Как защищать сотрудников от угроз социальной инженерии

23 июля, 2014 IT-Security Нет комментарев

Для кого предназначена данная статья

Эта статья описывает угрозы, исходящие от атак социальной инженерии и методы защиты от хакеров, использующих приемы социальной инженерии. Социальная инженерия описывает прежде всего нетехнические угрозы безопасности компании. Широкий характер этих потенциальных угроз требует обеспечивать информацию об угрозах и потенциальной защищенности управленческого и технического штата в компании, включая:

  • Ведущих менеджеров (Правление компании);
  • Технический и сервисный персонал;
  • Служба поддержки;
  • Служба безопасности;
  • Бизнес-менеджеры.

Краткий обзор

Чтобы атаковать вашу организацию, хакеры, использующие социальную инженерию, эксплуатируют доверчивость, лень, хорошие манеры, энтузиазм вашего персонала. Поэтому трудно защититься против проектируемого нападения, ведь адресаты не могут понять, что они были обмануты, или могут предпочесть не признавать этого. Цели хакеров, использующих социальную инженерию, подобны целям любого другого хакера: они хотят получить деньги вашей компании, информацию или IT-ресурсы.

Эта статья предполагает, что в вашей организации уже создана политика безопасности, которая излагает цели, действия и процедуры для защиты информационных активов компании, ресурсы и штат против технологического или физического нападения, либо вы собираетесь ее создавать. Изменения в вашей политике безопасности помогут обеспечивать сотрудников руководством о том, как реагировать на столкновение с человеком или компьютерным приложением, которое пытается принуждать (убеждать) их подвергать опасности деловые ресурсы либо раскрывать информацию о безопасности.

Угрозы социальной инженерии и защищенность

Есть пять главных векторов нападения, которые используются при проведении атак с помощью социальной инженерии:

  • Он-лайн (интерактивно);
  • Телефон;
  • Анализ мусора;
  • Личные подходы;
  • Реверсивная социальная инженерия.

Однако кроме этого, вы также должны знать цели нападения, понимать, что хакер надеется получить. Его цели основаны на тех же потребностях, которые управляют всеми нами: деньги, социальное продвижение и самоутверждение.

Сетевые (он-лайн) угрозы

В нашем все более и более связанном деловом мире, персонал часто использует информацию и отвечает на запросы, которые получает с помощью электроники изнутри и снаружи компании. Такое обеспечение связи дает возможность хакерам подойти к вашему персоналу, используя относительную анонимность Internet.

Угрозы электронной почты (e-mail)

Использование электронной почты как инструмента социальной инженерии стало обычным за прошлое десятилетие. Много сотрудников получают десятки или сотни электронных писем каждый день, и от деловых и от частных корреспондентов. Объем электронной почты может мешать уделять тщательное внимание к каждому сообщению.

Phishing — это использование электронной почты для получения персональной информации от пользователя. Хакеры послают почтовые сообщения, которые, кажется, исходят из правильных организаций — банков или компаний партнеров.

Каждое phishing-письмо маскируется под запрос о пользовательской информации, который якобы должен облегчить пользователю установить обновление или обеспечить дополнительное обслуживание.

Новый вид phishing-атак — spear-phishing. Это узконаправленные координированные атаки на организацию или конкретного пользователя с целью получения критически важных данных. В данном случае хакер осуществляет более правдоподобный обман, максимально приближаясь к целевой группе и используя для маскировки внутреннюю информацию компании  Этот подход намного более сложен, потому что в данном случае хакеру необходима внутренняя информация компании.

Чтобы более эффективно сопротивляться хакерским нападениям, использующим социальную инженерию надо относиться со скептицизмом к чему-либо неожиданному в вашем почтовом ящике.

В дополнение к этим рекомендациям, Вы должны включить примеры нападений phishing. После того, как пользователи распознают одно надувательство phishing, они поймут, что это намного проще, чем казалось, и начнут обращать внимание на другие.

Всплывающие приложения и диалоговые окна

Нереалистично думать, что персонал использует доступ компании к Internet только для служебных нужд. Эти действия персонала могут принести служащим опасность контакта с хакерами, использующими социальную инженерию. Хотя хакеры могут не иметь целью нападения именно вашу компании, они могут использовать ваш персонал для получения доступа к вашим ресурсам.

Два самых обычных метода соблазнить пользователя щелкнуть кнопкой в диалоговом окне — это прислать пользователю предупреждение о проблеме, которое выглядит как отображение реалистической операционной системы или прикладного сообщения об ошибках; или предложение дополнительных услуг, например, бесплатная загрузка, которая якобы заставит компьютер пользователя работать быстрее.

Защита пользователей от всплывающих приложений, использующих социальную инженерию — главным образом функция понимания. Нужно удостовериться в том, что пользователи знают, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с персоналом поддержки. Поэтому ваш персонал должен быть уверен, что штат поддержки не будет поверхностно относиться к просьбам пользователей о помощи, если пользователь просматривает Internet. Эти доверительные отношения можно предусмотреть вашей политикой безопасности по работе в Internet.

Instant Messaging

Мгновенная передача сообщений (IM) — относительно новая среда связи, но она уже успела получить широкую популярность как деловой инструмент. Непосредственность и дружелюбный интерфейс IM делают богатым охотничьим угодьем для нападений, использующих социальную инженерию, потому что пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Две главные атаки, которые можно воспроизвести, используя IM — гиперссылки на malware в пределах IM-сообщения и рассылка фактических файлов. Есть множество потенциальных угроз, свойственных IM при атаке с помощью социальной инженерии. Первый — непринужденность IM. Болтливая природа IM, вместе с опцией предоставления прозвища или ложного имени означает, что не ясно, с кем вы говорите, это весьма расширяет возможности для атаки.

Если Вы стремитесь использовать удобство IM, вы должны включить IM-безопасность в вашу политику безопасности. Для управления IM в пределах вашей компании, Вы должны установить следующие пять правил использования:

  • Необходимо ввести стандарт на единственную IM платформу.
  • Определите параметры настройки безопасности развертывания.
  • Рекомендуйте, чтобы пользователи не использовали настройки по умолчанию.
  • Установите стандарты пароля.
  • Обеспечьте руководство по использованию.

 Угрозы при использовании телефонной связи

Телефон предлагает уникальный способ нападения для хакеров. Это — знакомая среда, однако она также обезличивает звонящего, потому что адресат не может видеть хакера.

Есть три главных типа атак хакеров, нападающих на офисные АТС, во время которых они:

  • Просят информацию, обычно имитируя законного пользователя, чтобы или обратиться к телефонной системе непосредственно или получить удаленный доступ к компьютерным системам.
  • Получают доступ к «свободному» использованию телефона.
  • Получают доступ к системе коммуникаций.

Запросы об информации или доступе по телефону — относительно свободная от риска форма нападения. Если адресат становится подозрительным или отказывается исполнять запрос, хакер может просто положить трубку. Но такие нападения более сложны, чем атака хакера, просто звонящего в компанию и просящего о пользовательском идентификаторе и пароле. Хакер обычно представляет сценарий, прося или предлагая справку, прежде чем почти машинально происходит запрос о личной или деловой информации.

Служба поддержки

Служба IT-поддержки или справочная служба — является одним из средств защиты против атак хакеров, но, вместе с тем это адресат для хакеров, использующих социальную инженерию. Хотя штат службы поддержки часто знает об угрозе взлома, они также обучаются, чтобы помочь и поддерживать пользователей, предлагая им советы и решая их проблемы. Иногда энтузиазм, демонстрируемый штатом технической поддержки в обеспечении решения, заставляет забыть их о своих обязанностях по выполнению процедур безопасности. Если службе поддержки предписывают строгие стандарты безопасности, прося о доказательствах, которые могут проверить правильность запроса пользователя, то появляются бесполезные помехи в работе.

Служба поддержки должна балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Труднее защитить аналитика службы поддержки против внутреннего взлома. У внутреннего хакера будет хорошее практическое знание внутренних процедур и у него будет время, чтобы удостовериться, что эти знания обеспечивают всю требуемую информацию, перед тем, как сделать сервисный запрос. Процедуры защиты должны обеспечить двойную роль в этой ситуации:

  • аналитик службы поддержки должен иметь гарантии аудита всех действий.
  • аналитик службы поддержки должен иметь хорошо структурированную процедуру действий обработки запросов пользователей.

Если пользователи знают об этих правилах, и руководство поддерживает их выполнение, то выполнение таких правил намного затруднит действия хакеров, особенно в том, чтобы реализовать атаку и оставаться необнаруженным. Создание лог-журналов (аудит всех процедур) — самый ценный инструмент в предотвращении и открытии инцидента.

Анализ мусора

Незаконный анализ мусора — ценная деятельность для хакеров. Деловые бумажные отходы могут содержать информацию, которая имеет непосредственную выгоду для хакера (например номера счетов и пользовательских идентификаторов) или могут служить основной информацией, например, телефонный справочник организации или списки сотрудников. Этот тип информации неоценим для хакера, использующего социальную инженерию, потому что это поможет ему казаться вероятным сотрудником компании при атаке.

Еще более полезны электронные носители. Если в компании нет правил управления отходами, которые включают избавление от неисправных использованых носителей, то можно найти все виды информации на выброшенных жестких дисках, компакт-дисках, и прочих цифровых носителях. В этом случае политика безопасности компании должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания. Атаку на мусор нельзя считать правонарушением, так что вы должны гарантировать, что вы сообщаете персоналу, как иметь дело с ненужными материалами.

В дополнение к управлению внешними отходами — бумажными или электронными носителями, которые могут быть доступны вне компании — вы должны также управлять внутренними отходами.

Одна из самых эффективных мер в при работе с мусором — спецификация классификации данных. Вы назначаете различные категории информации и определяете, как персонал должен с ними обращаться. Категории, например, могли бы включить:

  • Конфиденциальная информация. Необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги (шредерах).
  • Частный. Необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги (шредерах).
  • Ведомственный. Необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги (шредерах) перед выбрасыванием в общедоступные урны.
  • Публичные (общедоступные). Избавьтесь от общественных документов в любой урне или используйте их в повторном цикле как черновики.

Личностные подходы

Для хакера самый простой и самый дешевый путь получения информации — это попросить об этом непосредственно. Этот подход может казаться грубым и очевидным, но это основа мошенничества с незапамятных времен. Существует четыре разновидности такого подхода:

  • Запугивание.
  • Убеждение.
  • Использование доверительных отношений.
  • Помощь.

Несомненное доверие — одна из целей хакера. Защита против нападения запугивания — развитие культуры “отсутствия страха из-за ошибки” в пределах организации. Если нормальное поведение — вежливость, то успех запугивания уменьшается.

Убеждение всегда было важным человеческим методом достигнуть личных целей. Созданная вами атмосферапонимания в компании и политика паролей — ваша лучшая защита.

Если хакер, использующий социальную инженерию, получает постоянную работу в пределах вашей компании, то лучшая защита — понимание вашего персонала и их приверженность правилам политики безопасности.

Наконец, нападения «помощи» могут быть сокращены, если вы имеете эффективную сервисную поддержку. Внутренний помощник — часто результат потери доверия к существующим услугам службы поддержки компании. Вы должны предусмотреть что штат входит в контакт с сервисной службой, а не неправомочным внутренним экспертом — или хуже, экспертом, не принадлежащим к компании. Для этого:

  • Определите в вашей политике безопасности, что служба поддержки — единственное место, куда пользователи должны сообщать о проблемах.
  • Гарантируйте, что служба поддержки имеет согласованный процесс ответа в пределах установленного уровня обслуживания.
  • Проверяйте выполнение сервисных работ регулярно, чтобы удостовериться, что пользователи получают подходящий уровень ответов и решений.

Вы не должны недооценивать важность службы поддержки в обеспечении защиты первого уровня против нападений социальной инженерии.

Физические Подходы

Менее распространенный, но более эффективный для хакера подход является прямым, личным контактом с адресатом. Только самый подозрительный служащий будет сомневаться относительно законности кого-то, кто представляется и просит или предлагает помощь компьютерной системы.

Хотя эти подходы имеют намного большие риски для преступника, преимущества очевидны.  Рост в использовании мобильных технологий, которые дают возможность пользователям присоединиться к корпоративным сетям, в то время как они находятся в дороге или дома, являются другой главной угрозой IT-ресурсам компании. Возможные нападения включают как самые простейшие нападения, так и более сложные.

Хотя основная часть больших компаний разработала инфраструктуры защиты сайта, однако, офисы среднего размера могут быть слабее осведомлены о правилах контроля посетителей офиса. Ситуация, в которой неправомочный человек следует за кем-то, проходя в офис, является очень простым примером нападения с использованием социальной инженерии.

Защищенность против этих угроз по существу зависит от выполнения пользователями действий, основанных на эффективной политике безопасности компании, которая должна учитывать следующие три области:

  • Сайт компании;
  • Дом;
  • Мобильная работа.

Правила должны предусматривать невозможность прохода в здание компании без надлежащего разрешения. Несколько простых условий в пределах политики безопасности компании сделают почти невозможным физическое нападение с использованием социальной инженерии в пределах здания. Эти условия могут включить:

  • Идентификацию с помощью фотографий на пропусках, которые необходимо показывать всякий раз, когда сотрудник входит или покидает здание.
  • Книгу посетителей, в которой расписывается посетитель и сотрудник, которого он посещает и по прибытию и по отъезду.
  • Карточку посетителя, которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе.

Услуги IT должны включать правила, предусматривающие следующие условия:

  • Каждое действие технической поддержки должно быть запланировано и уполномочено службой поддержки.
  • Подрядчики и внутренний персонал, которые совершают локальное обслуживание или инсталляцию должны иметь документы, идентифицирующие личность, предпочтительно включающие фотографию.
  • Пользователь должен войти в контакт с IT-отделом поддержки, чтобы сказать им, когда прибывает инженер и когда он закончил работу.
  • Каждая работа имеет наряд на работу, подписываемый пользователем.
  • Пользователь никогда не должен обращаться к информации или регистрации на компьютере, чтобы обеспечить доступ инженера.

Последний пункт является критическим. Это необходимо для группы IT-услуг, чтобы удостовериться, что любой инженер вне организации имеет достаточные личные права доступа, чтобы выполнять работу. Если инженер не имеет достаточных прав доступа, чтобы завершить задачу, он должен войти в контакт с сервисной службой. Это требование является основным, потому что непритязательный сервисный инженер для компании вычислительных центров — одна из самых выгодных вакансий, которую может найти предполагаемый хакер. Это делает хакера и обладателем полномочий и помощником в то же самое время.

Мобильные работники будут часто использовать свои компьютеры в переполненной людьми среде: в транспорте, в аэропортах, ресторанах.

Если сотрудники используют PDA, Вы должны включить в политику безопасности требования по их использованию.

Реверсивная социальная инженерия

Реверсивная социальная инженерия описывает ситуацию, в которой адресат или адресаты делают начальный подход и предлагают хакеру информацию, которую они хотят продать. Такой сценарий может казаться маловероятным, но пользователи, обладающие соответствующими техническими или социальными полномочиями, часто получают личную информацию других пользователей (пользовательские идентификаторы и пароли), поэтому они могут попасть под подозрение.

Защита от реверсивной социальной разработки, вероятно, самая трудная. Адресат не имеет никакой причины подозревать хакера, так как считает, что они находятся в одной команде. Главная защита — соглашение в вашей политике защиты, что все проблемы должны быть решены через сервисную службу. Если сотрудники службы поддержки эффективны, вежливы, и не субъективны, другие служащие будут доверять им, а не будут искать помощь у посторонних людей.

Осуществление защиты от атак социальной инженерии

После того, как вы создали политику безопасности, вы должны делать ее доступной персоналу и сделать так, чтобы они исполняли ее. Хотя вы можете осуществить технический контроль без знания ваших служащих, вы должны заручиться их поддержкой, если хотите осуществить защиту от атак социальной инженерии.

Понимание

Не может быть альтернативы процессу понимания, когда вы осуществляете элементы политики безопасности, направленные на защиту от атак социальной инженерии. Вы должны обучить персонал политике ИБ, понимая, необходимость ее исполнения, и зная, как они должны реагировать на подозреваемое нападение.

Безопасность компании – общее дело, так что вы должны удостовериться, что поддержка понимания необходимости безопасности исходит от каждого сотрудника компании. Соберите мнения из всех отделов и от разных пользователей, особенно тех, кто работает вне офисной среды.

Заключение

Дананя статья, надеюсь, поможет вам осознать проблемы, связанные с угрозами социальной инженерии и позволит понять важность включения данных угроз и методов противодействия им в вашу политику безопасности

 

Об авторе: Vladimir Bezmaly

Avatar photo
Автор более 150 статей, изданных в Украине и России. Обладатель статуса Microsoft Most Valuable Professional в области Consumer Security Microsoft Security Trusted Advisor Опыт работы в ИТ почти 30 лет. В ИБ порядка 20 лет.
Pin It

Related Posts

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.