Архив метки: AntiPhishing

Сценарии таргетированного фишинга от имени службы поддержки

Сценарии таргетированного фишинга от имени службы поддержки

Сценарии таргетированного фишинга от имени службы поддержки. Материал от Известий и R-Vision.

✉️ Письмо от поддержки о смене доменного адреса внутренних рабочих систем. Просят перейти по ссылке и проверить доступ к своим проектам.

✉️ Письмо от поддержки о "выборочном тестировании перехода пользователей на новый алгоритм шифрования при работе с почтой". Также просят перейти по ссылке.

В обоих случаях собирают доменные учётки.

Маячки:

🪝 письмо от настоящего сотрудника компании
🪝 письмо персонифицированное
🪝 реальные имена сервисов, используемых в компании

Про "алгоритм шифрования" мне раньше не встречалось. А вот аналогичное про "ящик переполнен, нажмите, чтобы увеличить размер" или "переход на новый Exchange" - прямо классика с очень высокой эффективностью попадания. 🤷‍♂️ Обязательно попробуйте такие сценарии в своих антифишинговых рассылках и курсах.

Домашний и Человеческий Vulnerability Management

Домашний и Человеческий Vulnerability Management

Домашний и Человеческий Vulnerability Management. Размышлял на неделе как говорить о Vulnerability Management-е на широкую аудиторию. Так, чтобы это касалось не только организаций, но и каждого конкретного человека. В итоге вырисовывается 2 направления.

Домашний (Home) VM - традиционный инфраструктурный VM спроецированный на устройства, которыми владеет и пользуется сам человек или его семья. Начиная просто от персональных устройств (смартфонов, ноутбуков, планшетов) и базовой сетевой инфраструктуры (wifi-роутер), заканчивая сколь угодно сложными системами умных домов (тут сделаю отсылку к "Будет ласковый дождь" Брэдбери), умными автомобилями и прочим. Естественно, для всего этого безобразия появляются уязвимости, которые необходимо как-то контролировать и исправлять, иначе могут быть проблемы. Насколько я могу судить, сейчас с этим полный швах. VM-решений уровня "для дома для семьи" практически нет. Понимания, что такие решения должны быть и их необходимо применять тоже нет.

Человеческий (Human) VM - проецирование подходов инфраструктурного VM-а персонально на человека. По сути это расширение того, что сейчас называется антифишингом, awareness-ом и автоматизированным анализом поведения пользователей в рамках DLP решений. То, что может быть натянуто и на общий VM-процесс. Актив - человек с персональными особенностями, сканирование - наблюдение за поведением, тестирование и практические учения, патчинг - обучение и т.д. Такую тему сейчас двигает, например, Holm Security. Human VM будет актуален и для организации (фишинг в ТОП-2 по первичному проникновению), и для каждого человека (звонки мошенников и разнообразнейшие схемы "разводов" это из той же темы). Если в компаниях этим как-то занимаются, то на персональном уровне всё тоже довольно грустно - только разрозненные предупреждения и социальная реклама.

Антифишинг и Управление Уязвимостями

Антифишинг и Управление Уязвимостями. Возвращаясь к обзору рынка Vulnerability Management систем от Anti-Malware, наибольший интерес у меня вызвал вендор Holm Security.

1. Раньше я о них не слышал. Из шведских VM-щиков я знал и общался только с Outpost24 . А тут оказывается есть ещё один шведский вендор, да ещё и существует с 2015 года. Круто!
2. Основная их фишка в том, что они совместили в одно решение Антифишинг и Управление Уязвимостями. 🤯 Очень необычно. Это меня особенно порадовало, т.к. на работе я как раз занимаюсь и Управлением Уязвимостями, и Антифишингом. 😅 Так сложилось. О нашей системе антифишинга был доклад на прошлом Offzone (презентацию готовил я, а докладывал Павел Жерелин). Так вот, мне всегда казалось, что Антифишинг это для меня непрофильная нагрузка. А оказалось, что в Holm Security всерьез позиционируют Антифишинг как часть VM-а. "Благодаря Next-Gen подходу [Vulnerability Management] платформа борется со всеми векторами атак, которым подвергается организация, включая защиту одного из самых важных активов — ваших сотрудников". Если сотрудники попадаются на фишинг, то это тоже своего рода уязвимость, которая исправляется обучением и другими мероприятиями. Согласитесь, довольно нестандартный подход. Так что теперь при случае могу говорить, что занимаюсь VM-ом не только для IT-инфраструктуры, но и для людей. 😁

Я, конечно, сомневаюсь, что в Holm Security действительно считают Антифишинг такой уж неотъемлемой частью процесса Управления Уязвимостями. Вероятнее, что у них были эти 2 решения в портфеле и их маркетологи решили, что они будут эффективнее продаваться в рамках одной платформы. Ну и подвели некоторую базу под это. Однако, если в эту тему поиграться, то действительно можно сделать некоторые занимательные выводы и для Антифишинга, и для Управления Уязвимостями.

Смотрим на Антифишинг с точки зрения Управления Уязвимостями:
1. Если актив уязвим (сотрудник попался), то должен быть ответственный за актив, который сделает фикс. А кто этот ответственный? Видимо это непосредственный руководитель сотрудника, который должен был проводить инструктаж. И спрашивать нужно в первую очередь с него, а не с попавшегося человека.
2. Если в VM мы стремимся к полному покрытию IT-активов, то Антифишинг не должен быть выборочным, а должен покрывать всех сотрудников.
3. Если в VM мы не проверяем активы только на одну уязвимость, а стараемся проводить проверки для всех возможных уязвимостей, то и Антифишинг должен касаться разнообразных техник и психологических манипуляций, с которыми может столкнуться сотрудник в реальной фишинговой атаке.

Смотрим на Управление Уязвимостями со стороны Антифишинга:
1. Если в Антифишинге мы предлагаем попавшемуся сотруднику пройти обучение по ИБ, почему бы не назначать курс по ИБ для владельца уязвимого актива? Пусть разбирается почему обновляться это важно.
2. Если в Антифишинге мы ограничиваем доступ к входящем письмам тем сотрудникам, которым обучение не помогает, то почему бы не ограничивать работу владельцам уязвимых активов, которые не справились с поддержанием их в безопасном (обновленном) состоянии? Показал, что не можешь полноценно владеть активом и обучение не помогло - теряешь доступ к этому активу, пусть более ответственные люди за него отвечают.

Т.е. возможно подводить Управление Уязвимостями и Антифишинг под некоторый общий базис это не такая бредовая идея, как может показаться на первый взгляд. 🙂