Сценарий кибератаки на компанию через ее сотрудников — один из самых действенных и опасных. К сожалению, многие компании начинают заниматься ликбезом в сфере информационной безопасности лишь после того, как столкнутся с серьезными потерями. Но даже если сотрудник осторожен и снабжен всеми инструкциями, злоумышленники часто находят способы обмануть его бдительность. Например, с помощью сайта-фальшивки, который внешне почти неотличим от уже знакомого и вызывающего доверие ресурса.
Так, HR-менеджер одной из российских производственных компаний однажды получил на рабочую почту письмо из интернет-магазина, в котором недавно совершал покупку. В письме предлагалось перейти по ссылке и заполнить анкету для участия в бонусной программе. Сотрудник ничего не заподозрил, перешел на сайт и уже начал вводить данные, но в этот момент к нему подошли его коллеги из отдела информационной безопасности — для разъяснительной беседы. Нет, за этим сотрудником никто не следил — просто существуют защитные технологии, распознающие фишинговые ресурсы и препятствующие передаче на них данных.
Предотвратить утечку данных в этом случае помогли технологии сбора и анализа информации, пояснил менеджер по развитию направления Threat Intelligence «Лаборатории Касперского» Александр Мазикин.
«Система мониторинга «наблюдает», по каким ссылкам кликают сотрудники и какие ресурсы посещают. Когда пользователь переходит по подозрительной ссылке, наша система реагирует и сообщает команде информационной безопасности о том, что стоит блокировать активность и провести расследование», — рассказал эксперт.
Классические методы защиты не работают в подобных сценариях: по ссылке от злоумышленников может располагаться обычный на первый взгляд сайт. Он собирает данные под благовидным предлогом — это может быть маркетинговая акция, бонусы или скидки. При этом запрашиваются будто бы «безобидные» данные: фамилия, имя, отчество, имейл, не суперсекретные файлы. Человеку трудно заметить подвох, но технология позволяет распознать сайт как вредоносный. В случае, приведенном выше, система «Лаборатории Касперского» определила ресурс как подозрительный, предупредила об угрозе, и сотрудники отдела информационной безопасности смогли оперативно отключить соединение. А уже после этого — прийти к сотруднику с разъяснениями и провести расследование инцидента. Утечку данных с последующей атакой удалось предотвратить.
Поскольку описанный сценарий очень распространен и несет конкретную угрозу, работа c системами мониторинга зачастую становится началом пути к использованию сервисов Threat Intelligence. Но машинный анализ данных — далеко не единственный способ сбора информации о возможных атаках. Для защиты своих клиентов эксперты по безопасности проводят мониторинг торговых площадок и форумов дарквеба.
О реальном примере работы Threat Intelligence в этом сценарии расскажем в следующем тексте.