Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Аудит информационной безопасности при помощи социального инжиниринга
Дефтаков В.М.
выпускник группы CISO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ.
Проникновение компьютеров во все сферы современной жизни, а также стремительное развитие сетевых технологий, помимо наличие больших плюсов, повлекли за собой и появление еще большего количества проблем. Одной из таких проблем является необходимость обеспечения защиты информации, которая в последние годы обусловлена ростом правонарушений, связанных с кражами и неправомерным доступом к личным данным и коммерческой информации, хранящимся в памяти информационных систем и передаваемым по линиям связи.
Сегодня преступления в области информационных технологий происходят во всем мире и распространены во многих областях там, где еще присутствует человеческий фактор. Эти преступления характеризуются низким процентом фиксации, сложностью анализа и сбора улик по установленным фактам их совершения, а также сложностью доказательства в суде подобных дел.
- Физическая безопасность – это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены.
- Данные – это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.
- Приложения – программы, запускаемые сотрудниками.
- Компьютеры – это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.
- Внутренняя сеть – это сеть, с помощью которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.
- Периметр сети – это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.
Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ, что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.
Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации.
Другая мера защиты – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.
Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.
Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).
Существует три главных типа атак, направленных на офисные АТС, во время которых:
- просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;
- получают доступ к «свободному» использованию телефона;
- получают доступ к системе коммуникаций.
Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.
Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией.
Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку.
Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка.
Аудит всех процедур — самый ценный инструмент в предотвращении инцидента и последующем его расследовании.
Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.
Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.
Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 1.
Таблица 1 Телефонные нападения
Цели нападения |
Описание |
Направленность |
Запрос информации организации |
Социальный инженер исполняет роль законного пользователя для получения конфиденциальной информации |
Конфиденциальная информация |
Телефонный запрос информации |
Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС |
Ресурсы |
Используя офисную АТС, обратиться к компьютерным системам |
Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией |
|
Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.
Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:
- При звонке, организация, услугами которой вы пользуетесь, обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.
- Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона.
- Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных – это мошенники, и следует прервать разговор.
Электронная почта. Принимаемая информация. Входящие электронные письма могут содержать гиперссылки, которые вынуждают сотрудников к нарушению защиты корпоративной среды. Такой вид мошенничества называется «Фарминг».
Фарминг – это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунках 1 и 2 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 1, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте – «Contoso», но ссылка указывает на организацию по имени «Comtoso».
Рисунок 1 Образец гиперссылки на фишинговый сайт
При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты.
Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам [1, с. 76]. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:
- вложенные файлы;
- гиперссылки;
- запросы личной или корпоративной информации, исходящие изнутри организации;
- запросы личной или корпоративной информации, исходящие из-за пределов организации.
Рисунок 2 Образец фишингового письма
Примерами могут служить электронные письма, которые содержат предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д. Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.
Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.
Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:
- сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;
- обещания огромного денежного приза с минимальными усилиями или вовсе без них;
- запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;
- грамматические, пунктуационные или орфографические ошибки.
Популярные фишинговые схемы:
- мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);
- подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);
- ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО – это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).
Методы борьбы с фишингом, созданные для защиты от фишинга:
- Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.
- Технические методы:
- Использование браузеров, которые предупреждают об угрозе фишинга.
- Создание списка фишинговых сайтов и последующая сверка с ним.
- Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.
- Усложнение процедуры авторизации (например: сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).
- Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).
- Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).
Отправляемая информация. Необходимо выстроить систему, которая будет обеспечивать безопасность пересылки важной информации какому-то незнакомому лично отправителю. Так же необходимо разработать особые процедуры для передачи файлов с важной информацией.
При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения его личности. Также должны быть установлены различные уровни доступа к информации.
Способы, которые следует применить:
- Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).
- Необходимо хранить историю всех транзакций.
- Необходимо утвердить список сотрудников, которые имеют право отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.
- При запросе на информацию в письменном виде (е‑мэйл, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.
Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают подобные сведения (в том числе нельзя переходить по ссылкам в таких сообщениях).
