Взращивания культуры безопасности среди сотрудников является важной частью построения системы ИБ в компаниях. Но как показали исследования, фишинговые кибератаки приводят к компрометации чаще всего не за счет всей команды, а только её части. В среднем, не более 12 % сотрудников поддаются этому риску.
- Введение
- Доклад «Data Breach Investigation Report 2022»
- Фишинг действует только на 4,1 % пользователей
- «Инсайдер» для фишинговых атак — кто он?
- Портрет работника, склонного к рискованным операциям
- Злоумышленники меняют тактику
- Выводы
Введение
В рамках работы популярного сообщества по безопасности BlueHat 2023, организатором которого выступает Microsoft, недавно состоялось выступление сооснователя и президента компании Elevate Security Маши Седовой. Elevate Security — это стартап, который развивается в рамках партнёрской программы Microsoft Pegasus. Он проводит исследования рынка, участвует в проектах по совершенствованию рабочих команд и проведению ИБ-тренингов для них.
Тема выступления Маши Седовой касалась результатов исследования огромной базы данных по фишингу и кибератакам с использованием вредоносных программ, собранных по всему миру за восемь лет — с июня 2014 г. по июль 2022 г. Данные были предоставлены многочисленными партнёрами Microsoft. Среди полусотни таких ИБ-компаний была, в частности, «Лаборатория Касперского».
Elevate Security поставила перед собой задачу найти закономерности в собранных данных, провести имитационное тестирование для проверки формируемых гипотез и постараться понять, какие существуют особенности в распространении фишинга и вредоносных программ, как их используют (если такое действительно есть) злоумышленники.
Рисунок 1. Выступление Маши Седовой, гендиректора Elevate Security, на BlueHat 2023
Доклад «Data Breach Investigation Report 2022»
Предварительно следует напомнить о ряде интересных выводов, которые были представлены год назад в докладе группы исследователей из американской телеком-компании Verizon. Отметим, что последняя выделяется на фоне других игроков телеком-рынка своим вниманием к развитию новых технологий 5G и безопасности.
Согласно DBIR 2022, подавляющая часть (82 %) инцидентов, которые привели к подтверждённой компрометации данных, были напрямую связаны с человеческим фактором. Собранная глобальная статистика позволяет утверждать, что злоумышленникам удалось таким образом сконцентрироваться на своих главных целях: краже финансовых данных и промышленном шпионаже. Злоумышленников интересовали в первую очередь учётные записи (63 %), корпоративная информация (32 %) и персональные данные (24 %).
Как сообщалось в докладе, действия злоумышленников проявлялись в первую очередь в виде фишинга (68 %), незаконного получения учётных данных (32 %) и совершения мошеннических (pretexting) атак (30 %). Для эффективного достижения результата киберпреступники применяли несколько методов сразу.
Анализ показал, что действия злоумышленников были направлены в первую очередь не на преодоление установленной программной защиты, а на то, чтобы заставить работников компаний выполнить ошибочное или злонамеренное действие. Человек, таким образом, всё ещё остаётся наиболее слабым звеном в защите.
Рисунок 2. Методы социальной инженерии и их доля при совершении краж данных (Elevate Security)
Фишинг действует только на 4,1 % пользователей
Вернёмся к выступлению Маши Седовой на BlueHat 2023. Целью исследования Elevate Security была проверка тезиса, что кибератаки в целях кражи данных, направленные против сотрудников, преобладают над атаками против программных средств защиты.
Результаты показали, что эта гипотеза была сформулирована неточно. Большинство пользователей обладают высокой степенью устойчивости к фишинговым кибератакам: 76 % работников никогда не переходят по вредоносным ссылкам, получаемым ими через корпоративную почту или мессенджеры. За 80 % успешных фишинг-переходов были ответственны лишь 4 % пользователей.
Аналогичная картина наблюдается и в отношении заражения вредоносными программами: 93 % сотрудников не совершают действий способных привести к подобному инциденту, а ответственность за 92 % случаев проникновения инфекций лежит на 3 % пользователей.
Это явление объясняется, по словам Маши Седовой, тем, что большинство людей по той или иной причине не склонны совершать рискованные действия. «Аппетит к риску» характерен только для небольшой части работников.
Чтобы убедиться в правильности обнаруженной закономерности, исследователи Elevate Security провели серию имитационных «фишинговых» атак в организациях-партнёрах. Использовались взятые из реальной жизни образцы нежелательных писем, но атаки не несли опасности для компаний. В исследовательских целях было отправлено более 3,4 млн невредоносных фишинг-писем.
Эти эксперименты показали, что имитационные письма открыли только 7,6 % пользователей, а по фишинговой ссылке перешло ещё меньше сотрудников — только 4,1 %.
Рисунок 3. Пользователи получают разное количество фишинговых сообщений за год (Elevate Security)
«Инсайдер» для фишинговых атак — кто он?
Гипотеза, выдвинутая Elevate Security, состояла в том, что в компаниях существуют группы сотрудников, характер действий которых создаёт наибольший риск с точки зрения различных кибератак. Соответственно, нужно было выделить эти группы пользователей по каким-либо характерным признакам.
Исследователи решили определить пороговый уровень склонности к переходу по фишинговым ссылкам, чтобы отсечь тех сотрудников, кто иногда ошибочно совершает небезопасные действия, но в целом не относится к группе риска. Опытным путём были найдены эти пороговые значения, по которым в Elevate Security предлагают относить людей к категории «пользователей высокого уровня риска» (high risk user). Данные представлены в таблице.
Рисунок 4. Пороговые показатели для оценки категории «рискованных пользователей» (Elevate Security)
Отметим, что в таблице упоминаются фишинговые атаки двух видов: фактические (результаты реальной деятельности сотрудников) и оценочные (по результатам экспериментальной проверки). Пороговые значения также разделены на два типа: усреднённые, которые указывают на переход в зону повышенного риска, и максимальные, указывающие на принадлежность к категории пользователей с высоким уровнем риска.
Портрет работника, склонного к рискованным операциям
Какова же реальная доля сотрудников, которые склонны к выполнению рискованных операций? Связаны ли их паттерны поведения с ролями, которые они играют в компаниях?
По оценкам исследователей Elevate Security, в среднем доля сотрудников склонных к риску составляет около 12 %, хотя фактически может варьироваться от 5 до 20 % в зависимости от различной специфики.
В Elevate Security называют также и «цену» присутствия таких работников: на них приходится около 30 % всех фишинг-инцидентов, около 54 % всех опасных переходов в браузере и 42 % всех заражений вредоносными программами.
На этом исследователи не остановились. Имея на руках результаты проверки реально состоявшихся и имитированных фишинговых атак, они определили доли «риск-пользователей» в зависимости от характера их деятельности (различные отделы компаний). Эти сводные данные приведены на диаграмме.
Рисунок 5. Доля риск-пользователей в департаментах компаний (Elevate Security)
В итоге была выдвинута гипотеза, что род деятельности в определённой степени определяет склонность к выполнению рискованных операций. Это заявление Маши Седовой вызвало не только интерес со стороны офлайн-слушателей BlueHat 2023, но и смешки в зале. Поэтому данный тезис, наверное, можно считать спорным.
Рисунок 6. Доля риск-пользователей с учётом совершаемых инцидентов в компаниях (Elevate Security)
Исследователи также попробовали оценить склонность менеджмента компаний поддаваться на уловки злоумышленников. Согласно собранной статистике, наибольших рисков следует ожидать со стороны руководителей среднего звена, в то время как высшее руководство и младший менеджмент более «безопасны». Итоговые данные представлены на диаграмме.
Рисунок 7. Доля риск-пользователей среди менеджеров (Elevate Security)
Возможно, полученные результаты относительно рискованности менеджмента покажутся читателю сомнительными. Следует отметить, что речь идёт о совсем малой части пользователей (10–12 %). Не была также представлена оценка точности распределения, хотя все данные носят вероятностный характер. Но на качественном уровне эти данные, без сомнения, интересны.
Выступая на BlueHat, Маша Седова также привела диаграмму по относительной доле сотрудников, которые облегчают злоумышленникам проведение кибератак против себя. Согласно этим данным, более половины пользователей (52 %) никогда не реагируют на появление вредоносных ссылок. Оставшаяся часть имеет весьма широкое распределение.
Рисунок 8. Большинство пользователей никогда не переходят по фишинговым ссылкам (Elevate Security)
Среди тех пользователей, которые всё-таки иногда попадаются на крючок мошенников, большинство (75 %) не склонны к рискованным действиям. Злоумышленникам удаётся вовлечь в свой вредоносный процесс лишь незначительную часть работников: около одного процента. Именно на них и приходится основная доля переходов по фишинговым ссылкам.
Рисунок 9. Доля «рискованных» управленцев и рядовых сотрудников в различных подразделениях компаний
Злоумышленники меняют тактику
Особенности психологии пользователей и их склонность к выполнению рискованных операций уже активно используются частью злоумышленников, считает Маша Седова. Согласно анализу реальных фишинговых атак, на долю небольшой части сотрудников с высоким уровнем риска приходится уже около 41 % всех успешных киберпреступных операций.
Отметим, что это — результаты опытных исследований и к ним следует относиться с должной осторожностью. Но гипотеза, что злоумышленники скоро перестанут рассылать свои вредоносные письма всем сотрудникам подряд, похоже, имеет все основания оказаться достоверной. ИИ и автоматизация, развитие программных средств оценки склонности пользователей к совершению тех или иных рискованных операций могут привести к тому, что злоумышленники перейдут к более адресной рассылке фишинговых писем, повышая эффективность своих атак.
Выводы
В Elevate Security оценили участие работников в реализации кибератак против компаний. Как оказалось, ответственность за это лежит в основном на очень небольшой группе пользователей.
Предложенные Elevate Security методики интересны ещё и тем, что могут помочь оценить ИБ-подготовку пользователей при отборе кандидатов на повторное обучение основам кибербезопасности. Аналогичные тесты могут проводиться также на этапе приёма на работу или для оценки общей культуры безопасности внутри компании.