Министерство образования и науки РФ
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«БАШКИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Институт управления и безопасности предпринимательства
Кафедра информационной безопасности
Специальность 090103.65 «Организация и технология защиты информации»
ДИПЛОМНАЯ РАБОТА
Тема: Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»
Студент __________________ /Балдин И. А./
Научный руководитель __________________ /Клюев А. В./
Заведующий кафедрой ___________________ /Шатдинов Р. С.
Уфа
2013
Содержание
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………………………..94
Приложения…………………………………………………………………………98
Приложение А………………………………………………………………………98
Приложение Б……………………………………………………………………..101
Приложение В……………………………………………………………………..103
Введение
Использование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем. Одной из таких проблем является необходимость обеспечения эффективной защиты информации, которая обусловлена ростом правонарушений, связанных с кражами и неправомерным доступом к данным, хранящимся в памяти компьютерных систем и передаваемым по линиям связи.
Сегодня компьютерные преступления происходят во всем мире распространены во многих областях человеческой деятельности. Эти преступления характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел [26, с. 27].
По данным зарубежных аналитиков, каждую неделю в мире регистрируется более 55 миллионов различных компьютерных взломов. Размер ущерба, причиненного пользователям в результате хакерских нападений, продолжает увеличиваться с каждым годом. К сожалению, даже столь угрожающая статистика не мешает огромному числу компаний и пользователей персональными компьютерами (ПК) игнорировать любые правила компьютерной безопасности. По оценкам экспертов, в мире лишь 1% офисных сотрудников следует корпоративным правилам пользования персональным компьютером. Данное обстоятельство приводит к возможности осуществления некоторых информационных угроз.
Первая угроза – это физические атаки. Самой простой причиной утечки информации является возможность физического доступа к компьютеру, на котором эта информация расположена [43, с. 14]. Физическая безопасность подразумевает под собой охрану компьютерного оборудования путем ограничения физического доступа к нему. Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2011 года и 46% – в первом полугодии [46, с. 109].
Вторая угроза – это социальные атаки. Одним из наиболее эффективных методов, компьютерными злоумышленниками для проникновения в защищенные паролем системы, является получение конфиденциальных данных от пользователей под видом службы технической поддержки, которая просит сообщить пароль.
Но чаще всего для получения доступа к сети применяется метод, который называется социальный инжиниринг – и на него же зачастую обращают меньше всего внимания. Социальный инжиниринг (от англ. social engineering) основан на управлении личностью человека для достижения своей цели.
В то время как службы безопасности ставят антивирусы, разрабатывают сложную систему допусков и паролей, злоумышленники проникают в сеть с помощью рядовых ничего не подозревающих пользователей.
На самом деле, примерно 70% взломов и проникновений в компьютерные системы не возможно без социального инжиниринга. Поэтому это направление очень важно, и люди должны уделять на его изучение не меньше времени, чем на изучение компьютерных систем.
Хотелось бы заострить внимание, что самым слабым звеном в любой структуре информационной безопасности является человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.
Так исторически сложилось, что сегодня для общества термин «социальный инжиниринг» является синонимом набора прикладных психологических и аналитических приемов, которые, в свою очередь, злоумышленники применяют для скрытой мотивации пользователей публичной или же корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности.
В основе данного подхода лежит системность, которая подкреплена методологией и анализом, что позволяет сочетать технологическую инновационность, инженерную точность расчетов с использованием социально-психологического моделирования. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном направлении для социальных инженеров [44, c. 73].
Социальный инжиниринг – это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств [55]. Основной целью социальных инженеров является получение доступа к защищенным системам с целью кражи каких-либо данных. Основное отличие от простого взлома является то, что в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что может считаться крайне разрушительным, т.к. злоумышленник получает информацию, к примеру, с помощью телефонного разговора или путем проникновения в организацию под видом ее сотрудника. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, необходимо понимать, что на самом деле хотят социальные инженеры и своевременно организовывать подходящую политику безопасности. Вся информация в этом мире защищается людьми, и ее основными носителями являются тоже люди, которые имеют свой обычный набор комплексов, слабостей и предрассудков, с помощью которых и «играют» социальные инженеры. Тому, как это делают и как от этого защититься, и посвящена данная работа.
При анализировании причин и методов взлома программного обеспечения (ПО) или каналов утечки информации из различных структур, можно сделать очень интересный вывод о том, что примерно в 80% случаев, причина этого – человеческий фактор, или умелое манипулирование им.
Сейчас интерес к социальному инжинирингу во всем мире очень высок. Это можно заметить по очень многим признакам. К примеру, пару лет назад по запросу «социальный инжиниринг» в поисковых системах было только 2 ссылки. Теперь их сотни. Известный хакер Кевин Митник, использующий для взломов методы социального инжиниринга, сейчас выступает с лекциями для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций. По социальному инжинирингу стали устраивать конференции, а в ряде университетов собираются вводить курсы лекций на эту тему [24, с. 15].
Вышесказанным и обусловлена актуальность настоящей работы.
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
1. Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
2. Описание основных способов противодействия социальному инжинирингу.
3. Разработка методики противодействия социальному инжинирингу.
Поставленные задачи определили структуру выпускной дипломной работы, которая включает в себя введение, три главы, заключение, библиографический список, приложения.
Теоретической и методологической основой исследования являются труды отечественных и зарубежных авторов в области информационных технологий, таких как Митник К.Д. (NYC.: «Wiley Books»), Кузнецов М.В., Симдянов И.В. (СПб.: «БХВ-Петербург»), в области управления персоналом: Скопылатов И.А., Ефремов О.Ю. (М.: «Издательство Смольного университета»), и в области психологии: Литвак М.Е. (Р.-н-Д.: Феникс), Варламов В.А., Варламов Г.В., Власова Н.М. (М.: «Русичи»), Оглобин С.И., Молчанов А.Ю. (издательство «Нюанс», г. Ярославль) и ряда других. В числе информационных источников работы использовались публикации в периодической печати.
1 ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОГО ИНЖИНИРИНГА
Социальный инжиниринг – это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Основная цель социальных инженеров – это получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от простого взлома – это то, что в роли объекта атаки выбирается не машина, а человек [55]. Поэтому все методы и техники социальных инженеров основаны на использовании слабостей человеческого фактора, что считается крайне опасным, так как злоумышленник получает информацию, к примеру, с помощью обычного телефона или путем проникновения в организацию под видом сотрудника или другого лица.
Несмотря на то, что понятие «социальный инжиниринг» появилось относительно недавно, люди в той или иной мере пользовались этими техниками испокон веков, так как в основе лежит психология общения между людьми. Социальный инжиниринг появился в мире с первым образовавшимся обществом, так как само слово «социальность» – это общественность, или же гражданственность. Суть социального инжиниринга – это заставить человека совершить какое-либо действие, которое не выгодно ему, но необходимо социальному инженеру.
Социальный инжиниринг – это вполне состоявшееся направление в хакинге, и взломы компьютерных систем можно осуществлять не только техническими методами, но и на уровне психологии.
Социальный инжиниринг образовался как отдельная часть из прикладной психологии. Ему обучают шпионов, тайных агентов. Все техники социального инжиниринга основаны на особенностях принятия решений людьми, называемых когнитивным базисом [32, с. 53].
Тонкая манипуляция сознанием применялась во все времена: даже в древности. «Ночные демоны» в Японии, или ниндзя, весьма активно практиковали эти способности человеческого разума наряду с гипнозом. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальный инжиниринг всегда был главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны.
Заговаривать людям зубы по телефону, чтобы получить необходимую информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области по наводящим вопросам, по интонации голоса, могли определить комплексы и страхи человека и, мгновенно сориентировавшись, использовать их [55].
Социальный инжиниринг основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг – наименее техническое, но и наиболее эффективное средство в арсенале злоумышленников.
Социальный инжиниринг, как незаконный метод получения информации, обычно использует обман, влияние и убеждение, но его можно также использовать и в законных целях, к примеру, для совершения действий конкретным человеком. Чаще всего социальный инжиниринг используют для получения закрытой информации, или информации, которая представляет большую ценность.
Основные области применения социального инжиниринга [24, с. 28] показаны на рисунке 1.
Рисунок 1 Основные области применения социального инжиниринга
К счастью, подавляющее большинство социальных инженеров действует по одинаковым или близким шаблонам, поэтому изучение приемов их «работы» позволяет распознать обман [21, с. 13] и не выдать закрытую информацию.
Организации приобретают лучшие технологии по безопасности, тренируют и обучают сотрудников, нанимают охранников, но они все еще остается полностью уязвимыми.
Чем больше технологических уровней организация нагромождает, тем больше разнообразие этих уровней, и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать неудач, потому, что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент – человеческий фактор [20, с. 79].
Успешные злоумышленники чаще всего используют социальный инжиниринг и проводят атаку манипулируя пользователями. По этой причине, для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.
Объяснение сущности социального инжиниринга и, в частности, таких его разновидностей, как гипноз и нейролингвистическое программирование (НЛП), является взаимодействие между сознанием и подсознанием. Люди верят в то, что принимают решения осознанно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а исследования последних лет подтвердили, что подсознательное принятие решений опережает сознательное порой на 10 секунд [15, с. 119].
На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить определенные действия и тем самым раскрыть конфиденциальную информацию.
Многие профессионалы информационных технологий придерживаются неправильного представления, считая, что они используют стандартные продукты по безопасности: файерволы, системы для обнаружения вторжений или серьезные устройства для аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления [23, с. 95].
Кроме технических методов защиты информации, необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социальным инженерам – только в этом случае система обеспечения информационной безопасности будет комплексной.
1.1 Цели социального инжиниринга
Атака социального инженера разделяется на три стадии подготовки:
1. Определение точной цели (происходит конкретное определение, за какого рода информацией идет охота и где она находится, причем, в связи со знанием точного местоположения информации на диске или на другом носителе, «операция» проводится очень быстро, и в итоге, никто не определяет такой доступ как НСД).
2. Сбор информации об объекте обработки (производится изучение жертвы – это позволяет понять характер человека, его уязвимые места, привычки и т.д., источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков).
3. Разработка плана действий, моральная подготовка/тренировка (происходит проработка сценария, каждое слово сопоставляется с психологической моделью изученной жертвы) [27, с. 46].
Общая схема работы социальных инженеров представлена [24, с. 22] на рисунке 2
Рисунок 2 Общая схема методов работы социальных инженеров
Социальный инжиниринг, в совокупности с техническими знаниями систем информационной безопасности, используют для достижения следующих целей:
1. Сбор информации о потенциальной жертве.
2. Получение конфиденциальной информации (для достижения данной цели при продолжительном общении с жертвой, социальный инженер входит в доверие и под удобными предлогами получает необходимую информацию).
3. Получение информации, необходимой для несанкционированного доступа (НСД) [35, с. 99].
4. Вынуждение объекта совершить необходимые социальному инженеру действия (т.е. совершение таких действий, которые вынуждают жертву сделать то, что повлечет за собой потенциальную возможность НСД).
Атаки социальных инженеров представлены [24, с. 13] в виде рисунка 3.
Рисунок 3 Основная схема воздействия в социальном инжиниринге
Эта схема называется «схема Шейнова». В общем виде она приведена в книге белорусского психолога и социолога В.П.Шейнова, который долгое время занимался психологией мошенничества [42, с. 89].
Сначала всегда формулируется цель воздействия на тот или иной объект (под «объектом» понимается жертва, на которую нацелена атака социального инженера). Далее собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия, после чего наступает этап, называемый аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т.е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Мишенью является потребность сотрудника в деньгах. О нужде в деньгах узнается на этапе сбора информации. Аттракцией является создание условий, при которых сотрудник будет очень нуждаться в деньгах).
Для того чтобы обойти средства безопасности, социальный инженер находит способ обмана сотрудника, для раскрытия информации или получения доступа к информации.
В большинстве случаев, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты.
Большая часть корпоративной информации может казаться общедоступной или не секретной, но она может быть очень ценна для социального инженера, потому что может сыграть существенную роль для большей правдоподобности.
Иногда только одно знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым.
Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания [31, с. 14].
Чтобы осуществить атаку, социальный инженер полагается на межличностное взаимодействие (социальные навыки), посредством которого компрометирует сведения об организации или ее компьютерных системах. Если социальный инженер не может собрать достаточно сведений из одного источника, то он обращается к другому источнику в той же организации и, используя информацию, полученную от первого, повышает свою убедительность.
Одна из основных техник социального инжиниринга включает в себя создание чувства доверия со стороны жертвы. Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение.
Из-за высокого темпа жизни, человеку не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного. Запутанные ситуации, нехватка времени, эмоциональное напряжение – вот одни из предпосылок. Таким образом, решение принимается в спешке, полученная информация не анализируется, такой процесс называется автоматическим ответом.
Большинство сотрудников организаций даже не подозревают о наличии угроз, связанных с социальным инжинирингом. Они имеют доступ к информации, не разбираясь в деталях работы, и не осознавая важности обрабатываемой информации. Социальный инженер, чаще всего, выбирает своей целью сотрудника с низким уровнем владения компьютером [18, с. 13].
Социальные инженеры используют человеческие чувства. Одно из таких чувств – это вызов сочувствия у собеседника. При рассказе о причинах, вызывающих сочувствие у собеседника, он смягчает свою просьбу.
Так же, социальные инженеры используют профессиональный жаргон, в связи с тем, что сотрудники доверяют тем, кто знает профессиональный жаргон, некую внутреннюю форму общения их организации, которая скрыта от посторонних глаз.
Социальный инжиниринг делится на два вида:
1. Краткосрочный.
2. Долговременный.
Краткосрочный производится за короткий срок времени. Его плюс в том, что он не требует лишних временных ресурсов, а минус заключается в том, что социальный инженер не может заставить совершить человека какие-то значимые действия [25, с. 23].
Долговременный означает, что необходимо потратить много времени на то, чтобы подчинить себе человека. Минус – продолжительность подготовки, плюс в том, что можно заставить человека совершить более значимые действия.
Основными причинами реализации угроз социального инжиниринга являются:
1. Страх – это самый часто используемый и самый опасный психокомплекс человека, существуют десятки разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так [30, с. 368].
2. Любопытство.
3. Жадность.
4. Превосходство.
5. Великодушие и жалость – эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие.
6. Доверчивость – людям свойственно надеяться на лучшее и верить, что именно их никто не обманет, именно этот психокомплекс использовался при организации пирамид «МММ», «Русский Дом Селенга» и т. д. [14, с. 15].
Как же остановить социальный инжиниринг? «Цена вопроса – 64 миллиона долларов, – говорит Стюарт Макклюр, президент и технический директор «Foundstone». – Единственным успешным методом противодействия является обучение» [50].
Рич Могулл, директор по исследованиям «Gartner» в сфере информационной безопасности и рисков, говорит, что «социальный инжиниринг – более серьезная проблема, чем хакерство. Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие тенденции, которые можно эксплуатировать при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения в защищенные системы совершаются, и будут совершаться методами социального инжиниринга, а не электронного взлома или хакерства [50].
По словам Могулла, наиболее опасна кража идентификационных данных, так как большинство преступников «заново изобретают старые аферы» с применением новой технологии. Мошенники используют социальный инжиниринг для кражи идентификационных данных либо из корыстных побуждений, либо для последующего сбора информации об организации. Это не только вмешательство в бизнес, но и нарушение тайны личной жизни. Так же мы убеждены, что в ближайшее десятилетие главную угрозу для безопасности будет представлять социальный инжиниринг [50].
Социальный инжиниринг так же успешно применяется для достижения таких целей, как:
1. Извлечение прибыли.
2. Способ ведения статистики.
3. В целях повышения уровня доверия посетителя.
4. Формирование цен.
5. Борьба с конкурентами (например: борьба за клиента в такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие. Цель этого – получение денег обманным путем).
1.2 Техники и виды атак
Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности социального инженера и того, кем является жертва.
Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:
1. Администратор.
2. Начальник.
3. Пользователь.
4. Знакомый.
В таблице 1 показана вероятность получения доступа разных уровней и средства применения (1 – низкая; 2 – средняя; 3 – высокая) [21, с. 14].
Таблица 1 Вероятность получения доступа разных уровней
Класс атаки / подготовленность злоумышленника | Новичок | Любитель | Профессионал |
Средства применения | |||
Телефон | 3 | 3 | 3 |
Электронная почта | 2 | 3 | 3 |
Обыкновенная почта | 1 | 3 | 3 |
Разговор по Internet | 3 | 3 | 3 |
Личная встреча | 1 | 2 | 3 |
Уровень общения (отношения) | |||
Официальный | 2 | 3 | 3 |
Товарищеский | 3 | 3 | 3 |
Дружеский | 1 | 2 | 3 |
Степень доступа | |||
Администратор | 1 | 2 | 3 |
Начальник | 1 | 2 | 3 |
Пользователь | 3 | 3 | 3 |
Знакомый | 2 | 3 | 3 |
Теперь рассмотрим распространенные техники и виды атак, которыми пользуются социальные инженеры. Все они основаны на особенностях принятия людьми решений, известных как когнитивные предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, целью которых является заставить человека совершить какое-либо действие, необходимое социальному инженеру. Для достижения поставленного результата используется целый ряд всевозможных тактик:
· выдача себя за другое лицо;
· отвлечение внимания;
· нагнетание психологического напряжения и т.д.
Конечные цели обмана так же могут быть весьма разнообразными [55].
Техники социального инжиниринга:
1. Претекстинг – это набор действий, осуществляемый по определенному сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, «Skype» и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, социальный инженер просит жертву сообщить ему пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных об объекте атаки. Самая распространенная стратегия при данной технике – использование в начале небольших запросов и упоминание имен реальных людей из организации, в дальнейшем, социальный инженер объясняет, что нуждаются в помощи (большинство людей могут выполнить задачи, которые не воспринимаются ими как подозрительные). Как только доверительная связь установлена, социальный инженер может попросить что-то более существенное и важное.
2. Фишинг (от англ. phishing, от fishing — рыбная ловля, выуживание) – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (например: от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru) [33, с. 95]. В письме содержится прямая ссылка на сайт, который внешне неотличим от настоящего, либо на сайт, содержащий редирект (автоматическое перенаправление пользователей с одного сайта на другой). После попадания на поддельную страницу, происходят попытки различными психологическими приёмами побудить пользователя ввести свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам, банковским счетам и т.п. Техника фишинга первый раз была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе «alt.online-service.America-Online» сети «Usenet» [55]. Пожалуй, это самая популярная схема социального инжиниринга на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок. Чаще всего целью фишеров являются клиенты банков и электронных платёжных систем. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В данный момент множество ссылок на фишинговые сайты, нацелены на кражу регистрационных данных. По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании «Gartner», «в 2008 году жертвы фишеров потеряли 2,4 миллиарда долларов США, в 2009 году – ущерб составил 2,8 миллиарда долларов, в 2010 – 3,2 миллиарда [55].
3. Вишинг – данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR (англ. Interactive Voice Response) систем [40, с. 175]. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие вишинга в том, что, так или иначе, задействуется телефон. Принцип действия IVR систем показан на рисунке 4.
Рисунок 4 Принцип действия IVR систем
Согласно информации от «Secure Computing» [49], мошенники конфигурируют автонабиратель, который набирает номера в определенном регионе и при ответе на звонок происходит следующее:
· автоответчик предупреждает потребителя, что с банковской картой производятся мошеннические действия, и дает инструкции – перезвонить по определенному номеру немедленно;
· при последующем перезванивании, на другом конце провода отвечает компьютерный голос, который сообщает, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
· после введения номера, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес);
· затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и тому подобное.
4. Фарминг (англ. Pharming) – перенаправление жертвы по ложному интеренет-адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен – «domain name system») [16, c. 69]. Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт-вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов. Механизмов защиты от фарминга на сегодня просто не существует.
5. Услуга за услугу – этот вид атаки подразумевает под собой звонок социального инженера в организацию по корпоративному (внутреннему) телефону. В большинстве случаев социальный инженер представляется сотрудником технической поддержки, который производит опрос на возникновение технических проблем. Во время процесса «решения» технических проблем, социальный инженер «заставляет» цель вводить команды, которые позволяют ему запустить или установить вредоносное ПО на компьютер пользователя [13, с. 433].
6. Троянский конь (или троянская программа) – это вредоносная программа, которая используется социальным инженером для сбора и использования информационных ресурсов в своих целях [39, с. 473]. Данная техника использует любопытство, либо другие эмоции человека.
Разработчики троянских программ используют те же приемы, что и маркетологи. Для достижения своей цели вирусописатели используют человеческие слабости:
· недостаточная подготовка;
· желание выделиться;
· жалость и милосердие;
· желание просмотра «интересного» контента;
· интерес к продукту, который нужен населению или который очень сложно достать;
· интерес к методикам быстрого обогащения с помощью финансовых пирамид, супер-идеям для успешного ведения бизнеса или беспроигрышной игры в казино.
Открывая прикрепленный к письму файл, сотрудник устанавливает на компьютер вредоносное ПО, которое позволяет социальному инженеру получить доступ к конфиденциальной информации.
Распространение троянских программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью служб обмена сообщениями (например: электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере [17, с. 174].
Редко использование «троянов» является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.
Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как «трояны» внедряются в систему и наносят ей вред. Существует 5 основных типов:
· удалённый доступ;
· уничтожение данных;
· загрузчик;
· сервер;
· дезактиватор программ безопасности.
Целью троянской программы может являться:
· закачивание или скачивание файлов;
· копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;
· создание помех работе пользователя;
· похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для НСД к ресурсам;
· распространение других вредоносных программ, таких как вирусы;
· уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;
· сбор адресов электронной почты и использование их для рассылки спама;
· шпионство за пользователем и тайное сообщение третьим лицам каких-либо сведений;
· регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;
· дезактивация или создание помех работе антивирусных программ и файервола [45, с. 37].
7. Сбор информации из открытых источников. Применение техник социального инжиниринга требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей [34, с. 210]. К примеру, такие сайты, как «livejournal», «Одноклассники», «Вконтакте» содержат огромное количество данных, которые люди не скрывают (пример: «в ходе следствия о похищении сына Евгения Касперского, было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети»).
8. «Дорожное яблоко» – представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Социальный инженер подбрасывает «инфицированный» диск, или флэш-карту в место, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство [22, с. 80] (например, социальный инженер может подбросить диск, снабженный корпоративным логотипом и ссылкой на официальный сайт организации, снабдив его надписью «Заработная плата руководящего состава». Диск оставляется на полу лифта, или в вестибюле. Сотрудник по незнанию подбирает диск и вставляет его в компьютер, чтобы удовлетворить любопытство).
9. Обратный социальный инжиниринг. О нем упоминают в том случае, когда жертва сама предлагает злоумышленнику нужную ему информацию (например: сотрудники службы поддержки, для решения проблемы, никогда не спрашивают у сотрудников идентификатор или пароль. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения).
Обратный социальный инжиниринг строится на трех факторах:
· создание ситуации, которая вынуждает человека обратиться за помощью;
· реклама своих услуг или опережение оказания помощи другими людьми;
· оказание помощи и воздействие.
10. Человеческий отказ в обслуживании – суть атаки заключается в том, чтобы заставить человека (незаметно для него) не реагировать на какие-либо ситуации. Т.е., делается так, чтобы каждое слово социального инженера воспринимается как правда безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Социальный инженер осуществляет ложное представление о выполнении одной операции, а на самом деле выполняет совсем другую. Таким образом, пока жертва занята одним, другого она не замечает. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такие действия [27, с. 50].
11. Технический социальный инжиниринг. К этому виду атак относятся все те атаки, в которых нет ни «жертвы» ни «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальному инжинирингу. В качестве примера можно привести следующие рассуждения: «Раз стоят камеры, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, то есть занимается анализированием ситуации [27, с. 51].
12. Личный визуальный контакт – является наисложнейшей техникой. Осуществить эту технику могут только профессиональные психологи или специально подготовленные люди. Техника осуществляется следующим образом: к жертве находится подход, находится слабое место, вычисляется это с помощью анализа ответов на вопросы. Главное для социального инженера в таком случае – разговаривать с жертвой «в рамках слабого места», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, считая, что ничего особо важного не рассказывает.
