|
||||
|
Глава 15: Знание об информационной безопасности и тренировки Перевод: sly (http://slyworks.net.ru ) icq:239940067 Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза. Что остановит его? Ваш файервол? Нет. Мощная система идентификации? Нет. Система обнаружения вторжений? Нет. Шифрование данных? Нет. Ограничение доступа к номерам дозвона модемов? Нет. Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет. Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера. Обеспечение безопасности с помощью технологии, тренировки и процедуры Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников. Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании. Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку. Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики – это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации. Эта и следующая главы показывают безопасный шаблон (blueprint – синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well– thought —out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабочих. Понимание того, как атакующий может воспользоваться человеческой природой Для того, чтобы разработать действенную программу обучения, Вы должны понять, почему люди в первую очередь уязвимы для атак. Для выделения этих тенденций в вашей программе, например, обратить на них внимание благодаря дискуссии – этим Вы поможете сотрудникам понять, как социальный инженер может манипулировать людьми. Манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать. Авторитетность Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть или право задавать этот вопрос. В своей книге «Влияние» Dr. Cialdini написал об обучении в 3 госпиталях Мидвестерна, в которых аппараты 22 медсестер соединялись с человеком, который выдавал себя за физиотерапевта, инструктируя административный персонал на выписку рецепта препарата (наркотика?) пациенту. Медсестры, которые получили это указание, не знали звонившего. Они не знали, действительно ли он доктор (а он им не был). Они получали инструкции для выписки рецепта по телефону, что нарушает политику безопасности госпиталя. Препарат, который указывался, не разрешен к применению, а его доза составляла в 2 раза большую, чем допустимая суточная норма – все это может опасно отразиться на состоянии здоровья пациента или даже убить его. Более чем в 95% случаев Cialdini сообщает, что «медсестра брала необходимую дозу из палаты с медикаментами и уже была на пути к палате указанного пациента», где перехватывалась наблюдателем, который сообщал ей об эксперименте. Примеры атак: Социнженер пытается выдать себя за авторитетное лицо из IT департамента или должностное лицо, выполняющее задание компании. Умение расположить к себе Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Примеры атак: В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность. Взаимность Мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Когда кто-то делает что-то для нас, мы чувствуем желание отплатить. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность (расположить к себе, а, следовательно, получить информацию) – преподнести неявно обязывающий подарок. Поклонники религиозного культа Хари Кришны очень опытны в умении получать влияние над человеком путем преподнесения подарка – книги или цветка. Если человек пробует вернуть, отказаться от подарка, дарящий мягко настаивает: «Это наш подарок Вам». Этот основной принцип взаимности использовался Кришнами для постоянного увеличения пожертвований. Примеры атак: Сотрудник получает звонок от человека, который называет себя сотрудником IT департамента. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он хочет отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов… Ответственность Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность. Примеры атак: Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это – основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой прароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению. Социальная принадлежность к авторизованным Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так». Примеры атак: Звонящий говорит, что он проверяющий и называет имена других людей из департамента, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат работникам департамента. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва. Ограниченное количество «бесплатного сыра» Еще одна из потенциально опасных для безопасностии информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент. Примеры атак: Атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на примьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося. Создание тренировочных и образовательных программ Выпуская брошюру политик информационной безопасности или направляя рабочих на Интранет-страницу с этими правилами, но которая не содержит простого разъяснения деталей, вы уменьшаете риск. Каждый бизнес должен не только иметь прописные правила, но и побуждать (заставлять) старательно изучить и следовать этим правилам всех , кто работает с корпоративной информацией или компьютерной системой. Более того, вы должны убедиться, что все понимают причину принятия того или иного положения этих правил, поэтому они не попытаются обойти эти правила ради материальной выгоды. Иначе незнание всегда будет отговоркой рабочих и совершенно точно, что социальный инженер воспользуется этим незнанием. Главная цель любой обучающей программы состоит в том, чтобы заставить людей сменить их поведение и отношение, мотивировать их желание защитить и сохранить свою часть информации организации. Хорошим мотивом тут будет демонстрация того, как за их участие будет вознаграждена не сама компания, а конкретные сотрудники. Начиная с того момента, когда компания начнет сохранять определенную персональную информацию о каждом работнике, а рабочие будут выполнять свою часть по защите информации и информационных сетей, то и эта персональная информация будет также надежно сокрыта. Программа тренировки безопасности требует прочной поддержки. Для тренировочных занятий нужно, чтобы каждый, кто имеет доступ к важной информации или компьютерной информационной системе, не должен быть пассивен, должен