Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………
Стратегия управления обеспечением безопасности дает общее представление об угрозах социального инжиниринга, которым подвергается организация, и определены сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:
Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которая была выполнена руководящим комитетом по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения представления о возможных векторах атак, была использована таблица 2:
Таблица 2 Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социального инжиниринга
Направление атаки |
Нынешнее положение дел |
Комментарии |
Сетевые атаки |
||
Электронная почта |
На компьютерах всех сотрудников установлена программа Microsoft Outlook |
У каждого сотрудника свой свой электронный ящик, что не дает доступность контроля за входящей почтой |
Интернет |
Сотрудники используют интернет в рабочих и личных целях |
Пользование интернетом в личных целях усугубляет положение не возможностью контроля за действиями сотрудников |
Всплывающие приложения |
На текущий момент никакие технические средства защиты от всплывающих приложений в организации не используются | |
Служба мгновенного обмена сообщениями |
Принятые в организации методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями |
|
Телефонные атаки |
||
Корпоративная телефонная станция |
Телефоны используются без определителя внутренних и внешних номеров |
|
Служба поддержки |
В настоящее время функции «службы поддержки» бессистемно выполняет технический отдел. |
Процессы оказания услуг поддержки необходимо сделать системными |
Поиск информации в мусоре |
||
Внутренний мусор |
Каждое отделение избавляется от собственного мусора самостоятельно |
|
Внешний мусор |
Мусорные контейнеры располагаются на территории организации. Вывоз мусора осуществляется по четвергам |
Продолжение таблицы 2
Направление атаки |
Нынешнее положение дел |
Комментарии |
Личностные подходы |
||
Физическая безопасность |
||
Безопасность офисов |
Все офисы остаются незапертыми в течение всего рабочего дня |
|
Сотрудники, работающие дома |
Письменные стандарты обеспечения безопасности систем сотрудников, работающих дома, отсутствуют. |
|
Другие направления атак и уязвимости, специфические для компании |
||
Подрядчики, работающие на объектах организации |
Нет никакой информации о ее сотрудниках и не приняты для них политики безопасности |
После основательного понимания имеющихся уязвимостей, была составлена таблица уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социального инжиниринга. В этой таблице описаны рабочие процессы организации в потенциально уязвимых областях. Информация об уязвимостях позволила членам руководящего комитета разработать предварительные варианты требований, которые должны быть включены в политики безопасности (ПБ).
Сначала были определены области, которые могут подвергнуть организацию риску. Выполняя эту задачу, было необходимым учесть все направления атак, описанных в данном документе
При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, были сгруппированы факторы риска в категории и назначены их приоритеты. Ниже перечислены категории риска:
Используя таблицу уязвимостей корпоративной среды, допускающих проведение атак социальных инженеров, руководящим комитетом по обеспечению безопасности были определены для организации требования политик безопасности, типы и уровни риска. При этом была использована таблица 3.
Таблица 3 Форма для определения требований к обеспечению безопасности и оценки факторов риска
Направление атаки |
Возможные требования политик |
Тип риска |
Уровень риска: |
Действие |
Изложить ПБ защиты от угроз, основанных на методах социального инжиниринга, в письменной форме |
||||
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником |
||||
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком |
||||
Сетевые атаки |
||||
Электронная почта |
Принять ПБ, регламентирующую действия сотрудников при получении вложений конкретных типов |
УКИ УРО ФП |
3 |
Разработана ПБ использования электронной почты, создан единый почтовый клиент-сервек |
Интернет |
Принять ПБ, регламентирующую использование интернета |
УКИ СРО ТР ФП |
4 |
Разработана политика использования интернета |
Всплывающие приложения |
Включить в политику использования интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон |
УКИ ТР ФП |
3 |
Разработана политика использования компьютеров |
Продолжение таблицы 3
Направление атаки |
Возможные требования политик |
Тип риска |
Уровень риска: |
Действие |
Служба мгновенного обмена сообщениями |
Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями |
УКИ СРО |
2 |
Разработаны правила по работе со службами мгновенными сообщениями |
Телефонные атаки |
||||
Корпоративная телефонная станция |
Принять политику управления обслуживанием корпоративной телефонной станции |
УКИ ФП |
2 |
Разработана политика работы при телефонных переговорах |
Служба поддержки |
Принять политику, регламентирующую предоставление доступа к данным |
УКИ ТР |
2 |
Разработана политика управления доступом |
Поиск информации в мусоре |
||||
Бумажный мусор |
Принять политику утилизации бумажного мусора |
УКИ УРО ФП |
3 |
Разработана информационная ПБ |
Определить принципы использования мусорных контейнеров |
||||
Электронный мусор |
Принять политику утилизации электронного мусора |
УКИ УРО ФП |
3 |
Разработана информационная ПБ |
Личностные подходы |
||||
Физическая безопасность |
Принять политику работы с посетителями |
УКИ ФП |
2 |
Разработана ПБ работы с посетителями |
Безопасность офисов |
Принять политику управления идентификаторами и паролями пользователей |
УКИ УРО ФП |
3 |
Разработана ПБ идентификации и аутентификации |
Сотрудники, работающие дома |
Принять политику использования мобильных компьютеров вне организации |
УКИ УРО ФП |
3 |
Разработана ПБ работы вне организации |
Другие
направления атак и |
||||
Подрядчики, работающие на объектах организации |
Принять политику проверки сотрудников сторонних организаций |
УКИ УРО ТР ФП |
4 |
Подписывается соглашение о неразглашении сведений |
Для главных областей обеспечения безопасности и факторов риска, руководящим комитетом по обеспечению безопасности была разработана документация, регламентирующая соответствующие процедуры, процессы и бизнес-операции. В таблице 4 показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон определил документы, необходимые для поддержки политики безопасности.
Таблица 4 Требования к процедурам и документации
Требования политик |
Требования к процедурам и документации |
Дата выполнения действия |
Изложить политики защиты от угроз, основанных на методах социального инжиниринга в письменной форме |
Отсутствуют |
20.12.2012 |
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником |
|
15.01.2013 |
|
15.01.2013 | |
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком |
|
17.01.2013 |
|
17.01.2013 | |
Принять политику работы с посетителями |
|
01.02.2013 |
|
01.02.2013 | |
Определить принципы использования мусорных контейнеров |
|
18.01.2013 |
|
18.01.2013 | |
Принять политику, регламентирующую предоставление доступа к данным |
|
02.03.2013 |
|
15.02.2013 | |
Принять политику утилизации бумажного мусора |
Разработать процедуру утилизации бумажного мусора |
18.01.2013 |
Принять политику утилизации электронного мусора |
Разработать процедуру утилизации электронного мусора |
18.01.2013 |
Продолжение таблицы 4
Требования политик |
Требования к процедурам и документации |
Дата выполнения действия |
Включить в ПБ использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон |
|
27.12.2012 23.12.2012 |
| ||
Принять политику управления идентификаторами и паролями сотрудников |
|
07.04.2013 |
|
20.01.2013 | |
Принять ПБ использования мобильных компьютеров вне организации |
|
03.05.2013 |
|
15.09.2012 |
После того, как политики безопасности были задокументированы и утверждены, было проведено информирование сотрудников и разъяснение важности соблюдения этих политик.
Для облегчения реализации этих мер, для технического отдела, выполняющего функции технической поддержки, были разработаны протоколы реагирования на инциденты.
При получении информации об атаке, сотрудники технического отдела стали проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты.
При регистрации инцидента руководящий комитет по обеспечению безопасности начал выяснять, представляет ли он для организации новую или измененную угрозу, и, опираясь на сделанные выводы, создает или обновляет политики и процедуры.
Для управления инцидентами технический отдела использует утвержденный протокол, регистрируя в нем следующую информацию: