Сотрудники российских компаний в 10% случаев не распознают социотехническую атаку на инфраструктуру компании и переходят по вредоносным ссылкам в фишинговых письмах. Об этом «Известиям» 8 декабря рассказал руководитель отдела анализа защищенности Angara Security Михаил Сухов.
В тестировании рассылок фишинговых сообщений через электронную почту в 2022–2023 годах приняли участие 8,2 тыс. сотрудников в компаниях государственного, финансового, транспортно-логистического, промышленного, строительного, информационно-технологического секторов, в сферах телекоммуникации, консалтинга, услуг, электронной коммерции.
По его словам, в рамках эксперимента службы безопасности заказчиков заблокировали часть писем и предупредили пользователей, которые ввели свои данные, что необходимо изменить пароль от учетной записи. В большинстве случаев использовался сценарий с вводом логина и пароля от доменной учетной записи на стороннем сайте. Авторы теста обнаружили, что в среднем около 10% сотрудников при социотехнических атаках вводят действительные данные по вредоносным ссылкам из фишинговых сообщений.
«Тестирование показало, что в среднем в каждой компании есть хотя бы один сотрудник, который в случае фишинговой рассылки переходит по вредоносной ссылке и подвергает опасности личные данные и инфраструктуру компании. Так как злоумышленник получает доступ во внутреннюю сеть заказчика с УЗ пользователя, возможно, даже и так имеющего доступ к критичным системам, а если и не имеющего, то злоумышленник имеет возможность повысить привилегии и получить критические данные из внутренней сети компании», — отметил Сухов.
Также он рассказал, что специалисты сравнили результаты тестирования за 2022 и 2023 годы: в текущем году статистика по реакциям на фишинговые атаки меняется: число переходящих по вредоносным ссылкам снизилось с 13% в 2022 году до 10% в 2023-м.
По его мнению, это говорит о том, что приоритет информационной безопасности в компаниях повышается и организации начинают уделять внимание защищенности человеческих ресурсов.
«При построении защиты внешнего периметра организации не стоит останавливаться только на защите сетевых ресурсов: IDS, IPS, WAF и др. Стоит уделять внимание и разведке угроз (TI), и антиспам-системам, и обучению персонала, и правильному реагированию на фишинговые атаки», — подчеркнул Сухов.
Он отметил, что и в бизнесе, и в госсекторе существуют две уязвимые точки: сотрудники, которые не обладают необходимым уровнем киберграмотности, и дочерние компании, подрядчики и субподрядчики, которые далеко не всегда готовы по своей инициативе инвестировать в кибербезопасность на необходимом уровне.
«Например, в первом полугодии 2023 года число взломов ИБ-инфраструктуры крупных компаний через подрядчиков выросло на 30%. Поэтому важно обеспечить сквозную информационную безопасность по всей цепочке поставок, снизить риски от человеческого фактора. Только в этом случае средства защиты информации могут выполнить возложенные на них задачи», — подытожил Сухов.
