Скрытая угроза: последствия низкого уровня осведомленности сотрудников о кибербезопасности

В Microsoft Office обнаруживается множество уязвимостей, из-за чего меняется подход в понимании механизмов архитектуры его безопасности и потенциальных угроз.

Наш партнер Forcepoint провел исследование по оценке риска и выявил, что документы Microsoft Office могут содержать некоторые семейства вредоносных программ.

 

Работа почтового шлюза Office

В настоящее время шлюзы должны тщательно проверять входящие документы, прежде чем пользователь сможет получить к ним доступ по электронной почте или через другие технологии совместной работы.

Почтовый шлюз по умолчанию удаляет вложения любых исполняемых файлов (например, переносимых исполняемых файлов Windows). В результате у злоумышленников больше шансов внедрить вредоносное ПО внутрь организации, если они будут «смешивать» вредоносное ПО с потоком официальных документов. Ни одна организация не сможет блокировать вход или выход всех документов.

Часто используемые документы Office:

• текстовые документы Word,
• таблицы Excel,
• презентации PowerPoint.

Документы MS Office могут содержать:

• вредоносный макрос;
• встроенное вредоносное ПО (исполняемый код, хранящийся в документе);
• ссылки на вредоносный контент, который будет загружен при переходе;
• эксплойты уязвимостей, которые могут запускать код в системе.

Содержимое файлов может быть сохранено в различных форматах, однако мы сосредоточимся на наиболее распространенных из них, используемых вредоносными программами.

 

Вредоносный макрос

Макрос ­– это мощный способ автоматизации распространенных задач в Microsoft Office, а также повышения продуктивности работы пользователей. Вредоносные программы для работы с макросами используют эти функции для заражения устройства.

Вредоносные макросы скрываются в файлах Microsoft Office и доставляются в виде вложений электронной почты, например, в ZIP-файлах.

Для этих файлов используются имена, которые должны убедить пользователя открыть их. Они часто выглядят как счета, квитанции, юридические документы и т. п.

Они были довольно распространены несколько лет назад, так как выполнялись автоматически при открытии документа. В последней версии Microsoft Office макросы отключены по умолчанию. То есть авторы вредоносных программ должны убедить пользователей включить макросы для запуска. Это можно сделать, вызвав фальшивые предупреждения при открытии вредоносного документа.

Угрозы для загрузки вредоносных программ:

• Trojan-Ransom.Win32.Rector
• TrojanDownloader:Win32/Chanitor
• TrojanSpy:Win32/Ursnif
• Win32/Fynloski
• Worm:Win32/Gamarue

Вредоносные макросы существуют с момента появления WM или Concept, работающего под управлением Microsoft Word.

Макросы представляют собой небольшие фрагменты кода, которые выполняются при соблюдении определенных глобальных условий. Например «AutoOpen» будет выполняться при открытии документа.

Следовательно злоумышленник сможет запустить макрос-код после загрузки документа в среду Office.

Microsoft добавила защиту, позволяющую пользователям контролировать выполнение макросов, если они присутствуют, но спустя 20 с лишним лет это все еще остается проблемой.

 

Форматы документов

Документы Microsoft могут храниться в совершенно разных формах. Более старые (например, сложный двоичный формат файла, OLE2) по-прежнему используются, но в новых документах Office в основном данные хранятся в ZIP-архивах.

Все эти форматы имеют возможность встраивать другие файлы или объекты (исполняемый код или сценарии). Есть и объекты, которые могут ссылаться на внешний контент. Поэтому будьте бдительны.

 

---

Прочитайте также следующие статьи на эту тему:

• Новые целенаправленные угрозы: сколько вам будет стоить целевая атака (APT)
• 6 лучших практик защиты электронной почты для сотрудников
• Защита от фишинга: не позволяйте сотрудникам попасть на крючок

---

 

Эксплойты

В каждой программе есть ошибки. Если ваше приложение получает данные, которыми вы не управляете, то злоумышленники попытаются найти ошибки в коде. После использования ошибки они смогут запускать собственный код.

Злоумышленники нацелены на известные уязвимости, которые могут применяться к широкой аудитории.

Эксплойты с нулевым днем (0-day) редки, поскольку они используют ранее неизвестные уязвимости. Однако Stuxnet был известен тем, что использовал 4 эксплойта нулевого дня, когда впервые появился.

 

Осведомленность о кибербезопасности

Более 80% всех инцидентов нарушения кибербезопасности вызваны человеческим фактором.

Предприятия теряют огромные средства, восстанавливая ресурсы после нарушений безопасности из-за действий сотрудников. К сожалению, традиционные программы обучения, призванные предотвращать такие инциденты, недостаточно эффективны.

