Каждая политика кибербезопасности в организации каждого типа и размера построена на обучении и осведомленности. Люди всегда будут самым слабым звеном в кибербезопасности, независимо от того, сколько технических решений и тактических мер внедряет организация. Важность тренировок и упражнений по кибербезопасности для персонала бесспорна, однако их эффективность в реальной жизни часто преувеличена. Более того, распространение технологий искусственного интеллекта будет способствовать еще меньшему успеху этих мер.
Неэффективность обучения и упражнений по кибербезопасности
Мир бизнеса ушел в цифровую среду, как и вся учебная деятельность. Почти каждый бизнес считает обучением просмотр видео и прочтение небольшого текста. Далее – прохождение простого теста с вариантами ответов, который всегда можно пройти снова. В конце концов все его проходят, даже если не уделяют внимание и не помнят ничего после этого.
И это так, как должно быть. Организации вкладывают много денег в процесс подбора персонала. Они не могут позволить себе отказаться от новых работников или отсрочить время начала их работы, внедряя учебные мероприятия недельной продолжительности. Большинство таких тренировок существует исключительно для выполнения регуляторных условий соответствия, связанных со стандартами, например GDPR, PCI DSS или HIPAA.
В результате, если бы вы дали своим сотрудникам простой тест по кибербезопасности, основанный на их обучении, некоторые полностью провалили бы его. Это не должно удивлять, ведь их приняли на работу как профессионалов в своих сферах, таких как финансы, HR, а не как экспертов по кибербезопасности. Даже наиболее элементарная степень осведомленности в этой теме может быть за пределами их понимания ее основополагающих технологий.
Это правдиво и для любого варианта упражнения по фишингу. Практически каждый бизнес регулярно внедряет его, особенно если им нужно соблюдать стандарты соответствия. Если это сделано, это считается успехом. Чтобы улучшить вид этих результатов для аудитов, такой фишинг часто делают слишком очевидным. И те, кто проваливают тест, не сталкиваются с последствиями. Им просто говорят, что они потерпели неудачу и им стоит быть бдительнее. Или что они должны пройти еще одно простое автоматизированное обучение, о котором они забудут через неделю. Просто представьте, если бы это была настоящая попытка фишинга, компания могла бы столкнуться с катастрофической утечкой данных.
Все, что нужно – один пользователь
Лишь несколько угроз по кибербезопасности затрагивают почти каждого в компании. Все они – примеры социальной инженерии, в которой запланированной целью является пользователь, а не система. Эти угрозы возникли в 1980-х годах, когда Кевин Митник продемонстрировал миру, как просто ввести в заблуждение работника, чтобы он предоставил почти неограниченный доступ к системе. Мы продвинулись на более чем 40 лет и уже давно вошли в эру искусственного интеллекта и облачных хранилищ. Но ничего не изменилось: люди продолжают попадаться на те же старые махинации.
Чтобы осмыслить различные формы угроз для безопасности, с которыми люди сталкиваются в эпоху цифровых технологий, мы должны мыслить как злоумышленник. Его цель совпадает с целью организации: добиться наилучшего возможного результата при малейших затратах. Поэтому злоумышленникам есть смысл тратить свое время только на две категории кибератак: применение наиболее стандартных методов для охвата как можно большего количества людей и использование индивидуальной стратегии для обмана конкретного человека. Соответственно, эти две категории включают следующие атаки: обычный фишинг и фишинг с помощью аккаунта СЕО. Хотя персонализированные атаки, нацеленные на большое количество людей, принесли бы наилучшие результаты, их подготовка заняла бы слишком много времени.
Поєтому для тех, кто имеет элементарное понимание технологий, некоторые попытки фишинга кажутся глупыми. Как может злоумышленник представить, что кто-нибудь попадется на это? Они плохо сформулированы, выглядят фальшивыми и производят впечатление работы непрофессионала. К сожалению, если вы проведете работникам своей компании упражнение с таким содержанием, вы с удивлением обнаружите, что некоторые все же попадутся. А злоумышленнику нужна только одна цель в вашей организации, чтобы устроить хаос.
Обучение сотрудников помогает снизить риск, но не устраняет его. Согласно отчету KnowBe4 2023 Phishing By Industry Benchmarking Report, без какой-либо тренировки 33,2% сотрудников, вероятно, нажмут на электронное письмо с фишингом. Чтобы снизить этот процент до 5,4%, нужен год регулярного обучения. Однако оно не только дорогое, но также занимает продуктивное время работников. Многие организации просто не могут себе позволить такие расходы и риск.
Фишинг и искусственный интеллект – новая эра угроз
Сейчас мы живем в эпоху ChatGPT и других ботов с искусственным интеллектом. Мы одновременно удивлены и рады, что искусственный интеллект может редактировать наши фотографии и видео, а также значительно улучшить качество написанных нами текстов. Однако злоумышленники тоже используют искусственный интеллект. И по мере его совершенствования мы становимся более уязвимыми к попыткам фишинга, даже если они не направлены непосредственно на нас.
Недавняя кибератака со взломом аккаунта Facebook, продвигающего торговлю биткоинами, является наилучшим примером того, как эта технология уже используется на практике. Получив доступ к аккаунту цели, автоматизированная система создала видео на основе ее реальных видео и фотографий. Это был дипфейк пользователя, который утверждал, что его не взломали, и он призывал к покупке биткоинов, рассказывая, сколько денег он заработал на них. В нем использовали настоящее лицо, голос и даже родной язык человека (однако речь была неразборчивой), и это невероятно реалистично.
Более того, этот бот присылал сообщения с просьбой о помощи знакомым пользователя на его родном языке, утверждая, что он утратил доступ к своей учетной записи и просит адресата, являющегося следующей целью, предоставить присланный на его электронную почту код. Бум, вот и эффективность многофакторной аутентификации. Впечатляет, что даже IT-специалисты попадаются на это. И распространение этого автоматизированного вредоносного программного обеспечения продолжается, полностью базируясь на социальной инженерии и использовании искусственного интеллекта.
Как будет выглядеть ваше следующее письмо с фишингом в такой неожиданной реальности? Будет ли оно написано с ошибками и очевидными фейковыми ссылками, или же в нем будут использованы все уловки, которые искусственный интеллект сможет придумать, чтобы обмануть цель? И если это так хорошо сделано, сможет ли ваша система безопасности/антиспама автоматически обозначить такое письмо как спам, уменьшая вероятность того, что пользователь нажмет на него? И сколько ваших сотрудников на это попадется? В следующие месяцы мы обязательно найдем ответы на эти важные вопросы, и они могут нам не понравиться.
DLP-решения идут на помощь
Мы живем в мире, где каждый тип внешней коммуникации через любую программу может использоваться как очень успешная техника социальной инженерии. Будь то электронное письмо, текстовое сообщение, телефонный разговор или видеозвонок – искусственный интеллект умеет применять все это, судя по типам недавних атак. В результате у нас есть два варианта. Первый: каждый работник должен стать одержимым параноиком и повторно проверять каждый полученный запрос. Это не только займет много времени, но и потребует дополнительного обучения и упражнений, на этот раз с реальными последствиями в случае провала. Этого не произойдет, поскольку это бы сильно повлияло на работу компании и ее позицию на рынке.
В итоге остается вторая альтернатива. Мы должны понимать, что некоторые люди могут попасться на попытки социальной инженерии. Однако мы можем сделать такие случаи угрозы безопасности неэффективными, устранив вероятность того, что цель ответит злоумышленнику и поделится конфиденциальной информацией. Если мы лишим пользователя возможности делиться такой информацией, атака в конце концов потерпит неудачу.
Есть много методов предотвращения рискованных действий пользователей, но все они связаны с защитой конечных точек, например ноутбука или мобильного телефона. У нас всех давно есть антивирусное программное обеспечение, которое обнаруживает определенные очевидные угрозы, например стандартную программу-вымогателя, но не целенаправленные атаки. Брандмауэр (firewall) тоже неуспешно защищает важную информацию, поскольку он либо слишком сильно ограничивает пользователя и создает ошибочно положительные результаты, либо устраняет лишь очевидные угрозы. Наибольшая слабость таких технологий заключается в том, что они сосредоточены на конкретных методах, а не на самой цели.
Существует только один действительно эффективный класс решений, решающий проблему конфиденциальности и безопасности данных – решение для защиты от утечки данных (DLP). Учитывая, что инструменты DLP способны успешно распознавать конфиденциальные данные, блокировать любые формы автоматизированного распространения информации и отправлять оповещения команде кибербезопасности, практически любая попытка социальной инженерии или даже инсайдерская угроза будет абсолютной неудачей. Пользователь вряд ли вручную скопирует важные данные, такие как интеллектуальная собственность компании, прочитав и напечатав их злоумышленнику. Он воспользуется функциями операционной системы «копировать» и «вставить». Они могут быть защищены политикой DLP и заблокированы или, что еще лучше, заблокированы с оповещением.
Думаете, во что инвестировать дальше? Подумайте о DLP
Если вы понимаете, что мир кардинально меняется в результате развития искусственного интеллекта и планируете в ближайшее время обновить свой подход к защите данных, рассмотрите стратегию DLP. Вы, конечно, можете инвестировать в дальнейшее обучение работников, но это также будет влиять на информационную безопасность, как и меры, которые вы уже внедряли. Вы можете вложиться в созданные искусственным интеллектом упражнения по фишингу, но это лишь покажет, что даже большее количество ваших сотрудников склонно попасться на уловки злоумышленных хакеров, и не улучшит ситуацию. Вместо этого примите, что люди и дальше будут самым слабым звеном в кибербезопасности, а искусственный интеллект станет успешнее в их обмане, и инвестируйте в более мощную систему DLP.
DLP-решения, включая контроль устройств и шифрование USB, тоже постоянно развиваются, чтобы еще лучше оберегать пользователей от утечки данных. Решения, такие как Endpoint Protector, тоже используют технологии машинного обучения. Например, для улучшения классификации данных – использование лучшей автоматизации при распознавании типов данных, требующих защиты, таких как различные типы персональных данных (PII), номера социального страхования и кредитных карт, проприетарный код или любые другие конфиденциальные данные. Как следствие, с современным DLP вам почти не нужна его дополнительная настройка. DLP вашей конечной точки научится распознавать данные вашей организации в режиме реального времени и не даст конечным пользователям делиться ими с неавторизованными пользователями. Технология DLP также имеет другие варианты использования. Например, они защитят вас не только от похищения данных (data exfiltration) в результате атак с фишингом, но и от их утечки, устроенной злоумышленными инсайдерами.