13. Системы обмена мгновенными сообщениями (IM). В настоящее время в интернет существует множество программ, которые могут тем или иным способом влиять на работу ICQ [29, с 18]. В список их возможностей входит отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста, но основным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека, т.к. операционная система не всегда способна правильно выдать информацию о запускаемом файле. Microsoft Windows по умолчанию не показывает расширения имен (например: имя файла «foto.jpg.ехе» будет показано как «foto.jpg»). Для маскировки реального расширения применяется двойное расширение вроде «xxx.jpg.exe» (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.
Пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Болтливая природа IM, вместе с опцией предоставления прозвища весьма расширяет возможности для атаки [47]. На рисунке 5 показано, как работает имитация при использовании электронной почты и IM.
Рисунок 5 Имитация при использовании IM и e-mail
Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает электронную почту или IM-сообщение, рассчитывая на то, что получатели примут их за сообщения от того, кого они знают.
14. Анализ мусора – это ценная деятельность для социальных инженеров. Деловые бумажные отходы неоценимы [19, с. 85], т.к. во время атаки, это может помочь казаться сотрудником организации.
15. Личностные подходы. Самый простой путь получения информации – это попросить об этом непосредственно. Существует четыре разновидности такого подхода [48]:
· запугивание (этот подход может использовать олицетворение полномочий, чтобы принудить жертву исполнить запрос);
· убеждение (самые обычные формы убеждения включают лесть);
· использование доверительных отношений (этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от жертвы);
· помощь (в этом подходе предлагается помощь жертве. Помощь будет требовать, чтобы жертва обнародовала личную информацию).
1.3 Известные социальные инженеры
Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник является автором книг по компьютерной безопасности, посвященным, в основном, социальному инжинирингу и методам психологического воздействия на человека.
Братья Бадир. Несмотря на то, что братья Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х годах, использовав социальный инжиниринг и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком» [55].
Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.
2 АНАЛИЗ СОСТОЯНИЯ ИЗУЧАЕМОЙ ПРОБЛЕМЫ В ОРГАНИЗАЦИЯХ
2.1 Краткие характеристики организаций
Исследование данной проблемы рассматривалось на примерах двух конкретных организаций:
1. Общество с ограниченной ответственностью «Служба Мониторинга – Уфа».
2. Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество».
Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа») учреждено решением общего собрания учредителей 25 мая 2011 года, зарегистрировано Федеральной налоговой службой 7 июля 2011 года, действует на основании Устава ООО «Служба Мониторинга – Уфа», действует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации от 8 февраля 1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью» и иным действующим законодательством Российской Федерации.
Основные задачи организации – это построение и обслуживание системы передачи информации о пожарах для единой дежурно-диспетчерской службы (ЕДДС) МЧС РФ по РБ, реализация государственных и общественных программ защиты населения и имущества от пожаров [54]. Основой работы организации являются передовые технологии в области радиоэлектронных технологий.
Организация осуществляет следующие виды деятельности:
· производство электромонтажных работ;
· производство радио- и телевизионной передающей аппаратуры;
· производство частей теле- и радиопередающей аппаратуры, телефонной или телеграфной электроаппаратуры;
· производство санитарно-технических работ;
· монтаж прочего инженерного оборудования;
· оптовая торговля прочими машинами, приборами, оборудованием общепромышленного и специального назначения;
· разработка программного обеспечения и консультирование в этой области;
· деятельность в области права;
· консультирование по вопросам коммерческой деятельности и управления;
· предоставление услуг по установке, ремонту и техническому обслуживанию теле- и радиопередатчиков;
· предоставление услуг по монтажу, ремонту и техническому обслуживанию прочего электрооборудования, не включенного в другие группировки;
· оптовая торговля производственным электрическим и электронным оборудованием, включая оборудование электросвязи;
· осуществление научно-технических, научно-исследовательских, технологических, конструкторских, опытно-конструкторских, информационных исследований и разработок, а так же тиражирование и разработка программного обеспечения и наукоемкой продукции с последующим внедрением в производство;
· мониторинг охраняемых объектов по телерадиоканалам;
· удаленный контроль состояния и местоположения объектов;
· проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
· проектирование, монтаж и обслуживание установок пожаротушения, систем противопожарного водоснабжения и дымоудаления;
· монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;
· проектирование систем и средств обеспечения пожарной безопасности зданий и сооружений;
· тушение и разработка мероприятий по предотвращению пожаров;
· иные виды деятельности в соответствии с действующим законодательством Российской Федерации [10, с. 2-3].
Основной деятельностью организации является установка и обслуживание программно-аппаратного комплекса «Стрелец-Мониторинг» (ПАК «Стрелец-Мониторинг), осуществляющего вывод сигнала по радиоканалу, на специально выделенной для этого частоте МЧС, о пожаре в автоматическом режиме (без участия человека) в единую дежурно-диспетчерскую службу (ЕДДС), оповещение хозоргана и пожарные службы, на следующих объектах:
1. Детские дошкольные образовательные учреждения.
2. Специализированные дома престарелых и инвалидов (неквартирные).
3. Больницы.
4. Спальные корпуса образовательных учреждений интернатного типа и детских учреждений.
5. Гостиницы.
6. Общежития.
7. Спальные корпуса санаториев.
8. Спальные корпуса домов отдыха общего типа.
9. Кемпинги.
10. Мотели.
11. Пансионаты.
12. Общеобразовательные учреждения.
13. Образовательные учреждения дополнительного образования детей.
14. Образовательные учреждения начального профессионального образования.
15. Образовательные учреждения среднего профессионального образования.
16. Образовательные учреждения высшего профессионального образования.
17. Образовательные учреждения дополнительного профессионального образования (повышения квалификации) специалистов [6].
18. Коммерческие организации.
Данное оборудование производит ЗАО «Аргус-Спектр» (г. Санкт-Петербург), оно было принято на вооружение МЧС России «Приказом от 28.12.2009 № 743 «О принятии на снабжение в системе МЧС России программно-аппаратного комплекса системы мониторинга, обработки и передачи данных о параметрах возгорания, угрозах и рисках развития крупных пожаров в сложных зданиях и сооружениях с массовым пребыванием людей, в том числе в высотных зданиях» [5].
После монтажа данного программно-аппаратного комплекса, организация занимается мониторингом всех сигналов, приходящих с объектов, а так же техническим обслуживанием оборудования.
Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество» (БРО ООО «ВДПО») зарегистрировано Федеральной регистрационной службой 19 декабря 2007 года, действует на основании устава Общероссийской общественной организации «Всероссийское добровольное пожарное общество».
Основные задачи – содействие разработке и реализации государственной политики, целевых и иных программ и проектов, совершенствованию законодательства и нормативно-правовой базы в сфере пожарной безопасности и защиты от чрезвычайных ситуаций.
Организация имеет право заниматься следующими видами деятельности:
· монтаж, ремонт и обслуживание установок пожаротушения;
· монтаж, ремонт и обслуживание установок пожарной и охранно-пожарной сигнализации;
· монтаж, ремонт и обслуживание систем противопожарного водоснабжения;
· монтаж, ремонт и обслуживание систем дымоудаления;
· монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;
· монтаж, ремонт и обслуживание противопожарных занавесов и завес;
· монтаж, ремонт и обслуживание заполнений проемов в противопожарных преградах;
· производство работ по огнезащите материалов, изделий и конструкций;
· монтаж, ремонт и обслуживание первичных средств пожаротушения;
· осуществление трубо-печных работ [9, с. 2-3].
На основании лицензии Управления по контролю и надзору в сфере образования при Министерстве образования Республики Башкортостан от 26 мая 2010 года, БРО ООО «ВДПО» имеет право осуществления образовательной деятельности по следующим образовательным программам: обучение мерам пожарной безопасности (пожарно-технический минимум; противопожарный инструктаж).
Организации, помимо Уфы, имеют филиалы и организации подрядчиков в следующих населенных пунктах Республики Башкортостан:
1. Агидель.
2. Акъяр.
3. Баймак.
4. Белебей.
5. Белорецк.
6. Бижбуляк.
7. Бирск.
8. Благовещенск.
9. Бураево.
10. Дюртюли.
11. Исянгулово.
12. Ишимбай.
13. Красноусольск.
14. Кумертау.
15. Месягутово.
16. Мишкино.
17. Нефтекамск.
18. Новобелокатай.
19. Раевский.
20. Салават.
21. Сибай.
22. Стерлибашево.
23. Стерлитамак.
24. Туймазы.
25. Учалы.
26. Федоровка.
27. Чишмы.
28. Янаул.
Суммарный штат сотрудников составляет – 221 человек.
Организации работают в сотрудничестве с таким органами, как:
1. МЧС РФ по РБ.
2. ЗАО «Аргус-Спектр» (г. Санкт-Петербург».
3. Министерство жилищно-коммунального хозяйства по РБ.
4. Министерство здравоохранения по РБ.
5. Министерство образования по РБ.
6. Централизованная бухгалтерия муниципальных учреждений по РБ.
7. Централизованная бухгалтерия здравоохранения по РБ.
8. ООО «РОССПАС».
2.2 Выявление уязвимостей и оценка рисков
Для того чтобы произвести выявление уязвимостей в организациях, необходимо понять, какая информация обрабатывается. А информация обрабатывается следующего типа:
1. Персональные данные собственников и руководящего состава социально-значимых и других объектов.
2. Банковские реквизиты объектов.
3. Описания объектов, с полным перечислением технических характеристик строений и уязвимых мест.
4. Схемы и документация охранно-пожарных сигнализаций.
5. Схемы подъездных территорий, расположений пожарных гидрантов, поэтажные планы строений.
Каждый вид информации может служить социальным инженерам для извлечения какой-либо выгоды, или для использования в определенных целях (например: терроризм).
В связи с тем, что обрабатывается большой массив информации о социально-значимых, медицинских, образовательных и коммерческих объектах, то к подобной базе данных имеет доступ большое количество сотрудников, которые потенциально могут быть подвержены социальным атакам, что может привести к разглашению конфиденциальной информации, в том числе: персональных данных, коммерческой тайны и другой служебной информации.
Осознав всю широту спектра существующих угроз, необходимо было выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социального инжиниринга. Необходимо помнить, что эффективность защиты во многом определяется во время ее планирования. Чтобы не допустить угроз, было выполнено три следующих действия:
1. Разработаны стратегии управления обеспечением безопасности. Были определены задачи защиты от угроз, связанных с социальным инжинирингом и назначены сотрудники, отвечающие за их выполнение.
2. Оценка риска. Была проанализирована каждая угроза и определена, насколько она опасна для организации.
3. Интеграция принципов защиты от атак социальных инженеров в политики безопасности. Были разработаны и задокументированы политики и процедуры, которые регламентируют действия сотрудников в ситуациях, которые могут оказаться атаками социальных инженеров.
Стратегия управления обеспечением безопасности дает общее представление об угрозах социального инжиниринга, которым подвергается организация, и определены сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:
1. Куратор по безопасности - руководитель высшего звена (уровня совета директоров), который следит за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладает необходимым для этого авторитетом.
2. Администратор по безопасности - руководитель, который отвечает за организацию разработки политик безопасности и их обновление в соответствии с изменениями требований.
3. Администратор по безопасности IT-систем - технический специалист, который отвечает за разработку политик и процедур обеспечения безопасности IT-инфраструктуры и операций.
4. Администратор по безопасности на объекте - член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.
5. Администратор по информированию сотрудников о способах обеспечения безопасности - руководящий сотрудник (из отдела кадров), который отвечает за разработку и проведение кампаний по информированию сотрудников об угрозах и способах защиты от них.
Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которая была выполнена руководящим комитетом по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения представления о возможных векторах атак, была использована таблица 2:
Таблица 2 Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социального инжиниринга
Направление атаки | Нынешнее положение дел | Комментарии |
Сетевые атаки |
|
|
Электронная почта | На компьютерах всех сотрудников установлена программа Microsoft Outlook | У каждого сотрудника свой свой электронный ящик, что не дает доступность контроля за входящей почтой |
Интернет | Сотрудники используют интернет в рабочих и личных целях | Пользование интернетом в личных целях усугубляет положение не возможностью контроля за действиями сотрудников |
Всплывающие приложения |
| На текущий момент никакие технические средства защиты от всплывающих приложений в организации не используются |
Служба мгновенного обмена сообщениями | Принятые в организации методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями |
|
Телефонные атаки |
|
|
Корпоративная телефонная станция | Телефоны используются без определителя внутренних и внешних номеров |
|
Служба поддержки | В настоящее время функции «службы поддержки» бессистемно выполняет технический отдел. | Процессы оказания услуг поддержки необходимо сделать системными |
Поиск информации в мусоре |
|
|
Внутренний мусор | Каждое отделение избавляется от собственного мусора самостоятельно |
|
Внешний мусор | Мусорные контейнеры располагаются на территории организации. Вывоз мусора осуществляется по четвергам |
|
Продолжение таблицы 2
Направление атаки | Нынешнее положение дел | Комментарии |
Личностные подходы |
|
|
Физическая безопасность |
|
|
Безопасность офисов | Все офисы остаются незапертыми в течение всего рабочего дня |
|
Сотрудники, работающие дома | Письменные стандарты обеспечения безопасности систем сотрудников, работающих дома, отсутствуют. |
|
Другие направления атак и уязвимости, специфические для компании |
|
|
Подрядчики, работающие на объектах организации |
| Нет никакой информации о ее сотрудниках и не приняты для них политики безопасности |
После основательного понимания имеющихся уязвимостей, была составлена таблица уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социального инжиниринга. В этой таблице описаны рабочие процессы организации в потенциально уязвимых областях. Информация об уязвимостях позволила членам руководящего комитета разработать предварительные варианты требований, которые должны быть включены в политики безопасности (ПБ).
Сначала были определены области, которые могут подвергнуть организацию риску. Выполняя эту задачу, было необходимым учесть все направления атак, описанных в данном документе
При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, были сгруппированы факторы риска в категории и назначены их приоритеты. Ниже перечислены категории риска:
· утечка конфиденциальной информации (УКИ);
· урон репутации организации (УРО);
· снижение работоспособности организации (СРО);
· трата ресурсов (ТР);
· финансовые потери (ФП).
Используя таблицу уязвимостей корпоративной среды, допускающих проведение атак социальных инженеров, руководящим комитетом по обеспечению безопасности были определены для организации требования политик безопасности, типы и уровни риска. При этом была использована таблица 3.
Таблица 3 Форма для определения требований к обеспечению безопасности и оценки факторов риска
Направление атаки | Возможные требования политик | Тип риска | Уровень риска: | Действие |
| Изложить ПБ защиты от угроз, основанных на методах социального инжиниринга, в письменной форме |
|
|
|
| Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником |
|
|
|
| Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком |
|
|
|
Сетевые атаки |
|
|
|
|
Электронная почта | Принять ПБ, регламентирующую действия сотрудников при получении вложений конкретных типов | УКИ УРО ФП | 3 | Разработана ПБ использования электронной почты, создан единый почтовый клиент-сервек |
Интернет | Принять ПБ, регламентирующую использование интернета | УКИ СРО ТР ФП | 4 | Разработана политика использования интернета |
Всплывающие приложения | Включить в политику использования интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон | УКИ ТР ФП | 3 | Разработана политика использования компьютеров |
Продолжение таблицы 3
Направление атаки | Возможные требования политик | Тип риска | Уровень риска: | Действие |
Служба мгновенного обмена сообщениями | Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями | УКИ СРО | 2 | Разработаны правила по работе со службами мгновенными сообщениями |
Телефонные атаки |
|
|
|
|
Корпоративная телефонная станция | Принять политику управления обслуживанием корпоративной телефонной станции | УКИ ФП | 2 | Разработана политика работы при телефонных переговорах |
Служба поддержки | Принять политику, регламентирующую предоставление доступа к данным | УКИ ТР | 2 | Разработана политика управления доступом |
Поиск информации в мусоре |
|
|
|
|
Бумажный мусор | Принять политику утилизации бумажного мусора | УКИ УРО ФП | 3 | Разработана информационная ПБ |
| Определить принципы использования мусорных контейнеров |
|
|
|
Электронный мусор | Принять политику утилизации электронного мусора | УКИ УРО ФП | 3 | Разработана информационная ПБ |
Личностные подходы |
|
|
|
|
Физическая безопасность | Принять политику работы с посетителями | УКИ ФП | 2 | Разработана ПБ работы с посетителями |
Безопасность офисов | Принять политику управления идентификаторами и паролями пользователей | УКИ УРО ФП | 3 | Разработана ПБ идентификации и аутентификации |
Сотрудники, работающие дома | Принять политику использования мобильных компьютеров вне организации | УКИ УРО ФП | 3 | Разработана ПБ работы вне организации |
Другие направления атак и |
|
|
|
|
Подрядчики, работающие на объектах организации | Принять политику проверки сотрудников сторонних организаций | УКИ УРО ТР ФП | 4 | Подписывается соглашение о неразглашении сведений |
Для главных областей обеспечения безопасности и факторов риска, руководящим комитетом по обеспечению безопасности была разработана документация, регламентирующая соответствующие процедуры, процессы и бизнес-операции. В таблице 4 показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон определил документы, необходимые для поддержки политики безопасности.
Таблица 4 Требования к процедурам и документации
Требования политик | Требования к процедурам и документации | Дата выполнения действия |
Изложить политики защиты от угроз, основанных на методах социального инжиниринга в письменной форме | Отсутствуют | 20.12.2012 |
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником | 1. Сформулировать новые контрактные требования (отдел кадров) | 15.01.2013 |
2. Определить новый формат контрактов, заключаемых с сотрудником | 15.01.2013 | |
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком | 1. Сформулировать новые контрактные требования (отдел кадров) | 17.01.2013 |
2. Определить новый формат контрактов, заключаемых с подрядчиками | 17.01.2013 | |
Принять политику работы с посетителями | 1. Разработать процедуру регистрации посетителей при входе на объект и выходе с него | 01.02.2013 |
2. Разработать процедуру сопровождения посетителей | 01.02.2013 | |
Определить принципы использования мусорных контейнеров | 1. Разработать процедуру утилизации бумажного мусора | 18.01.2013 |
2. Разработать процедуру утилизации электронного мусора | 18.01.2013 | |
Принять политику, регламентирующую предоставление доступа к данным | 1. Разработать информационную ПБ | 02.03.2013 |
2. Разработать перечни информации | 15.02.2013 | |
Принять политику утилизации бумажного мусора | Разработать процедуру утилизации бумажного мусора | 18.01.2013 |
Принять политику утилизации электронного мусора | Разработать процедуру утилизации электронного мусора | 18.01.2013 |
Продолжение таблицы 4
Требования политик | Требования к процедурам и документации | Дата выполнения действия |
Включить в ПБ использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон | 1. Разработать политику использования интернета | 27.12.2012 23.12.2012 |
2. Разработать правила действий при всплывающих окнах | ||
Принять политику управления идентификаторами и паролями сотрудников | 1. Разработать политику безопасности идентификации и аутентификации | 07.04.2013 |
2. Разработать процедуры смены и защиты паролей | 20.01.2013 | |
Принять ПБ использования мобильных компьютеров вне организации | 1. Разработать политику безопасности работы вне организации | 03.05.2013 |
2. Разработать политику использования компьютеров | 15.09.2012 |
После того, как политики безопасности были задокументированы и утверждены, было проведено информирование сотрудников и разъяснение важности соблюдения этих политик.
Для облегчения реализации этих мер, для технического отдела, выполняющего функции технической поддержки, были разработаны протоколы реагирования на инциденты.
При получении информации об атаке, сотрудники технического отдела стали проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты.
При регистрации инцидента руководящий комитет по обеспечению безопасности начал выяснять, представляет ли он для организации новую или измененную угрозу, и, опираясь на сделанные выводы, создает или обновляет политики и процедуры.
Для управления инцидентами технический отдела использует утвержденный протокол, регистрируя в нем следующую информацию:
· жертва атаки;
· подразделение жертвы;
· дата;
· направление атаки;
· описание атаки;
· результат атаки;
· последствия атаки;
· рекомендации.
Регистрация инцидентов стала позволять определять шаблоны атак и улучшать защиту от будущих атак.
При полном анализе организаций, были выявлены следующие факторы, которые делают организацию уязвимыми к атакам:
1. Большое количество сотрудников. Суммарный штат сотрудников составляет 221 человек. Это позволяет социальному инженеру провести атаку, представившись кем-либо из органов управления или сотрудником из удаленного офиса.
2. Большое количество филиалов. Филиалы находятся в 28 населенных пунктах Республики Башкортостан, и головные офисы находятся в Уфе, что делает географию организаций очень обширной. В связи с этим, социальный инженер может провести атаку представившись кем-либо из органов управления или сотрудником из удаленного офиса.
3. Информация о местонахождении сотрудников. При запросе о местонахождении нужного сотрудника, информация предоставляется в 100% случаев. Такая информация позволяет социальному инженеру использовать такую информацию в корыстных целях, к примеру ссылаясь на сотрудника, местонахождение которого ему известно.
4. Информация о внутренних телефонах и названиях отделов является общедоступной. При запросе какого-либо внутреннего номера или точного названия отдела, информация предоставляется в 90% случаев. Эта информация помогает социальному инженеру досконально изучить внутреннюю структуру организаций, которая при проведении атаки, позволит оперировать ему точными названиями отделов и внутренних телефонов, которые не должны быть общедоступными.
5. Поверхностное обучение правилам безопасности. Отсутствуют какие-либо документы, регламентирующие политики и правила безопасности, так же отсутствие полного обучения сотрудников этим правилам, халатное отношение к безопасности в целом. Это помогает социальному инженеру тем, что сотрудники не обучены тому, как вести себя в тех или иных ситуациях, что в свою очередь позволяет ему манипулировать сотрудниками без особого усилия.
6. Отсутствие системы классификации информации. Все вышеперечисленные типы информации хранятся в одинаковых условиях и месте. Это опасно тем, что документы, которые не должны являться общедоступными, а по своей сути, являются коммерческой тайной, могут перепутаться, потеряться или подобраться посетителями.
7. Отсутствие системы сообщения об инцидентах. Отсутствуют какие-либо сообщения от сотрудников о произошедших инцидентах, касающихся обрабатываемой информации. Социальные инженеры знают, что, даже если их обнаружат, у сотрудника нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает [36, с. 70]. Это позволяет социальному инженеру практически на 100% быть уверенным в том, что сотрудник, на которого может быть произведена атака, не будет писать служебных записок и докладных, что влечет за собой ненаказуемость и не знание других сотрудников о проведенной атаке, в связи с чем, социальный инженер может воспользоваться данным видом атаки вновь и вновь.
8. Отсутствие единого почтового клиент-сервера в организациях и филиалах. Большинство сотрудников пользуются собственными почтовыми сервисами, что создает уязвимости компьютерным сетям организаций. Это позволяет социальному инженеру проникнуть в сеть организации с помощью почтового ящика какого-либо сотрудника из-за того, что не производится проверка входящих писем и по халатности сотрудника.
Следующим этапом выявления уязвимостей были выявлены, сотрудники, которые являются главными объектами атак социальных инженеров.
В первую очередь ими являются:
1. Секретарь в приемной. При возникновении доверия, социальный инженер способен получить телефоны других сотрудников.
2. Сотрудник по работе с клиентами. При представлении каким-либо клиентом, возможно получить информацию по интересующей организации.
3. Телефонные справочники. Они позволяют найти необходимые номера, а так же получить представление о структуре организации, т.е. точные названия отделов, должностей.
4. Удаленные филиалы. Связь с ними осуществляется по телефону или интернету, в связи с чем ухудшается идентификация личности.
После выявленных угроз, было принято решении о их устранении. Перечень предпринятых действий в организациях включает:
1. Разработка политик безопасности и процедур. Были разработаны такие процедуры и политики безопасности, как:
· информационная политика безопасности (ею целью является определение секретной информации внутри организации и способы ее защиты. Разработанная политика безопасности предусматривает защиту для всех форм информации, как на бумажных носителях, так и в электронном виде [52]);
· политика использования компьютеров. Она определяет собой:
а) кто может использовать компьютерные системы, и каким образом они могут использоваться;
б) что все компьютеры принадлежат организации, и что они предоставляются сотрудникам для работы в соответствии с их должностными обязанностями;
в) запрещает использование компьютеров, для подключения к внутренним системам организации через систему удаленного доступа, не принадлежащих организации, для выполнения работы, связанной с деловой деятельностью организации;
г) что вся информация, хранимая или используемая на компьютерах организации, принадлежит организации;
д) что на компьютерных системах запрещена загрузка неавторизованного программного обеспечения;
е) что сотрудник не должен подразумевать частный статус любой информации, хранимой, отправляемой или получаемой на любых компьютерах организации. Он должен понимать, что любая информация, включая электронную почту, может просматриваться сотрудниками технического отдела. А сотрудники отдела безопасности могут отслеживать все действия, связанные с компьютерами, включая посещение веб-сайтов [53].
· политика безопасности идентификации и аутентификации (важным моментом является установление основного механизма для аутентификации сотрудников и администраторов, в нее включены такие аспекты, как определение минимальной длинны пароля, и других характеристик выбора пароля);
· политика управления доступом (при установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационный механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям);
· политика безопасности сетевых соединений (она описывает правила установки сетевых соединений и используемые механизмы защиты);
· политика использования интернета (она определяет соответствующее назначение и нецелевое использование интернета);
· политики безопасности использования электронной почты. Эта политика оговаривает как внутренние проблемы, так и внешние;
· политики безопасности при проведении телефонных переговорах (определяет правила ведения как внутренних, так и внешних телефонных переговоров);
· политики безопасности работы вне организации (определяет правила работы сотрудников, работающих с информацией вне организации);
· политики безопасности работы с посетителями (она определяет правила для охранников и сотрудников, работающих с посетителями).
а) внутренние проблемы: политика работы с электронной почтой не конфликтует с другими политиками, связанными с сотрудниками организации, но определяет, что сотрудник не должен считать электронную почту частной;
б) внешние проблемы: политика почты определяет, при каких условиях в ней присутствуют ссылки на информационную политику, определяющую методы защиты секретных данных. Так же оговариваются вопросы, связанные с входящей электронной почтой. Она ссылается на политику безопасности организации, в которой говорится о соответствующих мерах, направленных на борьбу с вирусами.
· процедура обработки инцидентов. Она определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. Так же определяет, кто имеет право доступа и что необходимо делать, а так же определяет цели организации, достигаемые при обработке инцидента. Этими целями являются:
а) защита систем организации;
б) защита данных организации;
в) восстановление операций;
г) пресечение деятельности злоумышленника;
д) снижения уровня антирекламы или ущерба.
2. Разработка перечней информации, создание перечня сведений, составляющих коммерческую тайну. В связи с отсутствием подобного рода перечня, было проведено исследование обрабатываемой в организациях информации, с дальнейшей их классификацией и созданием перечня сведений, составляющих коммерческую тайну, некоторые пункты были внесены с перспективой на развитие организаций.
3. Предоставление методического материала, политик безопасности всем сотрудникам. Все сотрудники организаций, под роспись были ознакомлены с политиками безопасности, прошли полные инструктажи и курс по противодействию социальному инжинирингу.
4. Рассылка информационных статей, напоминаний и т.п. с помощью электронной почты, локальной сети и «лично в руки». Сотрудникам, при помощи их электронных почт и локальной сети организации, стали рассылаться постоянно обновляемые информационные статьи, содержащие новости безопасности, а так же постоянные, но разнообразные напоминания по противодействию социальному инжинирингу.
5. Публикация наиболее надежного работника месяца. Данное мероприятие служит своеобразным «пряником» в системе безопасности, т.е. вместо сотрудника, который нарушил политики безопасности, выбирается сотрудник, который выполнил все обязанности по безопасности на 100%, и поощряется.
6. Публикация специальных плакатов в помещениях. Во всех кабинетах была произведена установка плакатов, содержащих тематику безопасности (например: «Болтун – находка для шпиона!).
7. Раздача печатных вкладышей в конвертах с зарплатой. При выдаче денежных средств в конвертах, производится вкладка буклетов с тематикой о безопасности и социальных инженерах, в виде анекдотов и примеров.
8. Создание хранителей экрана и экранных заставок с напоминаниями. Техническим отделом были созданы экранные хранители для рабочих компьютеров, которые выглядят в виде постоянно меняющихся советов и напоминаний о возможных атак социальных инженеров.
9. Вещание напоминаний через голосовую почту. Раз в месяц на голосовые почты сотрудников высылаются заранее записанные в аудио-формате сообщения, содержащие информацию об изменениях в политиках безопасности или советы по противодействию социальному инжинирингу.
10. Создание специальных наклеек на рабочие телефоны. Были придуманы, распечатаны и наклеены специальные наклейки, с короткими фразами, на все рабочие телефоны, для напоминания сотрудникам о возможности угрозы атак социальных инженеров (например: «Звонящий действительно тот, за кого себя выдает?»).
11. Создание системных сообщений в локальной сети. Техническим отделом была создана программа, использующая локальную сеть, и в дальнейшем работающая по принципу всплывающих окон. У всех сотрудников, в определенный момент времени, в углу экрана возникает всплывающее окно с напоминанием (содержание окна постоянно меняется). Закрыть окно, возможно только нажав определенную кнопку.
12. Создание единого почтового клиент-сервера. Был создан единый почтовый клиент-сервер, что позволило техническому отделу контролировать входящую и исходящую почту. В связи с этим, вероятность угрозы связанной с электронной почтой, значительно уменьшилась.
13. Постоянное обсуждение вопроса безопасности на собраниях, пятиминутках и т.д.
Итогом предпринятых действий стало то, что напоминания стали своевременными и постоянными.
3 РАЗРАБОТКА МЕТОДИКИ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОМУ ИНЖИНИРИНГУ
В данной главе анализируется шаблон, который способен обезопасить организацию от атак социального инжиниринга. Если обучение персонала, который занимается обработкой информации, не производится, то это будет длиться до того момента, пока не произойдет потеря информации при помощи социального инжиниринга.
Никакие технические меры защиты информации практически не помогут защититься от социального инжиниринга. Связано это с тем, что социальные инженеры используют слабости не технических средств, а как говорилось, человеческий фактор. В связи с этим, единственный способ противодействовать социальным инженерам – это постоянная и правильная работа с персоналом [51].
Для повышения безопасности в организации, все время должны проводиться специальные обучения, постоянно контролироваться уровень знаний у сотрудников, должно проводиться тестирование, а так же совершаться внутренние диверсии, которые позволят выявить уровень подготовленности сотрудников в реальных условиях.
Самый важный момент в подготовке пользователей, на который следует указать внимание – это то, что обучение – это циклический процесс, который должен повторяться с периодичностью во времени.
Форма обучения может состоять из таких видов, как:
1. Теоретические занятия.
2. Практикум.
3. Онлайн-семинары.
4. Ролевые игры (т.е. создание модели атаки).
3.1 Теоретические аспекты создания методики противодействия
Для того чтобы создать методику обучения персонала, которая будет работать, необходимо понять, почему люди уязвимы для атак. Для выявления этих тенденций, необходимо обратить на них внимание благодаря дискуссии – этим можно помочь сотрудникам понять, как социальный инженер может манипулировать людьми.
Манипуляция, как метод воздействия, начала изучаться социальными исследователями в последние 50 лет. Роберт Чалдини (известный американский экспериментальный социальный психолог, известный по книге «Психология влияния»), написал статью в «Американской науке» (Февраль 2001 года), и объединил там результаты исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.
Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулирования [41, с. 124]:
1. Авторитетность – людям свойственно желание услужить человеку с авторитетом (пример атаки: социальный инженер пытается выдать себя за авторитетное лицо из IT-отдела или должностное лицо, выполняющее задание организации).
2. Умение расположить к себе – люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами (пример атаки: в разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему знакомо. Также он может сообщить, что он из той же школы или места. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность).
3. Взаимность – человек способен машинально ответить на вопрос, когда получает что-либо взамен. Это один из самых эффективных путей повлиять на человека, чтобы получить благосклонность (пример атаки: сотрудник получает звонок от человека, который называет себя сотрудником IT-отдела. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса).
4. Ответственность – люди имеют привычку исполнять обещанное (пример атаки: атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это – основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению).
5. Социальная принадлежность к авторизованным пользователям – людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения (пример атаки: звонящий говорит, что он проверяющий и называет имена других людей из отдела, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат настоящим сотрудникам названного отдела. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва).
6. Ограниченное количество «бесплатного сыра» – вера в то, что объект делится частью информации, на которую претендуют другие, или, что эта информация доступна только в этот момент (пример атаки: атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на премьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося).
Организация ответственна за то, чтобы предупредить сотрудников насколько серьезной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание сотрудников о надлежащей работе с корпоративной информацией.
Обучение безопасности в рамках политики организации по защите информации должно проводиться для всех сотрудников без исключения, а не только для сотрудников, у которых есть электронный или физический доступ к информационным активам организации.
В сегодняшних условиях почти все, чем занимаются сотрудники, связано с обработкой информации. Вот почему политика безопасности организации должна распространяться по всему предприятию, независимо от положения сотрудников [3, с. 2].
Разработку противодействий социальному инжинирингу необходимо начать с создания группы людей, которые будут отвечать за безопасность. Они должны отвечать за разработку политик и процедур безопасности, которые должны быть направлены на защиту отдельных сотрудников и сети организации в целом. Эта группа должна включать в себя сотрудников из разных отделов.
В задачи этой группы должны входить такие вещи как:
1. Обеспечение поддержки политик и процедур безопасности.
2. Помощь в разработке учебно-методических материалов для сотрудников.
Сотрудник, ответственный за разработку программы информационной безопасности должен выработать специфические требования для отдельных групп сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для следующих групп персонала:
1. Менеджеры.
2. IT?сотрудники.
3. Пользователи ПК.
4. Обслуживающий персонал.
5. Администраторы и их ассистенты.
6. Техники связи.
7. Охранники (требуется краткий курс обучения).
Технические методы обучения должны включать:
1. Демонстрацию социального инжиниринга при помощи игры по ролям.
2. Обзорные медиаотчеты о последних атаках на другие организации.
3. Обсуждения путей предотвращения потери информации.
4. Просмотр специальных видеоматериалов по безопасности.
Организация обязана не только иметь прописанные правила политик безопасности, но и побуждать сотрудников, работающих с корпоративной информацией или компьютерной системой, старательно изучать и следовать этим правилам. Более того, необходимо убедиться, что все сотрудники организации понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.
Правила безопасности должны быть реалистичными, они не должны призывать сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что необходимо выполнять поручения по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации самой и сотрудников.
Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят свое ежедневное поведение. Для этого необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов:
· негативное;
· позитивное.
Негативное означает наказание за какой-либо проступок в отношении соблюдения мер безопасности (пример: если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему должен быть сделан выговор).
Другой метод – «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность за безопасность ложится на каждого.
Негативное подкрепление может служить для предотвращения серьезных нарушений (например: установка неавторизованной точки доступа или модема).
Позитивное подкрепление обеспечивает воодушевлением сотрудников по заботе о безопасности (пример: вместо поиска нарушителей политики – установление, кого из пользователей следует поощрить за точное следование инструкциям).
3.1.2 Цели, структура и содержание методики противодействия
Главной целью любой обучающей программы является необходимость переосмысления сотрудниками своего поведения и отношения, мотивирования [37, с. 197] их желания защитить и сохранить информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.
Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:
· сотрудники организации могут быть подвержены нападению в любое время;
· сотрудники должны выучить и понять свою роль в защите информации организации;
· тренинг по обучению безопасности должен быть более важным, чем просто правила, которые предоставляются для ознакомления.
Организация может считать цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации – это часть их обязанностей.
Сотрудники должны полностью понять, что атаки социальных инженеров реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.
В своей основе обучающий тренинг должен быть построен таким образом, чтобы посещался всеми сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг как часть первоначального ознакомления и знакомства с новой работой [38, с. 75]. Рекомендуется вообще не допускать сотрудника до работы с компьютером, пока он не ознакомится с обучающим тренингом и основами информационной безопасности.
Самым первым рекомендуется занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.
Особое значение первого занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.
В ситуациях, когда какие-либо сотрудники не могут посещать общие занятия, организация должна прибегнуть к другим формам обучения, таким как видео, компьютерные программы, онлайн?курсы или печатные материалы.
После короткого вводного занятия остальные более длинные занятия должны быть спланированы так, чтобы все сотрудники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно на них.
Завершающим этапом программы следует проводить получение подписей сотрудников о соглашении следованию установленных политик безопасности и принципов поведения. Ответственность, которую должны будут брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).
Как минимум один раз в год необходимо проводить занятия для повторения всех этих правил.
Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.
Тренинг следует делать в рабочее время. Это стоит помнить и при ознакомлении со всеми положениями организации, новых сотрудников.
Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.
Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социального инжиниринга, включает:
· описание того, как атакующие используют навыки социального инжиниринга;
· описание методов, используемых социальными инженерами для достижения своих целей;
· меры по предупреждению возможных атак с использованием социального инжиниринга;
· процедуру обработки подозрительных запросов;
· последовательность действий при сообщении о попытках или удачных атаках;
· важность идентификации делающего запрос на получение информации;
· классификацию информации, процедуры защиты, предоставления важной информации, включая любые данные о системе ее хранения;
· аннотация ключевых политик безопасности и их назначение;
· обязанности всех сотрудников следовать политикам безопасности;
· политики безопасности для паролей компьютеров и голосовой почты;
· политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов»;
· ношение бейджей и удостоверений как метод физической защиты;
· специальные меры в отношении людей, не носящих бейджей.
3.2 Методика противодействия социальному инжинирингу
Необходимые действия и меры соблюдения правил. Для защиты организаций и их сотрудников следует применять комплексные многоуровневые системы безопасности. Ниже перечислены особенности и обязанности таких систем:
1. Физическая безопасность – это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены [11, с. 70].
2. Данные – это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.
3. Приложения – программы, запускаемые сотрудниками.
4. Компьютеры – это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.
5. Внутренняя сеть – это сеть, с помощью которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.
6. Периметр сети – это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.
Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ [7, с. 156], что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.
Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации [2, с. 4]. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уловки социального инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к общению с посторонними лицами.
Другая мера защиты – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.
Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.
Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).
Существует три главных типа атак, направленных на офисные АТС, во время которых:
· просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;
· получают доступ к «свободному» использованию телефона;
· получают доступ к системе коммуникаций.
Термин для атак такого рода называется – фрикинг. Самый обычный подход социального инженера – это симулирование роли телефонного инженера, как показано на рисунке 6.
Рисунок 6 Схема нападения на офисную АТС
Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.
Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).
Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической поддержки.
Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. При четком регламентировании правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные очень необходимы.
Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости перезвонить, сотрудник должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации.
Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному начальнику.
Технический отдел должен балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.
Социальные инженеры пытаются создавать такие ситуации, когда обычный порядок действий разговора по телефону оказывается неприменимым.
Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно также передавать суть разговора).
Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:
· аналитик технического отдела должен иметь гарантии аудита всех действий (необходимо вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки);
· аналитик технического отдела должен иметь структурированную процедуру действий обработки запросов пользователей.
Аудит всех процедур — самый ценный инструмент в предотвращении инцидента и последующем его расследовании.
Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.
Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.
Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 5.
Таблица 5 Телефонные нападения
Цели нападения | Описание | Направленность |
Запрос информации организации | Социальный инженер исполняет роль законного пользователя для получения конфиденциальной информации | Конфиденциальная информация Деловое доверие |
Телефонный запрос информации | Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС | Ресурсы Деньги |
Используя офисную АТС, обратиться к компьютерным системам | Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией |
|
Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.
Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:
1. При звонке, организация, услугами которой вы пользуетесь, обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.
2. Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона.
3. Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных – это мошенники, и следует прервать разговор.
Электронная почта. Принимаемая информация. Входящие электронные письма могут содержать гиперссылки, которые вынуждают сотрудников к нарушению защиты корпоративной среды. Такой вид мошенничества называется «Фарминг».
Фарминг – это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунках 7 и 8 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 7, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте – «Contoso», но ссылка указывает на организацию по имени «Comtoso».
Рисунок 7 Образец гиперссылки на фишинговый сайт
При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты. Гиперссылка также может указывать на узлы с всплывающими приложениями, которые запрашивают какие-либо данные или предлагают помощь. Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам [1, с. 76]. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:
· вложенные файлы;
· гиперссылки;
· запросы личной или корпоративной информации, исходящие изнутри организации;
· запросы личной или корпоративной информации, исходящие из-за пределов организации.
Рисунок 8 Образец фишингового письма
Примерами могут служить электронные письма, которые содержат предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д. Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.
Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.
Следует сохранить несколько подобных писем для наглядного примера и напоминания сотрудникам о существующей проблеме.
Следует остерегаться вложенных приложений во входящей почте и свободного программного обеспечения.
Необходимо проверять доменные имена, в связи с тем, что вложенный в электронное письмо файл может содержать двойное расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение расширения файлов, выполнив команду «Сервис > Свойства папки» и снять флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например: щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).
Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:
· сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;
· обещания огромного денежного приза с минимальными усилиями или вовсе без них;
· запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;
· грамматические, пунктуационные или орфографические ошибки.
Популярные фишинговые схемы:
· мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);
· подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);
· ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО – это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).
Методы борьбы с фишингом, созданные для защиты от фишинга:
1. Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.
2. Технические методы:
2.1. Использование браузеров, которые предупреждают об угрозе фишинга.
2.2. Создание списка фишинговых сайтов и последующая сверка с ним.
2.3. Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.
2.4. Усложнение процедуры авторизации (например: сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).
2.5. Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).
2.6. Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).
Отправляемая информация. Необходимо выстроить систему, которая будет обеспечивать безопасность пересылки важной информации какому-то незнакомому лично отправителю. Так же необходимо разработать особые процедуры для передачи файлов с важной информацией.
При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения его личности. Также должны быть установлены различные уровни доступа к информации.
Способы, которые следует применить:
1. Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).
2. Необходимо хранить историю всех транзакций.
3. Необходимо утвердить список сотрудников, которые имеют право отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.
4. При запросе на информацию в письменном виде (е?мэйл, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.
Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают подобные сведения (в том числе нельзя переходить по ссылкам в таких сообщениях).
Для контроля электронной почты в организациях следует сделать единый почтовый сервер, которым будут пользоваться все сотрудники организации или филиалов в отдельности.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 6.
Таблица 6 Интерактивные Почтовые нападения
Цели нападения | Описание | Направленность |
Воровство информации, которая принадлежит организации | Социальный инженер играет роль внутреннего пользователя, для получения информации организации | Конфиденциальная информация Деловое доверие
|
Воровство финансовой информации | Социальный инженер использует фишинг, вишинг, фарминг для запроса конфиденциальной информации (например: подробности учетной записи) | Деньги Конфиденциальная информация |
Загрузка вредоносного ПО | Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации | Доступность |
Загрузка хакерского ПО | Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО | Атака на ресурсы Доступность Деньги
|
Всплывающие приложения и диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера в пределах компьютерной сети, через которую в последующем начинается фишинг-атака или иные почтовые нападения на другие организации или физические лица.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 7.
Таблица 7 Он-лайн атака с помощью всплывающих приложений или диалоговых окон
Цели нападения | Описание | Направленность |
Воровство персональной информации | Социальный инженер запрашивает персональную информацию сотрудника | Конфиденциальная информация Деньги |
Загрузка вредоносного ПО | Социальный инженер обманывает сотрудника с помощью гиперссылки или вложения, инфицирует сети организации | Доступность |
Загрузка хакерского ПО | Социальный инженер обманывает пользователя, с помощью гиперссылки или вложения, загружает хакерское ПО | Атака на ресурсы Доступность Деньги |
Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом уровне заблокировать всплывающие окна и автоматические загрузки.
Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.
Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются:
1. Указание в тексте сообщения ссылки на вредоносную программу.
2. Доставка вредоносной программы.
Одной из особенностей служб мгновенного обмена сообщениями является неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет социальному инженеру гораздо легче выдавать себя за другого человека и значительно повышает шансы на успешное проведение атаки. На рисунке 9 показно, как работает имитация при использовании IM.
Рисунок 9 Имитация при использовании IM
Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает IM-сообщение, исходя из соображений, что получатели примут их за сообщения от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.
При использовании в организации программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований:
· выбрать одну платформу для мгновенного обмена сообщениями;
· определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;
· определить принципы установления новых контактов;
· задать стандарты выбора паролей;
Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:
1. Блокирование общих портов брандмауэрами.
2. Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;
3. Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.
В таблице 8 наглядно указаны цели нападения, описание нападения и направленность нападения с помощью IM.
Таблица 8 Нападения IM передачи сообщений
Цели нападения | Описание | Направленность |
Запрос о конфиденциальной информации организации | Социальный инженер, исполняя роль коллеги, использует IM имитацию, для запроса деловой информации | Конфиденциальная информация Доверие |
Загрузка вредоносного ПО | Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, инфицирует сеть организации | Доступность |
Загрузка хакерского ПО | Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, загружает хакерское ПО | Атака на ресурсы Доступность Деньги |
В целом, методы защиты от социального инжиниринга при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты [12, с. 20].
Пароли. Все сотрудники, имеющие доступ к информации, должны четко понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.
Сотрудники должны подозрительно относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.
Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор заглавных и строчных букв, различных символов и цифр. А также размер должен быть никак не меньше шести-семи символов.
Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно было взломать и воспользоваться им.
· электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;
· ICQ, особенно короткие номера;
· Skype;
· ВКонтакте.
· дата рождения;
· 111, 333, 777 или что вроде этого;
· 12345 или qwerty – буквы клавиатуры идущие подряд;
· простые имена - sergey, vovan, lena;
· русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.
· длинный (8-15 символов);
· сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);
· не из словаря, т.е. не слово, и не имя;
· отдельный пароль для каждого отдельного сервиса;
· не связанный с сотрудником (адрес, номер сотового и т.д).
Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем. Остальные пароли можно группировать. Например:
· Простой пароль и логин для регистрации во всех временных и не важных мест;
· Надежный пароль для всех форумов и социальных сетей и т.д.;
Ни в коем случае нельзя создавать в компьютере папку с паролями, лучше запомнить или записать на бумаге. Если пароли сохранены на бумаге, то необходимо сделать вторую копию и хранить оригинал и копию в недоступном месте, подальше от чужих глаз.
Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.
При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.
Обратный социальный инжиниринг строится на трех факторах:
· создание ситуации, которая вынуждает человека обратиться за помощью;
· реклама своих услуг или опережение оказания помощи другими людьми;
· оказание помощи и воздействие.
Если незнакомый человек оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.
Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в области использования компьютеров.
Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.
Одна основная часть решения: необходимо назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы.
Личностный подход. Самым простым способом получения информации для социального инженера является просьба. Существует четыре разновидности такого подхода:
· запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);
· убеждение (самые обычные формы убеждения включают лесть);
· использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);
· помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).
Схема с использованием запугивания с ссылкой на авторитет работает особенно хорошо в том случае, когда сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании важного человеческого имени пропадают не только подозрения, но и появляются такие свойства, как внимательность.
Защитой против нападения запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.
Необходимо помнить, что неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.
Защитой от убеждения является строгое следование инструкциям и политикам безопасности.
Нападения «помощи» могут быть сокращены, если имеется эффективная техническая поддержка. Внутренний помощник – часто результат потери доверия к существующим услугам технического отдела организации. Для предотвращения таких атак:
· необходимо закрепить в политике безопасности, что технический отдел – это единственное место, куда нужно сообщать о проблемах;
· следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;
· необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.
Существует два правила, которые позволяют избежать такие типы атак.
1. Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.
2. Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а так же должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» [4] работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально для тех сотрудников, которым этого мало, можно объяснить, что вся коммерческая информация является собственностью работодателя. Из чего следует, что воровство такой информации можно рассматривать как воровство имущества, что является предметом соответствующей статьи Уголовного кодекса (ст. 159 УК РФ) [8, с. 54]. Кроме того, можно сообщить сотрудникам, что за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав») [8]. Практика показывает, что когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о не разглашении коммерческой тайны организации»).
Так же сотрудникам следует знать несколько правил, которых желательно придерживаться и стараться не откланяться от данного списка. Это даст возможность при попытке манипулирования социальным инженером, заметить и пресечь эти действия.
1. Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.
2. Споры. Любой спор необходимо избегать – это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.
3. Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.
4. Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.
5. Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.
Информация на бумажных носителях. Необходимо произвести назначение различных категорий информации и определение того, как персонал должен с ними обращаться. Категории должны включать:
· конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
· частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
· ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
· общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).
Предложения по защите от угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.
Анализ мусора. Целенаправленные поиски в мусорном контейнере – общий практикуемый метод для злоумышленников для получения информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 9.
Политика безопасности организации должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания.
В связи с тем, что атаки на мусор нельзя считать правонарушениями, следует гарантировать, что персонал организации в полной мере понимает значение выброшенных бумажных или электронных носителей. Необходимо также управлять внутренними отходами.
Одна из самых эффективных мер при работе с мусором – это спецификация классификации данных. Производится назначение различных категорий информации и определение того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:
· конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
· частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
· ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
· общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).
Таблица 9 Атаки на мусор
Цели нападения | Описание | Направленность |
Бумажные отходы во внешних урнах | Социальный инженер берет бумагу из внешне размещенной урны с мусором для захвата любой уместной информации об организации | Конфиденциальная информация Атака на доверие |
Бумажные отходы во внутренних урнах | Социальный инженер берет бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты | Конфиденциальная информация Атака на доверие |
Электронные отходы цифровых носителей | Социальный инженер захватывает информацию и приложения из выброшенных электронных носителей, а также ворует сами носители | Конфиденциальная информация Атака на доверие Ресурсы |
«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять на отдельной изолированной машине все поступающие в организацию непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов и передавать носители в технический отдел для проверки.
В правила технического отдела должны быть включены:
· каждое действие технической поддержки должно быть запланировано;
· подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;
· при проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;
· каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;
· пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.
Пропускной режим. При беспрепятственном передвижении по зданию организации, подвергается опасности частная информация организации. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.
Единственный выход из этой ситуации – это усилить процедуры идентификации.
Менее распространенным, но более эффективным методом социального инжиниринга является личный контакт с сотрудником.
Ситуация, в которой неправомочный человек следует за сотрудником, проходя в организацию, является самым простым примером нападения с использованием социального инжиниринга.
Защищенность от таких угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной политике безопасности организации, учитывающей три области:
· помещения организации;
· дом;
· мобильная работа.
Необходимые действия, при которых будет невозможно физическое нападение с использованием социального инжиниринга в пределах организации:
· идентификация с помощью фотографий на пропусках;
· книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;
· карточка посетителя (бейдж посетителя), которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе;
· книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;
· карточка подрядчика (бейдж подрядчика), которая должна быть видна всегда, пока он находится в здании.
Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных действий социальных инженеров. Охранник обязан следовать следующим правилам:
· пропускать только сотрудников с пропусками;
· посетителей регистрировать в журнале при наличии документа подтверждающего личность;
позволять проходить в помещение только в сопровождении других сотрудников организации (сопровождение должно производиться от самого входа до места назначения и обратно, не позволяя им самостоятельно ходить по организации).
Отступать от этих правил нельзя ни в коем случае.
Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление народа перед охранником, которое может затруднить работу охраны.
Пример расположения поста охраны показан на рисунке 10.
Рисунок 10 Планирование поста охраны
Область поста охраны слева позволяет неправомочному посетителю пройти, используя законного служащего как экран. Пример справа требует, чтобы любой посетитель шел мимо охранника. Позиция компьютерного терминала не закрывает взгляд охранника.
Необходимо, чтобы сотрудники охраны просматривали весь проход и не мешали друг другу, когда они проверяют каждого человека.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 10.
Таблица 10 Физические Нападения
Цели нападения | Описание | Цель |
Воровство мобильного идентификатора сотрудника | Социальный инженер наблюдает за законным пользователем, набирающим имя и пароль для входа в систему. | Конфиденциальная информация |
Воровство домашнего идентификатора сотрудника | Социальный инженер изображает сервис-менеджера для получения доступа к домашнему компьютеру и запрашивает пользовательский идентификатор и пароль, для проверки успешности обновления | Конфиденциальная информация |
Прямой сетевой контакт через домашнюю сеть сотрудника | Социальный инженер обращается к сети организации через домашнюю сеть сотрудника, изображая сотрудника технического отдела. | Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Внешний доступ к домашней сети сотрудника | Социальный инженер получает доступ к интернету через необеспеченную домашнюю сеть | Ресурсы |
Несопровождаемый доступ к офису организации | Социальный инженер получает доступ под видом авторизованного сотрудника организации | Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Обращение к человеку в офисе организации | Социальный инженер обращается к сотруднику для использования компьютерного оборудования или бумажных ресурсов | Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Работа технического отдела. Администраторы баз данных и локальных сетей, которые работают с программным обеспечением, располагающие технической информацией, обязаны устанавливать личность человека, который обратился к ним за советом или информацией.
Необходимо сменить учетные данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.
Те же самые действия необходимо произвести и с телефонными коммутаторами.
Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные ей.
Для того чтобы меры по обеспечению безопасности имели смысл – как для администраторов сети, так и для сотрудников, использующих сетевые ресурсы – необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.
Для ознакомления сотрудников с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:
1. Политику сетевых соединений.
2. Процедуры по устранению последствий вторжения.
3. Правила пользования компьютером.
Ознакомление с этими документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже по технике безопасности.
1. Политика сетевых соединений. Документы этого типа должны содержать перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности – какие функции операционной системы используются, ответственные лица за утверждение подключения к сети новых устройств. Так же должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора – что разрешено делать, а что запрещено. Отдельно должна составляться политика сетевых подключений для брандмауэров – с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.
При работе сотрудниками через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.
В документации необходимо описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез с описанными процедурами и политиками безопасности и происходящие без ведома ответственных лиц, не допускаются.
При предоставлении сотрудникам права коммутируемого доступа, сотрудники должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа.
Следует запретить сотрудникам работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).
При желании сотрудником получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей просьбы. При просьбе установки программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить персонал технического отдела ее использованию. Ни при каких обстоятельствах нельзя разрешать сотрудникам загружать и устанавливать программы из интернета.
Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям сотрудника. Такие действия называются «прощупыванием» сети и должны рассматриваться как причина для увольнения. Если сотрудник желает знать, где хранятся данные или приложения, то он должен обсудить этот вопрос с руководством или техническим отделом.
2. Устранение последствий вторжения. В организации должен быть специальный сотрудник или сотрудники, которые должны отвечать за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, показывает сотрудникам, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.
В документе, который должен содержать описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:
· кража аппаратных средств или программного обеспечения;
· подбор или разглашение пароля;
· недопустимая передача кому-либо носителей информации, в том числе дисков, флеш-драйверов и бумажных носителей;
· совместное использование одной учетной записи либо разглашение имени пользователя и пароля;
· просмотр сети без соответствующих полномочий;
· вмешательство в данные или учетную запись другого сотрудника;
· подозрительное проникновение в сеть извне;
· компьютерные вирусы;
· нарушение физического доступа.
Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными проблемами без заранее написанных инструкций.
3. Инструкции по использованию компьютера. В инструкции по использованию компьютера должно быть ясно прописано, что все компьютерные программы должны предоставляться исключительно организацией; использование на компьютере, принадлежащем организации, или в корпоративной сети посторонних программ запрещается. Следует убедиться, что все сотрудники понимают это и что организация таким образом защищена от возможных судебных разбирательств.
Так же, в документации необходимо отметить о запрете копирования пользователями принадлежащее организации программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.
Необходимо обязать сотрудников сообщать о любых подозрительных действиях или неправомочном использовании компьютерных ресурсов. На сотрудников также должна возлагаться ответственность за принятие необходимых мер по защите данных и программ в пределах их полномочий – в частности, они не должны оставлять рабочую станцию, зарегистрированную для работы в сети, без присмотра на длительное время, (для этого следует пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.
Инструкции по использованию компьютера могут включать много нюансов. При ее составлении необходимо учесть следующие моменты:
· недовольство пользователей (в лучшем случае пользователи не станут выполнять слишком строгую инструкцию, которая создает серьезные неудобства, – особенно если им непонятно, насколько эти меры оправданы, в худшем – возможно нарастание скрытой агрессии и открытый конфликт);
· наказания (если правило подразумевает принятие некоторых болезненных мер, то оно всегда должно выполняться с максимальной значительностью и строгостью, в идеале такие меры должны приниматься один раз);
· сотрудники (в любом документе, который содержит инструкции по использованию сети, должно подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично);
· внешние соединения (еще одной областью, которой часто уделяется недостаточно внимания, являются сотрудники, которые приходят в организацию и получают временный доступ к сети. Для сотрудника, который нанят по контракту для выполнения определенных работ, обязательно должны быть разработаны правила использования компьютера – такие сотрудники должны прочесть эти правила и подписью подтвердить факт ознакомления с ними).
В инструкциях так же должно быть сказано, что сотрудник не имеет права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.
Работа отдела кадров. Очень часто, когда речь заходит о безопасности организации, в том числе, когда дело касается социального инжиниринга, нельзя забывать о том, что опасность может быть внутри организации. Связано это с тем, что у сотрудников могут быть свои пороки. Типами сотрудников являются:
1. Упрямые сотрудники (они упрямы и уверены, что делают что-либо правильно и это не может подлежать никакому критическому обсуждению).
2. Недобросовестные сотрудники (они демонстрируют деловую активность пока за ними наблюдаешь, как только наблюдение прекращается – они перестают работать).
3. Расхитители (по данным Национальной Американской Ассоциации от «50 до 70% убытков организации приходится на кражи, которые совершают сотрудники» []). К расхитителям можно отнести и тех сотрудников, которые наняты конкурентами.
Согласно статистике, представленной на рисунке 11, «процент честных сотрудников равен 10, 65% готовы нарушить закон в том случае, если они будут уверены в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых обстоятельствах» [].
Рисунок 11 Статистика честности сотрудников
Отделу кадров рекомендуется наблюдать за сотрудниками на всех стадиях их развития в организации.
Любой сотрудник в организации всегда проходит три стадии развития:
1. Устройство на работу.
2. Этап работы.
3. Увольнение.
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью стандартных психологических тестов. Так же следует определить, не принадлежит ли кандидат на должность к одной из категорий «неудобных сотрудников», классификацию и описание которых приведена ниже.
Нельзя допускать в своей организации существования алкогольно-сексуальных групп (речь идет о стиле поведения людей, входящих в эту группу) [28, стр. 186].
Лояльность сотрудников – это означает, что сотрудник доволен работой в организации, как моральном, так и в материальном плане. Всех сотрудников можно разделить на четыре группы:
1. Сотрудники, которые довольны работой в организации, как в моральном, так и в материальном плане.
2. Сотрудники, которые довольны работой в организации в моральном плане, но в материальном плане они не получают достойного вознаграждения за свой труд, при этом относятся к этому снисходительно, т.к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут.
3. Сотрудники, которые работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги (эта группа является опасной, т.к. такого сотрудника можно подкупить).
4. Сотрудники, которые не довольны работой в организации ни в моральном, ни в материальном плане (эта группа сотрудников является самой опасной, т.к. если в организации большинство сотрудников принадлежит именно к этой группе, то такая организация разрушит сама себя.
Нельзя создавать незаменимых сотрудников, связано это с тем, что сотрудник, почувствовавший свою значимость, начинает шантажировать организацию [26, с. 117].
