Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа

Краткое описание

Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.

Оглавление

Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………

Файлы: 1 файл

Диплом.doc

— 1.02 Мб (Скачать)

Стратегия управления обеспечением безопасности дает общее представление об угрозах социального инжиниринга, которым подвергается организация, и определены сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:

  1. Куратор по безопасности - руководитель высшего звена (уровня совета директоров), который следит за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладает необходимым для этого авторитетом.
  2. Администратор по безопасности - руководитель, который отвечает за организацию разработки политик безопасности и их обновление в соответствии с изменениями требований.
  3. Администратор по безопасности IT-систем - технический специалист, который отвечает за разработку политик и процедур обеспечения безопасности IT-инфраструктуры и операций.
  4. Администратор по безопасности на объекте - член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.
  5. Администратор по информированию сотрудников о способах обеспечения безопасности - руководящий сотрудник (из отдела кадров), который отвечает за разработку и проведение кампаний по информированию сотрудников об угрозах и способах защиты от них.

Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которая была выполнена руководящим комитетом по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения представления о возможных векторах атак, была использована таблица 2:

Таблица 2 Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социального инжиниринга

Направление атаки

Нынешнее положение дел

Комментарии

Сетевые атаки

   

Электронная почта

На компьютерах всех сотрудников установлена программа Microsoft Outlook

У каждого сотрудника свой свой электронный ящик, что не дает доступность контроля за входящей почтой

Интернет

Сотрудники используют интернет в рабочих и личных целях

Пользование интернетом в личных целях усугубляет положение не возможностью контроля за действиями сотрудников

Всплывающие приложения

 

На текущий момент никакие технические средства защиты от всплывающих приложений в организации не используются

Служба мгновенного обмена сообщениями

Принятые в организации методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями

 

Телефонные атаки

   

Корпоративная телефонная станция

Телефоны используются без определителя внутренних и внешних номеров

 

Служба поддержки

В настоящее время функции «службы поддержки» бессистемно выполняет технический отдел.

Процессы оказания услуг поддержки необходимо сделать системными

Поиск информации в мусоре

   

Внутренний мусор

Каждое отделение избавляется от собственного мусора самостоятельно

 

Внешний мусор

Мусорные контейнеры располагаются на территории организации. Вывоз мусора осуществляется по четвергам

 

Продолжение таблицы 2

Направление атаки

Нынешнее положение дел

Комментарии

Личностные подходы

   

Физическая безопасность

   

Безопасность офисов

Все офисы остаются незапертыми в течение всего рабочего дня

 

Сотрудники, работающие дома

Письменные стандарты обеспечения безопасности систем сотрудников, работающих дома, отсутствуют.

 

Другие направления атак и уязвимости, специфические для компании

   

Подрядчики, работающие на объектах организации

 

Нет никакой информации о ее сотрудниках и не приняты для них политики безопасности


После основательного понимания имеющихся уязвимостей, была составлена таблица уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социального инжиниринга. В этой таблице описаны рабочие процессы организации в потенциально уязвимых областях. Информация об уязвимостях позволила членам руководящего комитета разработать предварительные варианты требований, которые должны быть включены в политики безопасности (ПБ).

Сначала были определены области, которые могут подвергнуть организацию риску. Выполняя эту задачу, было необходимым учесть все направления атак, описанных в данном документе

При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, были сгруппированы факторы риска в категории и назначены их приоритеты. Ниже перечислены категории риска:

  • утечка конфиденциальной информации (УКИ);
  • урон репутации организации (УРО);
  • снижение работоспособности организации (СРО);
  • трата ресурсов (ТР);
  • финансовые потери (ФП).

Используя таблицу уязвимостей корпоративной среды, допускающих проведение атак социальных инженеров, руководящим комитетом по обеспечению безопасности были определены для организации требования политик безопасности, типы и уровни риска. При этом была использована таблица 3.

Таблица 3 Форма для определения требований к обеспечению безопасности и оценки факторов риска

Направление атаки

Возможные требования политик

Тип риска

Уровень риска:

Действие

 

Изложить ПБ защиты от угроз, основанных на методах социального инжиниринга, в письменной форме

     
 

Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником

     
 

Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком

     

Сетевые атаки

       

Электронная почта

Принять ПБ, регламентирующую действия сотрудников при получении вложений конкретных типов

УКИ

УРО

ФП

3

Разработана ПБ использования электронной почты, создан единый почтовый клиент-сервек

Интернет

Принять ПБ, регламентирующую использование интернета

УКИ

СРО

ТР

ФП

4

Разработана политика использования интернета

Всплывающие приложения

Включить в политику использования интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон

УКИ

ТР

ФП

3

Разработана политика использования компьютеров


 

 

 

 

Продолжение таблицы 3

Направление атаки

Возможные требования политик

Тип риска

Уровень риска:

Действие

Служба мгновенного обмена сообщениями

Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями

УКИ

СРО

2

Разработаны правила по работе со службами мгновенными сообщениями

Телефонные атаки

       

Корпоративная телефонная станция

Принять политику управления обслуживанием корпоративной телефонной станции

УКИ

ФП

2

Разработана политика работы при телефонных переговорах

Служба поддержки

Принять политику, регламентирующую предоставление доступа к данным

УКИ

ТР

2

Разработана политика управления доступом

Поиск информации в мусоре

       

Бумажный мусор

Принять политику утилизации бумажного мусора

УКИ

УРО

ФП

3

Разработана информационная ПБ

 

Определить принципы использования мусорных контейнеров

     

Электронный мусор

Принять политику утилизации электронного мусора

УКИ

УРО

ФП

3

Разработана информационная ПБ

Личностные подходы

       

Физическая безопасность

Принять политику работы с посетителями

УКИ

ФП

2

Разработана ПБ работы с посетителями

Безопасность офисов

Принять политику управления идентификаторами и паролями пользователей

УКИ

УРО

ФП

3

Разработана ПБ идентификации и аутентификации

Сотрудники, работающие дома

Принять политику использования мобильных компьютеров вне организации

УКИ

УРО

ФП

3

Разработана ПБ работы вне организации

Другие направления атак и  
уязвимости, специфические для организации

       

Подрядчики, работающие на объектах организации

Принять политику проверки сотрудников сторонних организаций

УКИ

УРО

ТР

ФП

4

Подписывается соглашение о неразглашении сведений


Для главных областей обеспечения безопасности и факторов риска, руководящим комитетом по обеспечению безопасности была разработана документация, регламентирующая соответствующие процедуры, процессы и бизнес-операции. В таблице 4 показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон определил документы, необходимые для поддержки политики безопасности.

Таблица 4 Требования к процедурам и документации

Требования политик

Требования к процедурам и документации

Дата выполнения действия

Изложить политики защиты от угроз, основанных на методах социального инжиниринга в письменной форме

Отсутствуют

20.12.2012

Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником

  1. Сформулировать новые контрактные требования (отдел кадров)

15.01.2013

  1. Определить новый формат контрактов, заключаемых с сотрудником

15.01.2013

Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком

  1. Сформулировать новые контрактные требования (отдел кадров)

17.01.2013

  1. Определить новый формат контрактов, заключаемых с подрядчиками

17.01.2013

Принять политику работы с посетителями

  1. Разработать процедуру регистрации посетителей при входе на объект и выходе с него

01.02.2013

  1. Разработать процедуру сопровождения посетителей

01.02.2013

Определить принципы использования мусорных контейнеров

  1. Разработать процедуру утилизации бумажного мусора

18.01.2013

  1. Разработать процедуру утилизации электронного мусора

18.01.2013

Принять политику, регламентирующую предоставление доступа к данным

  1. Разработать информационную ПБ

02.03.2013

  1. Разработать перечни информации

15.02.2013

Принять политику утилизации бумажного мусора

Разработать процедуру утилизации бумажного мусора

18.01.2013

Принять политику утилизации электронного мусора

Разработать процедуру утилизации электронного мусора

18.01.2013


Продолжение таблицы 4

Требования политик

Требования к процедурам и документации

Дата выполнения действия

Включить в ПБ использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон

  1. Разработать политику использования интернета

27.12.2012

23.12.2012

  1. Разработать правила действий при всплывающих окнах

Принять политику управления идентификаторами и паролями сотрудников

  1. Разработать политику безопасности идентификации и аутентификации

07.04.2013

  1. Разработать процедуры смены и защиты паролей

20.01.2013

Принять ПБ использования мобильных компьютеров вне организации

  1. Разработать политику безопасности работы вне организации

03.05.2013

  1. Разработать политику использования компьютеров

15.09.2012


После того, как политики безопасности были задокументированы и утверждены, было проведено информирование сотрудников и разъяснение важности соблюдения этих политик.

Для облегчения реализации этих мер, для технического отдела, выполняющего функции технической поддержки, были разработаны протоколы реагирования на инциденты.

При получении информации об атаке, сотрудники технического отдела стали проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты.

При регистрации инцидента руководящий комитет по обеспечению безопасности начал выяснять, представляет ли он для организации новую или измененную угрозу, и, опираясь на сделанные выводы, создает или обновляет политики и процедуры.

Для управления инцидентами технический отдела использует утвержденный протокол, регистрируя в нем следующую информацию:

  • жертва атаки;
  • подразделение жертвы;
  • дата;
  • направление атаки;
  • описание атаки;
  • результат атаки;
  • последствия атаки;
  • рекомендации.

Информация о работе Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»