Убытки, вызванные человеческим фактором:

• Средний ущерб от атак по всему миру, связанных с неосторожностью или неосведомленностью сотрудников, составляет более 200 000 долларов США для компаний малого и среднего бизнеса.
• Ущерб от атак, связанных с фишингом и применением социальной инженерии, составляет около 3 600 000 долларов США на предприятие для компаний малого и среднего бизнеса.
• Средний ущерб от фишинговых атак (без учета других типов киберугроз) составляет более 400 долларов США на сотрудника в год.
• 52% всех организаций считают неосторожность сотрудников (пользователей) главной проблемой в стратегии обеспечения IT-безопасности.

 

 

Барьеры для эффективного повышения осведомленности о кибербезопасности

Компании по всему миру внедряют программы повышения осведомленности, но часто результаты обучения сотрудников оставляют желать лучшего. Малым и средним предприятиям особенно сложно из-за нехватки опыта и ресурсов.

Даже организации, в которых повышением осведомленности сотрудников занимаются выделенные рабочие группы, испытывают трудности.

Компании выбирают разовые занятия или хорошо структурированные профессиональные обучающие программы, из которых используют лишь некоторые базовые функции и инструменты. Полный курс обучения оказывается слишком сложно организовать.

Как результат — в обоих случаях сотрудники не получают навыков, необходимых для обеспечения кибербезопасности организации.

Компания CloudNetworks проводит программы повышения осведомленности.

 

Устранение угроз информационной безопасности изнутри

Подавляющая доля урона из-за упущений в кибербезопасности ляжет на плечи крупных организаций. Но и SMB компании должны принимать все возможные меры, чтобы защитить свой бизнес. Работа строится на личных отношениях с персоналом и клиентами, и на кон поставлены не только деньги, но и личные связи, репутация…

Но существует ряд мер, доступных для компаний любого размера, которые позволят повысить безопасность на каждом уровне и быть готовым к отражению угроз:

• Обучение персонала безопасности в сети и внедрение передового опыта.

Найдите курса обучения (интерактивный или с необходимостью личного присутствия), в котором освещаются темы  распознавания и обработки поддельной электронной почты, поддержка обновлений системы безопасности, безопасное поведение в интернете и т. д. Это может значительно смягчить последствия информационных катастроф. 

• Помните о человеческом факторе.

Сотрудники могут допускать распространенные ошибки. Например, хранить пароли в недопустимом месте, загрузить подозрительные вложения электронной почты и пр. Обучение сотрудников, ИТ-персонала и руководства должно быть приоритетной задачей. Столь же важно выработать у всех сотрудников полезные привычки, связанные с безопасностью. В процессе обучения пользователей необходимо снабдить рекомендациями, помогающими избежать вредоносных действий и предоставить сведения о возможных угрозах и способах их предотвращения.

• Правильно выберите почтового клиента.

Удобный доступ к электронной почте практически с любого устройства очень важен для бизнеса, но никогда не стоит ради удобства жертвовать безопасностью. Оптимальный способ – служба электронной почты, которая позволяет отличить спам и фишинг от нормальных сообщений и правильно фильтровать их. Будет лучше, если фильтры вашей электронной почты позволят отключать гиперссылки и не допустят, чтобы ваши коллеги отвечали на вредоносные сообщения. Обнаружение программы с такими фильтрами, которые можно установить на уровне как отдельных пользователей, так и групп.

• Обеспечьте поддержку политики использования устройств.

Разработайте порядок действий в случае потери устройства и донесите сотрудникам, с кем они должны связываться и объясните, что должно произойти с технической точки зрения при пропаже устройства. В качестве дополнительного уровня защиты включите на устройствах сотрудников двухфакторную аутентификацию. Чтобы, даже в случае кражи устройства, похититель не смог его разблокировать.

• Обновляйте программное обеспечение.

Важный урок, которой мы можем вынести из инцидента компании – каждый сотрудник на всех уровнях сверху донизу должен регулярно обновлять свое программное обеспечение.

 

Заключение

Информационная безопасность является чрезвычайно важным фактором корректного функционирования малого, среднего и крупного предприятия.

Для поддержания функционирования компании необходимо систематически проводить оценку возможных рисков, анализ рисковых ситуаций, либо полный аудит предприятия.

Говоря об обучении пользователей, эта тема никогда не потеряет актуальности. Сколько бы средств защиты вы не внедряли, следует обучать персонал их правильному использованию. Необходимо регулярно направлять своим сотрудникам обновленные материалы и памятки о важности соблюдения всех мер предосторожности.