Автор: Пользователь скрыл имя, 12 Сентября 2015 в 14:22, дипломная работа
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
Описание основных способов противодействия социальному инжинирингу.
Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………
Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ [7, с. 156], что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.
Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации [2, с. 4]. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уловки социального инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к общению с посторонними лицами.
Другая мера защиты – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.
Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.
Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).
Существует три главных типа атак, направленных на офисные АТС, во время которых:
Термин для атак такого рода называется – фрикинг. Самый обычный подход социального инженера – это симулирование роли телефонного инженера, как показано на рисунке 6.
Рисунок 6 Схема нападения на офисную АТС
Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.
Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).
Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической поддержки.
Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. При четком регламентировании правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные очень необходимы.
Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости перезвонить, сотрудник должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации.
Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному начальнику.
Технический отдел должен балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.
Социальные инженеры пытаются создавать такие ситуации, когда обычный порядок действий разговора по телефону оказывается неприменимым.
Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно также передавать суть разговора).
Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:
Аудит всех процедур — самый ценный инструмент в предотвращении инцидента и последующем его расследовании.
Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.
Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.
Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.
Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 5.
Таблица 5 Телефонные нападения
Цели нападения |
Описание |
Направленность |
Запрос информации организации |
Социальный инженер исполняет роль законного пользователя для получения конфиденциальной информации |
Конфиденциальная информация Деловое доверие |
Телефонный запрос информации |
Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС |
Ресурсы Деньги |
Используя офисную АТС, обратиться к компьютерным системам |
Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией |
Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.
Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:
Электронная почта. Принимаемая информация. Входящие электронные письма могут содержать гиперссылки, которые вынуждают сотрудников к нарушению защиты корпоративной среды. Такой вид мошенничества называется «Фарминг».
Фарминг – это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунках 7 и 8 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 7, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте – «Contoso», но ссылка указывает на организацию по имени «Comtoso».
Рисунок 7 Образец гиперссылки на фишинговый сайт
При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты. Гиперссылка также может указывать на узлы с всплывающими приложениями, которые запрашивают какие-либо данные или предлагают помощь. Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам [1, с. 76]. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:
Рисунок 8 Образец фишингового письма
Примерами могут служить электронные письма, которые содержат предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д. Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.
Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.
Следует сохранить несколько подобных писем для наглядного примера и напоминания сотрудникам о существующей проблеме.
Следует остерегаться вложенных приложений во входящей почте и свободного программного обеспечения.
Необходимо проверять доменные имена, в связи с тем, что вложенный в электронное письмо файл может содержать двойное расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение расширения файлов, выполнив команду «Сервис > Свойства папки» и снять флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например: щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).
Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:
Популярные фишинговые схемы: