Приготовьтесь к неизбежному: план реагирования на фишинговые атаки

Опубликовано: 2 Апреля, 2023

Если судить по последним новостям, которые мы сообщаем здесь, на нашем сайте TechGenix, число фишинговых атак растет повсюду. Фишинговые атаки становятся все более изощренными, и от них все труднее защитить ваш бизнес, поэтому любой, кто может получить хороший совет о том, как с ними бороться, определенно приветствуется. И это именно тот самородок, который я нашел в недавно прочитанной новой книге под названием «Защита информационных активов и ИТ-инфраструктуры в облаке» (CRC Press, 2019). Эта полезная книга Рави Даса и Престона де Гиза посвящена средам облачных вычислений, таким как Amazon Web.

Сервисы (AWS), которые становятся все более популярными в современном бизнесе, и способы защиты этих сред от всех видов атак. А виды атак, с которыми в настоящее время сталкиваются компании и организации, использующие AWS или другие облачные сервисы, разнообразны и включают программы-вымогатели, целевой фишинг, инъекции SQL, межсайтовые сценарии, шпионское ПО, внутренние угрозы и многое, многое другое.

Одним из типов угроз, с которыми часто сталкиваются предприятия, является фишинговая атака, попытка злоумышленника получить доступ к конфиденциальным бизнес-данным, таким как финансовые отчеты и личная информация, принадлежащая сотрудникам. И независимо от того, обслуживается ли инфраструктура вашей компании локально или хранится в облаке, она часто может быть уязвима для такого рода атак. Фишинг обычно использует сообщения электронной почты в качестве вектора атаки, хотя другие совместные технологии, такие как обмен SMS-сообщениями, общие рабочие пространства и социальные сети, которые сейчас соперничают за замену электронной почты в бизнес-среде, вероятно, не заставят себя долго ждать, пока фишинг не распространится и на них. И хотя в прошлом большинство фишинговых атак включало в себя массовую рассылку электронных писем в надежде, что какой-нибудь неосторожный пользователь откроет вредоносное вложение или разгласит некоторую конфиденциальную информацию, в последние несколько лет растет тенденция к целевому фишингу, когда определенные лица или группы являются целевыми в организации.

Ключевой стратегический шаг, который необходимо предпринять вашему бизнесу, чтобы подготовиться к неизбежности таких атак, — это разработать надлежащий план реагирования на инциденты до того, как такие атаки произойдут. Планирование реагирования на инциденты включает в себя сочетание политик, методов и персонала, которые обеспечивают ваш бизнес своего рода игрой, которую можно пройти шаг за шагом в случае возникновения инцидента в вашей компании. Хороший план реагирования на инциденты также может помочь предотвратить такие атаки, хотя основная цель таких планов — уменьшить ущерб, который возникает в результате атаки.

Планирование реагирования на подобные фишинговые атаки — это одна из областей, в которой Рави и Престон дали отличные рекомендации в своей книге. В главе 3 (Риски для облачной инфраструктуры и стратегии снижения рисков) они описывают следующую пятиэтапную процедуру, позволяющую вашей организации эффективно реагировать на инцидент фишинговой атаки.

Удостоверение личности

Именно здесь сотрудник обнаружил то, что может быть фишинговым письмом или другой попыткой сбора данных из вашей организации. Сотрудников необходимо проинструктировать о том, как определить, какие сообщения могут быть подозрительными, на основе таких параметров, как адрес электронной почты отправителя, строка темы, тема и стиль написания в теле сообщения, наличие необычного или нежелательного вложения, наличие подозрительных ссылок и так далее. Один отличный совет, который дают авторы, — убедиться, что ваша группа поддержки настроила изолированную рабочую станцию, предназначенную для изучения возможных фишинговых сообщений, где можно безопасно открывать подозрительные вложения и ссылки, чтобы определить, являются ли электронные письма действительными или злонамеренными.

сортировка

После этапа идентификации следующим этапом реагирования на инцидент является сортировка подозрительного сообщения. Вы определили, что сообщение, которое получил пользователь, вероятно, является формой фишинговой атаки. Но что за нападение? Является ли это попыткой компрометации корпоративной электронной почты? Целевая фишинговая атака? Пытается ли злоумышленник «захватить» вашу компанию, т. е. нацелиться на одного из руководителей высшего звена и попытаться заставить его перевести средства или выполнить какое-либо другое действие? Пытаются ли ссылки в электронном письме подтолкнуть вас к открытию поддельного веб-сайта? Используется ли JavaScript для злонамеренного изменения содержимого адресной строки браузера при открытии ссылки? После того, как вам удастся точно определить, какой тип или виды методов атаки используются, вы можете назначить уровень приоритета, который будет определять, откуда вы будете двигаться дальше. Например, если вы обнаружили новый и незнакомый тип фишинговой атаки, совершаемой в вашем бизнесе, вы захотите, чтобы ИТ-отдел провел дальнейшее расследование ее характера, и вы также захотите проинформировать сотрудников в целом, чтобы они были начеку в отношении подобных атак. в будущем или какие шаги они должны предпринять, чтобы оставаться в безопасности, пока текущая атака смягчается в вашей организации.

Расследование

Третий этап вашего плана реагирования на инциденты будет включать в себя тщательное изучение фишингового сообщения вашим ИТ-отделом, а также оценку уровня воздействия, которое уже произошло, если таковое имеется. Авторы подробно рассказывают об этом в своей книге, поэтому я не буду описывать их здесь, а просто порекомендую вам прочитать, что они говорят по этому поводу.

Исправление

Самое интересное начинается с восстановления, потому что оно включает в себя принятие конкретных мер по сдерживанию ущерба для вашей компании, чтобы свести к минимуму его влияние на ваш бизнес и предотвратить любое возможное воздействие в будущем. Некоторые возможные шаги, которые вы можете предпринять в зависимости от результатов вашего расследования, могут включать изменение паролей и даже имен пользователей сотрудников, пострадавших от атаки; изменение учетных данных для входа или даже идентификаторов ресурсов для ресурсов корпоративной сети, которые были скомпрометированы; обновление рабочих станций и удаленная очистка мобильных устройств, вовлеченных в инцидент; и так далее.

Избегание риска

Есть еще один последний шаг, который ваша группа реагирования на инциденты должна предпринять после того, как эффект фишинговой атаки будет устранен, и это сделать все возможное, чтобы предотвратить повторение такого же типа атаки в будущем. Хотя обучение пользователей является ключевым элементом здесь, иногда лучше привлечь помощь сторонних консультантов по кибербезопасности, которые могут проанализировать инцидент и ваш план реагирования, а затем предоставить вам действенные шаги, которые вы можете предпринять для улучшения состояния безопасности вашей организации. Рави и Престон подробно описывают этот этап в своей книге, и я настоятельно рекомендую тем, кто занимается защитой вашего бизнеса или организации от кибератак всех видов, получить копию своей книги и тщательно изучить ее, чтобы убедиться, что ваша компания готова к неизбежные атаки. И хотя книга в первую очередь ориентирована на безопасность предприятий, использующих облако — и облако Amazon в частности — большая часть книги содержит практические советы по кибербезопасности для всех видов бизнеса и технических сред.