Top.Mail.Ru
Обсудить проект Обсудить проект
Пн–Чт: 9:00–18:00 Пт: 9:00–17:00 г. Барнаул, ул. Гоголя, 85В, 4 этаж zapros@geekspace.ru

Уязвимость, которую нельзя закрыть патчем

Для любой другой слабости в бизнесе можно купить решение. Эта сидит за рабочим столом, пьет ваш кофе и хочет как лучше. Вот почему самая большая дыра в вашей безопасности — это человек перед монитором, и почему это не такая плохая новость, как кажется.

Представьте обычный вторник в обычной компании. Не технологическом гиганте, а настоящем бизнесе. Несколько десятков человек, может быть несколько сотен. Собственник, который до сих пор лично согласовывает крупные платежи. Офис-менеджер, который видел десять тысяч счетов и может обрабатывать их практически на автомате. Отдела информационной безопасности нет — да и с чего бы ему быть. Роутер настроен, антивирус оплачен, ноутбуки сами блокируются через пять минут. По любым разумным меркам двери закрыты.

Уязвимость перед монитором

Обычный вторник, обычное письмо

1. Письмо от поставщика

В 14:47 офис-менеджеру приходит письмо. Оно от поставщика, с которым компания работает каждый месяц, ссылается на реальный счет, сообщает, что банковские реквизиты изменились, и просит провести следующий платеж на новый счет. Тон правильный. Логотип правильный. Момент подходящий — платеж действительно должен быть.

2. Сотрудник действует как обычно

Офис-менеджер, занятый текущей задачей и привыкший поддерживать процессы в движении, обновляет карточку и переходит к следующему из четырехсот дел в своем списке.

3. Ничего не выглядит как взлом

Ничего не сломалось. Фаервол не был взломан, программная уязвимость не была использована, пароль не был подобран. Злоумышленник не вскрывал замок. Он постучал, выглядел как человек с ключом, и полезный сотрудник открыл дверь — именно для этого сотрудника и нанимали.

письмо
выглядит
реальным
сотрудник
хочет
помочь

Сейчас почти всегда происходит именно так. Год за годом самые авторитетные отраслевые данные о киберинцидентах — ежегодный отчет Verizon Data Breach Investigations Report — показывают, что человеческий фактор задействован примерно в трех из пяти утечек. Эта цифра почти не меняется уже больше десяти лет, несмотря на каждое новое поколение технологий безопасности.

А когда исследователи измеряют, как быстро убедительное фишинговое сообщение находит свою жертву, медианное время оказывается меньше шестидесяти секунд. Не у «самых невнимательных». У середины распределения. У компетентных, занятых людей, которые делают свою работу.

Если вы хотите понять, где находится ваш реальный риск, перестаньте смотреть на схему сети и посмотрите на кресло.

Почему дверь — это человек

Вот что часто удивляет: человек стал главной целью именно потому, что технологии стали слишком продвинутыми.

Двадцать лет назад злоумышленники проникали через конечные точки, потому что системы безопасности были примитивны — без обновлений, с неправильными настройками, широко открытые. Индустрия два десятилетия их укрепляла. Фаерволы, автоматические обновления, защита конечных устройств, почтовые шлюзы, многофакторная аутентификация. Ничто из этого не идеально, но вместе это подняло стоимость атаки на технологию настолько, что рациональный преступник стал искать более дешевый путь внутрь.

Он его нашел. Оказалось, самый надежный способ пройти мимо укрепленной системы — попросить человека с легитимным доступом впустить вас. Не нужно взламывать вход, если можно убедить пользователя ввести свой пароль на странице, которую контролируете вы. Не нужно ломать платежную систему, если можно убедить сотрудника, который ею управляет, самому отправить деньги. Социальная инженерия не проходит через стек безопасности — она обходит его, нацеливаясь на единственный компонент, который никогда не проектировали как защищенный.

На что давит социальный инженер

рычаг 1

Срочность

Срочность заставляет пропустить проверку.

рычаг 2

Авторитет

Авторитет заставляет подчиниться.

рычаг 3

Знакомый контекст

Знакомый контекст заставляет расслабиться.

Потому что в этом и есть особенность человека перед монитором: его нельзя пропатчить. Любую другую часть защиты можно обновить, когда в ней обнаружена слабость. Человек работает на доверии, готовности помочь, любопытстве и желании быстро доводить дела до конца — и это не баги, которые нужно исправить. Это операционная система нормального рабочего места.

Те самые качества, которые делают человека хорошим сотрудником, являются именно теми рычагами, за которые дергает социальный инженер. Хороший атакующий эксплуатирует не глупость, а паттерны.

И человек находится наверху всей системы. Именно эта деталь делает его самой ценной целью: любой другой контроль в итоге передает решение человеку. Защита конечной точки помечает что-то как подозрительное — и человек решает, разобраться или отмахнуться. Почтовый фильтр помещает пограничное письмо в карантин — и человек решает, выпустить его или нет. Телефон вибрирует с запросом подтверждения входа — и уставший человек посреди совещания нажимает «подтвердить», чтобы это прекратилось.

Вы можете купить лучшие инструменты на рынке, и они все равно передадут финальное суждение тому, кто в этот момент держит устройство в руках. Человек — не просто один из слоев защиты. Это слой, который находится над всеми остальными и обладает правом переопределения.

Вот почему уязвимость находится перед монитором. Не потому, что люди глупы, а потому, что им доверяют, у них есть доступ, и они принимают решения. Ни для одного из этих факторов нельзя установить патч.

«Но мы слишком маленькие, чтобы кому-то быть интересными»

Это самая дорогая фраза, в которую может поверить владелец бизнеса, и ее стоит разобрать, потому что именно на это убеждение злоумышленники рассчитывают больше всего.

Она основана на представлении о взломе двадцатилетней давности: человек в худи вручную выбирает привлекательную цель и долго пытается ее взломать. Современная киберпреступность работает не так. Подавляющее большинство атак автоматизированы и неизбирательны. Фишинговая рассылка не проверяет численность вашего персонала перед отправкой. Бот для перебора учетных данных не интересуется, известный вы бренд или мастерская из пяти человек. Вас не выбирают — вас включают в рассылку вместе со всеми, чей адрес оказался в списке. Небольшой размер не делает вас невидимыми для сети. Он лишь повышает вероятность, что вас поймают тогда, когда вы будете не готовы.

вас не
выбирают
вас
включают
в рассылку


Почему небольшой бизнес тоже интересен злоумышленникам

Есть и другие причины, по которым небольшой бизнес особенно привлекателен. Вы можете быть поставщиком гораздо более крупной компании, а значит — тихим боковым входом к цели, которая стоит значительно больше вас. У вас есть те же ценные активы, что и у больших компаний: клиентские данные, банковские доступы, возможность переводить деньги, — только часто с более тонкой защитой вокруг них. А компрометация деловой переписки, сценарии с поддельными счетами и измененными реквизитами, по собственным оценкам ФБР, обходятся жертвам примерно в пятьдесят тысяч долларов медианных потерь на один инцидент. Сумма, которую гигант переживет, а меньшая компания может и не выдержать.

Не существует размера бизнеса, при котором это перестает быть вашей проблемой. В тот день, когда у вас появился хотя бы один сотрудник, способный открыть письмо, у вас появилась эта уязвимость. Именно поэтому не существует размера, при котором «слишком рано» что-то с этим делать.

Что все измеряют неправильно

Именно здесь вся история меняется, потому что становится видно то, что скрыто за мрачным заголовком. Тот же самый человек, который является вашей главной уязвимостью, является и вашим лучшим датчиком. Сотрудник, который кликнул, потом подумал «что-то было не так» и сообщил об этом, дает вам то, что нельзя купить за деньги: время.

Фишинговая атака, обнаруженная в первые десять минут, — это неприятность. Та же самая атака, обнаруженная через три дня, — это расследование и письмо клиентам. Разница между этими двумя ситуациями почти никогда не в более хорошем фаерволе. Она в том, почувствовал ли один человек, что что-то произошло.

Человек — это не только уязвимость

Человек перед монитором — это самая большая дыра в вашей защите и единственная ее часть, которая может заметить, что что-то не так, подумать и отнестись к этому серьезно. Вы не решите, какой из этих двух ролей он станет, покупкой программного обеспечения. Вы решите это культурой.

Где у небольшой команды есть преимущество, о котором она не знает

В крупной организации с центром мониторинга безопасности сообщение сотрудника — это один сигнал среди тысяч, который специалисты разбирают через свои инструменты. В небольшом бизнесе все гораздо прямее: в компании без команды ИБ человек, который заметил проблему, и есть команда ИБ.

За ним нет аналитика, нет инженера. Это звучит пугающе, пока вы не переосмыслите: это значит, что инстинкт ваших людей — не вспомогательный слой. Это сама линия обороны, и ее можно осознанно формировать.