Для контроля электронной почты в организациях следует сделать единый почтовый сервер, которым будут пользоваться все сотрудники организации или филиалов в отдельности.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 2.
Таблица 2 Интерактивные Почтовые нападения
Цели нападения |
Описание |
Направленность |
Воровство информации, которая принадлежит организации |
Социальный инженер играет роль внутреннего пользователя, для получения информации организации |
Конфиденциальная информация |
Воровство финансовой информации |
Социальный инженер использует фишинг, вишинг, фарминг для запроса конфиденциальной информации (например: подробности учетной записи) |
Деньги |
Загрузка вредоносного ПО |
Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации |
Доступность |
Загрузка хакерского ПО |
Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО |
Атака на ресурсы |
Всплывающие приложения и диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера в пределах компьютерной сети, через которую в последующем начинается фишинг-атака или иные почтовые нападения на другие организации или физические лица.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 3.
Таблица 3 Онлайн атака с помощью всплывающих приложений или диалоговых окон
Цели нападения |
Описание |
Направленность |
Воровство персональной информации |
Социальный инженер запрашивает персональную информацию сотрудника |
Конфиденциальная информация |
Загрузка вредоносного ПО |
Социальный инженер обманывает сотрудника с помощью гиперссылки или вложения, инфицирует сети организации |
Доступность |
Загрузка хакерского ПО |
Социальный инженер обманывает пользователя, с помощью гиперссылки или вложения, загружает хакерское ПО |
Атака на ресурсы |
Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом уровне заблокировать всплывающие окна и автоматические загрузки.
Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.
Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются:
- Указание в тексте сообщения ссылки на вредоносную программу.
- Доставка вредоносной программы.
Одной из особенностей служб мгновенного обмена сообщениями является неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет социальному инженеру гораздо легче выдавать себя за другого человека и значительно повышает шансы на успешное проведение атаки. На рисунке 3 показно, как работает имитация при использовании IM.
Рисунок № 3 Имитация при использовании IM
Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает IM-сообщение, исходя из соображений, что получатели примут их за сообщения от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.
При использовании в организации программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований:
- выбрать одну платформу для мгновенного обмена сообщениями;
- определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;
- определить принципы установления новых контактов;
- задать стандарты выбора паролей;
Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:
- Блокирование общих портов брандмауэрами.
- Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;
- Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.
В таблице 4 наглядно указаны цели нападения, описание нападения и направленность нападения с помощью IM.
Таблица 4 Нападения IM передачи сообщений
Цели нападения |
Описание |
Направленность |
Запрос о конфиденциальной информации организации |
Социальный инженер, исполняя роль коллеги, использует IM имитацию, для запроса деловой информации |
Конфиденциальная информация |
Загрузка вредоносного ПО |
Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, инфицирует сеть организации |
Доступность |
Загрузка хакерского ПО |
Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, загружает хакерское ПО |
Атака на ресурсы |
В целом, методы защиты от социального инжиниринга при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты.
Пароли. Все сотрудники, имеющие доступ к информации, должны четко понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.
Сотрудники должны подозрительно относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.
Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор заглавных и строчных букв, различных символов и цифр. А также размер должен быть никак не меньше шести-семи символов.
Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно было взломать и воспользоваться им.
Пароли, которые часто взламывают:
- электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;
- ICQ, особенно короткие номера;
- Skype;
- ВКонтакте.
Пароли, которые легко взломать:
- дата рождения;
- 111, 333, 777 или что вроде этого;
- 12345 или qwerty – буквы клавиатуры идущие подряд;
- простые имена - sergey, vovan, lena;
- русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.
Защищенным паролем является:
- длинный (8-15 символов);
- сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);
- не из словаря, т.е. не слово, и не имя;
- отдельный пароль для каждого отдельного сервиса;
- не связанный с сотрудником (адрес, номер сотового и т.д).
Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем. Остальные пароли можно группировать. Например:
- Простой пароль и логин для регистрации во всех временных и не важных мест;
- Надежный пароль для всех форумов и социальных сетей и т.д.;
Самый сложный и охраняемый пароль должен быть для электронной почты. Связано это с тем, что если получить доступ к электронной почте, то можно получить доступ ко всем местам, где производилась регистрация. Поэтому этот пароль должен быть надежным.
Ни в коем случае нельзя создавать в компьютере папку с паролями, лучше запомнить или записать на бумаге. Если пароли сохранены на бумаге, то необходимо сделать вторую копию и хранить оригинал и копию в недоступном месте, подальше от чужих глаз.
Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.
При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.
Обратный социальный инжиниринг строится на трех факторах:
- создание ситуации, которая вынуждает человека обратиться за помощью;
- реклама своих услуг или опережение оказания помощи другими людьми;
- оказание помощи и воздействие.
Если незнакомый человек оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.
Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в области использования компьютеров.
Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.
Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.
Одна основная часть решения: необходимо назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы.
Личностный подход. Самым простым способом получения информации для социального инженера является просьба. Существует четыре разновидности такого подхода:
- запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);
- убеждение (самые обычные формы убеждения включают лесть);
- использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);
- помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).
Схема с использованием запугивания с ссылкой на авторитет работает особенно хорошо в том случае, когда сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании важного человеческого имени пропадают не только подозрения, но и появляются такие свойства, как внимательность.
Защитой против нападения запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.
Необходимо помнить, что неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.
Защитой от убеждения является строгое следование инструкциям и политикам безопасности.
Нападения «помощи» могут быть сокращены, если имеется эффективная техническая поддержка. Внутренний помощник – часто результат потери доверия к существующим услугам технического отдела организации. Для предотвращения таких атак:
- необходимо закрепить в политике безопасности, что технический отдел – это единственное место, куда нужно сообщать о проблемах;
- следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;
- необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.
Существует два правила, которые позволяют избежать такие типы атак.
- Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.
- Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а так же должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально для тех сотрудников, которым этого мало, можно объяснить, что вся коммерческая информация является собственностью работодателя. Из чего следует, что воровство такой информации можно рассматривать как воровство имущества, что является предметом соответствующей статьи Уголовного кодекса (ст. 159 УК РФ). Кроме того, можно сообщить сотрудникам, что за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав») [8]. Практика показывает, что когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о не разглашении коммерческой тайны организации»).
Так же сотрудникам следует знать несколько правил, которых желательно придерживаться и стараться не откланяться от данного списка. Это даст возможность при попытке манипулирования социальным инженером, заметить и пресечь эти действия.
- Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.
- Споры. Любой спор необходимо избегать – это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.
- Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.
- Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.
- Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.
Информация на бумажных носителях. Необходимо произвести назначение различных категорий информации и определение того, как персонал должен с ними обращаться. Категории должны включать:
- конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
- частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
- ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
- общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).
Предложения по защите от угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.
Анализ мусора. Целенаправленные поиски в мусорном контейнере – общий практикуемый метод для злоумышленников для получения информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 5.
Политика безопасности организации должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания.
Одна из самых эффективных мер при работе с мусором – это спецификация классификации данных. Производится назначение различных категорий информации и определение того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:
- конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
- частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);
- ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);
- общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).
Таблица № 5 Атаки на мусор
Цели нападения |
Описание |
Направленность |
Бумажные отходы во внешних урнах |
Социальный инженер берет бумагу из внешне размещенной урны с мусором для захвата любой уместной информации об организации |
Конфиденциальная информация |
Бумажные отходы во внутренних урнах |
Социальный инженер берет бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты |
Конфиденциальная информация |
Электронные отходы цифровых носителей |
Социальный инженер захватывает информацию и приложения из выброшенных электронных носителей, а также ворует сами носители |
Конфиденциальная информация |
«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять на отдельной изолированной машине все поступающие в организацию непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов и передавать носители в технический отдел для проверки.
В правила технического отдела должны быть включены:
- каждое действие технической поддержки должно быть запланировано;
- подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;
- при проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;
- каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;
- пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.
