Главная > Аналитика > Скрытая угроза: последствия низкого уровня осведомленности сотрудников о кибербезопасности
Быстрый переход
в категорию
18.09.2019
Скрытая угроза: последствия низкого уровня осведомленности сотрудников о кибербезопасности
За последнее время обнаружено множество уязвимостей в Microsoft Office, что потребовало изменить подход в понимании механизмов архитектуры его безопасности и потенциальных угроз.

В компании Forcepoint специалисты провели исследования по оценке риска, выявив, что документы Microsoft Office могут содержать некоторые семейства вредоносных программ.  Антивирусные движки должны иметь возможность классифицировать документ как вредоносный, чтобы блокировать его, в то время как мы сможем оценить уровень риска, который несет документ без ограничений. Если уровень риска неприемлем, мы можем заблокировать или поместить в карантин документ на шлюзах.

Работа с документами и программами Office занимает значительную часть современной жизни людей. В связи с тем, что в настоящее время шлюзы должны тщательно проверять входящие документы, прежде чем пользователь сможет получить к ним доступ либо по электронной почте, либо через другие технологии совместной работы. В наши дни почтовый шлюз по умолчанию удаляет вложения любых исполняемых файлов (например, переносимых исполняемых файлов Windows). В результате у злоумышленников будет больше шансов получить вредоносное ПО внутри целевой организации, если они смогут смешать свое вредоносное ПО с потоком документов целевой организации. Ни одна организация не может блокировать вход или выход всех документов.

Документы MS Office могут быть довольно опасными, поскольку они могут содержать:

  • вредоносный макрос
  • встроенное вредоносное ПО (то есть исполняемый код, хранящийся в документе)
  • ссылки на вредоносный контент, который будет загружен при переходе
  • эксплойты уязвимостей, которые могут запускать код в системе

Часто используемые документы Office:

  • текстовые документы Word
  • таблицы Excel
  • презентации PowerPoint

Содержимое этих файлов может быть сохранено в различных форматах, однако мы сосредоточимся на наиболее распространенных из них, используемых вредоносными программами.

Вредоносный макрос

Макросы ­– это мощный способ автоматизации распространенных задач в Microsoft Office, а также повышения продуктивности работы пользователей. Однако вредоносные программы для работы с макросами используют эти функции для заражения устройства.

Вредоносные макросы скрываются в файлах Microsoft Office и доставляются в виде вложений электронной почты, например, в ZIP-файлах. Для этих файлов используются имена, которые должны убедить пользователя открыть их. Они часто выглядят как счета, квитанции, юридические документы и многое другое.

Вредоносные программы макросов были довольно распространены несколько лет назад, так как макросы выполнялись автоматически при открытии документа. Однако в последней версии Microsoft Office макросы отключены по умолчанию. Это означает, что авторы вредоносных программ должны убедить пользователей включить макросы, чтобы их можно было запустить. Это можно сделать, вызвав фальшивые предупреждения при открытии вредоносного документа.

Угрозы для загрузки вредоносных программ на следующих семействах:

  • Trojan-Ransom.Win32.Rector
  • TrojanDownloader:Win32/Chanitor
  • TrojanSpy:Win32/Ursnif
  • Win32/Fynloski
  • Worm:Win32/Gamarue

Вредоносные макросы существуют с момента появления WM или Concept, работающего под управлением Microsoft Word. Макросы, как правило, представляют собой небольшие фрагменты кода, которые выполняются при соблюдении определенных глобальных условий, например «AutoOpen» будет выполняться при открытии документа. Это означает, что злоумышленник может запустить макрос-код после загрузки документа в среду Office. Microsoft добавила защиту, позволяющую пользователям контролировать выполнение макросов, если они присутствуют, но спустя 20 с лишним лет это все еще остается проблемой.

 

Форматы документов

Документы Microsoft могут храниться в совершенно разных формах. Более старые, такие как сложный двоичный формат файла (с этого момента он упоминается как формат файла OLE2), по-прежнему широко используются, хотя в новых документах Office используется в основном ZIP-архив с различными файлами, включенными в них. Все эти форматы имеют возможность встраивать другие файлы или объекты, такие как исполняемый код или сценарии. Также есть объекты, которые могут ссылаться на внешний контент.

 

Эксплойты

В каждой программе есть ошибки, некоторые более серьезные, чем другие. Если ваше приложение получает данные, которыми вы не управляете, злоумышленники попытаются найти ошибки в коде, которые позволят им запускать собственный код после использования ошибки. Эксплойты с нулевым днем (0day), как правило, редки, поскольку они используют ранее неизвестные уязвимости, которые никто не встречал ранее. Но, например, Stuxnet был известен тем, что использовал 4 эксплойта нулевого дня, когда он впервые появился.

Злоумышленники нацелены на известные уязвимости, которые могут применяться к широкой аудитории.

 

Осведомленность о кибербезопасности

Более 80% всех инцидентов нарушения безопасности вызваны человеческим фактором. Предприятия теряют огромные средства, восстанавливая ресурсы после нарушений безопасности, вызванных действиями сотрудников. К сожалению, традиционные программы обучения, призванные предотвращать такие инциденты, недостаточно эффективны. Обычно они не вдохновляют пользователей и не позволяют сформировать у них требуемое поведение.

