Мнение

Как залатать человеческие уязвимости?

Современные сложные угрозы

В наши дни ситуация в области информационных угроз чрезвычайно сложна. Киберпреступники применяют разнообразные угрозы, позволяющие получать контроль над компьютерами пользователей и зарабатывать деньги незаконным путем. В их число входят троянские программы разных видов, черви и вирусы, а также эксплойты, позволяющие вредоносным программам использовать уязвимости в операционной системе или приложениях. Кроме того, в арсенале киберпреступников широкий набор сложных технологий, позволяющих скрыть вредоносные действия или затруднить поиск, анализ и обнаружение вредоносного кода антивирусными экспертами.

В результате очень легко прийти к подходу, при котором проблема киберпреступности и пути ее решения рассматриваются исключительно с технологической точки зрения. Я же считаю, что необходимо разбираться и с человеческим аспектом киберпреступности.

Люди: самое слабое звено в цепи информационной безопасности

Несмотря на технологическую изощренность современного вредоносного ПО, для распространения своих программ киберпреступники нередко прибегают и к использованию человеческих слабостей. В этом нет ничего удивительного. Как правило, люди — самое слабое звено в любой системе безопасности. Простой пример — охрана жилища: можно установить в доме лучшую в мире систему защиты от взлома, но если вы не включили ее, то пользы она вам не принесет. То же касается и безопасности при пользовании интернетом. Киберпреступники по-прежнему активно пользуются приемами социальной инженерии, т.е. обманным путем заставляют людей делать то, что угрожает их безопасности при работе в интернете.

Это проявляется и в неизменной успешности фишинга — вида мошенничества, при котором пользователей заманивают на фальшивый вебсайт, где они сообщают свои личные данные, такие как имя пользователя, пароль, ПИН, и другую информацию, которая киберпреступникам может пригодится. При использовании классической фишинговой схемы миллионам пользователей рассылается спам-сообщение со ссылкой на фальшивый сайт в надежде, что достаточно много получателей клюнут на наживку и пройдут по ссылке. Подобные атаки до сих пор проводятся регулярно.

Как и карманные воры, онлайн-мошенники предпочитают места, где собирается много народа. Учитывая, как быстро растет число пользователей Facebook, MySpace, LinkedIn, Twitter и других социальных сетей, нет ничего удивительного в том, что киберпреступники постоянно держат эти сервисы под прицелом. Они используют взломанные учетные записи Facebook для рассылки сообщений, содержащих ссылки на вредоносные программы. Другой вариант — рассылка содержащих ссылки коротких сообщений в сети Twitter (tweets), причем сайт назначения скрывается с помощью сервиса сжатия URL-адресов. Злоумышленник также может выдавать себя за друга, оказавшегося в далекой стране без гроша, которому срочно необходимы деньги на билет домой. Ни один из этих подходов не создан специально для социальных сетей — киберпреступники просто применяют хорошо зарекомендовавшие себя мошеннические схемы.

О популярности социальной инженерии свидетельствует и все большая распространенность фальшивых антивирусных программ. Мошеннические схемы, в которых они задействованы, начинают работать со всплывающего сообщения на веб-сайте, из которого следует, что ваш компьютер заражен и вам необходимо загрузить бесплатную антивирусную программу для удаления якобы найденного вредоносного ПО. Но когда вы загружаете и запускаете предлагаемую программу, она сообщает, что для удаления с компьютера вредоносных программ необходима ее «полная» версия, за которую придется заплатить. В случае успеха мошенники оказываются в двойном выигрыше: они не только зарабатывают на фальшивом антивирусе, но и заполучают реквизиты вашей кредитной карты.

Одна из проблем с атаками, основанными на социальной инженерии, состоит в том, что каждая новая атака непременно отличается от предыдущей. Поэтому пользователям трудно разобраться, что безопасно, а что нет.

Конечно, дело не только в неосведомленности людей об опасности. Иногда возможность бесплатно загрузить аудио- или видео-контент или фотографию известной личности в обнаженном виде побуждает пользователей щелкнуть мышью по ссылке, которую следовало бы проигнорировать. Здравый смысл зачастую подсказывает нам, что если вещь слишком хороша, то с ней что-то не так. Однако такой здравый смысл может не привести пользователя к пониманию, что его действие — в данном случае щелчок по ссылке — может быть сопряжено с риском.

Иногда люди стараются «срезать углы», чтобы облегчить себе жизнь, не понимая, какими с точки зрения безопасности могут быть последствия. Это относится, в частности, к паролям. Все больше деловой активности перемещается в интернет: покупки, банковские услуги, оплата счетов, поддержание связей с коллегами и т.п. У многих пользователей число учетных записей в онлайн-системах превышает десяток или даже два. В результате запомнить (или даже выбрать) уникальные пароли для каждой учетной записи становится очень трудной задачей. Поэтому очень велик соблазн использовать для всех учетных записей один и тот же пароль или выбирать в качестве пароля имя ребенка или супруга, или название места, с которым у человека связаны личные ассоциации и которое поэтому легко запомнить. Другой распространенный подход — использование одного и того же пароля с небольшими вариациями, например, «myname1», «myname2», «myname3» и так далее для всех новых учетных записей. Прибегая к подобным подходам, пользователь увеличивает шансы на то, что злоумышленники смогут подобрать пароль к учетной записи. При этом если одна учетная запись уже взломана, киберпреступникам не составит труда получить доступ и к остальным. Но эта опасность не очевидна для не имеющих технической подготовки работников и общественности в целом. Даже когда людей информируют о риске, связанном с подобным подходом к использованию паролей, они не видят реальной альтернативы, поскольку они просто не в состоянии запомнить 10, 20 или даже больше паролей.

У проблемы паролей есть решение. Вместо того чтобы пытаться запомнить отдельные пароли, начните с постоянной составляющей и получайте новые пароли, шифруя ее с помощью несложной формулы. Вот пример: начните с имени онлайн-ресурса, например, «mybank». Затем примените следующий алгоритм:

  • Поменяйте четвертую букву на заглавную.
  • Переместите второй с конца символ в начало.
  • Добавьте выбранное вами число после второго символа.
  • Добавьте в конце выбранный вами символ (но не букву или цифру).

В результате получится следующий пароль: n1mybAk;. С помощью этого метода можно создать уникальный пароль для каждой учетной записи, выполняя каждый раз один и тот же алгоритм, состоящий из четырех шагов.

Что делать?

Конечно, в основе любого решения, предназначенного для борьбы с вредоносным ПО, лежит технология. Тем не менее, мне кажется, что было бы неразумно игнорировать человеческий фактор в проблеме безопасности. Мы знаем, что в реальной жизни системы сигнализации, оконные запоры и цепочки на входных дверях эффективно помогают обезопасить имущество. Но они не помешают ничего не подозревающему человеку стать жертвой нападения, открыв дверь незнакомцу.

Аналогично, корпоративная стратегия безопасности не сможет быть максимально эффективной, если она не будет принимать в расчет человеческий фактор. Необходимо найти нетривиальные способы «латания» человеческих ресурсов наряду с обеспечением безопасности цифровых.

Эта проблема затрагивает не только офисы. Большинство пользователей, выходящих в интернет из дома, подвергаются такой же опасности. Поэтому всему обществу в целом нужно найти способы повысить уровень осведомленности людей о риске, связанном с работой в интернете, и выработать эффективные методы минимизации этих рисков.

Где взять здравый смысл для работы в интернете?

В «оффлайновой» жизни люди справляются с риском достаточно хорошо. Например, у нас есть целый ряд общепринятых приемов, основанных на здравом смысле, которые мы применяем, предостерегая детей от опасности, возникающей при переходе дороги: мы приучаем их пользоваться пешеходными переходами, а там, где это невозможно, внимательно смотреть в обе стороны, прежде чем переходить дорогу. Кроме того, уже целое поколение, или даже два, воспитано на телевизионной, печатной и радиорекламе, предупреждающей об опасности управления машиной в нетрезвом состоянии и отказа от использования ремней безопасности.

Конечно, основанные на здравом смысле советы, которые мы даем детям, и предупреждения государственных органов о необходимости соблюдать правила безопасного вождения не могут гарантировать безопасности. Но они дают нам информацию, помогающую минимизировать риск. В наши дни вождение машины в нетрезвом виде стало социально неприемлемым, и вызванных выпившими водителями инцидентов на дороге в наши дни куда меньше, чем их было сорок лет назад.

К сожалению, говорить о здравом смысле применительно к работе в интернете пока не приходится. В этом нет ничего удивительного. По сравнению с несколькими поколениями водителей и многими поколениями пешеходов, переходящих дороги, интернет — совершенно новое явление. Люди еще только приходят к пониманию того, какую пользу им может принести интернет. Увы, многие при этом пребывают в блаженном неведении относительно опасностей, подстерегающих их при этом.

Здесь общество сталкивается с определенным парадоксом. Дети учатся у своих родителей множеству основанных на здравом смысле стратегий безопасности в оффлайновом мире. Но при пользовании интернетом современные родители зачастую неспособны учить своих детей безопасности, поскольку сами не знакомы с этой «новой» технологией. При этом дети пользоваться технологией готовы, но, как правило, плохо осведомлены об опасностях, которые таятся в интернете.

Тем не менее, нам всем вместе очень важно выработать здравый смысл при работе в интернете. Если это удастся, нынешним детям в будущем будет куда проще обеспечить безопасность их собственных детей.

О важности просвещения сотрудников

Прежде всего, важно не путать просвещение с обучением. Научить каждого быть компьютерным специалистом совершенно нереально. Но нужно информировать людей об интернет-угрозах и о конкретных действиях, которые можно предпринять для защиты от них.

Для компаний и других организаций просвещение сотрудников должно быть одной из ключевых составляющих эффективной стратегии обеспечения безопасности. Природу угрозы нужно объяснять простым и понятным языком. Сотрудники должны понимать, какие защитные меры реализованы в организации и почему, и как эти меры могут отражаться на выполнении ими своих обязанностей. У стратегии безопасности куда больше шансов на успех, если сотрудники ее понимают и поддерживают. Кроме того, очень важно создать культуру открытости: необходимо поощрять работников к тому, чтобы они сообщали о подозрительных действиях, а не скрывали их из-за страха перед возможным дисциплинарным взысканием. Если люди будут чувствовать угрозу или окажутся поставлены в глупое положение, у них почти наверняка будет меньше желания помогать работодателю.

Как и с любым другим аспектом безопасности, недостаточно разработать стратегию, заставить сотрудников под ней подписаться и больше ничего не делать. Эффективная стратегия безопасности должна развиваться по мере того, как меняется характер угроз, что требует регулярного ее пересмотра. Важно также помнить, что разные люди учатся по-разному: некоторые лучше воспринимают информацию на слух, другим проще иметь дело с печатным или иллюстративным материалом. Поэтому имеет смысл применять целый набор методов, чтобы обеспечить усвоение персоналом принципов безопасной работы. Например, презентации для новых сотрудников, кампании с использованием плакатов, викторины на темы, связанные с безопасностью, комиксы, «совет дня» при регистрации работника в корпоративной сети и т.д.

Важно также не воспринимать информацию о безопасности и соответствующее обучение только как проблему информационных технологий. Эти вопросы должны рассматриваться в общем контексте работы с персоналом, включающем такие аспекты, как здоровье и безопасность на рабочем месте, правила поведения работников и т.п. Чтобы быть успешной, программа образования в области безопасности должна иметь поддержку со стороны кадровой службы, департамента обучения персонала и других структур организации, имеющих отношение к обеспечению безопасности.

Помимо работы

Корпоративные и домашние пользователи компьютеров — это пересекающиеся группы. Те, кто применяют компьютеры в качестве делового ресурса на работе, зачастую пользуются ими и дома для совершения покупок или банковских операций, а также для общения. Вопросы применения компьютеров для решения не относящихся к работе задач могут стать частью корпоративной программы просвещения в области информационной безопасности: если объяснить работникам, как защитить их собственные компьютеры, правильно настроить маршрутизаторы для безопасной работы и т.п., то это поможет заинтересовать людей и убедить их поддержать программу обучения мерам безопасности в целом. Кроме того, это позволит добиться того, чтобы люди — которые все чаще работают дома — перестали подвергать корпоративные ресурсы неоправданному риску.

Конечно, есть люди, не использующие компьютер на работе (или вообще не работающие, например пенсионеры), но пользующиеся им дома. Поэтому очень важно, чтобы просвещение в области безопасности вышло за пределы организаций и стало частью повседневной жизни.

Уже есть ряд общедоступных ресурсов, посвященных вопросам безопасной работы в интернете. В их число входят Get Safe Online, identitytheft.org.uk и Bank Safe Online. Кроме того, разработчики систем безопасности как правило предлагают руководства по безопасной работе в интернете, такие как наш собственный ресурс Guide to stopping cybercrime. Все эти руководства прекрасно справляются с задачей разъяснения пользователям способов минимизации опасности стать жертвами киберпреступников. При этом, правда, все они рассчитаны на то, что пользователь уже вышел в интернет.

Я считаю, что важно находить способы сообщать людям те же самые идеи, минуя интернет, в частности с помощью телерекламы, подобной той, к которой прибегали в прошлом, чтобы поощрять использование ремней безопасности и бороться с пьянством за рулем. Учитывая, насколько успешной оказалась такая реклама в прошлом, я думаю, что аналогичные кампании против киберпреступности и за кибербезопасность также могли бы быть достаточно эффективными. Например, в 2005 году компания Capital One Group показала в Великобритании серию телевизионных рекламных роликов с участием известного пародиста Алистера МакГауана (Alistair McGowan). Ролики рекламировали предлагаемый компанией сервис по оказанию помощи жертвам кражи личных данных, но в то же самое время обращали внимание зрителей на то, как важно уничтожать личные данные, прежде чем избавиться от носителей, на которых они содержатся.

Перспектива

Киберпреступность никуда не денется: с одной стороны, она порождение интернет-эпохи, с другой — часть общей картины преступности. Поэтому, как мне кажется, не следует мыслить категориями «победы в войне» — нужно делать все возможное, чтобы уменьшить риск.

Инициативы в области законодательства и правоохранительной практики призваны максимально затруднить деятельность киберпреступников. Задача технологии и просвещения — свести к минимуму риск, которому подвергается общество. Поскольку многие из современных кибератак используют свойство людей ошибаться, необходимо найти способ «залатать» эти человеческие уязвимости точно так же, как мы стремимся обеспечить безопасность компьютерных устройств. Просвещение в области безопасности сродни работе по хозяйству: его нельзя рассматривать как задачу на один раз; напротив, эту работу нужно вести постоянно, чтобы обеспечить чистоту и безопасность окружающей среды.

Как залатать человеческие уязвимости?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике