Организации реагируют на фишинг, компрометацию деловой переписки (BEC) и кражу учетных данных, по сути, одинаково уже более десяти лет. Они следуют некоему сценарию, который включает инвестиции в обучение осведомленности, проведение симуляций фишинга и требование от сотрудников проходить ежегодные модули по безопасности. Причина этого проста, и логика этих усилий прямолинейна: если люди смогут лучше распознавать вредоносные электронные письма и вредоносную активность, количество инцидентов снизится.
Тем не менее, сумма денег, теряемая из-за компрометации деловой переписки, продолжает расти. Сбор учетных данных по-прежнему успешен. Стандартная многофакторная аутентификация (MFA) часто обходится с помощью фишинговых наборов типа “adversary-in-the-middle”. Находясь под давлением, старшие руководители, включая опытных финансовых директоров, продолжают одобрять мошеннические платежи.
Это упорство демонстрирует более глубокое неверное толкование в стратегии корпоративной безопасности. Хотя осведомленность — это образовательная мера, которая способствует формированию культуры, а не навязывает результаты, ее рассматривают как средство контроля. Это различие имеет важные последствия для того, как компании оценивают и контролируют риски.
Основное заблуждение
Истинный контроль безопасности предотвращает, обнаруживает или ограничивает результат независимо от того, что делает, знает или не знает отдельный человек. Например, правила условного доступа не зависят от того, хороший ли у сотрудника день, а сегментация сети не зависит от того, помнит ли сотрудник политику. Аналогично, разделение обязанностей в финансах существует именно для того, чтобы ни один человек не мог самостоятельно санкционировать высокорискованные транзакции. Эти механизмы спроектированы для структурного ограничения риска, а не для зависимости от поведенческого совершенства.
У осведомленности в области безопасности есть своя цель — влиять на поведение путем улучшения человеческого суждения в ситуациях, связанных с нехваткой времени и часто неполной информацией. Хотя эти инициативы могут снизить вероятность принятия неверных решений, они не могут обеспечить последовательные результаты для разнородной рабочей силы с индивидуальными различиями, работающей в различных условиях. Человеческая производительность по своей сути изменчива, особенно при воздействии различных условий, и обучение не устраняет эту изменчивость.
Когда организации называют осведомленность в области безопасности «уровнем защиты», они неявно помещают ее наряду с техническими и процедурными мерами, что может исказить понимание и распределение рисков. Таким образом, ответственность за инциденты незаметно смещается в сторону отдельных сотрудников, особенно когда человек нажимает на вредоносную ссылку или одобряет мошеннический запрос. Возникающий нарратив часто подчеркивает человеческую ошибку, вместо того чтобы рассмотреть, позволили ли окружающие системы одному предсказуемому промаху вызвать материальный ущерб.
Более конструктивным направлением расследования является изучение того, были ли средства контроля организации созданы с учетом предвидения ожидаемых человеческих ошибок и ограничения их последствий до того, как они нанесут ущерб на уровне предприятия.
Предсказуемость человеческой ошибки
Человеческая ошибка иногда рассматривается как исключение в обсуждениях инцидентов безопасности, как будто взлом произошел из-за ошибки, которую следовало предотвратить. Человеческая ошибка — это константа в сложных системах, особенно в огромных организациях, где повседневные операции определяются масштабом, темпом и конфликтующими задачами. Важен вопрос, была ли окружающая среда построена с учетом неизбежного возникновения ошибок, а не вопрос, произойдут ли ошибки вообще.
Современные кампании социальной инженерии отражают изощренное понимание того, как функционируют организации. Злоумышленники изучают и понимают линии отчетности, финансовые процессы, отношения с поставщиками и стили общения руководителей, иногда получая информацию из ранее скомпрометированных учетных записей в аналогичных отраслях. Они приурочивают свои сообщения к законной деловой активности и планируют их с учетом графиков поездок, выплат по счетам и давления отчетности в конце квартала. Во многих случаях компрометации деловой переписки вредоносное ПО или технический эксплойт в традиционном смысле не задействованы, и атаки успешны, потому что они используют доверие, присущее обычной деятельности, бесшовно интегрированное в устоявшиеся рутины.
В таких условиях ожидать безупречной работы человека нереалистично. Сотрудники обрабатывают большие объемы коммуникаций, одновременно борясь со сроками и ожиданиями по производительности. Старшие руководители часто принимают решения с неполной информацией, балансируя срочность и риск для поддержания работы бизнеса. Когда запрос соответствует организационным стандартам и прошлому опыту, даже высококвалифицированные специалисты могут его неверно истолковать. Эти ошибки являются естественным результатом когнитивной нагрузки, внешних подсказок и институциональной динамики, а не обязательно доказательством халатности.
Эта реальность признается в отраслях с высоким риском, таких как авиация и здравоохранение, где создаются многоуровневые системы защиты, чтобы одна ошибка не привела к катастрофе. Контрольные списки, резервирование и процессы перекрестной проверки встроены в организационные конвейеры, чтобы гарантировать безопасность систем даже при несовершенстве отдельных лиц. С другой стороны, та же дисциплина не всегда применялась в корпоративной кибербезопасности. Одна скомпрометированная учетная запись или одна ошибка конфигурации, как, например, в инциденте с CrowdStrike, все еще может привести к серьезному операционному или финансовому ущербу во многих ситуациях. Когда присутствует такая степень хрупкости, распределение полномочий в системе и ее способность поглощать ошибки становятся более актуальными, чем индивидуальное поведение.
Осведомленность не может служить основной защитой
Существуют структурные ограничения, которые не позволяют осведомленности выступать в качестве надежного средства контроля. Во-первых, когнитивная нагрузка и усталость от принятия решений неизбежны в сложных организациях. Даже опытные профессионалы совершают ошибки из-за снижения бдительности в условиях давления, и обучение осведомленности не устраняет эту человеческую реальность. Обучение осведомленности может усилить общую подозрительность, но оно не может устранить тот факт, что людям приходится постоянно сортировать информацию в условиях нехватки времени, и как следствие, периодические промахи в суждениях статистически неизбежны.
Во-вторых, организационная динамика еще больше усложняет картину, особенно в традиционных обществах, где это сильно поддерживается. Иерархия и воспринимаемый авторитет используются во многих успешных инцидентах компрометации деловой переписки. Запросы, исходящие от старших руководителей, по умолчанию считаются срочными и важными для организации. Сотрудников часто обучают поддерживать указания руководства, а не препятствовать им, особенно когда речь идет о срочных финансовых вопросах, что может замедлить бизнес-процессы.
Наконец, широкое распространение многофакторной аутентификации также способствовало раздутому чувству безопасности. Хотя MFA значительно повышает безопасность по сравнению с настройками, где используется только пароль, не все реализации неуязвимы для современных методов атак. Атаки типа “push fatigue” используют рутинные шаблоны утверждения, фреймворки “adversary-in-the-middle” могут красть и воспроизводить токены сеансов, а фишинг с использованием кодов устройств / согласия OAuth может обеспечить постоянный доступ без необходимости традиционной кражи учетных данных. В этих случаях высока вероятность того, что сотрудники соблюдают установленные процедуры безопасности и все равно будут скомпрометированы, поскольку архитектура это допускает.
В совокупности эти причины показывают, почему осведомленность не является надежной основной защитой. Она может укрепить передовые практики и снизить риски на периферии, но она не может компенсировать некачественную архитектуру идентификации, хрупкие финансовые процедуры или неадекватный мониторинг.
Рассмотрение человеческого риска как проектного ограничения
Более точный подход переосмысливает человеческий риск как инженерную задачу, а не как поведенческий недостаток. Руководителям по безопасности следует оценивать, какие решения влекут за собой непропорционально высокий риск при выполнении изолированно, вместо того чтобы спрашивать, как обучить персонал распознавать каждый потенциальный вариант фишинга.
Ключевые вопросы в этом отношении включают:
- Должен ли один запрос по электронной почте когда-либо быть достаточным для инициирования высокоценного перевода?
- Подлежат ли изменения в инструкциях по оплате принудительной внеполосной верификации?
- Проверяет ли инфраструктура идентификации целостность сеанса непрерывно?
- Обнаруживаются ли аномальные финансовые действия в режиме реального времени?
Этот сдвиг переносит акцент с убеждения людей вести себя идеально на создание систем, которые остаются устойчивыми, когда они этого не делают.
Как должны выглядеть структурные средства контроля
Корпоративная стратегия, эффективно противодействующая угрозам, ориентированным на человека, включает в себя средства защиты, которые работают без постоянного мониторинга. Привязанные к устройству ключи доступа (Device-bound passkeys) и аппаратные учетные данные являются примерами методов аутентификации, устойчивых к фишингу, которые снижают уязвимость перед манипуляциями на основе push-уведомлений и перехватом токенов. По сравнению с одними только статическими запросами MFA, политики условного доступа, которые также оценивают состояние устройства и статус регистрации, аномалии геолокации и сигналы поведенческого риска, обеспечивают большую уверенность.
В том же духе финансовые рабочие процессы должны включать разделение обязанностей и принудительную верификацию. Для высокоценных транзакций, изменений банковских реквизитов поставщиков и срочных запросов на оплату должна требоваться вторичная проверка через отдельные каналы. Системы отслеживания транзакций также должны уметь обнаруживать аномальные суммы платежей или отклонения от исторических тенденций.
Особое внимание следует уделить телеметрии идентификации. Тактики сохранения присутствия, часто используемые в кампаниях по компрометации деловой переписки, можно обнаружить, отслеживая правила почтовых ящиков, нетипичные поездки, предоставление разрешений OAuth, назначение привилегированных ролей и странности сеансов. Используя решения Privileged Identity Management, привилегированный доступ должен быть ограничен по времени и основан на утверждении, чтобы уменьшить радиус поражения от неправомерного использования учетных данных. Хотя человеческую ошибку нельзя устранить, эти меры предосторожности значительно снижают вероятность того, что одна ошибка приведет к серьезным материальным потерям.
От игры в обвинения к архитектуре
Логично, что организации предпочитают склоняться к кампаниям по повышению осведомленности. Они заметны, часто относительно недороги при включении в существующие инструменты безопасности и поддаются количественной оценке. С другой стороны, архитектурная перестройка, модернизация идентификации и реорганизация рабочих процессов требуют большего финансирования и межфункционального сотрудничества.
Однако злоумышленники становятся все более искусными в использовании предсказуемых паттернов человеческого поведения в текущих корпоративных процедурах. Им нужно лишь, чтобы люди оставались людьми, поскольку они понимают срочность, доверие и операционную сложность, которые часто сопутствуют работе в условиях сжатых сроков, высокого давления и последующего самоуспокоения.
Рациональный ответ — исходить из предположения о несовершенстве и строить системы соответствующим образом.
Более честная оценка системного риска
Осведомленность в области безопасности остается важным компонентом организационной культуры. Сотрудники должны понимать распространенные шаблоны атак и чувствовать себя вправе сообщать о подозрительной активности. Однако осведомленность следует рассматривать как вспомогательную меру, а не как основную защиту.
Когда одно решение все еще может спровоцировать значительный финансовый или операционный ущерб, подверженность организации коренится в дизайне. Устойчивые предприятия признают, что человеческая ошибка неизбежна, и гарантируют, что их архитектура идентификации, финансовые средства контроля и возможности мониторинга достаточно надежны, чтобы ее поглотить.
Переосмысление осведомленности в таком ключе не умаляет ее ценности. Оно помещает ее в правильную категорию и заставляет более честно оценивать системный риск. Пока этот сдвиг не произойдет, многие организации будут продолжать вкладывать значительные средства в обучение, оставляя структурные уязвимости нетронутыми, а злоумышленники будут продолжать использовать разрыв между образованием и инженерией.
Эта статья публикуется в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oludolamu Ademola Onimole
