования показали, что сотрудники, которые попадают под одну фишинговую атаку, чаще будут попадать и в будущем, поэтому важно выявлять эти слабые звенья в вашей безопасности и обеспечивать дополнительную подготовку.
Использовать инструменты для сканирования электронных писем для обнаружения признаков вредоносности
Это аксиома безопасности: кто-то всегда будет отрывать вредоносные ссылки. По этой причине компаниям необходимо инвестировать средства в выявление подозрительных электронных писем.
Конечно, обучение, обучение, обучение, но нельзя же не проверять электронные письма! Тем не менее поиск и обнаружение Spear-phishing — непростая задача. На сегодня обнаружение массовых фишинговых атак куда проще именно потому, что собрано много данных. С направленным фишингом такого количества образцов просто нет.
Может помочь машинное обучение и искусственный интеллект. При обучении сотрудников относиться к электронной почте с подозрением, распознавание машинной модели может гораздо более рационально подойти к проблеме и обновляться, чтобы учесть новейшие методы заражения.
Использовать многофакторную аутентификацию для снижения воздействия
Вместе с тем компаниям нужно готовиться к худшему и ожидать, что пользователи все же выдадут свои пароли. Добавление дополнительного фактора проверки подлинности сделает гораздо более сложным для злоумышленника использовать пароли для компрометации учетной записи.
Выключить неиспользуемые инструменты двойного использования
Наконец, специалисты компании должны быть осведомлены о наиболее распространенных инструментах, используемых для новых систем. В настоящее время злоумышленники имеют тенденцию «жить на земле», используя инструменты, уже найденные на скомпрометированной системе, а не устанавливать их, чтобы избежать обнаружения.
Для злоумышленника это звучит как «Почему я должен создавать вредоносную программу, когда могу использовать PowerShell?». Использование официальных инструментов для атак весьма затруднит обнаружение атаки.
Компании, которые используют многогранный подход не только для предотвращения фишинговых атак, но и для обнаружения и реагирования на атакующих, имеют возможность ограничить ущерб от успешной атаки.