Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………
Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных действий социальных инженеров. Охранник обязан следовать следующим правилам:
позволять проходить в помещение только в сопровождении других сотрудников организации (сопровождение должно производиться от самого входа до места назначения и обратно, не позволяя им самостоятельно ходить по организации).
Отступать от этих правил нельзя ни в коем случае.
Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление народа перед охранником, которое может затруднить работу охраны.
Пример расположения поста охраны показан на рисунке 10.
Рисунок 10 Планирование поста охраны
Область поста охраны слева позволяет неправомочному посетителю пройти, используя законного служащего как экран. Пример справа требует, чтобы любой посетитель шел мимо охранника. Позиция компьютерного терминала не закрывает взгляд охранника.
Необходимо, чтобы сотрудники охраны просматривали весь проход и не мешали друг другу, когда они проверяют каждого человека.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 10.
Таблица 10 Физические Нападения
Цели нападения |
Описание |
Цель |
Воровство мобильного идентификатора сотрудника |
Социальный инженер наблюдает за законным пользователем, набирающим имя и пароль для входа в систему. |
Конфиденциальная информация |
Воровство домашнего идентификатора сотрудника |
Социальный инженер изображает сервис-менеджера для получения доступа к домашнему компьютеру и запрашивает пользовательский идентификатор и пароль, для проверки успешности обновления |
Конфиденциальная информация |
Прямой сетевой контакт через домашнюю сеть сотрудника |
Социальный инженер обращается к сети организации через домашнюю сеть сотрудника, изображая сотрудника технического отдела. |
Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Внешний доступ к домашней сети сотрудника |
Социальный инженер получает доступ к интернету через необеспеченную домашнюю сеть |
Ресурсы |
Несопровождаемый доступ к офису организации |
Социальный инженер получает доступ под видом авторизованного сотрудника организации |
Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Обращение к человеку в офисе организации |
Социальный инженер обращается к сотруднику для использования компьютерного оборудования или бумажных ресурсов |
Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги |
Работа технического отдела. Администраторы баз данных и локальных сетей, которые работают с программным обеспечением, располагающие технической информацией, обязаны устанавливать личность человека, который обратился к ним за советом или информацией.
Необходимо сменить учетные данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.
Те же самые действия необходимо произвести и с телефонными коммутаторами.
Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные ей.
Для того чтобы меры по обеспечению безопасности имели смысл – как для администраторов сети, так и для сотрудников, использующих сетевые ресурсы – необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.
Для ознакомления сотрудников с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:
Ознакомление с этими документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже по технике безопасности.
При работе сотрудниками через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.
В документации необходимо описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез с описанными процедурами и политиками безопасности и происходящие без ведома ответственных лиц, не допускаются.
При предоставлении сотрудникам права коммутируемого доступа, сотрудники должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа.
Следует запретить сотрудникам работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).
При желании сотрудником получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей просьбы. При просьбе установки программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить персонал технического отдела ее использованию. Ни при каких обстоятельствах нельзя разрешать сотрудникам загружать и устанавливать программы из интернета.
Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям сотрудника. Такие действия называются «прощупыванием» сети и должны рассматриваться как причина для увольнения. Если сотрудник желает знать, где хранятся данные или приложения, то он должен обсудить этот вопрос с руководством или техническим отделом.
В документе, который должен содержать описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:
Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными проблемами без заранее написанных инструкций.
Так же, в документации необходимо отметить о запрете копирования пользователями принадлежащее организации программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.
Необходимо обязать сотрудников сообщать о любых подозрительных действиях или неправомочном использовании компьютерных ресурсов. На сотрудников также должна возлагаться ответственность за принятие необходимых мер по защите данных и программ в пределах их полномочий – в частности, они не должны оставлять рабочую станцию, зарегистрированную для работы в сети, без присмотра на длительное время, (для этого следует пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.
Инструкции по использованию компьютера могут включать много нюансов. При ее составлении необходимо учесть следующие моменты:
В инструкциях так же должно быть сказано, что сотрудник не имеет права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.
Работа отдела кадров. Очень часто, когда речь заходит о безопасности организации, в том числе, когда дело касается социального инжиниринга, нельзя забывать о том, что опасность может быть внутри организации. Связано это с тем, что у сотрудников могут быть свои пороки. Типами сотрудников являются:
Согласно статистике, представленной на рисунке 11, «процент честных сотрудников равен 10, 65% готовы нарушить закон в том случае, если они будут уверены в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых обстоятельствах» [].
Рисунок 11 Статистика честности сотрудников
Отделу кадров рекомендуется наблюдать за сотрудниками на всех стадиях их развития в организации.
Любой сотрудник в организации всегда проходит три стадии развития:
При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью стандартных психологических тестов. Так же следует определить, не принадлежит ли кандидат на должность к одной из категорий «неудобных сотрудников», классификацию и описание которых приведена ниже.
Нельзя допускать в своей организации существования алкогольно-сексуальных групп (речь идет о стиле поведения людей, входящих в эту группу) [28, стр. 186].
Лояльность сотрудников – это означает, что сотрудник доволен работой в организации, как моральном, так и в материальном плане. Всех сотрудников можно разделить на четыре группы: