Журналист Кэвин Таунсенд несколько месяцев назад попросил меня прокомментировать высказывание о фишинге для статьи, в которой он это исследует. Он сказал:
Фишинг, или же незаконное выманивание личных данных, можно свести к двум основным вопросам:
- Могут ли технологии решить эту проблему в целом, и какой подход к решению проблемы является наилучшим?
- Может ли обучение основам безопасности решить проблему, и если это возможно, то каким образом?
Если ответ на оба вопроса отрицательный, тогда стоит ли сконцентрировать внимание на принятии того факта, что это всё привело к успеху, и сконцентрироваться на обнаружении и устранении эффекта успешного фишинга?
Вопрос заключается в следующем: является ли фишинг и другие киберпреступления исключительно технологическими проблемами? Даже если это было бы так, то могли бы они быть решены только при помощи технологий?
До определенного предела индустрия компьютерной безопасности полагается на идею о том, что всегда существует технологическое решение технологической проблемы, однако «всегда» – это слишком громко сказано.
В целом при технологическом определении вектора атаки злоумышленники пытаются найти методы обхождения преграды. Это не означает, что стоит прекратить поиск технических решений, это означает, что не всегда возможно найти одно единственно верно решение, которое будет действовать всегда. Иногда мы забываем о таком подходе, чаще мы продолжаем работать с природой изменений конкретной угрозы.
Можно ли починить сломанное?
Для выживания в атмосфере угроз и контр-угроз требуется нечто большее, чем технологическая пикировка. Ожидание того, что индустрия кибербезопасности может все починить, так же реалистично, как и ожидание того, что медицинские технологии смогут полностью избавить человечество от заболеваний, или экспертно-криминалистические технологии смогут расправиться с преступлениями во всем мире. Интернет-мир не обладает единой точкой, к которой можно приложить единое технологическое решение, после чего абсолютно все пользователи будут защищены, даже если такое решение и существовало бы.
Возможно, решение – не самое точное слово. Нужно то, что не будет звучать как «безусловная громкая победа в конце военных действий», а скорее как «это поможет нам победить в стычке». Процитирую свои слова (из статьи для журнала Heimdal Security, с которым я сотрудничаю):
«Индустрия безопасности достаточно хорошо обеспечивает широкий выбор частичных решений для широкого ряда технологических атак, однако, технологии постоянно эволюционируют с обеих сторон, поэтому не существует 100%-й безопасности в целом. В большинстве случаев организации и частные лица сами определяют, какие защитные меры они будут предпринимать и стоит ли вообще к ним прибегать».
К сожалению, такой выбор не всегда совпадает с тем, который эксперты по безопасности определили бы как наилучший.
Технологии против людей
Фишинг – это не только технологическая проблема, в целом это даже не киберпреступление. (Данная статья рассказывает о киберпреступлении в общем, а не только о фишинге.) В действительности, киберпреступление, равно как и обычное преступление, в первую очередь является социальной проблемой или же группой взаимосвязанных социальных проблем.
Криминальное поведение (в реальной или виртуальной среде) опирается на определенные экономические, образовательные и психологические факторы. Процитирую себя еще: «Общество может служить причиной развития отклонений в поведении, когда индивидуум придерживается нескольких кодов, элементы которых несовместимы, что ведет к развитию когнитивного диссонанса и иррационального или неадекватного поведения. В других случаях это может быть связано с эпохой ложных новостей, которые постоянно мелькают в СМИ, развитием технологий, которые далеко опережают индивидуальную способность применять общие правила ежедневной социализации в виртуальном мире».
Виктимное поведение и подобные факторы. Это не означает, что жертвы не удосуживаются принимать необходимые меры предосторожности, при этом банки и другие организации также вносят свою лепту в развитие проблемы, поскольку не удовлетворяют достаточным стандартам безопасности при общении с клиентами. Каждый раз, когда банк отсылает электронное письмо, адресованное «дорогому значимому клиенту» или содержащее различные перенаправляющие ссылки, они усложняют пользователям жизнь и мешают потенциальным жертвам различать письма, действительно высланные банком, от писем мошенников. Если банк даже не знает имени клиента, то как можно быть уверенным в том, что сообщение действительно от банка? Если неизвестно, куда пользователя перенаправляет ссылка, или же перенаправление идет на страницу, не связанную с банком, то как узнать, безопасно ли это?
Законодательство и вопросы его применения. Даже при наличии соответствующего законодательства, желание и источники для его внедрения и применения зачастую отсутствуют.
Осведомленность, обучение, образование
Так могут ли осведомленность и образование решить проблему? Скорее всего, мы об этом и не узнаем. Неизвестно, будет ли работать образование пользователей, поскольку никто им не занимался и не занимается. Это, конечно же, упрощение ситуации, но оно вполне адекватно предположению, что если бы кто-то занимался образованием пользователей, то результаты уже были бы видны сейчас. Несомненно, можно отметить, что был проделана огромная работа в области повышения общего уровня осведомленности о безопасности и самозащите посредством определенной образовательной формы, и мне приятно сознавать, что и я принимаю в этом участие, например, этой статьей 2014 года, написанной совместно с Себастьяном Бортником: «Простая и специализированная помощь: Помогая обществу через образование». В этой статье мы задаемся вопросом:
«Как мы можем установить равновесие, если при обучении основам компьютерной безопасности в условиях сложных угроз приходится работать с аудиторией, обладающей различными уровнями опыта и технологических знаний? Может ли практичный и удобный в использовании подход к кибербезопасности быть внедрен в структуру официальной и даже национальной защиты?»
И вот как это можно сделать.
Образование, образование, образование
С момента моего перехода в область кибербезопасности, я рассматривал свою деятельность, скорее, как образовательную (по собственному намерению, конечно же), а не исследовательскую. Какое-то время назад я понял, что существует большое количество людей, которые обладают лучшими навыками и знаниями относительно разборки вредоносных программ и создания кодов для определения злоумышленных намерений. Работать с ними было, несомненно, привилегией (не только в ESET, но и вообще в отрасли обеспечения безопасности в целом), и я благодарен им за чтение моего блога и прослушивание моих презентаций.
Если бы у меня не было знаний и умений в распознавании вредоносных технологий и технологий, которые им противостоят, я бы не смог работать; а мои интересы и способности мало связаны с психосоциальными аспектами криминологии и виктимологии. Более того, мое академическое образование связано с социальными и компьютерными науками, благодаря чему я могу смотреть на проблемы с немного другой стороны по сравнению с более технически ориентированными специалистами в области кибербезопасности. Люди, не обладающие специальными компьютерными знаниями, могут быть обучены и могут иметь меньшую чувствительность к атакам, обладая достаточным психологическим навыком, а не только лишь технологическим.
Боюсь, мне придется еще раз себя процитировать:
«Очень, очень часто… угроза менее зависима от эффективности технологии по сравнению с эффективностью от манипулирования психологией жертвы.
Психологические манипуляции относительно намеченной жертвы являются основным компонентом того, что мы часто называем социальной инженерией или социотехникой. Восприимчивость к социотехнике иногда можно понизить при помощи технических мер – текстового анализа электронных сообщений, который выявляет текст, характерный для злоумышленников, к примеру. Тем не менее, педагоги предпочитают простой долгосрочный подход, который связан с тем, чтобы усложнить возможность манипулирования пользователем».
Распознавание угрозы
Достичь этого можно при надлежащем относительно упрощенном обучении распознавания угрозы: к примеру, опросники по фишингу, рассмотренные еще в 2007 году в журнале Virus Bulletin (статья Фишинг: помогает ли образование пользователям или вредит?). Однако, KISS-принцип или «принцип неусложнения», не всегда является достаточным для защиты пользователя. То, что работает при техническом расчете, увы, не всегда применимо в области образования. Существует постоянное напряжение между сохранением связей в пределах понимания слушателей и точности и тщательности информации выступающего оратора. (Одиннадцатый закон «Data smog»: «Опасайся историй, рассеивающих всю сложность»)
Даже плохо разработанный опросник повышает осведомленность относительно существующей проблемы, однако, он может стать более, чем просто бесполезным, если приводит к неверным заключениям у участника. Некоторые опросники рекламируют определенные услуги: «Проницательность – не для вашего маленького мозга, покупайте наш продукт или же используйте нашу бесплатную панель инструментов/услуги верификации сайта/что-то еще». Это не так уж и неправильно, поскольку продавец распространяет свою продукцию доступными способами. Если услуга или продукт бесплатны, то критиковать такой подход не стоит. Тем не менее, проблема заключается в создании зависимости, а не осведомленности; более того, такая зависимость связана с техническим решением, которое опирается на поиск специфических случаев преступных намерений, нежели на определение обобщенного класса угрозы.
Очевидно, что существуют и другие ограничения эффективности патерналистичного подхода. Ознакомление потенциальных жертв с некоторыми примерами угроз может привести к тому, что в будущем они смогут использовать их и для других примеров угроз того же класса. К сожалению, такое встречается нечасто. Несмотря на то, что в теории было бы здорово обучить всех аналитическим навыкам эксперта по эффективной компьютерной безопасности, на практике такое вряд ли возможно, как на рабочем месте, так и в домашних условиях.
Не все советы одинаково полезны
Внедрение схемы, которая имеет определенный шанс обучения каждого пользователя, может потребовать ресурсов, понимания и координации действий в таких масштабах, что ее введение в недалеком будущем для нас и наших детей вряд станет возможным. К слову, не все советы одинаково полезны.
Существует огромное количество бесплатной доступной информации из множества источников: СМИ, производители продукции по компьютерной безопасности, государственные организации, юридические органы, а также своего рода альтруисты, предлагающие советы, обзоры продукции. К сожалению, качество таких источников очень различается, они нацелены на ту часть общества, которая наименее способна различать хорошие и плохие советы. Особенно это касается советов, которые связаны с конкурирующими источниками.
Заплатки для людей
Увы, вряд ли образование способно изменить человеческую природу настолько, чтобы один человек не думал о том, как обмануть другого, даже если последний весьма наивен. Если образование не сможет достичь такой благородной цели, то мошенники будут продолжать искать свои жертвы, а в эру хай-тек они, конечно же, будут использовать доступные технологии для достижения своих низменных целей; законы и их выполнение будет иметь лишь частичный успех, а жертвы будут вести себя таким образом, чтобы снова и снова попадать в ловушки злоумышленников. Тем не менее, обучение и образование могут помочь любому человеку, живущему в цифровую эпоху, уменьшить виктимность своего поведения.
Образование пользователя является важной частью социальной эволюции. Угрозы, с которыми мы встречаемся в интернете, не являются концептуально новыми: новинкой стало лишь их технологическое внедрение. Атаки с использованием средств социотехники берут начало еще со времен Троянской войны. Однако, шкала выполнения таких атак была достаточно мала, поэтому всеобщее образование в данной области не было признано необходимым. Историю с троянским конем изучают на протяжении веков, она даже стала метафорой, и все же ее не воспринимают как пример одного из естественных рисков ежедневной жизни. Появление и развитие сети Интернет привело к экспоненциальному росту атак с применением социотехники и дошло до предела, когда знание о проведении таких атак является жизненно важным навыком в современном обществе.
(Это выдержки из моей статьи, написанной совместно с Рэнди Абамсом «Заплатки для людей: можно ли научить пользователей вообще любому пользованию?»
Защита и самозащита
Несмотря на то, что многослойная технология защиты защищает людей, не требуя от них навыков и знаний специалистов по безопасности, ее можно применять более эффективно для дополнения и внедрения обучения тех, кто ее использует; ранее этот вопрос обсуждали в статье «Злой умысел через лупу: Поведенческий анализ следующего десятилетия».
После проведения исследований стало ясно, что перевод теории игры на следующий уровень, – с определением наиболее вероятного действия, предпринимаемого пользвателем в конкретной ситуации, возможностью усиления безопасных решений и уход от небезопасных (или наблюдение за ними), – может создать более безопасную компьютерную среду для конечного пользователя. А связано это будет с тем, что программное обеспечение в области безопасности сможет более точно определять исход пользовательских действий.
Такие меры могут помочь уменьшить количество потенциальных жертв, которые не воспринимают фишинговые сообщения и уловки мошенников критично, посредством улучшения их собственных сообщений, а также при помощи постоянной работы в области улучшения безопасности разработчиков и пользователей.
Обучайте своих детей
Вот выдержка из еще одной статьи, посвященной наиболее важным мерам компьютерной безопасности для родителей, «Интернет-безопасность для детей: 17 экспертов по кибербезопасности об онлайн-безопасности детей». Как следует из названия статьи, ее автор-составитель, Эрин Рауб, обращается к родителям. Тем не менее, даже имея поверхностное знакомство с Фейсбуком и другими социальными сетями, можно понять, что многие взрослые не обладают навыками критического мышления и здорового скептицизма. Именно поэтому им тоже нужна помощь, «чтобы они научились доверять собственным суждениям, а не всецело полагаться на технические решения и противоречивые «официальные» источники информации. … [и] более того, их нужно подталкивать в направлении стратегий для развития здравого анализа и суждения, то есть то, что теоретики образования подразумевают под критическим мышлением. Но такая задача слишком сложна, чтобы оставить ее на таких теоретиков».
Понимание того, насколько интернет может быть небезопасен как для прямых атак, так и в качестве источника информации, важно для каждого из нас. Мы не должны забывать про обучение основам кибербезопасности для взрослых или детей и должны продолжать использовать и улучшать технологии, дабы препятствовать их использование злоумышленниками. Конечно же, стоит помнить, что фишинг и другие элементы киберпреступлений все так же будут находить свои жертвы, поэтому нужно делать все, что может свести к минимуму их воздействие как до, так и после самого факта преступления.
Источник: Welivesecurity