Сообщения от сотрудников, о попытках атак. Служба безопасности обязана предоставить сотрудника или группу, которая сформирована, как орган, в который должны поступать все отчеты о подозрительной деятельности, направленной на атаку организации.
Если есть мнение, что сотрудники раскрыли информацию об организации, необходимо сообщить об этом надлежащим сотрудникам организации: в службу безопасности и/или системным администраторам. Их же можно предупреждать о любой подозрительной или необычной активности.
Если существует подозрение, что были скомпрометированы сведения финансового характера, следует незамедлительно поставить в известность финансовую организацию и заблокировать соответствующие счета. Следует обращать внимание на любые неясные расходные операции по своим счетам.
Необходимо сообщать об инциденте в правоохранительные органы.
Сотрудник должен составить протокол, который описывает попытку атаки, с содержанием следующей информации:
· название;
· отдел;
· цель нападения;
· эффект нападения;
· рекомендации;
· дата;
· подпись.
Все сотрудники должны немедленно сообщать обо всех запросах, которые были сделаны при необычных обстоятельствах.
Также должны сообщать обо всех неудачных попытках установить личность запрашивающего.
Проводя протоколирование попыток атаки, можно идентифицировать их в дальнейшем. Необходимо помнить, что только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем.
Советы по улучшению. Необходимо использовать яркие заставки, которые будут появляться при включении компьютеров у сотрудников, и каждый раз содержать новый совет по безопасности. Сообщение должно быть построено таким образом, чтобы оно не исчезало автоматически, а требовало от сотрудника нажатия на определенную кнопку.
Следует производить постоянные напоминания о безопасности. Для этого можно использовать внутреннюю еженедельную рассылку. Сообщения должны иметь каждый раз разное содержание.
Так же следует использовать короткие аннотации. Необходимо делать несколько маленьких колонок, как маленький экран в собственной газете. В каждой аннотации следует представлять очередное напоминание в коротком и хорошо запоминающемся виде.
Для расширения тренинга рекомендуется активная и яркая программа вознаграждений. Следует объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социального инженера, или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, которое посвящено тренингу, а взломы должны быть широко освещены и разобраны внутри организации [31, с. 204].
Но так же сотрудники должны понимать, что нарушение политик безопасности и установленных процедур и халатность наказуемы.
Заключение
При подготовке дипломной работы мною был изучен широкий спектр существующих сегодня методов социального инжиниринга. Предложена общая классификация угроз организаций.
По статистике 70% несанкционированного доступа к информации происходит с помощью социального инжиниринга, который использует в свою очередь человеческий фактор, и сотрудников, не соблюдающих политики безопасности. Подразделениями в организации, занимающимися безопасностью и кадровой безопасностью, являются технический отдел и отдел кадров. Они должны находиться в тесном и постоянном взаимодействии.
Как можно убедиться – социальный инжиниринг – это мощнейший инструмент в руках умелого психолога, и защита от него не менее важна, чем от других способов взлома. Защита от атак социального инжиниринга несомненно, одно из самых сложных в разработке мероприятий. Данный тип защиты нельзя построить исключительно техническими методами.
Социальный инжиниринг является самым быстрым и легким путем к нарушению информационной безопасности и самым труднообнаруживаемым. Для проведения атак злоумышленники, применяющие методы социального инжиниринга, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут искажать реальность, желая спасти свою репутацию.
Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной информации, содержащейся в их организации.
Если правила безопасности не будут точно описывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что-либо, что облегчит их работу.
Угрозами со стороны социальных инженеров являются: противоправные действия для получения конфиденциальной информации и иной информации, а также действия, наносящие ущерб организациям.
Полностью исключить опасность, исходящую от социального инжиниринга невозможно, но можно сократить риск нанесения ущерба, а в некоторых случаях и исключить его. Если не запускать ситуацию и адекватно реагировать на возникающие проблемы, то будет не сложно добиться весьма высоких результатов.
Для того чтобы снизить эти риски, в данной выпускной квалификационной работе, мной была разработана методика противодействия социальному инжинирингу, которая описывает теоретические аспекты социального инжиниринга, методы воздействия на сотрудников организации, и методы, которых необходимо придерживаться сотрудникам, для снижения реализации угрозы со стороны социальных инженеров.
Также в выпускной квалификационной работе мной была произведена оценка рисков, разработаны требования к процедурам и документациям, которые в последующем были осуществлены.
Комплекс всех мер по противодействию социальному инжинирингу способствует укреплению организаций, их стабильности и безопасности, экономическому развитию, внося тем самым лепту в профилактику экономических преступлений и нарушений, укрепляя экономику на всех уровнях.
Не только против злоумышленников можно применять методы социальной инженерии, они могут оказаться полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в нарушениях, произошедших в организациях. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальный инжиниринг не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Она не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако она, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана. Сотрудники организации должны знать, как лучше всего определять и блокировать атаки, основанные на методах социального инжиниринга.
Библиографический список
1. Гражданский кодекс Российской Федерации : офиц. текст : по состоянию на 1 мар. 2013 г. – М. : ЭЛИТ, 2013 г. – 321 с.
2. Об информации, информатизации и защите информации : ФЗ от 27 июл. 2006 г. №149-ФЗ // РГ – 2006. №4131. – 197 с.
3. Об утверждении Перечня сведений конфиденциального характера : Указ от 23 сен. 2005 г. №1111 // – РГ – 2006. №4531 – 3 с.
4. О защите коммерческой тайны : ФЗ от 29 июл. 2004 г. №98-ФЗ // ГАРАНТ – 2011. №3543. – 168 с.
5. Приказ МЧС России от 28.12.2009 года № 743 : офиц. текст – 3 с.
7. Трудовой кодекс Российской Федерации : офиц. текст : по состоянию на 19 мая 2013 г. – М. : ЭЛИТ, 2013 г. – 265 с.
8. Уголовный кодекс Российской Федерации : офиц. текст : по состоянию на 24 июл. 2009 г. – М. : ЭЛИТ, 2013 г. – 179 с.
9. Устав ООО «ВДПО» от 22.07.2011 года : офиц. текст – 5 с.
10. Устав ООО «СМ-Уфа» от 25.05.2011 года : офиц. текст – 3 с.
11. Андреева Г. М. Социальная психология : учебник для вузов / Г. М. Андреева – М. : ЭЛИТ, 2003. – 270 с.
12. Баутов А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. – 2012. – № 2. – с. 12-23.
13. Большаков А. А. Основы обеспечения безопасности данных в компьютерных системах и сетях : учебник для вузов / А. А. Большаков, А. Б. Петpяев, В. В. Платонов – М. : РИЦ, 2008. – 528 с.
14. Вихорев С. Как определить источники угроз / С. Вихорев, Р. Кобцев // Открытые системы. – 2012. – № 8. – с. 9-16.
15. Гаврилов А. Социальный инжиниринг в действии / А. Гаврилов // Безопасность. – 2012. - №3. – с. 118-122.
16. Гайкович В. Ю. Основы безопасности информационных технологий : учебник для вузов / В. Ю. Гайкович, Д. В. Ершов – М. : Триумф. 2007. – 351 с.
17. Долгин А.Е. Как защитить информацию : учеб.-методич. пособие / А. Е. Долгин, М. Ю. Потанин. – М. : Феникс, 2008. – 320 с.
18. Ездаков А. Как защитить информацию / А. Ездаков // Сети. – 2010. – № 8. –с. 11-19.
19. Информационная безопасность государственных организаций и коммерческих фирм : учебное пособие / А. В. Волокитин [и др.]; под ред. Л. Д. Реймана – М.: НТЦ «ФИОРД-ИНФО», 2012. – 272с.
20. Катальфамо Д. Противодействие социальной инженерии / Д. Катальфамо // SearchSecurity. – 2010. - №1. – с. 78-82.
21. Касперски К. Секретное оружие социальной инженерии / К. Касперски // Журнал сетевых решений. – 2012. - №9 – с. 12-15.
22. Ключко Н. Современные трансформации методов социальной инженерии / Н. Ключко // Финансовая газета. – 2009. – №37. – с. 79-89.
23. Комаров А. TMS управляет жизненным циклов токенов / А. Комаров // CNews. – 2008. - №10. – с. 90-113.
24. Кузнецов М. В. Социальная инженерия и социальные хакеры : учеб.-метод. пособие / М. В. Кузнецов – С.-Пб. : БХВ-Петербург, 2010 – 368 с.
25. Кузнецов Н. Информационное взаимодействие как объект научного исследования / Н. Кузнецов // Вопросы философии. – 2011. – №1. – с. 21-29.
26. Кузнецов Н. И. Учебник по информационно-аналитической работе : учебник для вузов / Н. И. Кузнецов – М. : Яуза, 2011 – 217 с.
27. Кучук Е. Современный гипноз или социальный инжиниринг. / Е. Кучук // Компьютерная газета. – 2009. – №4. – с. 46-51.
28. Литвак М. Е. Психологическое айкидо : учебное пособие / М. Е. Литвак – М. : Юниор, 2007. – 278 с.
29. Лихоносов А. Г. Безопасность серверных операционных систем : учебник для вузов / А. Г. Лихоносов – М. : МФПУ, 2010 – 210 с.
30. Лукацкий А. В. Обнаружение атак : учеб.-метод. пособие / А. В. Лукацкий – С.-Пб. : БХВ-Петербург, 2009 – 624 с.
31. Митник К. Д. Искусство обмана : учеб.-метод. пособие / К. Д. Митник – NYC : Wiley Books. 2008 – 273 с.
32. Насакин Р. Ботнет / Р. Насакин // Компьютер. – 2007. – №17. – с. 50-61.
33. Петраков А. В. Основы практической защиты информации : учебное пособие / А. В. Петраков. – 3-е изд. – М.: Радио и связь, 2011. – 368с.
34. Плэтт В. Стретегическая разведка : учебник для вузов / В. Плэтт – М. : МИФИ, 2007. – 310 с.
35. Прокофьев И. В. Введение в теоретические основы компьютерной безопасности : учебное пособие / И. В. Прокофьев – М. : МИФИ, 2008. – 287 с.
36. Серегин А. Введение в компьютерную безопасность / А. Серегин // Умный офис. – 2010. - №4. – с. 67-74.
37. Спивак В. А. Организационное поведение и управление персоналом : учебник для вузов / В. А. Спивак – С.-Пб. : Питер, 2008 – 415 с.
38. Форсиф П. Е. Развитие и обучение персонала : учебник для вузов / П. Е. Форсиф – С.-Пб. : Нева, 2009 – 128 с.
39. Хорошко В. А. Методы и средства защиты информации : учебник для вузов / В. А. Хорошко, А. А. Чекатков; под ред. Ю. Ф. Ковтанюка – К.: Юниор, 2013. – 504с.
40. Хоффман Л. Современные методы защиты информации : учеб.-методич. пособие / Л. Хоффман – М. : СР, 2010. – 269 с.
41. Чалдини Р. Психология влияния : учебник для вузов / Р. Чалдини – С.-Пб. : Питер, 2008 – 298 с.
42. Шейнов В. П. Искусство управлять людьми : учеб.-метод. пособие / В. П. Шейнов – Мн. : Харвест. 2005 – 512 с.
43. Шудрова К. Социальная инженерия в информационной безопасности / К. Шудрова // Директор по безопасности. – 2012. – №10. – с. 13-17.
44. Щекин Г. В. Основы кадрового менеджмента : учебник для вузов / Г. В. Щекин – К. : МАУП, 2010 – 280 с.
45. Яремчук С. А. Защита вашего компьютера : учеб.-метод. пособие / С. А. Яремчук – С.-Пб. : Питер, 2011 – 378 с.
46. Ярочкин В. Г. Безопасность информационных систем : учебник для вузов / В. Г. Ярочкин – М. : МИФИ, 2009. – 198 с.
47. Безмалый В. Как защититься от угроз социального инжиниринга [Электронный ресурс] : #"#">#"#">#"#">#"#">#"#">#"#">#"file:///C:\Temp\msohtml1\01\clip_image016.gif" height="786">
Рисунок В.1 Ответ на просьбу дать информацию
Рисунок В.2 Ответ на просьбу совершения действия