Как оценить риски фишинга в компании

Изображение: recraft

Социальная инженерия и фишинг как ее составляющая остаются самым распространённым способом первичного проникновения в периметр организации. Более 90% всех угроз ИБ — это социальная инженерия (Отчет Avast Q1/2024).

Чтобы понять, насколько ваша компания подвержена риску успешного применения фишинга против нее, важно иметь понятную и желательно простую методику оценки такого риска.

В этой статье мы представим подход, основанный на реальных кейсах и измеримых показателях. А в конце вы найдёте бесплатные материалы для повышения осведомлённости ваших сотрудников.

Краткий план статьи:

• Проводим тестовые рассылки фишинга
• Считаем e-mail-адреса в открытом доступе
• Сводим результаты
• Промежуточная оценка рисков
• Считаем риски
• Приоритеты в обучении правилам ИБ на основе рисков
• Заключение и бесплатные материалы для повышения осведомленности

Тестовые рассылки фишинга: измеряем уязвимость

Первый шаг — проведение учебных фишинговых рассылок с помощью Gophish, StopPhish Free и подобных утилит.

Обычно, когда мы проводим аудит осведомленности для организаций, мы отправляем письма с четырьмя векторами атак:

• вредоносная ссылка (имитация перехода на зараженный сайт)
• фишинговая ссылка (например, поддельная форма входа)
• вредоносный файл (офисный документ с макросом, зараженный PDF и т.п.)
• сайт с вредоносным файлом (просим перейти на поддельный сайт, скачать и запустить файл).

Пример: при рассылке 100 писем 20 сотрудников кликнули по ссылке — значит, каждый пятый сотрудник потенциально уязвим. Запоминаем этот результат. Если вы провели 4 вида атак, то можете посчитать показатель попадаемости по каждому из них или свести к среднему.

Уже сейчас вы можете оценить, хорошие или плохие цифры у вас получились.

Мировой бенчмарк (от компании Knowbe4) – 4% уязвимых сотрудников через год регулярного повышения осведомленности (в StopPhish 2% через полгода, но у Knowbe4 70000 клиентов и статистически большие цифры).

Если у вас 1 из 25 сотрудников попадается на фишинг (4%) — это отлично.

А, например, 1 из 3 (33%) — плохое, но среднестатистическое положение дел.

Пример результатов проводимого нами учебного фишинга

Поиск корпоративных email в открытом доступе

Следующий шаг — оценка количества ваших корпоративных email-адресов, доступных в сети Интернет.

Можно считать в сервисе hunter.io (для выявления просто количества достаточно бесплатного тарифа) или по углубленной методике включая соц. сети (генерируем email на основе ФИО сотрудников, указавших вашу организацию как место работы).

Пример количества email в открытом доступе. Вместо организаций написаны их отрасли:

Промежуточная оценка рисков

Считаем, сколько рапортов о фишинге пришло после учебной атаки.

50+% = Отлично

<5% = Очень плохо

Скорость получения первого рапорта, после учебной атаки, минимум на 100 сотрудников:

<2 минут – Отлично

>1 часа – Плохо

Сводим результаты и оцениваем риски при атаке с вектором Фишинг

Уязвимые сотрудники на 100 человек: 20 (каждый 5-й)

Рапортов: 12 (каждый 8-й)

• Злоумышленнику нужно отправить 5 писем, чтобы получить 1 учетную запись.
• Email в открытом доступе: 436 – более чем достаточно для атаки.
• Рапорт отправит только 8-й сотрудник.

Пример расчета уровня риска

Риски связанные со сроками проведения мероприятий по повышению осведомленности

4 типа векторов атак, упоминаемых в начале статьи, должны быть проведены в течение первых 2-х месяцев после начала мероприятий по повышению осведомленности:

• Вредоносная ссылка;
• Фишинговая ссылка;
• Вредоносный файл;
• Сайт с вредоносным файлом.

Каждый новый месяц, в который сотрудник не был проверен на осведомленность, увеличивает риск, что сотрудник попадется на какой-то из векторов.

Также учитываем, что сотрудник забывает полученные знания за 1 месяц.

Когда один и тот же сотрудник получает по две ежемесячные учебные атаки и обучается в течение 6 месяцев, то риски взлома снижаются в 15-20 раз (при выполнении наших рекомендаций по повышению лояльности).

Как снизить риски: 5 рекомендаций

• Уменьшение количества email в открытом доступе.
• Регулярные учебные атаки и обучение сотрудников.
• Использовать разные маски для email.
• Антиспам и аналоги (помогает от массовых, но не таргетированных атак).
• Выращиваем Секьюрити Чемпионов в компании. В результате они экономят деньги и время сотрудников ИБ.
• Обучаем сотрудников не только по 4-м упомянутым векторам. Требуется обучать всем возможным угрозам, основанным на человеческом факторе, ведь злоумышленники могут применять не только онлайн, но и оффлайн социальную инженерию.

Приоритизация обучения

На основе результатов тестов можно выстраивать приоритеты:

— Обучить в первую очередь тех, чьи email находятся в открытом доступе;
— Обучить сотрудников в их подразделениях;
— Обучить всех остальных в головной организации;
— Обучить сотрудников в филиалах/других подразделениях.

Заключение

Фишинг — это не вопрос если, а когда. Методика, описанная выше, даёт организации понимание своих слабых мест и направление для своевременного принятия решений.

В завершение — мы подготовили бесплатные материалы для сотрудников, чтобы вы могли начать работу по снижению рисков взлома организации уже сегодня.

📷

Автор статьи: основатель компании StopPhish Юрий Другач.

Оригинал публикации на сайте CISOCLUB: "Методика оценки рисков успешного применения фишинга к организации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.