Ознакомьтесь с опасными угрозами для безопасности электронной почты и узнайте, как завоевать и сохранить доверие клиентов с помощью мер по обеспечению безопасности электронной почты
Почему безопасность электронной почты
Угрозы безопасности электронной почты растут. Исследование, проведенное для полугодового отчета Cyber Security Hub о состоянии рынка в 2022 году, показало, что 75% специалистов по кибербезопасности считают, что атаки на электронную почту, такие как фишинг и социальная инженерия, являются «самой опасной» угрозой кибербезопасности для их организаций. Компании должны защищать этот уязвимый актив без ущерба для эффективности коммуникации.
Безопасность электронной почты является неотъемлемой частью защиты компаний от внешних угроз, но она также необходима для защиты клиентов бренда от исходящих угроз, таких как фишинг, утечка данных и компрометация деловой электронной почты (BEC). Без достаточных стратегий безопасности электронной почты компании открывают себя, своих клиентов и заказчиков для последствий инцидентов кибербезопасности.
Угрозы безопасности электронной почты охватывают не только атаки со стороны злоумышленников, но и внутренние функции компании. Исследование Стэнфордского университета показало, что 88 % всех случаев утечки данных происходит из-за ошибки сотрудника, а это значит, что компании должны проявлять повышенную бдительность при обучении своих сотрудников. Обучение должно проводиться в легкодоступном формате, чтобы сотрудники могли легко запомнить информацию и избежать ошибок в будущем.
Эта угроза для внутренней работы компании может также привести к дальнейшему ущербу для ее бренда, если не принять быстрых и эффективных мер. Даже давние клиенты могут потерять веру в организации, если почувствуют, что не могут доверять их стратегии кибербезопасности, особенно когда на кону стоят личные данные клиентов.
В этой статье Cyber Security Hub дает рекомендации о том, как внедрить отличную защиту электронной почты и убедиться, что ваши сотрудники понимают ее важность.
Уязвимости, вызванные слабой защитой электронной почты
Игнорирование электронной почты как риска для безопасности — опасное упущение для любой организации. В 2020 году сеть профессиональных услуг Deloitte сообщила, что 91 % всех кибер-атак начинается с фишинговых писем.
Существует целый ряд угроз для безопасности электронной почты: от атак социальной инженерии, фишинга и компрометации учетных записей до захвата и кражи данных. Фишинговые атаки могут быть направлены на пароли и учетные записи пользователей, которые могут содержать конфиденциальную и ценную информацию о клиентах. Кража учетных данных также представляет собой риск, поскольку сотрудники могут повторно использовать пароли для нескольких различных платформ в своей деловой и личной жизни, что ослабляет безопасность компании, если какая-либо из этих учетных записей будет скомпрометирована или раскрыта во время утечки данных.
Джон Лай, менеджер по цифровому маркетингу оператора денежных услуг Statrys, говорит, что для предприятий не существует надежного способа управления паролями или обеспечения того, чтобы сотрудники регулярно меняли свои пароли. Социальная инженерия и сложные методы взлома могут затруднить сотрудникам правильное определение мошеннических писем, отмечает Лай, даже если в организации есть защита электронной почты или регулярно проводятся тренинги по безопасности.
«Часто фишинговые письма просят получателей сбросить пароли или войти на сайт мошеннической учетной записи, чтобы получить учетные данные. Даже если в организации есть защита электронной почты и регулярно проводятся тренинги по безопасности, пользователям может быть очень сложно определить, является ли письмо мошенническим», — объясняет она.
Мухаммад Бабамия, специалист по внутреннему аудиту в области кибербезопасности, данных и аналитики в южноафриканском инвестиционном холдинге Transaction Capital, соглашается с ней, заявляя: «Наибольший риск для безопасности электронной почты представляют нерадивые сотрудники».
«Люди — самое слабое звено с точки зрения кибербезопасности», — добавляет он. «Это особенно верно в отношении безопасности электронной почты. Хотя конфигурация электронной почты и уровни безопасности помогают уменьшить количество нарушений, связанных с электронной почтой, они остаются в той или иной форме, полагаясь на человеческое безрассудство».
Когда речь идет о безопасности электронной почты, несмотря на то, что могут быть приняты самые лучшие программные меры, истинная безопасность почты также зависит от способности сотрудников понять, почему и как компания может быть атакована через электронную почту и что делать в случае компрометации.
Последствия фишинговых кампаний могут быть разрушительными для бизнеса. В 2014 году сотрудники Sony Pictures, включая системных инженеров и сетевых администраторов, были атакованы поддельными электронными письмами, которые выглядели как законные сообщения от Apple, с просьбой подтвердить учетные данные Apple ID.
Нажав на указанную ссылку, сотрудники попадали на кажущуюся законной веб-страницу, где им требовалось ввести свои данные для входа в систему. Поскольку эти электронные письма были адресованы тем, кто, скорее всего, имел доступ к сети Sony, эти данные были использованы для взлома сети.
В результате этой фишинговой кампании было похищено несколько гигабайт данных, включая бизнес-контент, финансовые отчеты, проекты ориентированные на клиентов и цифровые копии недавно выпущенных фильмов. Взлом обошелся Sony примерно в 15 млн. долларов США.
Ким Уэлсби, региональный директор в Clearswift, компании HelpSystems, отмечает, что одной из основных проблем обеспечения безопасности электронной почты является то, что электронная почта изначально разрабатывалась без функций безопасности.
«Отсутствие безопасности в электронной почте было секретом ее успеха. Это было нормально, когда относительно небольшое количество людей использовало ее для связи только с теми, кого они знали, но с ее распространением люди перестали знать, кто с ними связывается», — объясняет Уэлсби.
Поскольку сотрудники компаний привыкли, что с ними связываются люди из вне, а также ведется общение по рабочим делам с незнакомыми людьми, это может заставить их менее настороженно относиться к потенциально опасным или мошенническим электронным письмам. Существует ряд угроз, связанных с безопасностью электронной почты: от прямых атак на сотрудников посредством фишинговых кампаний или социальной инженерии до отсутствия функций безопасности в электронной почте.
В следующем разделе этого отчета мы рассмотрим, как бороться с этими угрозами.
Обеспечение безопасности электронной почты в вашем бизнесе
Атаки по электронной почте, такие как фишинг и социальная инженерия, направленные непосредственно на сотрудников предприятия, могут иметь катастрофические последствия для бизнеса. Три из четырех специалистов по кибербезопасности, опрошенных в рамках полугодового отчета Cyber Security Hub о состоянии рынка в 2022 году, заявили, что такие атаки являются «самой опасной» угрозой для кибербезопасности.
Эти атаки направлены непосредственно на сотрудников предприятия, возлагая на них ответственность за то, чтобы атака не продолжалась. Кроме того, эти атаки часто основаны на психологическом манипулировании сотрудниками. Они могут быть очень эффективными в убеждении сотрудников действовать так, как они обычно не действуют, даже если они прошли обучение по безопасности.
Эффективность фишинговых атак может зависеть от того, насколько эффективно сотрудники могут оценить, является ли электронное письмо безопасным. Это может стать проблемой, если сотрудники не уделяют внимания обучению кибербезопасности. Уэлсби из Clearswift объясняет, что ложное чувство безопасности может быть вызвано ошибочным мнением сотрудников компании о том, что их антивирусное ПО или защита от вредоносного ПО, достаточны для блокирования всех угроз. Поскольку антивирусное программное обеспечение может только остановить и предотвратить известные угрозы, такие как вредоносные программы или программы-вымогатели, однако если при попытке взлома используется новый, неизвестный файл или URL-адрес, оно может оказаться не в состоянии блокировать атаку.
Обеспечение хорошей кибербезопасности на предприятиях требует вовлечения сотрудников в процесс обучения, чтобы они могли лучше запомнить информацию и использовать ее в дальнейшем, когда они столкнутся с угрозами кибербезопасности.
Как вовлечь сотрудников в процесс обеспечения безопасности электронной почты
В ходе обсуждения в Консультативном совете Cyber Security Hub один из членов предложил связать безопасность электронной почты с универсальными целями компании. Это предполагает проведение нескольких фишинговых тестов в течение года, причем результаты этих тестов должны влиять на итоговые показатели компании. Это связано с тем, что фишинговые атаки оказывают косвенное влияние на итоговые показатели компании. Кибер-атаки стоят больших денег, а значит, если произойдет кибер-атака, компании потеряют деньги на операционных расходах. Кроме того, кибератаки могут привести к тому, что клиенты потеряют доверие к компании и переведут свой бизнес в другое место, что приведет к общему снижению доходов. Поскольку бонусы напрямую связаны с прибылью, финансово мотивированные сотрудники должны быть более усердными в том, чтобы не переходить по потенциально опасным ссылкам, так как их хорошее поведение подкрепляется и вознаграждается.
Йорел Ван Ос, главный специалист по информационной безопасности страховой компании Acrisure, считает, что компании могут лучше вовлекать своих сотрудников, используя короткие видеоматериалы с примерами реальных случаев из жизни.
«Например видеоролики, в которых показывают реальные примеры из практики», — замечает Ван Ос. «Я думаю, что это хороший, убедительный способ [обучения сотрудников]».
«Каждый из них длится от одной до двух минут, — объясняет он. «Мы провели микроопрос по видеороликам с точки зрения продолжительности содержания, эффективности содержания и подачи материала, в итоге мы получили 4,8 из 5-ти звезд среди сотен или тысяч людей, которые оценили их».
Одним из таких примеров является отзыв человека, размещенный на сайте LinkedIn под названием «Мой пост в LinkedIn стоил моей компании целого состояния». В отзыве идет речь, что некто, выдававший себя за рекрутера, заманил его в компанию, сначала через комментарии к его сообщениям в LinkedIn, а затем через сообщения с выгодным предложением работы.
Мнимый рекрутер установил с ним отношения и в конце концов отправил ему PDF-файл, в котором якобы содержалось предложение о работе. Вместо этого в нем было только сопроводительное письмо и две пустые страницы. Когда человек связался с мнимым рекрутером, ему объяснили, что это защищенный файл, и предложили загрузить и установить защищенную программу для чтения PDF-файлов. Когда это все равно не помогло, человека снова связался с рекрутером, но тот не ответил ни на одно из его сообщений. А несколько недель спустя в его компании произошла утечка данных, которая стоила компании миллионы долларов. Нарушение было отслежено, так как PDF-ридер содержал вредоносное ПО, которое было использовано для атаки на компанию.
На видео, жертва преступников, объясняет, что атаки мошенников на рабочие места становятся все более распространенными, поскольку сотрудники должны общаться с незнакомыми людьми и скачивать присланные им вложения.
Ван Ос говорит, что таким образом компании могут помочь сотрудникам осознать, что они участвуют в обеспечении безопасности электронной почты предприятия, а также дать им представление о том, что делать во время инцидента кибербезопасности. Это также может дать им советы о том, что следует искать в потенциально вредоносных сообщениях.
Компании могут использовать и другие тактики для вовлечения сотрудников, говорит Бабамия из Transaction Capital.
Если используется традиционный стиль презентаций – это так называемая «смерть от PowerPoint» и она часто является причиной скуки и невнимательности обучающихся», — отмечает Бабамия. «Организациям необходимо обеспечить вовлечение участников с помощью различных средств обучения, таких как геймифицированное обучение и использование стимулов для повышения эффективности обучения».
«Имитация фишинговых атак — отличный способ выявить неосведомленных сотрудников. Применяя тактику устрашения, сотрудники должны быть более сконцентрированы, чтобы последствия их действий не привели к серьезному нарушению информационной безопасности организации», — отмечает он.
Обеспечение безопасности электронной почты помимо сотрудников
Что касается обеспечения безопасности электронной почты помимо обучения сотрудников, Уэлсби из Clearswift отмечает, что лучше всего использовать многоуровневое решение, поскольку для реагирования на различные угрозы потребуются различные средства контроля. Он рекомендует сочетать защиту содержимого, например, структурную санацию — удаление активного содержимого в теле письма и вложениях, а также удаление или переписывание URL-адресов для перехода через другой веб-браузер. Защита личности особенно важна, поскольку атаки с использованием социальной инженерии и фишинга часто основаны на выдаче себя за человека, обладающего авторитетом в компании. Обнаруживая благонадежных отправителей, а не блокируя несущих риск, позволяет программному обеспечению выявлять и блокировать небезопасные адреса после доставки и таким образом предотвращать распространение потенциально опасных писем.
Кемас Охале, руководитель отдела глобальных операций по информационной безопасности, производителя пневматических устройств управления SMC Corporation, отмечает, что использование следует использовать комплексное решение для защиты
электронной почты. Следует, чтобы оно сочетало в себе возможности искусственного интеллекта (AI) или машинного обучения (ML) для обнаружения угроз с возможностями человека и тогда это может быть «очень эффективным» в обеспечении безопасности организаций.
«AI или ML не могут справиться в одиночку, как и люди», — замечает Охале. «Объединение этих двух технологий в единое решение и снижение нагрузки на команду безопасности за счет широкой автоматизации — оптимальный способ обеспечить максимальную безопасность почтовых ящиков».
Безопасность электронной почты может быть обеспечена путем взаимодействия с сотрудниками и демонстрации им того, как кибербезопасность неотъемлемо связана с их работой. Кроме того, компании должны использовать стратегии защиты, включая протоколы аутентификации электронной почты, такие как DMARC, структурную санацию и использование искусственного интеллекта или машинного обучения для обнаружения и нейтрализации угроз с целью защиты системы электронной почты.
В следующем разделе данного отчета будет рассмотрена важность безопасности электронной почты для защиты вашего бренда.
Как безопасность электронной почты может защитить ваш бренд
Безопасность электронной почты важна не только для безопасности внутренних данных, но и для внешнего бренда компании. Плохая защита электронной почты может повлиять на клиентов множеством способов, начиная от раскрытия их личной информации и заканчивая тем, что они будут считать бренд менее безопасным или заслуживающим доверия.
Уэлсби из Clearswift отмечает, что, хотя большинство людей считают, что безопасность электронной почты — это защита организации от угроз, компаниям также необходимо защищать свои исходящие электронные письма и сообщать клиентам и заказчикам, чтобы они отклоняли сообщения, не принадлежащие компании.
Уэлсби объясняет, что хотя использование аутентификации DMARC для обнаружения и предотвращения методов подмены электронной почты, используемых в фишинге, компрометации деловой электронной почты (BEC) и других атаках на основе электронной почты, в принципе, кажется простым, оно может быть сложным — особенно для крупных организаций.
«У нас есть клиенты, которые используют приложения, позволяющие другим отправлять электронные письма от их имени, а одна организация обнаружила, что использует на 200 больше приложений электронной почты, чем предполагала», — говорит Уэлсби. «Поскольку это был крупный розничный бренд с множеством приложений, созданных на заказ, и поставщиками услуг, отправляющих электронные письма от имени бренда. Чтобы создать сценарии использования почты компании потребовалось два года «.
«Защита торговой марки облегчает брендам задачу определения того, кто они такие и какими услугами пользуются», — добавляет он.
Бабамия из Transaction Capital отмечает, что в результате крупномасштабных атак может произойти взлом электронной почты и злоумышленники передадут общественности высококонфиденциальную информацию, что может повлиять на доверие к компании. Если это доверие нарушено, клиенты могут покинуть компанию и вместо нее воспользоваться услугами конкурента, что приведет к потенциальному снижению доходов.
Клиенты могут потерять доверие к брендам, если они считают, что те не обеспечивают надлежащую защиту их данных, а это приводит к тому, что обеспокоенные клиенты выбирают другие бренды. Обеспечив полную вовлеченность сотрудников в процесс обучения и сохранения информации, а также наличие надежного решения для защиты электронной почты, компании смогут лучше выявлять и смягчать последствия инцидентов кибербезопасности.
«Защита торговой марки позволяет брендам легче показать, кто они такие и какими услугами пользуются».
Мухаммад Бабамия, специалист по внутреннему аудиту ИТ в компании Transaction Capital
Заключительные замечания
Существует ряд угроз безопасности электронной почты, с которыми приходится сталкиваться сотрудникам. Самыми опасными из них являются социальная инженерия и фишинговые атаки, поскольку они направлены непосредственно на сотрудников и могут иметь потенциально разрушительные последствия для их компании.
Безопасность электронной почты в первую очередь зависит от бдительности сотрудников в отношении потенциальных входящих атак. Для того чтобы все сотрудники были в состоянии распознать вредоносные электронные письма и не вступать с ними в контакт, компании должны обратить внимание на то, как они обучают своих сотрудников кибербезопасности. Использование более увлекательных методов, таких как короткие видеоролики, привязка содержания к самим сотрудникам или использование системы поощрений, может помочь лучше вовлечь сотрудников, что означает, что они будут в лучше осведомлены в плане обеспечения безопасности электронной почты.
Кроме того, компаниям следует обеспечить надежную защиту, включая использование структурной чувствительности и защиты идентификации, например DMARC. Используя эти методы, компании могут гарантировать, что фишинговые атаки будут менее успешными, поскольку URL-адреса могут быть признаны безопасными до того, как на них нажмут, а злоумышленники, пытающиеся выдать себя за вышестоящих по должности сотрудников компании в ходе социальной инженерии или фишинговых атак, будут иметь меньше шансов на успех.
Таким образом, компании могут защитить своих сотрудников и сам бизнес от киберпреступников и внутренних угроз, а клиентов и заказчиков — от исходящих угроз. Информируя клиентов и покупателей об этих усилиях, они могут укрепить доверие к своей кибербезопасности и предотвратить потерю доверия в случае инцидента кибербезопасности, поскольку если клиенты почувствуют, что их данные не защищены должным образом, они могут покинуть компанию и обратиться к другой.
Перевод статьи: Опасные уязвимости, вызванные слабой защитой электронной почты