Как проанализировать результаты учебной фишинговой атаки, чтобы повысить киберграмотность сотрудников? Пошаговая инструкция
Фишинг-атаки: учиться нельзя игнорировать
В отчёте Cisco о тенденциях информационных угроз 2021 года зафиксировано, что причина 90% атак на бизнес – это фишинг. В связи с этим компании стремятся повысить киберграмотность сотрудников, в том числе и с помощью тренировочных фишинг-атак. Однако наверняка вы сталкивались с тезисом о том, что такие симуляции просто отнимают время, а в некоторых случаях даже вредны: сотрудники, прошедшие ряд тренингов и обучающих программ, скорее проигнорируют письмо, которое покажется им подозрительным, даже если оно не фишинговое. Мы считаем, что избежать такого результата можно, если правильно подойти к процессу обучения. Предлагаем ознакомиться с нашим взглядом на анализ тестовых фишинговых атак, который, надеемся, принесёт пользу вашей компании. В статье мы описали подход к анализу результатов, полученных в ходе экспериментальной фишинговой атаки. В качестве примера взят самый распространённый тип фишинга – письмо с опасной ссылкой или файлом, которое злоумышленник рассылает по электронной почте. Целью таких атак становятся ценные корпоративные или персональные данные сотрудников или клиентов компании. Мы считаем, что у экспериментальной фишинговой атаки есть три ключевые задачи: – изучить, как сотрудники идентифицируют угрозу; – повысить их киберграмотность; – создать прямые и простые рекомендации по реагированию на угрозу.
Пошагово распишем процесс организации и анализа эксперимента.
Шаг 1. Решите организационно-технические вопросы и проведите тестовую фишинговую атаку
Итак, руководство решило провести тестовую фишинговую атаку. Организацию технической стороны вопроса поручите специалистам в сфере информационной безопасности. Масштаб работ при подготовке IT-инфраструктуры в каждой компании может быть разным. Некоторые задачи этого шага: выбрать хостинг, который предоставит IP-адреса, не находящиеся в спам-базах; настроить сервер, домен; создать список адресов «жертв»; продумать сценарии; создать письма для рассылок, фишинговые страницы и вложения. Особый акцент – на правдоподобный сценарий. Письмо может быть от имени банка, с которым работает ваша компания, службы доставки корреспонденции, знакомого контрагента, нового клиента или сотрудника – не важно. Придумайте такой сценарий (их может быть несколько – можно разным отделам отправить разные письма), который не вызовет подозрений у коллег. Компании, которые обладают соответствующей IT-инфраструктурой и в штате которых трудятся специалисты в сфере информационной безопасности, смогут организовать учебную фишинг-атаку для своих коллег самостоятельно. Также инсценировать ее помогут автоматизированные ресурсы или сторонние специалисты. Если решите воспользоваться их услугами, то штатным специалистам не придется настраивать домены и придумывать сценарии атак, а в некоторых случаях аутсорсинг даже поможет проанализировать результаты эксперимента. Обратите внимание. Технически специалистам-безопасникам не составит труда организовать и провести тестовую фишинговую атаку. Однако если ограничиться только лишь этим шагом, то, увы, это не принесёт желаемого результата. Поэтому ключевое значение имеют все дальнейшие шаги: именно они помогут сотрудникам компании идентифицировать фишинг и правильно реагировать на него в будущем.
Шаг 2. Распределите «жертв» на группы
Тест проведён, результаты получены. Но их нужно обработать. Чтобы лучше понять актуальность проведения учебной фишинговой атаки в вашей организации, сократить время на обучение по реагированию на такие инциденты и выработать действительно полезные рекомендации, советуем распределить коллег на группы «жертв». Сделать это можно, например, после короткого опроса, выявляющего реакцию человека на фишинговое письмо. В результате группы «жертв» могут быть следующими. Группа 1. Сотрудники, которые кликнули на опасную ссылку, скачали непонятный файл или ввели требуемые данные. Анализ этой группы коллег станет основой результата – желаемых реакций и действий. Определить среднее количество таких сотрудников в компаниях довольно сложно: это зависит от многих факторов, а также индивидуальных различий, когнитивных способностей и личностных черт. Группа 2. Сотрудники, которые не обратили внимание на тестовое письмо или по какой-то причине просто не посчитали нужным его открыть. Это довольно опасная группа коллег: трудно спрогнозировать, как они поведут себя при последующих фишинговых атаках, даже если в компании уже будет соответствующий инструмент реагирования. Группа 3. Сотрудники, которые просмотрели фишинговое письмо, но испугались «куда-то тыкать» или не разобрались, что от них хотят. С такой группой коллег предстоит основательно поработать: сначала придётся доступно объяснить, что такое фишинг, в общем описать схему таких атак, а также их цели, и только после этого – объяснить, как нужно реагировать. Группа 4. Сотрудники, которые просмотрели и изучили входящую угрозу, но осознанно «не повелись на удочку»: удалили письмо, пометили его как спам и т.д. Обучение этой группы коллег не займёт много времени. Им будет достаточно ознакомиться с будущими рекомендациями. Группа 5. Сотрудники, которые оповестили о странном письме своё руководство, обратились за светом к коллегам в своём отделе или напрямую в отдел информационной безопасности. Советуем опросить эту группу коллег повторно и попросить их рассказать, что именно в письме показалось им подозрительным, а также описать действия после того, как они увидели письмо. В будущем эта информация очень поможет разработать именно тот сценарий действий при фишинговой атаке, который будет работать в вашей компании, филиале или отделе. И о грустном. По статистике, только 39% сотрудников утверждают, что они сообщат о проблеме, которая связана с информационной безопасностью, если она возникнет.
Шаг 3. Проанализируйте поведение сотрудников и сформируйте отчёт
Трудно назвать «средний» период времени, за который можно осуществить такие работы. Для огромного холдинга может не хватить и трёх месяцев, а для компании, в которой трудятся около 30 человек, и недели может оказаться много. Считаем, что важно осуществлять этот процесс в команде. В неё могут входить не только специалисты-безопасники, но и ответственные из филиалов, отделов, а также специалисты HR-отдела. Чтобы пользоваться результатами анализа было удобнее, продумайте его вид (например, это может быть отчёт) и структуру. Например, в первом разделе – введении – укажите общую информацию о причинах и целях проведения эксперимента, здесь же можно разместить технические и информационные сведения, которые будут полезны, если понадобится провести такой же тест повторно спустя какое-то время. В последующих разделах можно обезличено охарактеризовать поведение каждой группы «жертв», которые указаны в Шаге 2. В заключении важно сделать выводы и описать рекомендации по совершенствованию реакций и действий при фишинговой атаке в компании.
Шаг 4. Придайте желаемым реакциям и действиям сотрудников конкретную форму
Отчёт (или другой документ), в котором отображены результаты анализа проведённой тестовой фишинговой атаки, рекомендуем завершить практическим приложением, в котором будет зафиксировано: – какие признаки помогут идентифицировать фишинговое письмо; – как действовать, если кажется, что это оно; – что делать, если данные уже введены в формы на поддельном сайте и т.д. Информация может иметь вид карты действий, инструкции, рекомендаций, правил поведения – называться документ (или схема, таблица – что угодно) может по-разному. Главное – чтобы было понятно и удобно для ваших коллег. Только в этом случае старания принесут пользу: сотрудники усвоят желаемые реакции и действия, которые следует предпринять в результате фишинговой атаки. Если есть возможность – продумайте информацию конкретно для каждого структурного подразделения. Например, при подготовке информации, которой будут пользоваться в бухгалтерии, особое внимание уделите платёжным системам и сервисам. Для того, чтобы довести нововведения до каждого, советуем утвердить разработанную стратегию распорядительным документом и ознакомить с ним всех сотрудников под подпись.
Шаг 5. Организуйте обучение сотрудников
Несмотря на то, что все поставят свою подпись об ознакомлении с нововведениями, только это не окажет должного эффекта. Рекомендуем сформировать обучающую программу. Вам решать, какая информация там должна быть и сколько времени нужно отвести на обучение. Интересными кажутся результаты недавнего исследования, в котором утверждается, что если сотрудники обучаются три месяца, то это приведет к снижению успеха фишинговых атак с 31.4% до 16.4%, а если обучение продлить на год, то этот результат снизится до 4.8%. Можно купить для компании общий курс по информационной безопасности, самостоятельно составить теоретический блок конкретно о фишинге, периодически устраивать повторные тренировочные фишинг-атаки, проводить тематические тесты или, к примеру, предложить сотрудникам пройти обучающую игру о фишинге. Вариантов много. Если есть возможность, предоставьте коллегам выбор и остановитесь на том решении, которое понравится большинству. Совет для тех, у кого есть ресурсы – персонализируйте программу. Результативней будет то решение, которое сориентировано на конкретную проблему в конкретной среде. Например, можно работать отдельно с каждой группой (см. Шаг 2). Также можно объединить представителей разных групп (например, первую и вторую; третью и четвёртую). Ещё вариант – адаптировать программу для каждого структурного подразделения.
Шаг 6. Защитите компанию от угроз с помощью программного обеспечения
Не имеет значения, о каких компаниях идёт речь – крупных холдингах или субъектах МСП: в защите нуждаются все. Исследование профессора Стэнфордского университета установило: каждый четвертый нанятый работник когда-нибудь нажимал на фишинговое электронное письмо на рабочем месте. Сегодня один из самых эффективных способов защититься от утечек информации (в том числе и посредством фишинга) – контролировать все каналы коммуникации компании с «внешним миром». Такой функционал существует у DLP-систем, одной из которых является Falcongaze SecureTower. Система способна запретить посещать пул недоверенных сайтов, фиксировать попытку отправки важных корпоративных данных и прерывать этот процесс. Более того, Falcongaze SecureTower поможет предотвратить хищение информации при попытке получения доступа к рабочей станции посредством подключения внешних накопителей (например, USB-накопителя, заражённого вредоносным программным обеспечением, которое способно собирать и передавать данные злоумышленникам). Также система способна провести расследование и найти путь, по которому данные могли попасть к злоумышленникам.
Надеемся, организация и анализ тестовой фишинг-атаки, а также последующее обучение сотрудников будет положительным опытом для вашей компании и действительно снизит риски утечек данных.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Анализ трафика 2025: какие угрозы уже на пороге?
На вебинаре расскажем, как современные технологии помогают экономить ресурсы и усиливают защиту компании.