Илья Одинцов: Проще всего атаковать сотрудников, которые незнакомы с понятием киберграмотности

Самое слабое звено информационной безопасности — человек, работник компании. Илья Одинцов, руководитель направления осведомлённости о борьбе с угрозами (Security Awareness) МТС RED, рассказал Anti-Malware.ru о том, как эффективно обучать сотрудников основам ИБ.

Насколько критическая сейчас ситуация со знаниями сотрудников? Насколько часто атаки успешно реализовываются именно через этот вектор?

И. О.: Неверно говорить о том, что ситуация является критической именно сейчас. Это всегда было слабым звеном.

В целом, например, общее количество атак на банковские системы за последние 10 лет снизилось. Однако растёт объём отдельных видов атак на финансовые организации: целевых, DDoS и против самого слабого звена — клиентов этих банков.

Сейчас много новостных поводов, пугающих людей, и объём фишинга увеличивается, но не в десятки раз.

Мне кажется важным пояснить, что в основном это обман пользователей при помощи социальной инженерии, вынуждающий их поступать определённым образом.

И. О.: Да, именно с помощью социальной инженерии. Это работает таким образом, что злоумышленник создаёт некую ситуацию и предлагает вам срочно пойти по предопределённому им сценарию, не давая времени на обдумывание, потому что в таком случае человек успеет сообразить: что-то не сходится. Это классический паттерн фишинговой атаки злоумышленников, которые часто звонят по телефону.

Если говорить о методах социальной инженерии, то какие классы можно выделить — телефон, почта, социальные сети? Что чаще используется для атак?

И. О.: Если говорить о вирусных, массовых рассылках, то почта — это самый дешёвый способ.

Я часто вижу в своей личной почте письма, определённые как спам. Это именно попытки фишинга: злоумышленники выдают себя за банки, «Госуслуги», различные организации.

С другой стороны, есть проблема таргетированных атак. В подобных случаях используются не только почта и телефон, но и социальные сети.

Известны случаи, когда злоумышленники заводили отношения с людьми через социальные сети, чтобы вытащить нужную им информацию.

Насколько я знаю, «заходят» и через родственников и друзей. Через слабое звено, необученных людей. Когда тебе приходит ссылка от ребёнка, мамы или папы и ты открываешь её, думая, что это проверенные люди.

И. О.: Здесь сложнее попасть, потому что нужно знать, с кем общается человек, нужна предварительная разведка. Подобная ситуация имеет место. Но чаще это вирусная рассылка, где цель — закрепиться на как можно большем количестве рабочих станций, заразить их ботами и после этого собрать информацию или использовать их для DoS-атаки.

Какие интересные примеры атак за этот год вы можете вспомнить?

И. О.: Механизмы остались прежними. Учитывая происходящее в стране, было много звонков и рассылок, предлагавших бронь, отсрочку от армии, прикрывавшихся в том числе и именем Министерства обороны. Это специфика текущей ситуации.

Злоумышленники всегда адаптируются к тому, что сейчас в информационной повестке и чего больше всего боится социум.

Да, нам тоже приходили письма якобы от одного из федеральных ведомств, говорившие о том, что мы не предоставили какую-то информацию в реестр. Я переслал скриншот этого письма у себя внутри компании ответственным сотрудникам и спросил, открыли ли бы они это вложение. Почти все ответили «да», и это меня очень неприятно удивило. Получается, от этих атак должно было пострадать очень большое количество людей.

И. О.: Действительно, это факт. Мы даже прописали в наших договорах такой пункт, что в случае если человек «пугается» и что-то происходит, мы не несём за это ответственности. Переслав главному бухгалтеру в рамках тренировки фишинговое письмо, где написано, что за организацией долг и надо срочно перейти по ссылке, можно действительно испугать человека, который ещё незнаком с тем, что такое фишинг, и спровоцировать некие процессы внутри организации.

Старые приёмы — фишинговые письма, например, от «Почты России», от компаний доставки, от ФНС — ещё работают? Или мода на такие вещи уже проходит?

И. О.: Конечно, ещё работают. С одной стороны, мы уже что-то изменили, сейчас многие сервисы работают через «Госуслуги», у руководителей есть цифровые подписи. С другой — теперь мы получаем письма от имени «Госуслуг» вместо какого-то другого органа.

Меняется контент, но не сами методы. А кто попадает в группу повышенного риска, какие именно группы сотрудников подвержены таким манипуляциям?

И. О.: Здесь двоякая ситуация.

Группы повышенного риска — это всё-таки службы ИТ, ИБ и привилегированные пользователи: люди, у которых есть расширенный доступ к ресурсам.

Однако проще всего атаковать тех сотрудников, которые незнакомы с понятием киберграмотности и не понимают, что на работе не надо переходить по непонятным ссылкам. Именно на обучение таких людей и направлен наш сервис Security Awareness. Но максимальный эффект, конечно, достигается при атаках на сотрудников, имеющих расширенный доступ к финансовым и ИТ-системам.

При этом никто не отменяет фактов прямого хищения денежных средств и закрепления злоумышленников на рабочих станциях людей, отвечающих за финансы.

Действительно, можно закрепиться на компьютере того же секретаря и попытаться оттуда развивать атаку, в том числе и на привилегированных пользователей.

И. О.: Скажу больше: очень часто на компьютере секретаря можно найти много интересной персональной информации, например справочник сотрудников с телефонами, отделами и датами рождения. Всего лишь небольшая база данных для того, чтобы секретарь знал, кого и когда поздравить.

Сейчас, наверное, больше атакуются финансы или госуслуги. Или всё подряд?

И. О.: Всё подряд, потому что есть атаки, которые производятся для личной наживы, и есть, к сожалению, политические атаки, связанные с ситуацией в мире. В таком случае просто без разницы, кого и откуда атаковать. Мы все знаем, что в феврале 2022 года начались массированные атаки на все секторы, где использовались зарубежные решения. «Падали» и банки, и инфраструктура «Госуслуг» под DDoS-атаками. Да, коллеги оперативно всё решали. Но сам факт был.

Как отличить атаки при помощи социальной инженерии от целевых атак? Это какое-то особенно выверенное индивидуальное письмо? Как часто такое вообще бывает?

И. О.: Здесь нужно смотреть совокупность средств: что происходит на периметре и внутри сети, активизировался ли фишинг. И, опять же, главное — повышение киберграмотности сотрудников, потому что их, как мы изначально говорили, могут атаковать за периметром организации: с помощью социальных сетей или личного телефона. Люди должны заметить, что в почту пришла рассылка, почему-то вдруг им начали названивать в эти же даты по телефону, пытаясь извлечь схожую информацию, в соцсетях добавились странные люди, которые пытаются познакомиться и узнать какую-то информацию о работе.

К каждому человеку можно найти подход и написать такое письмо, что, каким бы грамотным и обученным он ни был, он всё равно перейдёт по ссылке. Как с этим быть, как противостоять в текущих условиях таким атакам?

И. О.: Для этого и существует так называемая киберграмотность. Человек должен понимать, что и где он открывает, когда ему приходит непонятная ссылка или странное письмо. Есть регламенты, по которым он должен понять: что-то не так. И если у него возникают вопросы — обратиться, например, к руководителю или в службу информационной безопасности, которая проверит письмо и скажет, что всё хорошо и с этим можно дальше работать.

Наш сервис направлен именно на то, чтобы не единожды рассказать человеку о чём-то, а постоянно обучать его, повышать его квалификацию. Если человек допустил ошибку, через какое-то время он снова учит, учит, учит, пока не усвоит правила.

Я бы, наверное, использовал простейший способ проверки письма: по другому каналу узнал бы, писал этот человек мне письмо или нет.

И. О.: Конечно, можно позвонить коллеге-отправителю, можно переслать письмо службе ИБ, они проверят на средствах информационной безопасности. Вариантов много, главное — не совершать необдуманных быстрых движений.

 

 

А как быть с привилегированными пользователями? Их можно условно поделить на две группы: первая — это ИТ- и ИБ-специалисты, которые отличаются высокой самооценкой и считают, что их учить не надо, а вторая — топ-менеджмент, у которых тоже высокая самооценка и они не хотят ни в чём разбираться, но желают, чтобы у них были достаточные права. Как работать с этими группами?