Сотрудник как линия обороны

Чтобы эта линия выдержала, нужны две вещи

первая

Инстинкт

Первая — инстинкт: небольшой рефлекс остановиться перед необычным. Генеральный директор, которому «срочно» нужны подарочные карты. Поставщик, который внезапно меняет банковские реквизиты по электронной почте. Страница входа, которая выглядит чуть-чуть не так. Такой рефлекс формируется короткими, частыми и реалистичными контактами с подобными ситуациями, а не сорока слайдами раз в год, которые все пролистывают ради сертификата.

вторая

Реакция

Вторая — реакция, и именно ее большинство компаний упускает. Люди быстро сообщают о проблемах только тогда, когда знают, что их не накажут. Если признаться в ошибочном клике означает унижение или отметку в личном деле, рациональный сотрудник делает самое опасное из возможного: молчит и надеется, что все само рассосется.

Каждый час этого молчания — час, который вы бесплатно отдали атакующему. Рабочая среда, которая наказывает за клик, сама платит за удлинение своих инцидентов. Рабочая среда, которая благодарит человека за сообщение — особенно того, кто еще и кликнул, — покупает скорость с большой скидкой.

Самая ценная фраза в безопасности любой компании находится не в политике. Это фраза: «Кажется, я только что ошибся, и я сразу вам об этом говорю». В небольшой команде, где человек, который говорит, и есть вся система раннего предупреждения, такая фраза стоит дорого.

Сложность, от которой никто не может отказаться

Было бы удобно на этом остановиться, но старая рекомендация рассыпается прямо под ногами.

Годами обучение киберграмотности опиралось на удобную подсказку: ищите опечатки, не доверяйте корявой грамматике, замечайте слишком выгодные предложения. Генеративный ИИ тихо отправил все это на пенсию. Приманки теперь грамотные, персонализированные и контекстно точные. Клонированные голоса и поддельные видео превратили фразу «я с ним говорил, это точно был он» в утверждение, которое больше не значит того, что значило раньше. Эпоха, когда атаки можно было распознать по небрежности, заканчивается и уже не вернется.

ИИ
меняет
приманки
привычки
важнее
признаков

Это звучит как катастрофа для человеческого слоя защиты. На самом деле наоборот. Когда больше нельзя отличить настоящее сообщение от поддельного просто по внешнему виду, единственной защитой остаются привычка и процесс: проверять все, что связано с деньгами или учетными данными, через второй канал до действия; замедляться, когда что-то одновременно финансовое и срочное; сообщать обо всем, что кажется странным, даже если вы не можете объяснить почему.

Эти привычки не зависят от того, насколько небрежен злоумышленник. По мере исчезновения технических признаков человеческие рефлексы становятся всей игрой. Уязвимость перед монитором и защита перед монитором — один и тот же человек. И теперь, больше чем когда-либо, то, кем он окажется, зависит от того, чему вы его научили и чувствует ли он себя в безопасности.

Вернемся к ситуации из начала статьи

Вернемся к офис-менеджеру: палец над клавиатурой, перед ним счет, который не является тем, чем кажется.

В одной версии он обновляет карточку, деньги уходят, а бизнес узнает правду через несколько дней от поставщика, который так и не получил оплату. В другой версии приходит то же письмо, с такими же убедительными деталями, в тот же загруженный день, — но тихий инстинкт заставляет сотрудника остановиться, а рабочая среда, которой он доверяет, заставляет взять телефон и проверить. Та же компания. Те же инструменты. Тот же человек. Совершенно другая ситуация.

Вся история — в этом разрыве. Самая большая уязвимость в вашей компании действительно находится перед монитором — не потому, что люди невнимательны, а потому, что им доверяют, у них есть ключи, и любая ваша защита в итоге проходит через их суждение. Это нельзя пропатчить.

Но именно этот же факт означает, что ваша самая большая уязвимость — еще и единственная часть защиты, которая может думать, замечать и переживать за результат.

Главный вывод

Нет такой численности персонала, при которой этим становится «уже пора» заниматься, и нет такой выручки, которую нужно сначала перейти. В тот день, когда в вашем бизнесе появился первый сотрудник, в нем появилась и дыра, и способ ее закрыть. Дело никогда по-настоящему не было в фаерволе. Оно всегда было в человеке — и в том, что вы дали ему в работу.

Хотите проверить, насколько сотрудники готовы к фишингу и социальной инженерии?

Поможем оценить текущий уровень киберграмотности, разобрать реальные сценарии атак и выстроить понятный процесс, в котором сотрудники становятся не слабым местом, а частью защиты.

Получить консультацию Получить консультацию
Поделитесь,
если вам было интересно:
Подберем для вас оптимальное решение
Обсудить проект Обсудить проект
Поиск по сайту