Противостояние угрозам безопасности со стороны электронной почты
За последние несколько десятилетий электронные письма получили роль неотъемлемого инструмента в повседневном деловом общении. Будь то общение с коллегами и клиентами, отправка коммерческих предложений, планирование встреч или получение информационных рассылок – письма являются полезным инструментом для всех.
Согласно исследованию Radicati Group количество писем, отправляемых и получаемых каждый день, к концу 2019 года превысит 293 миллиарда, а в 2023 году достигнет 347 миллиардов. По данным опроса, проведенного HubSpot, 86% специалистов считают, что электронная почта является для них наиболее предпочтительным способом общения в деловых целях.
И хотя надежная электронная почта, без сомнения, останется обычным явлением в деловом мире, сегодня она стала основной целью для хакеров. Угрозы безопасности, такие как вредоносные программы, спам, фишинг, социальная инженерия и несанкционированный доступ, вызывают серьезную обеспокоенность у организаций и ИТ-руководителей.
В исследовании, проведенном Barracuda Networks, 94% организаций признали, что электронная почта является наиболее уязвимой частью их стратегий безопасности, и 87% ИТ-директоров ожидают роста угроз безопасности со стороны электронной почты в течение следующих 12 месяцев. Компрометация деловой электронной почты особенно пагубна. Так, Центр по рассмотрению жалоб на интернет-преступность в США сообщает о потерях, связанных с атаками посредством e-mail, в размере 1,3 миллиарда долларов, что еще более подчеркивает важность повышения устойчивости организаций к угрозам, связанным с электронной почтой.
Для киберпреступников электронная почта часто является простым способом проникновения в ИТ-структуру организации, запуска разрушительных атак и получения конфиденциальной деловой информации. Кибератаки, основанные на электронной почте, не только часто очень успешны, но и могут быть обманчиво простыми. Целевые атаки против целой компании или на ее ключевых сотрудников могут привести к значительным нарушениям данных или потере систем и сервисов, независимо от того, используют ли они вредоносные программы, социальную инженерию или и то, и другое.
Снижение риска успешной атаки должно включать как технические, так и человеческие методы противодействия. Эффективные средства управления безопасностью, основанные на технологиях, такие как безопасные почтовые шлюзы, сканирование вложений и антивирусное программное обеспечение – это прекрасный набор инструментов защиты. Однако они должны поддерживаться соответствующими людьми и средствами управления процессом, включая регулярное обучение и повышение осведомленности сотрудников. Поскольку киберпреступники используют все более изощренные методы, в ответ должна повыситься частота действий, направленных на повышение осведомленности об этих методах.
Необходимо дополнить, что осведомленность не должна заканчиваться простыми презентациями в PowerPoint и курсами электронного обучения с примитивным финальным тестированием. Современным предприятиям следует изучить возможность использования внутренних ресурсов или третьих сторон для проведения фишинг-моделирования в разных подразделениях своей компании. Непрерывное обучение и тестирование в «реальном мире» крайне важно, если угроза от атак по электронной почте должна быть уменьшена в краткосрочной, среднесрочной и долгосрочной перспективе.
Растущая угроза
Поскольку экосистема всеобщего подключения к сети продолжает расширяться, и люди становятся все более зависимыми от своих устройств, угрозы для электронной почты, вероятно, будут расти. Прошли те дни, когда для атаки использовались «корпоративные» e-mail со множеством орфографических ошибок и явно поддельные адреса электронной почты. Поскольку люди проводят все больше и больше времени, используя мобильные телефоны, подделку адреса отправителя может быть трудно обнаружить, даже несмотря на хорошую подготовку персонала к фишинг-атакам.
Еще более тревожным является то, что делают злоумышленники, когда они получают чье-то имя пользователя и пароль. Мы наблюдали многочисленные кибератаки, когда одна скомпрометированная пара логин-пароль использовались для беспрепятственного входа в компьютерную систему, не защищенную двухфакторной аутентификацией.
После получения доступа злоумышленники устанавливают правила пересылки электронной почты, а затем просматривают электронные письма, ожидая подходящего момента, чтобы изменить детали счета на оплату и завладеть денежными средствами. Может пройти несколько недель, прежде чем компания обнаружит проблему.
Компании должны продолжать регулярно обновлять информацию для обучения по кибербезопасности, особенно в отношении угроз электронной почты. Но самое главное - убедиться, что к программному обеспечению применяются правильные настройки и что программное обеспечение регулярно обновляется.
Малые и средние компании с ограниченными ИТ-бюджетами особенно подвержены риску, а руководители, как правило, становятся более легкой мишенью, особенно если они открыто говорят о своей деятельности в социальных сетях. Каждая средняя и крупная компания должна иметь план для быстрого реагирования на инциденты, даже если этот план будет заключаться в решении, к каким специалистам планируется обращаться в случае возникновения проблемы.
Удивительно, сколько крупных компаний до сих пор не имеют эффективных планов реагирования на инциденты, несмотря на все новости о прецедентах крупных кибератак.
Увеличение сложности
Хотя обучение сотрудников может значительно сократить количество взломов электронной почты, проблема заключается в том, что хакеры постоянно находят более совершенные приемы. В некоторых случаях злоумышленники используют методы, которые пользователи просто не могут обнаружить.
Пример сценария: партнер из цепочки поставок компании был скомпрометирован, злоумышленник использует технику DDE [динамический обмен данными] или Power Query в Microsoft Excel, тем самым уклоняется от любой защиты, и ничего не подозревающий пользователь не видит ничего подозрительного. Это тот вид угрозы, когда обучение само по себе просто не может помочь.
Специалисты по безопасности говорят о том, что технология должна быть средством, позволяющим ИТ-службам вести диалог с бизнесом об угрозах на основе файлов. Аналитика угроз усиливает позиции ИТ-специалистов в инициативах по изменению политики компании в области безопасности и ИТ-культуры в целом.
Угрозы электронной почты становятся все более изощренными, и организациям необходимо применять более надежный подход для их устранения. Эффективное смягчение последствий должно исходить из комплексной стратегии, которая охватывает как обучение, так и защиту электронной почты и Интернет.
В течение многих лет специалисты по информационной безопасности советуют сотрудникам не нажимать на подозрительные ссылки. В то время как симуляционные упражнения по фишингу генерируют осведомленность, такие симуляционные упражнения не считаются стратегическим контролем, который радикально изменил поведение и, следовательно, уменьшил угрозы.
Фишинг учетных данных или манипулирование сотрудниками являются ключевыми целями для злоумышленников. Тем не менее, злоумышленникам пришлось модифицировать свои процессы, чтобы обеспечить их скрытность. Одним из примеров является отправка электронного письма со ссылкой, за которой следует активация вредоносной нагрузки после доставки письма. Это распространенный метод обхода, который позволяет атаке оставаться незамеченной средствами контроля безопасности электронной почты. Таким образом, элемент управления в этом сценарии лучше размещать на уровне веб-проверки, который проверяет ссылки в тот момент, когда на них нажимают.
Злоумышленники также используют надежные сайты и популярные облачные приложения для размещения вредоносных программ, которым обычно доверяют сотрудники. Поэтому новые методы требуют более целенаправленного и всеобъемлющего подхода. Использование реальных показателей безопасности электронной почты и веб-сайтов, демонстрирующих особенно плохую реакцию на эти атаки на уровне отдела, можно использовать для обучения сотрудников. Запуск программы «Уловка дня», в которой сотрудники получают стимул сообщать о подозрительных электронных письмах, также является хорошим шагом для повышения осведомленности о достаточной безопасности электронной почты.
Превентивные меры
Одной из самых больших проблем в настоящее время является компрометация деловой электронной почты. Речь идет о ситуации, когда злоумышленник выдает себя за руководителя и пытается обмануть сотрудника или другого получателя, отдавая распоряжение на перевод средств или передачу конфиденциальной информации, когда реальный аккаунт электронной почты ранее был взломан с помощью социальной инженерии или прямого вторжения.
Для смягчения таких угроз организациям опять-таки необходимо повышать осведомленность своих сотрудников. Проблема обучения сотрудников является ключевой в борьбе с угрозой, потому что она требует, чтобы получатели сообщений были достаточно осведомлены, чтобы остановиться и подумать о том, что их просят сделать, и перепроверить, что запросы действительны, особенно когда планируется передать конфиденциальные данные или речь идет о транзакциях крупных сумм.
Сотрудник должен спросить себя, кажется ли запрос по электронной почте правомерным и обычным; какова ценность информации, которую его просят предоставить, или задачи, которую просят выполнить; и уверен ли он в подлинности источника запроса.
Еще одной растущей угрозой является вирус-вымогатель, который преимущественно распространяется по электронной почте. Злоумышленники часто могут проникнуть через электронные письма сотрудников, поэтому наличие правильной киберзащиты является ключом к предотвращению катастрофической ситуации, когда на кону могут оказаться данные клиентов или большие деньги.
Наличие обширной многоуровневой модели безопасности, а также соответствующего контроля доступа на основе ролей может помочь минимизировать риск. Но сама атака - это только половина проблемы. Без достаточного количества инструментов для восстановления несвоевременная нейтрализация атаки может привести к потере данных и денег, а также нанесению ущерба репутации и простоям.
Предприятиям необходимо внедрять инструменты, позволяющие им откатывать все свои системы до момента времени непосредственно перед атакой. Это работает так: вы видите вирус-вымогатель и выключаете все компьютеры, серверы и т.д., которые были подвержены атаке. Затем вы используете инструмент восстановления, чтобы просто откатить все системы назад во времени, что занимает несколько минут, до того момента, когда система была заражена. Этот уровень аварийного восстановления имеет решающее значение.
Электронные письма продолжают оставаться в центре бизнеса, они уязвимы и неизбежно становятся постоянной целью для искушенных киберпреступников. Сегодня крайне важно информировать сотрудников о рисках и о том, как их можно снизить, при этом организации также должны убедиться, что у них есть системы для выявления и реагирования на постоянно растущие атаки.