Пропускной режим. При беспрепятственном передвижении по зданию организации, подвергается опасности частная информация организации. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.
Единственный выход из этой ситуации – это усилить процедуры идентификации.
Менее распространенным, но более эффективным методом социального инжиниринга является личный контакт с сотрудником.
Ситуация, в которой неправомочный человек следует за сотрудником, проходя в организацию, является самым простым примером нападения с использованием социального инжиниринга.
Защищенность от таких угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной политике безопасности организации, учитывающей три области:
- помещения организации;
- дом;
- мобильная работа.
Необходимые действия, при которых будет невозможно физическое нападение с использованием социального инжиниринга в пределах организации:
- идентификация с помощью фотографий на пропусках;
- книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;
- карточка посетителя (бейдж посетителя), которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе;
- книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;
- карточка подрядчика (бейдж подрядчика), которая должна быть видна всегда, пока он находится в здании.
Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных действий социальных инженеров. Охранник обязан следовать следующим правилам:
- пропускать только сотрудников с пропусками;
- посетителей регистрировать в журнале при наличии документа подтверждающего личность;
позволять проходить в помещение только в сопровождении других сотрудников организации (сопровождение должно производиться от самого входа до места назначения и обратно, не позволяя им самостоятельно ходить по организации).
Отступать от этих правил нельзя ни в коем случае.
Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление народа перед охранником, которое может затруднить работу охраны.
Пример расположения поста охраны показан на рисунке 4.
Рисунок 4 Планирование поста охраны
Область поста охраны слева позволяет неправомочному посетителю пройти, используя законного служащего как экран. Пример справа требует, чтобы любой посетитель шел мимо охранника. Позиция компьютерного терминала не закрывает взгляд охранника.
Необходимо, чтобы сотрудники охраны просматривали весь проход и не мешали друг другу, когда они проверяют каждого человека.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 6.
Таблица 6 Физические Нападения
Цели нападения |
Описание |
Цель |
Воровство мобильного идентификатора сотрудника |
Социальный инженер наблюдает за законным пользователем, набирающим имя и пароль для входа в систему. |
Конфиденциальная информация |
Воровство домашнего идентификатора сотрудника |
Социальный инженер изображает сервис-менеджера для получения доступа к домашнему компьютеру и запрашивает пользовательский идентификатор и пароль, для проверки успешности обновления |
Конфиденциальная информация |
Прямой сетевой контакт через домашнюю сеть сотрудника |
Социальный инженер обращается к сети организации через домашнюю сеть сотрудника, изображая сотрудника технического отдела. |
Конфиденциальная информация |
Внешний доступ к домашней сети сотрудника |
Социальный инженер получает доступ к интернету через необеспеченную домашнюю сеть |
Ресурсы |
Несопровождаемый доступ к офису организации |
Социальный инженер получает доступ под видом авторизованного сотрудника организации |
Конфиденциальная информация |
Обращение к человеку в офисе организации |
Социальный инженер обращается к сотруднику для использования компьютерного оборудования или бумажных ресурсов |
Конфиденциальная информация |
Работа технического отдела. Администраторы баз данных и локальных сетей, которые работают с программным обеспечением, располагающие технической информацией, обязаны устанавливать личность человека, который обратился к ним за советом или информацией.
Необходимо сменить учетные данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.
Те же самые действия необходимо произвести и с телефонными коммутаторами.
Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные ей.
Для того чтобы меры по обеспечению безопасности имели смысл – как для администраторов сети, так и для сотрудников, использующих сетевые ресурсы – необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.
Для ознакомления сотрудников с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:
- Политику сетевых соединений.
- Процедуры по устранению последствий вторжения.
- Правила пользования компьютером.
Ознакомление с этими документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже по технике безопасности.
- Политика сетевых соединений. Документы этого типа должны содержать перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности – какие функции операционной системы используются, ответственные лица за утверждение подключения к сети новых устройств. Так же должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора – что разрешено делать, а что запрещено. Отдельно должна составляться политика сетевых подключений для брандмауэров – с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.
При работе сотрудниками через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.
В документации необходимо описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез с описанными процедурами и политиками безопасности и происходящие без ведома ответственных лиц, не допускаются.
При предоставлении сотрудникам права коммутируемого доступа, сотрудники должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа.
Следует запретить сотрудникам работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).
При желании сотрудником получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей просьбы. При просьбе установки программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить персонал технического отдела ее использованию. Ни при каких обстоятельствах нельзя разрешать сотрудникам загружать и устанавливать программы из интернета.
Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям сотрудника. Такие действия называются «прощупыванием» сети и должны рассматриваться как причина для увольнения. Если сотрудник желает знать, где хранятся данные или приложения, то он должен обсудить этот вопрос с руководством или техническим отделом.
- Устранение последствий вторжения. В организации должен быть специальный сотрудник или сотрудники, которые должны отвечать за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, показывает сотрудникам, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.
В документе, который должен содержать описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:
- кража аппаратных средств или программного обеспечения;
- подбор или разглашение пароля;
- недопустимая передача кому-либо носителей информации, в том числе дисков, флеш-драйверов и бумажных носителей;
- совместное использование одной учетной записи либо разглашение имени пользователя и пароля;
- просмотр сети без соответствующих полномочий;
- вмешательство в данные или учетную запись другого сотрудника;
- подозрительное проникновение в сеть извне;
- компьютерные вирусы;
- нарушение физического доступа.
Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными проблемами без заранее написанных инструкций.
- Инструкции по использованию компьютера. В инструкции по использованию компьютера должно быть ясно прописано, что все компьютерные программы должны предоставляться исключительно организацией; использование на компьютере, принадлежащем организации, или в корпоративной сети посторонних программ запрещается. Следует убедиться, что все сотрудники понимают это и что организация таким образом защищена от возможных судебных разбирательств.
Так же, в документации необходимо отметить о запрете копирования пользователями принадлежащее организации программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.
Необходимо обязать сотрудников сообщать о любых подозрительных действиях или неправомочном использовании компьютерных ресурсов. На сотрудников также должна возлагаться ответственность за принятие необходимых мер по защите данных и программ в пределах их полномочий – в частности, они не должны оставлять рабочую станцию, зарегистрированную для работы в сети, без присмотра на длительное время, (для этого следует пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.
Инструкции по использованию компьютера могут включать много нюансов. При ее составлении необходимо учесть следующие моменты:
- недовольство пользователей (в лучшем случае пользователи не станут выполнять слишком строгую инструкцию, которая создает серьезные неудобства, – особенно если им непонятно, насколько эти меры оправданы, в худшем – возможно нарастание скрытой агрессии и открытый конфликт);
- наказания (если правило подразумевает принятие некоторых болезненных мер, то оно всегда должно выполняться с максимальной значительностью и строгостью, в идеале такие меры должны приниматься один раз);
- сотрудники (в любом документе, который содержит инструкции по использованию сети, должно подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично);
- внешние соединения (еще одной областью, которой часто уделяется недостаточно внимания, являются сотрудники, которые приходят в организацию и получают временный доступ к сети. Для сотрудника, который нанят по контракту для выполнения определенных работ, обязательно должны быть разработаны правила использования компьютера – такие сотрудники должны прочесть эти правила и подписью подтвердить факт ознакомления с ними).
В инструкциях так же должно быть сказано, что сотрудник не имеет права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.
Работа отдела кадров. Очень часто, когда речь заходит о безопасности организации, в том числе, когда дело касается социального инжиниринга, нельзя забывать о том, что опасность может быть внутри организации. Связано это с тем, что у сотрудников могут быть свои пороки. Типами сотрудников являются:
- Упрямые сотрудники (они упрямы и уверены, что делают что-либо правильно и это не может подлежать никакому критическому обсуждению).
- Недобросовестные сотрудники (они демонстрируют деловую активность пока за ними наблюдаешь, как только наблюдение прекращается – они перестают работать).
- Расхитители (по данным Национальной Американской Ассоциации от «50 до 70% убытков организации приходится на кражи, которые совершают сотрудники»). К расхитителям можно отнести и тех сотрудников, которые наняты конкурентами.
Согласно статистике, представленной на рисунке 5, «процент честных сотрудников равен 10, 65% готовы нарушить закон в том случае, если они будут уверены в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых обстоятельствах».
Рисунок 6 Статистика честности сотрудников
Отделу кадров рекомендуется наблюдать за сотрудниками на всех стадиях их развития в организации.
Любой сотрудник в организации всегда проходит три стадии развития:
- Устройство на работу.
- Этап работы.
- Увольнение.
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью стандартных психологических тестов. Так же следует определить, не принадлежит ли кандидат на должность к одной из категорий «неудобных сотрудников», классификацию и описание которых приведена ниже.
Нельзя допускать в своей организации существования алкогольно-сексуальных групп (речь идет о стиле поведения людей, входящих в эту группу).
Лояльность сотрудников – это означает, что сотрудник доволен работой в организации, как моральном, так и в материальном плане. Всех сотрудников можно разделить на четыре группы:
- Сотрудники, которые довольны работой в организации, как в моральном, так и в материальном плане.
- Сотрудники, которые довольны работой в организации в моральном плане, но в материальном плане они не получают достойного вознаграждения за свой труд, при этом относятся к этому снисходительно, т.к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут.
- Сотрудники, которые работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги (эта группа является опасной, т.к. такого сотрудника можно подкупить).
- Сотрудники, которые не довольны работой в организации ни в моральном, ни в материальном плане (эта группа сотрудников является самой опасной, т.к. если в организации большинство сотрудников принадлежит именно к этой группе, то такая организация разрушит сама себя.
Нельзя создавать незаменимых сотрудников, связано это с тем, что сотрудник, почувствовавший свою значимость, начинает шантажировать организацию.
Сообщения от сотрудников, о попытках атак. Служба безопасности обязана предоставить сотрудника или группу, которая сформирована, как орган, в который должны поступать все отчеты о подозрительной деятельности, направленной на атаку организации.
Если есть мнение, что сотрудники раскрыли информацию об организации, необходимо сообщить об этом надлежащим сотрудникам организации: в службу безопасности и/или системным администраторам. Их же можно предупреждать о любой подозрительной или необычной активности.
Если существует подозрение, что были скомпрометированы сведения финансового характера, следует незамедлительно поставить в известность финансовую организацию и заблокировать соответствующие счета. Следует обращать внимание на любые неясные расходные операции по своим счетам.
Необходимо сообщать об инциденте в правоохранительные органы.
Сотрудник должен составить протокол, который описывает попытку атаки, с содержанием следующей информации:
- название;
- отдел;
- цель нападения;
- эффект нападения;
- рекомендации;
- дата;
- подпись.
Все сотрудники должны немедленно сообщать обо всех запросах, которые были сделаны при необычных обстоятельствах.
Также должны сообщать обо всех неудачных попытках установить личность запрашивающего.
Проводя протоколирование попыток атаки, можно идентифицировать их в дальнейшем. Необходимо помнить, что только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем.
Советы по улучшению. Необходимо использовать яркие заставки, которые будут появляться при включении компьютеров у сотрудников, и каждый раз содержать новый совет по безопасности. Сообщение должно быть построено таким образом, чтобы оно не исчезало автоматически, а требовало от сотрудника нажатия на определенную кнопку.
Следует производить постоянные напоминания о безопасности. Для этого можно использовать внутреннюю еженедельную рассылку. Сообщения должны иметь каждый раз разное содержание.
Так же следует использовать короткие аннотации. Необходимо делать несколько маленьких колонок, как маленький экран в собственной газете. В каждой аннотации следует представлять очередное напоминание в коротком и хорошо запоминающемся виде.
Но так же сотрудники должны понимать, что нарушение политик безопасности и установленных процедур и халатность наказуемы.