постоянно исправляться, совершенствоваться, «натаскивая» персонал на новые угрозы и уязвимости. Это обязательство должно быть реальным делом, а не пустой отговоркой «ну и Бог с ним». А также программа должна быть подкреплена достаточными ресурсами для разработки, взаимодействия, тестирования – вот чем определяется успех. Цели Основным направлением, которого следует придерживаться при разработке программы по тренингу и защите информации, является фокусировка на мысли, что они могут подвергнуться нападению в любое время. Они должны заучить свою роль в защите от любой попытки проникновения в компьютерную систему или кражи важных данных. Так как многие аспекты информационной безопасности являются «вовлекающей» технологией, то сотрудникам легко представить, что проблема обнаружится файерволом или другими средствами защиты. Главная цель здесь – заставить находящихся на ответственных местах сотрудников осознать, как усилить информационную «броню» организации. Тренинг по безопасности должен быть более важной целью, чем простые правила для ознакомления. Создатель тренинга должен признать сильное желание части сотрудников, которые под давлением желания окончить работу не обратят внимание или проигнорируют обязанности по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения безусловно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации работников использовать эти знания. Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, что защита информации – часть их работы. Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной корпоративной информации может угрожать не только компании, но персонально каждому из них, их работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчиненных. Учреждение обучающего тренинга Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специфических требований для отдельных групп сотрудников, участвующих в делопроизводстве. В то время как описанные в главе 16 политики безопасности применимы ко всем без исключения работникам, другие уникальны. По минимуму, большинство компаний должно иметь в своем арсенале тренинги для следующих групп персонала: менеджеры, IT-сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, техники связи, охранники. (Смотри деление полиции по роду занятий в главе 16.) Начнем с персонала отдела технической безопасности: удивительно надеяться на неопытность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам кажется, входить в контакт с другими компьютерами компании и экспериментировать – обычно это упускается из внимания при подготовке программы этого типа. Также социнженер может убедить охрану или другого работника впустить его в здание, или офис, или предоставить доступ, результатом которого станет компьютерное проникновение. Проще говоря – взлом. Пока охранники конечно не нуждаются в прохождении полного курса тренировочной программы, которая необходима персоналу, непосредственно работающему с компьютерами, но и они недолжны быть забыты. В корпоративном мире существует несколько положений о том, чему должны быть обучены все сотрудники. Они одновременно и важны, и скучны, что присуще безопасности. Действительно хорошая программа по повышению информационной безопасности должна как информировать, так и захватывать внимание, рождать энтузиазм у обучающихся. Целью должна стать увлекательная, интерактивная программа. Технические приемы обучения должны включать демонстрацию социнженерии с помощью игры по ролям; обзорные медиа-отчеты о последних атаках на других менее удачливых конкурентов и обсуждения путей предотвращения потери информации; просмотр специальных видео-материалов по безопасности, которые непосредственно вводят в курс и обучают одновременно. Такие материалы всегда можно найти в компаниях, занимающихся обеспечением информационной безопасности. Заметка: Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании, предоставляющие данную услугу. Их можно найти на одной из выставочных площадок, например на http://www.secureworldexpo.com . Истории в этой книге представляют собой огромное количество материала для объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дискуссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку. Грамотные разработчики и преподаватели данных тренингов найдут множество трудностей, но также множество возможностей оживить учебный процесс, заставить окружающих стать его частью. Структура тренинга В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допускать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы информационной безопасности. Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе оповещений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда людям сложно усвоить такое количество материла. Особое значение первого занятия будет в выражении особой роли гармонии, которая будет царить в компании, пока все руководствуются данной программой. Более важным, нежели обучающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответственность за безопасность. В ситуациях, когда некоторые работники не могут посещать общие занятия, компания должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы. После короткого вводного занятия остальные более длинные уроки должны быть спланированы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно к ним соответственно занимаемым местам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь материал программы должен постоянно обновляться. Более того, осведомленность и бдительность людей со временем ослабляется, поэтому тренинги должны повторяться через определенные промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик безопасности и мотивация следовать им, чем демонстрация специфических угроз и методов социнженерии. Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении с положениями новых сотрудников – они должны иметь достаточно свободного времени, чтобы освоиться со своими рабочими обязанностями. Сотрудники, получающие повышение с доступом к важной информации несомненно должны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК становится системным администратором, или секретарь переходит на должность ассистента администратора – тренинг необходим. Содержание тренировочной программы В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется верой в то, что атакующий – сотрудник или вышестоящий чиновник, авторизованный для получения важной информации, или человек, который вправе инструктировать жертву по работе с компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва просто делает 2 шага: Идентификация личности делающего запрос: действительно ли он тот, за кого себя выдает? Авторизован ли этот человек: знает ли он необходимую дополнительную информацию и соответствует ли его уровень доступа сделанному запросу? Заметка: Так как одних тренировок недостаточно, используйте технологии безопасности, где только возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Например, когда операционная система настроена на предотвращение закачек программ из Интернета, или когда выбирается короткий, легко отгадываемый пароль. Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает. Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать: Описание того, как атакующий использует навыки социнженерии для обмана людей. Описание методов, используемых социнженером для достижения цели. Как предупреждать возможные атаки с использованием социальной инженерии. Процедуру обработки подозрительных запросов. Куда сообщать о попытках или удачных атаках. Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или важностью. Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей проверки, даже если первым побуждением будет сразу дать ответ. Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для получения информации или выполнения какого-либо действия с вашей стороны (см. «Процедуры проверки и авторизации», гл. 16, для способов проверки личности). Процедуры защиты важной информации, включая любые данные для о системе ее хранения. Положение политик и процедур безопасности компании и их важность в защите информации и корпоративной информационной системы. Аннотация ключевых политик безопасности и их назначение. Например, каждый работник должен быть проинструктирован, как выбирать сложные для подбора взломщиком пароли. Обязанности каждого работника следовать политикам и важность «несговорчивости». Социальная инженерия по определению включает в себя некоторые виды человеческого взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности должна включать в себя: Политики безопасности для паролей компьютеров и голосовой почты. Процедуры предоставления важной информации и материалов. Политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов». Ношение бейджей как метод физической защиты. Специальные меры в отношении людей, не носящих визиток-бейджей. Практику использования голосовой почты наиболее безопасным образом. Классификацию информации и меры для защиты особенно важной. Установление оптимального уровня защиты для важных документов и медиа-данных, которые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информацию, т.е. архивы. Также, если компания планирует использовать тестирование с инсценированным проникновением, чтобы проверить свои сильные и слабые места во время атак с использованием социнженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым иным способом, используемым атакующим, который является частью теста. Используйте результаты этого теста не для паники, а для усиления слабых мест в защите. Детали каждого из этих пунктов будут рассмотрены в главе 16. Тестирование Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите. Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих. На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений – поступить, как просят, или как установлено политикой безопасности. Поддержание бдительности Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно. Один из методов сохранять безопасность основой мышления работника заключается в том, чтобы сделать информационную безопасность своеобразной работой, обязанностью каждого на производстве. Это ободряет сотрудника, потому что он чувствует себя одной из частей слаженного механизма безопасности компании. С другой стороны здесь существует сильная тенденция «безопасность – не моя работа, мне за нее не платят». Если основная ответственность за информационную программу безопасности, обычно лежит на сотруднике отдела безопасности или отдела информационных технологий, то разработку такой системы лучше вести совместно со специальным отделом проведения тренинга. Программа по поддержанию бдительности должна быть как можно более интерактивной и использовать любые доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о хороших привычках безопасности. Методы должны использовать все доступные традиционные каналы + особенные способы, которые разработчики программ только смогут придумать. К примеру, реклама, юмор и вредные советы – традиционные способы. Использование различных слов и написаний одних и тех же сообщений-напоминаний предохраняет их от назойливости и последующего игнорирования. Список возможных действий для выполнения этой программы может включать: Предоставление копий этой книги всем сотрудникам. Информационные статьи, рассылки, напоминания, календари и даже комиксы. Публикацию наиболее надежного работника месяца. Специальные плакаты в рабочих помещениях. Доски объявлений. Печатные вкладыши в конвертах с зарплатой. Рассылки с напоминаниями по электронной почте. Хранители экрана и экранные заставки с напоминаниями. Вещание напоминаний через голосовую почту. Специальные наклейки на телефонах. Например: «Звонящий действительно тот, за кого себя выдает?» Системные сообщения в компьютерной сети. Пример: при входе в систему под своим логином пользователь видит сообщение: «Если Вы пересылаете конфиденциальную информация по Email, не забудьте зашифровать ее!» Постановку вопроса безопасности одним из постоянных на собраниях, пятиминутках и т.д. Использование локальной сети для напоминаний в картинках, анекдотах и в виде любой другой информации, которая сможет заинтересовать пользователя и прочитать текст. Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности. Распространение буклетов и брошюр. Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем. Вывод: напоминания должны быть своевременными и постоянными. «Зачем мне все это?» Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании. Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться. Краткое описание безопасности в организации Перевод: Daughter of the Night (admin@mitnick.com.ru) Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности. Определение атаки Эти таблицы помогут вам обнаружить атаку социального инженера. Действие ОПИСАНИЕ Исследование Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки. Создание взаимопонимания и доверия Использование внутренней информации, выдача себя за другую личность, называние имен людей, знакомых жертве, просьба о помощи, или начальство. Эксплуатация доверия Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь. Применение информации Если полученная информация – лишь шаг к финальной цепи, атакующий возвращается к более ранним этапам, пока цель не будет достигнута. Типичные методы действий социальных инженеров Представляться другом-сотрудником Представляться сотрудником поставщика, партнерской компании, представителем закона Представляться кем-либо из руководства Представляться новым сотрудником, просящим о помощи Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч. Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи Отправлять бесплатное ПО или патч жертве для установки Отправлять вирус или троянского коня в качестве приложения к письму Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль Записывание вводимых жертвой клавиш компьютером или программой Оставлять диск или дискету на столе у жертвы с вредоносным ПО Использование внутреннего сленга и терминологии для возникновения доверия Предлагать приз за регистрацию на сайте с именем пользователя и паролем Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании Просить секретаршу принять, а потом отослать факс Просить отослать документ в место, которое кажущееся локальным Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий – их сотрудник Притворяться, что он из удаленного офиса и просит локального доступа к почте. Предупреждающие знаки атаки Отказ назвать номер Необычная просьба Утверждение, что звонящий – руководитель Срочность Угроза негативными последствиями в случае невыполнения Испытывает дискомфорт при опросе Называет знакомые имена Делает комплименты Флиртует Типичные цели атакующих ТИП ЖЕРТВЫ ПРИМЕРЫ Незнающая о ценности информации Секретари, телефонистки, помощники администрации, охрана. Имеющая особенные привилегии Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем. Поставщик/ Изготовитель Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты. Особый отдел Бухгалтерия, отдел кадров. Факторы, делающие компанию более уязвимой к атакам Большое количество работников Множество филиалов Информация о местонахождении сотрудников на автоответчике Информация о внутренних телефонах общедоступна Поверхностное обучение правилам безопасности Отсутствие системы классификации информации Отсутствие системы сообщения об инцидентах Проверка и классификация информации Эти таблицы и списки помогут вам ответить на просьбы или действия, которые могут быть атакой социального инженера. Подтверждение личности ДЕЙСТВИЕ ОПИСАНИЕ Идентификационный номер звонящего Убедитесь, что звонок– внутренний, и название отдела соответствует личности звонящего. Перезвонить Найдите просящего в списках компании и перезвоните в указанный отдел. Подтвердить Попросите доверенного сотрудника подтвердить личность просящего. Общий секрет Спросите известный только в фирме секрет, к примеру пароль или ежедневный код. Руководитель или менеджер Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность. Безопасная почта Попросите отправить сообщение с цифровой подписью. Узнавание голоса Если звонящий знаком, убедитесь, что это его голос. Меняющиеся пароли Спросите динамический пароль вроде Secure ID, или другое аутентификационное средство. Лично Попросить звонящего прийти с удостоверением личности. Проверка, работает ли еще сотрудник ДЕЙСТВИЕ ОПИСАНИЕ Проверка в списке сотрудников Проверьте, что сотрудник находится в списке. Менеджер просителя Позвонить менеджеру просителя используя телефон, указанный в базе данных компании. Отдел или группа просителя Позвонить в отдел просителя и узнать, работает ли он еще там. Процедура, позволяющая узнать, может ли просителя получить информацию ДЕЙСТВИЕ ОПИСАНИЕ Смотреть список должностей / отделов / обязанностей Проверить списки, где сказано, каким сотрудникам разрешено получать подобную информацию. Получить разрешение от менеджера Связаться со своим менеджером или менеджером звонящего для получения разрешения выполнить просьбу. Получить разрешение от владельца информации или разработчика Спросить владельца информации, надо ли звонящему это знать. Получить разрешение от автоматического устройства Проверить базу данных уполномоченного персонала. Критерии подтверждения личности людей, не являющихся сотрудниками КРИТЕРИИ ДЕЙСТВИЕ Связь Убедитесь, что у фирмы просителя есть поставщики, партнеры или другие соответствующие связи. Личность Проверьте личность и статус занятости звонящего в его фирме. Неразглашение Убедитесь, что просителя подписал договор о неразглашении тайн. Доступ Передайте просьбу руководству, если информация классифицирована секретней, чем «Внутренняя». Классификация информации КЛАССИФИКАЦИЯ ОПИСАНИЕ ПРОДЕДУРА Публичная Может быть свободно доступна для общественного пользования. Не требует подтверждения личности Внутренняя Для использования внутри компании Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками. Личная Информация личного характера, предназначенная для использования только внутри организации. Проверьте, является ли просителя сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям, не являющихся сотрудниками. Конфиденциальная Известна только людям, которым необходимо это знать внутри организации. Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением менеджера, владельца или создателя. Убедитесь, что просителя подписал договор о неразглашении тайн. Только менеджеры могут сообщать что-либо людям, не работающим в фирме. |
|
||
Главная | Контакты | Нашёл ошибку | Прислать материал | Добавить в избранное |
||||
|