- Регистрация
- 26.03.21
- Сообщения
- 275
- Онлайн
- 26д 17ч 38м
- Сделки
- 0
- Нарушения
- 0 / 1
Заключительная часть
Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза. Что остановит его? Ваш файервол? Нет. Мощная система идентификации? Нет. Система обнаружения вторжений? Нет. Шифрование данных? Нет. Ограничение доступа к номерам дозвона модемов? Нет. Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет. Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера. Обеспечение безопасности с помощью технологии, тренировки и процедуры Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников. Единственный путь сохранить разработки Вашего продукта нетронутыми — иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании. Первый шаг — приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку. Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики — это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации. Эта и следующая главы показывают безопасный шаблон (blueprint — синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well— thought —out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабочих. Понимание того, как атакующий может воспользоваться человеческой природой Для того, чтобы разработать действенную программу обучения, Вы должны понять, почему люди в первую очередь уязвимы для атак. Для выделения этих тенденций в вашей программе, например, обратить на них внимание благодаря дискуссии — этим Вы поможете сотрудникам понять, как социальный инженер может манипулировать людьми. Манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа. Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать. Авторитетность Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть или право задавать этот вопрос. В своей книге «Влияние» Dr. Cialdini написал об обучении в 3 госпиталях Мидвестерна, в которых аппараты 22 медсестер соединялись с человеком, который выдавал себя за физиотерапевта, инструктируя административный персонал на выписку рецепта препарата (наркотика?) пациенту. Медсестры, которые получили это указание, не знали звонившего. Они не знали, действительно ли он доктор (а он им не был). Они получали инструкции для выписки рецепта по телефону, что нарушает политику безопасности госпиталя. Препарат, который указывался, не разрешен к применению, а его доза составляла в 2 раза большую, чем допустимая суточная норма — все это может опасно отразиться на состоянии здоровья пациента или даже убить его. Более чем в 95% случаев Cialdini сообщает, что «медсестра брала необходимую дозу из палаты с медикаментами и уже была на пути к палате указанного пациента», где перехватывалась наблюдателем, который сообщал ей об эксперименте. Примеры атак: Социнженер пытается выдать себя за авторитетное лицо из IT департамента или должностное лицо, выполняющее задание компании. Умение расположить к себе Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами. Примеры атак: В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность. Взаимность Мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Когда кто-то делает что-то для нас, мы чувствуем желание отплатить. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность (расположить к себе, а, следовательно, получить информацию) — преподнести неявно обязывающий подарок. Поклонники религиозного культа Хари Кришны очень опытны в умении получать влияние над человеком путем преподнесения подарка — книги или цветка. Если человек пробует вернуть, отказаться от подарка, дарящий мягко настаивает: «Это наш подарок Вам». Этот основной принцип взаимности использовался Кришнами для постоянного увеличения пожертвований. Примеры атак: Сотрудник получает звонок от человека, который называет себя сотрудником IT департамента. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он хочет отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов… Ответственность Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность. Примеры атак: Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это — основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой прароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению. Социальная принадлежность к авторизованным Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так». Примеры атак: Звонящий говорит, что он проверяющий и называет имена других людей из департамента, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат работникам департамента. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва. Ограниченное количество «бесплатного сыра» Еще одна из потенциально опасных для безопасностии информации человеческих черт — вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент. Примеры атак: Атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на примьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося. Типичные методы действий социальных инженеров • Представляться другом-сотрудником • Представляться сотрудником поставщика, партнерской компании, представителем закона • Представляться кем-либо из руководства • Представляться новым сотрудником, просящим о помощи • Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч. • Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи • Отправлять бесплатное ПО или патч жертве для установки • Отправлять вирус или троянского коня в качестве приложения к письму • Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль • Записывание вводимых жертвой клавиш компьютером или программой • Оставлять диск или дискету на столе у жертвы с вредоносным ПО • Использование внутреннего сленга и терминологии для возникновения доверия • Предлагать приз за регистрацию на сайте с именем пользователя и паролем • Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки • Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании • Просить секретаршу принять, а потом отослать факс • Просить отослать документ в место, которое кажущееся локальным • Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник • Притворяться, что он из удаленного офиса и просит локального доступа к почте. Факторы, делающие компанию более уязвимой к атакам Большое количество работников Множество филиалов Информация о местонахождении сотрудников на автоответчике Информация о внутренних телефонах общедоступна Поверхностное обучение правилам безопасности Отсутствие системы классификации информации Отсутствие системы сообщения об инцидентах Классификация информации КЛАССИФИКАЦИЯ ОПИСАНИЕ ПРОДЕДУРА • Публичная Может быть свободно доступна для общественного пользования. Не требует подтверждения личности • Внутренняя Для использования внутри компании Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками. • Личная Информация личного характера, предназначенная для использования только внутри организации. Проверьте, является ли просителя сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям, не являющихся сотрудниками. • Конфиденциальная Известна только людям, которым необходимо это знать внутри организации. Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением менеджера, владельца или создателя. Убедитесь, что просителя подписал договор о неразглашении тайн. Только менеджеры могут сообщать что-либо людям, не работающим в фирме
Последнее редактирование модератором: