Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………
Социальный инжиниринг основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг – наименее техническое, но и наиболее эффективное средство в арсенале злоумышленников.
Социальный инжиниринг, как незаконный метод получения информации, обычно использует обман, влияние и убеждение, но его можно также использовать и в законных целях, к примеру, для совершения действий конкретным человеком. Чаще всего социальный инжиниринг используют для получения закрытой информации, или информации, которая представляет большую ценность.
Основные области применения социального инжиниринга [24, с. 28] показаны на рисунке 1.
Рисунок 1 Основные области применения социального инжиниринга
К счастью, подавляющее большинство социальных инженеров действует по одинаковым или близким шаблонам, поэтому изучение приемов их «работы» позволяет распознать обман [21, с. 13] и не выдать закрытую информацию.
Организации приобретают лучшие технологии по безопасности, тренируют и обучают сотрудников, нанимают охранников, но они все еще остается полностью уязвимыми.
Чем больше технологических уровней организация нагромождает, тем больше разнообразие этих уровней, и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать неудач, потому, что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент – человеческий фактор [20, с. 79].
Успешные злоумышленники чаще всего используют социальный инжиниринг и проводят атаку манипулируя пользователями. По этой причине, для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.
Объяснение сущности социального инжиниринга и, в частности, таких его разновидностей, как гипноз и нейролингвистическое программирование (НЛП), является взаимодействие между сознанием и подсознанием. Люди верят в то, что принимают решения осознанно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а исследования последних лет подтвердили, что подсознательное принятие решений опережает сознательное порой на 10 секунд [15, с. 119].
На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить определенные действия и тем самым раскрыть конфиденциальную информацию.
Многие профессионалы информационных технологий придерживаются неправильного представления, считая, что они используют стандартные продукты по безопасности: файерволы, системы для обнаружения вторжений или серьезные устройства для аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления [23, с. 95].
Кроме технических методов защиты информации, необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социальным инженерам – только в этом случае система обеспечения информационной безопасности будет комплексной.
Атака социального инженера разделяется на три стадии подготовки:
Общая схема работы социальных инженеров представлена [24, с. 22] на рисунке 2
Рисунок 2 Общая схема методов работы социальных инженеров
Социальный инжиниринг, в совокупности с техническими знаниями систем информационной безопасности, используют для достижения следующих целей:
Атаки социальных инженеров представлены [24, с. 13] в виде рисунка 3.
Рисунок 3 Основная схема воздействия в социальном инжиниринге
Эта схема называется «схема Шейнова». В общем виде она приведена в книге белорусского психолога и социолога В.П.Шейнова, который долгое время занимался психологией мошенничества [42, с. 89].
Сначала всегда формулируется цель воздействия на тот или иной объект (под «объектом» понимается жертва, на которую нацелена атака социального инженера). Далее собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия, после чего наступает этап, называемый аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т.е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Мишенью является потребность сотрудника в деньгах. О нужде в деньгах узнается на этапе сбора информации. Аттракцией является создание условий, при которых сотрудник будет очень нуждаться в деньгах).
Для того чтобы обойти средства безопасности, социальный инженер находит способ обмана сотрудника, для раскрытия информации или получения доступа к информации.
В большинстве случаев, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты.
Большая часть корпоративной информации может казаться общедоступной или не секретной, но она может быть очень ценна для социального инженера, потому что может сыграть существенную роль для большей правдоподобности.
Иногда только одно знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым.
Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания [31, с. 14].
Чтобы осуществить атаку, социальный инженер полагается на межличностное взаимодействие (социальные навыки), посредством которого компрометирует сведения об организации или ее компьютерных системах. Если социальный инженер не может собрать достаточно сведений из одного источника, то он обращается к другому источнику в той же организации и, используя информацию, полученную от первого, повышает свою убедительность.
Одна из основных техник социального инжиниринга включает в себя создание чувства доверия со стороны жертвы. Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение.
Из-за высокого темпа жизни, человеку не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного. Запутанные ситуации, нехватка времени, эмоциональное напряжение – вот одни из предпосылок. Таким образом, решение принимается в спешке, полученная информация не анализируется, такой процесс называется автоматическим ответом.
Большинство сотрудников организаций даже не подозревают о наличии угроз, связанных с социальным инжинирингом. Они имеют доступ к информации, не разбираясь в деталях работы, и не осознавая важности обрабатываемой информации. Социальный инженер, чаще всего, выбирает своей целью сотрудника с низким уровнем владения компьютером [18, с. 13].
Социальные инженеры используют человеческие чувства. Одно из таких чувств – это вызов сочувствия у собеседника. При рассказе о причинах, вызывающих сочувствие у собеседника, он смягчает свою просьбу.
Так же, социальные инженеры используют профессиональный жаргон, в связи с тем, что сотрудники доверяют тем, кто знает профессиональный жаргон, некую внутреннюю форму общения их организации, которая скрыта от посторонних глаз.
Социальный инжиниринг делится на два вида:
Краткосрочный производится за короткий срок времени. Его плюс в том, что он не требует лишних временных ресурсов, а минус заключается в том, что социальный инженер не может заставить совершить человека какие-то значимые действия [25, с. 23].
Долговременный означает, что необходимо потратить много времени на то, чтобы подчинить себе человека. Минус – продолжительность подготовки, плюс в том, что можно заставить человека совершить более значимые действия.
Основными причинами реализации угроз социального инжиниринга являются:
Как же остановить социальный инжиниринг? «Цена вопроса – 64 миллиона долларов, – говорит Стюарт Макклюр, президент и технический директор «Foundstone». – Единственным успешным методом противодействия является обучение» [50].
Рич Могулл, директор по исследованиям «Gartner» в сфере информационной безопасности и рисков, говорит, что «социальный инжиниринг – более серьезная проблема, чем хакерство. Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие тенденции, которые можно эксплуатировать при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения в защищенные системы совершаются, и будут совершаться методами социального инжиниринга, а не электронного взлома или хакерства [50].
По словам Могулла, наиболее опасна кража идентификационных данных, так как большинство преступников «заново изобретают старые аферы» с применением новой технологии. Мошенники используют социальный инжиниринг для кражи идентификационных данных либо из корыстных побуждений, либо для последующего сбора информации об организации. Это не только вмешательство в бизнес, но и нарушение тайны личной жизни. Так же мы убеждены, что в ближайшее десятилетие главную угрозу для безопасности будет представлять социальный инжиниринг [50].
Социальный инжиниринг так же успешно применяется для достижения таких целей, как:
Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности социального инженера и того, кем является жертва.
Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:
В таблице 1 показана вероятность получения доступа разных уровней и средства применения (1 – низкая; 2 – средняя; 3 – высокая) [21, с. 14].
Таблица 1 Вероятность получения доступа разных уровней