Человеческий фактор как основной киберриск:

  • Средний ущерб от атак по всему миру, связанных с неосторожностью или неосведомленностью сотрудников, составляет более 200 000 долларов США для компаний малого и среднего бизнеса
  • Ущерб от атак, связанных с фишингом и применением социальной инженерии, составляет около 3 600 000 долларов США на предприятие для компаний малого и среднего бизнеса
  • Средний ущерб от фишинговых атак (без учета других типов киберугроз) составляет более 400 долларов США на сотрудника в год
  • 52% всех организаций считают неосторожность сотрудников (пользователей) главной проблемой в стратегии обеспечения IT-безопасности.

Барьеры для эффективного повышения осведомленности о кибербезопасности

Компании по всему миру внедряют программы повышения осведомленности о киберугрозах, но зачастую обучение сотрудников и его результаты оставляют желать лучшего. Чаще всего со сложностями сталкиваются предприятия малого и среднего бизнеса: как правило, им не хватает опыта и выделенных ресурсов.

Даже организации, в которых повышением осведомленности сотрудников занимаются выделенные рабочие группы, испытывают трудности. Как правило, компании выбирают один из двух вариантов: проводят разовые занятия (например, «Кибербезопасность за 1 час») или хорошо структурированные профессиональные обучающие программы, из которых, однако используют лишь некоторые базовые функции и инструменты: несколько волн симулированных фишинговых атак в течение года и пара обзорных уроков. Полный курс обучения оказывается слишком сложно организовать. Как результат — в обоих случаях сотрудники не получают навыков, необходимых для обеспечения кибербезопасности организации.

 

Устранение угроз информационной безопасности изнутри

Конечно, подавляющая доля урона, понесенного из-за упущений в кибербезопасности, ляжет на плечи крупных организаций, но это вовсе не значит, что малые и средние компании не должны принимать все возможные меры, чтобы защитить свой бизнес. На самом деле, поскольку работа строится на личных отношениях с персоналом и клиентами, то на кон поставлены не только деньги, но и личные связи, репутация и т. д. К счастью, существует ряд мер, доступных для компаний любого размера, которые позволят повысить безопасность на каждом уровне и быть готовым к отражению угроз.

  • Обучение персонала безопасности в сети и внедрение в компании передового опыта может значительно смягчить последствия информационных катастроф. Нахождение курса обучения (интерактивный или с необходимостью личного присутствия), в котором освещаются такие темы, как распознавание и обработка поддельной электронной почты, поддержка обновлений системы безопасности, безопасное поведение в интернете и т. д.
  • Сотрудники могут допускать такие распространенные ошибки как хранение своих паролей там, где их могут увидеть другие, загрузка и открытие вложений электронной почты, которые содержат вирусы, или оставление компьютера включенным на ночь. Поскольку человеческий фактор оказывает значительное влияние на компьютерную безопасность, обучение сотрудников, ИТ-персонала и руководства должно быть приоритетной задачей. Столь же важно выработать у всех сотрудников полезные привычки, связанные с безопасностью. Эти подходы являются наиболее экономичными для организации в долгосрочной перспективе. В процессе обучения пользователей необходимо снабдить рекомендациями, помогающими избежать вредоносных действий и предоставить сведения о возможных угрозах и способах их предотвращения.
  • Выбор правильного почтового клиента. Удобный доступ к электронной почте практически с любого устройства очень важен для бизнеса, но никогда не стоит ради удобства жертвовать безопасностью. Оптимальный способ – это нахождение службы электронной почты, которая позволяет отличить спам и фишинг от нормальных сообщений и правильно фильтровать их. Будет еще лучше, если фильтры вашей электронной почты позволят отключать гиперссылки и не допустят, чтобы ваши коллеги отвечали на вредоносные сообщения. Обнаружение программы с такими фильтрами, которые можно установить на уровне как отдельных пользователей, так и групп.
  • Поддержка политики использования устройств. Есть возможность сделать физическую безопасность краеугольным камнем политики компании, в которой использует лучшие методы обеспечения безопасности устройств. Разработать порядок действий в случае исчезновения устройства, донеся сотрудникам, с кем они должны связываться, и дать ясный ответ на вопрос, что должно произойти с технической точки зрения при пропаже устройства. В качестве дополнительного уровня защиты потребуется всем сотрудникам включить на своих устройствах двухфакторную аутентификацию. Таким образом, даже в случае кражи устройства, похититель не сможет увидеть в нем никаких данных, кроме экрана блокировки.
  • Обновление программного обеспечения. Важный урок, которой мы можем вынести из инцидента компании – каждый сотрудник на всех уровнях сверху донизу должен регулярно обновлять свое программное обеспечение.

 

Заключение

 

Информационная безопасность является чрезвычайно важным фактором корректного функционирования малого, среднего и крупного предприятия. Для поддержания функционирования компании необходимо систематически проводить оценку возможных рисков, анализ рисковых ситуаций, либо полный аудит предприятия.

Говоря об обучении пользователей, эта тема никогда не теряет своей актуальности. Сколько бы средств защиты вы не внедряли, следует обучать персонал их правильному использованию: необходимо регулярно направлять своим сотрудникам обновленные материалы и памятки о важности соблюдения всех мер предосторожности.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.