Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулирования [41, с. 124]:

1. Авторитетность – людям свойственно желание услужить человеку с авторитетом (пример атаки: социальный инженер пытается выдать себя за авторитетное лицо из IT-отдела или должностное лицо, выполняющее задание организации).
2. Умение расположить к себе – люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами (пример атаки: в разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему знакомо. Также он может сообщить, что он из той же школы или места. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность).
3. Взаимность – человек способен машинально ответить на вопрос, когда получает что-либо взамен. Это один из самых эффективных путей повлиять на человека, чтобы получить благосклонность (пример атаки: сотрудник получает звонок от человека, который называет себя сотрудником IT-отдела. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса).
4. Ответственность – люди имеют привычку исполнять обещанное (пример атаки: атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это – основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению).
5. Социальная принадлежность к авторизованным пользователям – людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения (пример атаки: звонящий говорит, что он проверяющий и называет имена других людей из отдела, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат настоящим сотрудникам названного отдела. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва).
6. Ограниченное количество «бесплатного сыра» – вера в то, что объект делится частью информации, на которую претендуют другие, или, что эта информация доступна только в этот момент (пример  атаки: атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на премьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося).

Организация ответственна за то, чтобы предупредить сотрудников насколько серьезной может быть выдача непубличной информации. Хорошая продуманная информационная  политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание сотрудников о надлежащей работе с корпоративной информацией.

Обучение безопасности в рамках политики организации по защите информации должно проводиться для всех сотрудников без исключения, а не только для сотрудников, у которых есть электронный или физический доступ к информационным активам организации.

В сегодняшних условиях почти все, чем занимаются сотрудники, связано с обработкой информации. Вот почему политика безопасности организации должна распространяться по всему предприятию, независимо от положения сотрудников [3, с. 2].

Разработку противодействий социальному инжинирингу необходимо начать с создания группы людей, которые будут отвечать за безопасность. Они должны отвечать за разработку политик и процедур безопасности, которые должны быть направлены на защиту отдельных сотрудников и сети организации в целом. Эта группа должна включать в себя сотрудников из разных отделов.

В задачи этой группы должны входить такие вещи как:

1. Обеспечение поддержки политик и процедур безопасности.
2. Помощь в разработке учебно-методических материалов для сотрудников.

Сотрудник, ответственный за разработку программы информационной безопасности должен выработать специфические требования для отдельных групп сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для следующих групп персонала:

1. Менеджеры.
2. IT-сотрудники.
3. Пользователи ПК.
4. Обслуживающий персонал.
5. Администраторы и их ассистенты.
6. Техники связи.
7. Охранники (требуется краткий курс обучения).

Технические методы обучения должны включать:

1. Демонстрацию социального инжиниринга при помощи игры по ролям.
2. Обзорные медиаотчеты о последних атаках на другие организации.
3. Обсуждения путей предотвращения потери информации.
4. Просмотр специальных видеоматериалов по безопасности.

Организация обязана не только иметь прописанные правила политик безопасности, но и побуждать сотрудников, работающих с корпоративной информацией или компьютерной системой, старательно изучать и следовать этим правилам. Более того, необходимо убедиться, что все сотрудники организации  понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.

Правила безопасности должны быть реалистичными, они не должны призывать сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что необходимо выполнять поручения по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации самой и сотрудников.

Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят свое ежедневное поведение. Для этого необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов:

• негативное;
• позитивное.

Негативное означает наказание за какой-либо проступок в отношении соблюдения мер безопасности (пример: если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему должен быть сделан выговор).

Другой метод – «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность за безопасность ложится на каждого.

Негативное подкрепление может служить для предотвращения серьезных нарушений (например: установка неавторизованной точки доступа или модема).

Позитивное подкрепление обеспечивает воодушевлением сотрудников по заботе о безопасности (пример: вместо поиска нарушителей политики – установление, кого из пользователей следует поощрить за точное следование инструкциям).

3.1.2 Цели, структура и содержание методики противодействия

Главной целью любой обучающей программы является необходимость переосмысления сотрудниками своего поведения и отношения, мотивирования [37, с. 197] их желания защитить и сохранить информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.

Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:

• сотрудники организации могут быть подвержены нападению в любое время;
• сотрудники должны выучить и понять свою роль в защите информации организации;
• тренинг по обучению безопасности должен быть более важным, чем просто правила, которые предоставляются для ознакомления.

Организация может считать цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации – это часть их обязанностей.

Сотрудники должны полностью понять, что атаки социальных инженеров реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.

В своей основе обучающий тренинг должен быть построен таким образом, чтобы посещался всеми сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг как часть первоначального ознакомления и знакомства с новой работой [38, с. 75]. Рекомендуется вообще не допускать сотрудника до работы с компьютером, пока он не ознакомится с обучающим тренингом и основами информационной безопасности.

Самым первым рекомендуется занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.

Особое значение первого занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда какие-либо сотрудники не могут посещать общие занятия, организация должна прибегнуть к другим формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.

После короткого вводного занятия остальные более длинные занятия должны быть спланированы так, чтобы все сотрудники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно на них.

Завершающим этапом программы следует проводить получение подписей сотрудников о соглашении следованию установленных политик безопасности и принципов поведения. Ответственность, которую должны будут брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).

Как минимум один раз в год необходимо проводить занятия для повторения всех этих правил.

Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.

Тренинг следует делать в рабочее время. Это стоит помнить и при ознакомлении со всеми положениями организации, новых сотрудников.

Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социального инжиниринга, включает:

• описание того, как атакующие используют навыки социального инжиниринга;
• описание методов, используемых социальными инженерами для достижения своих целей;
• меры по предупреждению возможных атак с использованием социального инжиниринга;
• процедуру обработки подозрительных запросов;
• последовательность действий при сообщении о попытках или удачных атаках;
• важность идентификации делающего запрос на получение информации;
• классификацию информации, процедуры защиты, предоставления важной информации, включая любые данные о системе ее хранения;
• аннотация ключевых политик безопасности и их назначение;
• обязанности всех сотрудников следовать политикам безопасности;
• политики безопасности для паролей компьютеров и голосовой почты;
• политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов»;
• ношение бейджей и удостоверений как метод физической защиты;
• специальные меры в отношении людей, не носящих бейджей.

3.2 Методика противодействия социальному инжинирингу

Необходимые действия и меры соблюдения правил. Для защиты организаций и их сотрудников следует применять комплексные многоуровневые системы безопасности. Ниже перечислены особенности и обязанности таких систем:

1. Физическая безопасность – это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены [11, с. 70].
2. Данные – это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.
3. Приложения – программы, запускаемые сотрудниками.
4. Компьютеры – это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.
5. Внутренняя сеть – это сеть, с помощью которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.
6. Периметр сети – это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.