Помощник вице-президента по консалтингу компании Bishop Fox Дэн Вуд рассказывает на портале eWeek о лучших практиках, которые могут быть применены, чтобы помочь укрепить стратегию организации по защите от атак социальной инженерии.

Одним из самых сложных вопросов обеспечения безопасности для предприятия на сегодняшний день является защита от атак социальной инженерии. Их практикуют многие злоумышленники, и любая организация может стать жертвой. Несмотря на их широкое распространение, мы часто видим, что организации не имеют средств адекватного контроля над безопасностью, а также планов реагирования на инциденты.

Каждая организация должна иметь свое собственное определение приемлемого уровня риска и должна принимать серьезные решения по укреплению безопасности и делать соответствующие инвестиции. Помимо обучения и подготовки сотрудников, организациям нужно сфокусироваться на том, чтобы выстроить правильный базис, обеспечивающий необходимый уровень контроля, что сделает их более устойчивыми, даже если их пользователи станут жертвами социальной инженерии.

Вот самые важные советы/лучшие практики.

1. Убедитесь, что ваша организация не подвергает себя опасности через открытые почтовые релеи

Они могут увеличить спуфинг электронной почты, поскольку допускают отправку неаутентифицированных email извне в организацию, что затрудняет защиту от фишинга, так как почтовые сообщения будут выглядеть легитимными для внутренних пользователей. Применяя строгую аутентификацию пользователей и IP-авторизацию на шлюзе, вы можете лишить злоумышленников этой возможности.

2. Используйте процессы фильтрации электронной почты

Некоторые средства защиты электронной почты предоставляют возможность фильтрации писем, которая позволяет удалять все внешние вложения и ссылки, чтобы предотвратить выполнение несанкционированного ПО и клики по вредоносным ссылкам с загрузкой на диск, а также помечать внешние письма обозначениями, такими как [EXTERNAL], в строке темы и/или в теле письма при получении или помечать письмо цветной полоской с предупреждением. Это поможет снизить вероятность претекстинга, когда злоумышленник представляется внутренним пользователем.

3. Анализируйте подозрительную электронную почту как можно чаще

Некоторые средства контроля безопасности предоставляют плагины к почтовым клиентам (например, у Cofense PhishMe это PhishMe Reporter), которые позволяют конечному пользователю отправлять подозрительные на предмет фишинга электронные сообщения для анализа. Они также позволяют центру обеспечения безопасности (SOC) организации быстро удалять все подозрительные сообщения из пользовательских почтовых ящиков, чтобы предотвратить их дополнительное распространение, если проводится широкомасштабная фишинговая кампания.

4. Обучение защитников тактике атакующих

Знание того, как действуют злоумышленники, и обучение защитников этой тактике будет полезным, если ваша организация все же стала жертвой атаки социальной инженерии — чтобы пользователи могли следить за сетями и выявлять утечки данных.

Более продвинутые практики, основанные на зрелости оборонительной системы организации, включают в себя:

5. Удаление ненужных административных учетных записей

Следует удалять привилегированные и административные учетные записи, которые абсолютно не нужны, и использовать JIT-систему управления секретами — если конечный пользователь станет жертвой фишинга, это снизит объем прав доступа, который сможет использовать злоумышленник.

6. Внедрение процесса проверки учетных записей

Внедрите проверку подлинности привилегированных и административных учетных записей, которая требует двухкомпонентного процесса утверждения с просмотром обоснования и возможностью автоматического истечения срока действия учетных записей по окончании заданного периода времени.

7. Развертывание анализа поведения пользователей

Создавайте пользовательские модели с помощью систем поведенческого анализа UEBA. Они будут служить в качестве систем раннего оповещения: если вы потеряете контроль над конечными устройствами, вы сможете обнаружить атаку на основе отклонений от этих базовых моделей поведения и схем доступа.

8. Используйте машинное обучение в процессе SOAR

Подобно вышеизложенному, если вы начнете генерировать базовые модели активности пользователей и объектов, то вы сможете начать интеллектуально обогащать свои данные, что позволит вам начать применять машинное обучение технологий и средств контроля безопасности с помощью так называемой оркестровки, автоматизации и реагирования (SOAR). Вместо того, чтобы полагаться при выявлении потенциальных инцидентов на аналитика-человека, можно применять решения, которые обеспечивают автоматизированный подход к управлению повторяющимися и рутинными задачами. Это позволяет аналитикам сосредоточиться на более сложных вопросах безопасности и расследований. Технологии SOAR обеспечивают масштабируемость и скорость для организаций, которым сложно вручную идентифицировать угрозы и реагировать на них.

9. Неразрушающее тестирование

Наконец, программа неразрушающего тестирования социальной инженерии — это хороший способ протестировать сотрудников на предмет фишинга и других методов социальной инженерии. Убедитесь, что профили конечных пользователей содержат всю необходимую информацию о том, какими правами доступа к каким активам и данным они наделены. Знание того, что может быть потенциально подвержено опасности в случае взлома конечного пользователя, может дать понимание, какие права следует предоставлять и кому. Некоторым пользователям могут потребоваться уникальные права доступа, основанные на их бизнес-процессах и технических способностях, в то время как другие пользователи могут не иметь доступа к критически важной информации или процессам.