Ako sa brániť phishingu?

Mnohé už bolo vypovedané, mnohé už bolo napísané, avšak stále zostáva phishing spolu so zneužitím vzdialeného prístupu príčinou až 80 % všetkých úspešných útokov. Dá sa mu vôbec efektívne brániť?

"Občas propadají všichni bezpečáci depresivním stavům, protože již tolikrát uživatelům vysvětlovali, že si mají dát pozor na podvodné emaily, a přesto znovu a znovu musí řešit problémy vyplývající z neuvážených kliknutí. Mimochodem poslední dostupné zprávy uvádějí, že zaměstnanec Microsoftu, který byl kompromitován kyberzločineckou skupinou LAPSUS$ (podle všeho byla skupina tvořena britskými teenagery(!)) byl „napálen“ podvrženým emailem, podobně tomu bylo i při útoku na ukrajinskou rozvodnou energetickou síť, kdy nejmenovaný uživatel podlehl podvrženému emailu.

Jako bezpečáci v daných případech čelíme víceméně záludnostem lidského ducha. Útočníci pracují se základními lidskými emocemi jako je obava, zvědavost, touha po bohatství nebo kráse či úspěchu a moc dobře ví, že s těmito emocemi se tak nějak pereme pořád všichni. Technickými prostředky jsme jako bezpečáci schopni filtrovat spam nebo vysloveně škodlivý obsah v přílohách. Bohužel, nikdy tyto prostředky nebudou 100 % a tak se čas od času dostane k uživateli nějaký podvrh a v takové situaci je informační systém závislý na bezpečnostním povědomí uživatele.

Jak na tom vaši uživatelé jsou? Na to je zpravidla velmi těžké odpovědět, ale v průměru najdeme v každé organizaci průřez od zodpovědných, znalých a opatrných uživatelů až po doslova bezstarostné „klikače“, kteří kliknou na cokoliv.

Co s tím? Pracovat s uživateli. Snadno se napíše, hůře se udělá. Je třeba počítat s tím, že se jedná o „stroj, který se za obrovského řevu uvádí do minimálního pohybu“, takže námitek a překážek bude spousta, výsledky se budou objevovat jen velmi pomalu. V první řadě je nutné zajistit si a zní to frázovitě, podporu vedení, protože znám příběhy o nekonečných soubojích při požadavcích na investice, natož do něčeho takového nehmatatelného jako je bezpečnostní povědomí. Já však věřím v to, že pravidelná a zdůrazňuji ještě jednou pravidelná práce s uživateli výsledky přinese.

Je potřebné zapomenout na „výroční“ hodinová školení / semináře ohledně bezpečnosti, protože za 14 dní jejich efekt roztaje jako jarní sníh. Mnohem efektivnější jsou opakované krátké intenzivní tréningy – třeba i jen 15 - 20 minutovky jednou za 2 - 3 měsíce. Jednak uživatelé nejsou otráveni, jednak je jim problém stále připomínán a také mohou být upozorňováni na aktuality. Nezapomeňte na to, že tréning musí být pro uživatele nějakým způsobem atraktivní, a to ať už formou (kvízy, online s možností přizpůsobit čas uživateli) nebo obsahem (zábavný, zajímavosti, „živé“ ukázky, kuriozity). Nedílnou součástí je samozřejmě testování uživatelů, jejich zkoušení. Je to jediný nástroj na změření efektivity školení uživatelů, a tak jim pravidelně „nepravidelně“ posílejte podvrhy a vyhodnocujte, jak na ně reagují.

Zkuste v rámci edukačního programu pracovat nejdříve s vedením třeba tím, že si to vyzkouší a sami pochopí důležitost tohoto bezpečnostního opatření.

Budete-li tedy chtít připravit školící program, otestovat své uživatele, prezentovat tento problém svému vedení, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte. :-) AUTOCONT ví jak."

 

Luděk Mandok, Senior Security Consultant - AUTOCONT CZ

Chcete viac informácií?