Как мошенники могут украсть данные вашей компании и клиентов?

Привет! По поводу того, как я и мой партнёр к этому пришли. История довольно простая. Я давно занимался безопасностью профессионально. Начинал как инженер, как системный администратор. Занимался безопасностью как менеджер и моё последнее место работы, это довольно большая компания, где много тысяч людей, где много филиалов. Мы сделали с коллегами очень много, чтобы защитить компанию. Проводили международные сертификации, применяли все самое лучшее, технологии для защиты, и по факту, когда ты все это делаешь, у тебя большая компания, проходят все стандарты безопасности, это здорово. Единственная серьёзная проблема, с которой ты не знаешь, что делать, это поведение твоих людей. И вроде бы это проблема техническая, потому что она может привести к инцидента, если кто то заразит своей системой, сделав что то не так, другой стороны техническими мерами решить её не известно как. Потому что антивирус не встроишь в голову и всегда какая то вредоносная программа или какая то цифровая атака может быть сделана так, чтобы человек заразил свою систему. Соответственно, наша задача была - придумать и сделать продукт, который с одной стороны поможет безопасникам в традиционной модели решить эту проблему, то есть лицензии, софт, с другой стороны, чтобы проблема, не техническая, а скорее психологическая, она была решена. Вот примерно так.

Да, мой партнёр, он профессиональный тестер и он практически в своей работе очень хорошо представляет и умеет проводить такие атаки, за которые ему платили деньги и всегда в любом пинтесте, социальная инженерия, когда атакуют людей, это такая лакомая, но сладкая часть проекта, когда точно мы обеспечим пробив, точно проникнем в системы, точно получим бизнес эмпакт и отчёт будет красивый. Всегда все пинтестеры воспринимали это как дефолтный способ точно не слить проект, а заказчики воспринимали как проблему из разряда дождь идёт и мы ничего не можем с этим сделать. Вот это немного напрягало меня, как безопасника, потому что я не хотел что то оставлять в своей компании, что зависит от погоды, от чего то там, но не от меня.

На самом деле я психолог и т к фишинг во многом связан с социальной инженерией, а социальная инженерия это по сути психологические методы, которые используются, чтобы обмануть людей. Соответственно Я использую свои знания, чтобы изучать этот процесс, вести соответствующие исследования на наших клиентах, наших пилотаж, на самих себе и на всех, кто соглашается участвовать в соответствующих исследованиях и соответственно работаю над тем, чтобы сделать нашу систему, нашу платформу эффективнее, и выявляю, как это делать в процессе именно обучения и тренировки сотрудников

Главный факт, я не знаю, это такое противоречие в том, что ты на первом примере сказал, что атаки на людей это то, что представляет проблему и неважно, какого размера компания. Если бы ты работал в компании один, то это же самое письмо могло представлять такую же точно проблему лчино для тебя, если в компании 10000 человек, то у них точно есть домены, и та самая атака для них могла быть актуальна. И по факту, если говорить про наших клиентов, то сейчас это довольно крупные компании, которые как правило уже сделали очень много для обеспечения своей безопасности, у них есть куча очень хороших и действительно нужных система, средств защиты, софта хороших четких процессов, но при этом они точно знают, как я тогда, понимают, что главная проблема и главный риск - это действия их людей. И им теперь нужен такой же системный подход, платформа, которая помогает управлять знанием людей и формировать, Тренировать, контролировать навыки людей. Поэтому они используют нас

Так так то, что мы продаём это не услуга, это лицензии. Лицензии по числу людей, на год на два, на насколько лет, то нам экономически выгодно иметь дело с небольшими компаниями, для них у нас есть решения. Мы работаем с очень хорошими партнёрами, так называемыми провайдерами, сервисами и услуг софта, как они по разному называются, которые на своих мощностях, используя технологическую нашу платформу оказывают услуги и продают лицензии компаниям любого размера.

Да.

Это так называемый процесс пилота или раз овой оценки защищённости сотрудников, когда мы только начинаем обсуждать платформу и все процессы с клиентами. Очень часто они просят помощи, подтверждения, что эти процессы стоит вести и такие атаки опасны для их сотрудников. В таком случае мы помогаем на базе нашей платформы собрать сценарий и шаблоны таких атак, это как раз то за что отвечают коллеги, и то что Ольга делала для вас. Соответственно шаблоны таких атак, как будет выглядеть то письмо, ссылка, вложение, какие то сайты, которые увидят люди или может быть, даже флешки. Собственно это то, что мы проектируем и регулярно обновляем в соответствии с тем, какая организация, какие у неё процессы и какие в реальности атаки на них. То, что дальше происходит. На пилоте происходят атаки, они могут быть разные, вообще если брать процесс, то было бы здорово обучить людей сначала и знание то, что должны знать люди, чтобы обнаруживать эти атаки, вести себя правильно с этого стоит начинать. Но навыки, как они себя поведут и как они будут себя вести после обучения, после атак, это то, что в полном процессе должно измеряться. То, о чем говоришь ты, это одна из разовых атак, которая просто показывает некий срез, который был интересен тебе. Честно говоря в интерпрайзе имеется пример, когда какой то сайт, они могут использовать в сети, на который приходят люди, мы может с помощью нашей платформы проверить, ввели ли они свой доменный пароль, например. Если это не их доменный пароль, то статистика не будет защита на. Это детали, которые помогают воспроизвести реальные атаки, максимально опасные для людей и максимально полезные, чтобы Тренировать навыки.

Да, в среднем по больнице это выборка, мы делали её полгода назад, и это 9 500 сотрудников из разных компаний, отраслей, но порядка 30% людей осуществляют какие то опасные действия. По моим ощущениям около 10% людей с точки зрения безопасника опасное, что они могут - сливают логины и пароли и где то вот между этими цифрами происходит переход по ссылке, открытие вложений, разрешение макросов и подключение устройств. Такая воронка жертв

Да, это очень важная часть, о которой Оля пока не говорила, но это ровно предмет наших исследований. То есть разослать спам ты мог бы не через платформу, для этого есть крипты, что угодно, а наша цель изучить, какие психологические, технологические вектора и на каких людей они воздействуют сильнее. Если измерить это, то это помогает Тренировать людей по тем векторам, которые наиболее опасные. Если мы говорим про разницу в атрибуции. Средний спам, письмо от соц сети или гос услуг, это то, что имеет средний процент по индустрии. А теперь представьте письмо от вашего коллеги или руководителя, который срочно требует посмотреть, что там за ерунда, но по ссылке в таком письме порядка 40% переходов и дальше почти 100% от этих процентов следующие действия.

Да. Это онлайн курсы и их несколько. Они очень чётко сфокусированы, мы не даем ничего лишнего. Статистика честно говоря противоположная. Есть компании, которые спрашивают нас, как заставить людей учиться, в целом у них это получается. Большие компании, безопасники очень ценные, авторитетные люди, они могут заставить людей учиться. По другая сторона спектра, тоже большие, крупные компании в которых люди сами приходят к безопасникам и просят их научить. По моим наблюдениям это больше зависит от корпоративной культуры. Там, где людей, в больших компаниях грузят не очень нужным обучениям, они вообще не склонны что то открывать. Там, где они достаточно любознательны и эта культура приветствуется, там будет интересно. И с нашей стороны задача - сделать курсы такими, чтобы в ним было как можно больше примеров из естественной среды, чтобы это были не развлекательные мультики или не сухой текст, чтобы это был баланс. И благодаря этому, если человек начал проходить наш курс, он пройдёт его скорее всего до конца. Это не будет проблемой.

Чего то среднего нет

Я после работы решила Проверить почту, очистить спам, получила письмо сотрудника Юздеска. Первым делом подумала, что тут явно что-то тестирует даже собственно не вникала в суть. С учётом того что меня ни разу никто не взламывали, в том числе соц сети, то я даже мысль об этом не пришла. После того, как я перешла по ссылке мне пришло Уведомление о том, что мои файлы заблокированы, и комп взломан. Вот тут я открыла глаза, конечно, проверив первым делом файлы, вернулась к мысли о тестировании но по факту, я знаю, что моя халатность может привести к необратимым последствиям. Теперь я бдительна, спасибо

Тут важная штука, саша был единственным, кто сказал, что это похоже на фишинг. Другие ребята писали в чат, что они обращались к другим сотрудникам. Люди рандомно обращались к кому угодно. Это сильно беспокоит. Вопрос тут как обычно маскируются письма, какие есть кейсы, маскировки, что даже профи не сможет догадаться что это письмо не настоящее?

Месяц назад Женя Малов выступал на нашей конференции и показал видео про медведя, который шёл лунной походкой и нужно было посчитать количество передач мячика и следующим вопросом было видели ли вы медведя. И большинство не видело.

Это был 6 выпуск подкаста "Оставайтесь на линии". Спасибо за внимание