Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Регистрация инцидентов стала позволять определять шаблоны атак и улучшать защиту от будущих атак.

При полном анализе организаций, были выявлены следующие факторы, которые делают организацию уязвимыми к атакам:

1. Большое количество сотрудников. Суммарный штат сотрудников составляет 221 человек. Это позволяет социальному инженеру провести атаку, представившись кем-либо из органов управления или сотрудником из удаленного офиса.
2. Большое количество филиалов. Филиалы находятся в 28 населенных пунктах Республики Башкортостан, и головные офисы находятся в Уфе, что делает географию организаций очень обширной. В связи с этим, социальный инженер может провести атаку представившись кем-либо из органов управления или сотрудником из удаленного офиса.
3. Информация о местонахождении сотрудников. При запросе о местонахождении нужного сотрудника, информация предоставляется в 100% случаев. Такая информация позволяет социальному инженеру использовать такую информацию в корыстных целях, к примеру ссылаясь на сотрудника, местонахождение которого ему известно.
4. Информация о внутренних телефонах и названиях отделов является общедоступной. При запросе какого-либо внутреннего номера или точного названия отдела, информация предоставляется в 90% случаев. Эта информация помогает социальному инженеру досконально изучить внутреннюю структуру организаций, которая при проведении атаки, позволит оперировать ему точными названиями отделов и внутренних телефонов, которые не должны быть общедоступными.
5. Поверхностное обучение правилам безопасности. Отсутствуют какие-либо документы, регламентирующие политики и правила безопасности, так же отсутствие полного обучения сотрудников этим правилам, халатное отношение к безопасности в целом. Это помогает социальному инженеру тем, что сотрудники не обучены тому, как вести себя в тех или иных ситуациях, что в свою очередь позволяет ему манипулировать сотрудниками без особого усилия.
6. Отсутствие системы классификации информации. Все вышеперечисленные типы информации хранятся в одинаковых условиях и месте. Это опасно тем, что документы, которые не должны являться общедоступными, а по своей сути, являются коммерческой тайной, могут перепутаться, потеряться или подобраться посетителями.
7. Отсутствие системы сообщения об инцидентах. Отсутствуют какие-либо сообщения от сотрудников о произошедших инцидентах, касающихся обрабатываемой информации. Социальные инженеры знают, что, даже если их обнаружат, у сотрудника нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает [36, с. 70]. Это позволяет социальному инженеру практически на 100% быть уверенным в том, что сотрудник, на которого может быть произведена атака, не будет писать служебных записок и докладных, что влечет за собой ненаказуемость и не знание других сотрудников о проведенной атаке, в связи с чем, социальный инженер может воспользоваться данным видом атаки вновь и вновь.
8. Отсутствие единого почтового клиент-сервера в организациях и филиалах. Большинство сотрудников пользуются собственными почтовыми сервисами, что создает уязвимости компьютерным сетям организаций. Это позволяет социальному инженеру проникнуть в сеть организации с помощью почтового ящика какого-либо сотрудника из-за того, что не производится проверка входящих писем и по халатности сотрудника.

Следующим этапом выявления уязвимостей были выявлены, сотрудники, которые являются главными объектами атак социальных инженеров.

В первую очередь ими являются:

1. Секретарь в приемной. При возникновении доверия, социальный инженер способен получить телефоны других сотрудников.
2. Сотрудник по работе с клиентами. При представлении каким-либо клиентом, возможно получить информацию по интересующей организации.
3. Телефонные справочники. Они позволяют найти необходимые номера, а так же получить представление о структуре организации, т.е. точные названия отделов, должностей.
4. Удаленные филиалы. Связь с ними осуществляется по телефону или интернету, в связи с чем ухудшается идентификация личности.

 

2.3 Предпринятые меры

После выявленных угроз, было принято решении о их устранении. Перечень предпринятых действий в организациях включает:

1. Разработка политик безопасности и процедур. Были разработаны такие процедуры и политики безопасности, как:
• информационная политика безопасности (ею целью является определение секретной информации внутри организации и способы ее защиты. Разработанная политика безопасности предусматривает защиту для всех форм информации, как на бумажных носителях, так и в электронном виде [52]);
• политика использования компьютеров. Она определяет собой:

а) кто может использовать компьютерные системы, и каким образом они могут использоваться;

б) что все компьютеры принадлежат организации, и что они предоставляются сотрудникам для работы в соответствии с их должностными обязанностями;

в) запрещает использование компьютеров, для подключения к внутренним системам организации через систему удаленного доступа, не принадлежащих организации, для выполнения работы, связанной с деловой деятельностью организации;

г) что вся информация, хранимая или используемая на компьютерах организации, принадлежит организации;

д) что на компьютерных системах запрещена загрузка неавторизованного программного обеспечения;

е) что сотрудник не должен подразумевать частный статус любой информации, хранимой, отправляемой или получаемой на любых компьютерах организации. Он должен понимать, что любая информация, включая электронную почту, может просматриваться сотрудниками технического отдела. А сотрудники отдела безопасности могут отслеживать все действия, связанные с компьютерами, включая посещение веб-сайтов [53].

• политика безопасности идентификации и аутентификации (важным моментом является установление основного механизма для аутентификации сотрудников и администраторов, в нее включены такие аспекты, как определение минимальной длинны пароля, и других характеристик выбора пароля);
• политика управления доступом (при установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационный механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям);
• политика безопасности сетевых соединений (она описывает правила установки сетевых соединений и используемые механизмы защиты);
• политика использования интернета (она определяет соответствующее назначение и нецелевое использование интернета);
• политики безопасности использования электронной почты. Эта политика оговаривает как внутренние проблемы, так и внешние;
• политики безопасности при проведении телефонных переговорах (определяет правила ведения как внутренних, так и внешних телефонных переговоров);
• политики безопасности работы вне организации (определяет правила работы сотрудников, работающих с информацией вне организации);
• политики безопасности работы с посетителями (она определяет правила для охранников и сотрудников, работающих с посетителями).

а) внутренние проблемы: политика работы с электронной почтой не конфликтует с другими политиками, связанными с сотрудниками организации, но определяет, что сотрудник не должен считать электронную почту частной;

б) внешние проблемы: политика почты определяет, при каких условиях в ней присутствуют ссылки на информационную политику, определяющую методы защиты секретных данных. Так же оговариваются вопросы, связанные с входящей электронной почтой. Она ссылается на политику безопасности организации, в которой говорится о соответствующих мерах, направленных на борьбу с вирусами.

• процедура обработки инцидентов. Она определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. Так же определяет, кто имеет право доступа и что необходимо делать, а так же определяет цели организации, достигаемые при обработке инцидента. Этими целями являются:

а) защита систем организации;

б) защита данных организации;

в) восстановление операций;

г) пресечение деятельности злоумышленника;

д) снижения уровня антирекламы или ущерба.

2. Разработка перечней информации, создание перечня сведений, составляющих коммерческую тайну. В связи с отсутствием подобного рода перечня, было проведено исследование обрабатываемой в организациях информации, с дальнейшей их классификацией и созданием перечня сведений, составляющих коммерческую тайну, некоторые пункты были внесены с перспективой на развитие организаций.
3. Предоставление методического материала, политик безопасности всем сотрудникам. Все сотрудники организаций, под роспись были ознакомлены с политиками безопасности, прошли полные инструктажи и курс по противодействию социальному инжинирингу.
4. Рассылка информационных статей, напоминаний и т.п. с помощью электронной почты, локальной сети и «лично в руки». Сотрудникам, при помощи их электронных почт и локальной сети организации, стали рассылаться постоянно обновляемые информационные статьи, содержащие новости безопасности, а так же постоянные, но разнообразные напоминания по противодействию социальному инжинирингу.
5. Публикация наиболее надежного работника месяца. Данное мероприятие служит своеобразным «пряником» в системе безопасности, т.е. вместо сотрудника, который нарушил политики безопасности, выбирается сотрудник, который выполнил все обязанности по безопасности на 100%, и поощряется.
6. Публикация специальных плакатов в помещениях. Во всех кабинетах была произведена установка плакатов, содержащих тематику безопасности (например: «Болтун – находка для шпиона!).
7. Раздача печатных вкладышей в конвертах с зарплатой. При выдаче денежных средств в конвертах, производится вкладка буклетов с тематикой о безопасности и социальных инженерах, в виде анекдотов и примеров.
8. Создание хранителей экрана и экранных заставок с напоминаниями. Техническим отделом были созданы экранные хранители для рабочих компьютеров, которые выглядят в виде постоянно меняющихся советов и напоминаний о возможных атак социальных инженеров.
9. Вещание напоминаний через голосовую почту. Раз в месяц на голосовые почты сотрудников высылаются заранее записанные в аудио-формате сообщения, содержащие информацию об изменениях в политиках безопасности или советы по противодействию социальному инжинирингу.
10. Создание специальных наклеек на рабочие телефоны. Были придуманы, распечатаны и наклеены специальные наклейки, с короткими фразами, на все рабочие телефоны, для напоминания сотрудникам о возможности угрозы атак социальных инженеров (например: «Звонящий действительно тот, за кого себя выдает?»).
11. Создание системных сообщений в локальной сети. Техническим отделом была создана программа, использующая локальную сеть, и в дальнейшем работающая по принципу всплывающих окон. У всех сотрудников, в определенный момент времени, в углу экрана возникает всплывающее окно с напоминанием (содержание окна постоянно меняется). Закрыть окно, возможно только нажав определенную кнопку.
12. Создание единого почтового клиент-сервера. Был создан единый почтовый клиент-сервер, что позволило техническому отделу контролировать входящую и исходящую почту. В связи с этим, вероятность угрозы связанной с электронной почтой, значительно уменьшилась.
13. Постоянное обсуждение вопроса безопасности на собраниях, пятиминутках и т.д.

Итогом предпринятых действий стало то, что напоминания стали своевременными и постоянными.

 

 

 

 

 

 

 

 

 

3 РАЗРАБОТКА МЕТОДИКИ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОМУ ИНЖИНИРИНГУ

 

В данной главе анализируется шаблон, который способен обезопасить организацию от атак социального инжиниринга. Если обучение персонала, который занимается обработкой информации, не производится, то это будет длиться до того момента, пока не произойдет потеря информации при помощи социального инжиниринга.

Никакие технические меры защиты информации практически не помогут защититься от социального инжиниринга. Связано это с тем, что социальные инженеры используют слабости не технических средств, а как говорилось, человеческий фактор. В связи с этим, единственный способ противодействовать социальным инженерам – это постоянная и правильная работа с персоналом [51].

Для повышения безопасности в организации, все время должны проводиться специальные обучения, постоянно контролироваться уровень знаний у сотрудников, должно проводиться тестирование, а так же совершаться внутренние диверсии, которые позволят выявить уровень подготовленности сотрудников в реальных условиях.

Самый важный момент в подготовке пользователей, на который следует указать внимание – это то, что обучение – это циклический процесс, который должен повторяться с периодичностью во времени.

Форма обучения может состоять из таких видов, как:

1. Теоретические занятия.

2. Практикум.
3. Онлайн-семинары.
4. Ролевые игры (т.е. создание модели атаки).

 

 

 

3.1 Теоретические аспекты  создания методики противодействия

 

3.1.1 Создание тренировочных и образовательных программ

Для того чтобы создать методику обучения персонала, которая будет работать, необходимо понять, почему люди уязвимы для атак. Для выявления этих тенденций, необходимо обратить на них внимание благодаря дискуссии – этим можно помочь сотрудникам понять, как социальный инженер может манипулировать людьми.

Манипуляция, как метод воздействия, начала изучаться социальными исследователями в последние 50 лет. Роберт Чалдини (известный американский экспериментальный социальный психолог, известный по книге «Психология влияния»), написал статью в «Американской науке»  (Февраль 2001 года), и объединил там результаты исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.