И. О.: Зачастую организации вкладывают большие деньги в защиту именно индивидуальных устройств топ-менеджеров. У них есть различные подходы. При этом для топ-менеджеров у нас имеются специализированные курсы, которые объясняют именно на их языке, для чего нужна информационная безопасность, почему важно её соблюдать.

Для ИТ-специалистов у нас тоже есть специализированные курсы, повышающие киберграмотность. Мы понимаем, что специалист считает, будто у него всё прекрасно, он всё лучше всех знает и никогда не попадётся (особенно если у него непродолжительный опыт за плечами, три-пять лет работы). На самом деле это не так.

Давайте посмотрим на свои телефоны и электронные ящики: сколько раз мы принимали звонки от мошенников, сколько раз нам прилетал спам и сколько раз на самом деле вы за свою жизнь переходили по этим странным ссылкам.

А как быть с ИБ-специалистами?

И. О.: Аналогично. Должен быть процесс постоянного обучения с периодическими тренировочными рассылками. Например, мы предлагаем их как базовый пакет, также можно сделать расширенные рассылки под сотрудников. Если у нас огромная организация — допустим, 200 человек в ИТ-штате по всей стране — и мы хотим начать их обучать, можно сделать рассылки под них. Например, мы маскируемся под письма от разных известных компаний, и если сотрудники перейдут по ссылкам, то, значит, всё-таки надо их дальше обучать.

Поговорим теперь об инструментах. Я слежу за рынком Security Awareness с момента его зарождения в России. Одной из первых компаний здесь стала Phishman, которая теперь находится в периметре МТС. Тогда это начиналось как сервис тестирования почтовой рассылки. Как изменился этот инструмент сейчас? Может, добавились какие-то дополнительные каналы, через которые можно работать — например, телефон, физические устройства, флешки?

И. О.: На текущий момент платформа Phishman действительно позволяет отрабатывать навыки киберграмотности на таких каналах, как флешки и корпоративная почта.

Сейчас такое время, что вокруг нас много информационного шума. У нас очень мало времени на изучение всего. Если раньше внутренний корпоративный курс по информационной безопасности мог занять, например, час, то сейчас мы сжимаем длительность курсов.

На мобильных устройствах на текущий момент времени мы такой сервис не обеспечиваем, поскольку здесь злоумышленники в живом общении с пользователем активно применяют методы психологического давления. В этом случае необходимо привлекать к работе с пользователями штат психологов. Мы изучаем рынок, и если он действительно будет готов к этому, будет большая востребованность, то мы рассмотрим, конечно же, такой вариант.

И самое главное — это интеграция платформы Security Awareness с функционирующими в компании ИБ-системами. Мы всегда должны не просто смотреть, что «вот галочка, сотрудник прошёл курс», а видеть, какая информация по событиям в безопасности, связанным с этим сотрудником, собирается. Например, когда на действие человека реагирует какая-то из ИБ-систем, платформа может автоматически назначить ему соответствующий курс повышения киберграмотности.

Как быть с тем вектором атаки, когда сотруднику подсовывают поддельный веб-сайт, куда он может ввести какие-то корпоративные данные и даже реквизиты банковской карточки? Как научить отличать фишинговый сайт от реального?

И. О.: Для этого есть специализированные средства защиты. Фишинговый домен, фишинговый сайт — это чуть более сложная история, чем фишинговая рассылка. Мы готовы этим заниматься (прорабатывать кастомизацию под заказчика, создавать индивидуальный сайт для него), но по опыту работы — не все заказчики к этому готовы, некоторые боятся даже самостоятельно создавать фишинговые рассылки. А другие говорят, что в принципе у них есть учебный центр, они сами разберутся.

А есть ли какой-то элемент геймификации — например, собрать сотрудников, раздать какие-то карточки? Такое в принципе работает или это в большей степени из разряда «побаловаться»?

И. О.: Если у вас есть очень много времени, это будет работать, но мы стараемся отнимать его как можно меньше. Скажем, если сейчас тесты рассчитаны на полчаса, то мы их ужимаем, переписываем и хотим сделать так, чтобы тест был рассчитан на 15 минут. Это касается не только теста, но и обучающей программы, в рамках которой есть интерактив по взаимодействию, некие элементы геймификации. Но для того чтобы это работало, ещё раз, нужен процесс. Я сегодня прошёл тест, прошла пара месяцев, я что-то подзабыл, где-то нажал на некую ссылку — опять прилетает курс. Прошло полгода, я попался на тестовую рассылку, мне снова прилетает курс. В таком ключе это будет работать.

Если вы хотите в рамках обучения собрать всю команду и устроить сотрудникам тимбилдинг, они всё равно через полгода растеряют часть полученных знаний. Окажется, что вы потратили много денег, ресурсов, времени, а результата не достигли. При этом обучать киберграмотности нужно постоянно.

Да, важно, что это должна быть не разовая акция, а понятный регулярный процесс.

И. О.: Всё верно. Именно процессный подход способен повысить эффективность средств защиты и уровень информационной безопасности в организации.

Инфраструктурно платформа Security Awareness может быть реализована локально или в облаке. Каковы преимущества и недостатки этих подходов и какого из них придерживается компания МТС?

И. О.: По преимуществам или недостаткам можно собрать круглый стол, потратить пару часов, и при этом всё равно каждый останется при своём. Существуют организации, у которых достаточно много ресурсов и компетенций для того, чтобы организовывать это решение локально. Есть организации, у которых нет на это времени или бюджета, им проще использовать облачные или сервисные подходы. МТС в первую очередь ориентируется на облачный подход. МТС RED предлагает своим клиентам платформу, которую наполняют контентом как Phishman, так и компании экосистемы МТС, и добавляет свою экспертизу. Также мы готовы рассмотреть сервисные варианты для энтерпрайз-заказчиков, когда наши сотрудники дополняют те курсы, которые есть у них: сопровождают и кастомизируют рассылки.

Мы позиционируем себя как облачный сервис. Мы полностью берём на себя всё управление сервисом, рассылки, согласовываем SLA, и заказчику остаётся просто смотреть дашборды.

Экспертиза, которая лежит в основе вашего сервиса, генерируется на основе вашего опыта, данных от вашего SOC внутри группы МТС или информации из каких-то других источников?

И. О.: Это в первую очередь действительно опыт нашего SOC, наших аналитиков. Одна из возможностей, которые мы реализовали, — интеграция сервиса Security Awareness с нашим центром мониторинга и реагирования на киберинциденты. Клиентам SOC МТС RED могут автоматически назначаться курсы Security Awareness. Аналогов я на рынке не встречал. Во-вторых, у нас есть несколько команд, которые занимаются в том числе пентестами, аудитами, поэтому экспертизу от них мы также принимаем.

Многие заказчики говорят, что они провели обучение, но не знают, какой на самом деле получили результат. А как он может быть измерен? Как это выглядит на примере вашего сервиса? Как я узнаю, насколько мои сотрудники на данный момент обучены? В какой степени, самое главное, это даёт некий долгосрочный эффект?

И. О.: Есть два варианта. Вариант номер один — запускаем фишинговую рассылку и смотрим, сколько человек попалось, после этого проводим обучение и через какое-то время инициируем вторую рассылку. Здесь сразу видно, как падает количество переходов по ссылкам. Система сама строит графики, показывает повышение уровня киберграмотности сотрудников, исходя из прошедших курсов и количества инцидентов.

Мы готовы заявить, что даже после завершения тренировок с течением времени количество инцидентов снизится, в том числе на уровне SIEM или SOC.

Если говорить об адаптации Security Awareness как процесса и инструментария, который за ним стоит, под конкретного заказчика, насколько широкие возможности здесь есть?

И. О.: Мы готовы согласовывать закупаемые фишинговые домены с заказчиком, готовы делать полную индивидуализацию интерфейса и курсов и при этом сохранять всё в облаке. Мы можем взять брендбук и отрисовать в его рамках дизайн, и под фишинг мы подберём нужный домен.

Как должна компания-новичок, в которой нет Security Awareness, войти в этот процесс? С чего им начать?

И. О.: Если вы новичок, вам достаточно прийти в МТС RED или в ПАО «МТС», сказать «я хочу», заполнить несколько строчек опросника, и дальше коллеги с вами свяжутся. Нам нужен будет список людей с распределением по отделам, чтобы при обучении не было такого, что вдруг случайно вся рассылка улетела в один отдел. При этом фишинг на всю компанию разом — это дело неблагодарное и бесполезное, нужно сделать выборку сотрудников из разных отделов. Мы предлагаем в целом задействовать 5–10 % штата. МТС RED полностью берёт на себя обслуживание, согласовывает, какие курсы и кому назначаются, когда проводятся рассылки. Можно согласовать группу рассылки, если, например, есть какие-то критически важные процессы, участников которых пока лучше не задействовать, и выдать отчёты — по результатам рассылок и по итогам прохождения обучения.

Получается, вы всё делаете «под ключ». Насколько это дорого? Если сравнивать, например, со стоимостью антивируса для конкретного пользователя в год. Это соизмеримо или всё-таки речь идёт о десятках тысяч рублей на каждого сотрудника?

И. О.: Мы оценивали рынок, и, на мой взгляд, у нас сейчас в базовой комплектации один из самых доступных сервисов. Это действительно соизмеримо со стоимостью антивируса на одного пользователя. Также у нас гибкие цены, всё можно обсудить; зависит от заказчика, но ни о каких десятках-сотнях тысяч за сотрудника в год речи нет.

Мы коснулись того, что Security Awareness должен не находиться в некоем вакууме, а быть интегрирован с другими системами ИБ. Если есть золотой стандарт, то с какими системами должна быть выстроена интеграция?

И. О.: В целом, для организации процесса обучения сервису Security Awareness необходима интеграция со службой глобальных каталогов. При этом возникают определённые риски передачи данных во внешнюю среду, если речь идёт об облаке.

Поэтому в первую очередь необходим джентльменский набор: интеграция с файрволом, песочницей, антивирусом, DLP-системой, если она есть в организации. При наличии SIEM можно подключить его, можно и другие системы — NTA, NDR, XDR, EDR и тому подобное. Главное — понимать, какие данные вы будете передавать и как сервису Security Awareness на это реагировать.

При интеграции с SIEM, например, если сервис повышения киберграмотности увидел инцидент, связанный с атакой на пользователя, то этому сотруднику, конечно, будет назначен курс обучения, но здесь в первую очередь должны реагировать службы ИБ. Гораздо интереснее, когда антивирус, антиспам, песочница говорят о том, что пользователь пытался что-то запустить и система его заблокировала. В таком случае уже на этом этапе нужно отреагировать и предоставить сотруднику информацию, назначить тест, объяснить, что так делать нельзя, и узнать, почему он это сделал.

Главное — ни в коем случае не воспитывать сотрудников кнутом, не ругать их, не наказывать, а именно вести разъяснительную работу: давайте так больше не будем.

Интересно ваше экспертное мнение: насколько может правильно выстроенный процесс Security Awareness в конечном итоге повлиять на общую защищённость компании? Сколько процентов атак мы можем убрать при помощи повышения осведомлённости?

И. О.: Мы, конечно, будем стремиться к 100 %, но это процесс и здесь, как во всей ИБ, работает закон Парето: 20 % усилий дают 80 % результата.

Снизить количество инцидентов в несколько раз нетрудно. Необходимо понимать размеры заказчика и причины этих инцидентов. Когда все средства защиты настроены правильно, нет ложных срабатываний, система работает прекрасно, а сотрудники всё равно совершают ошибочные действия, мы готовы помочь, готовы их обучить, и это будет эффективно. Но если в организации хаос — грубо говоря, купили все средства защиты, они «из коробки» работают, но никто их не настраивал, — то здесь мы помочь не сможем. Сотрудники будут работать эффективно, количество инцидентов снизится, но средства защиты всё равно будут показывать, что их много.

Спасибо большое! Получилось интересное и содержательное интервью!