- Регистрация
- 30.12.20
- Сообщения
- 1,864
- Онлайн
- 62д 2ч 35м
- Сделки
- 0
- Нарушения
- 0 / 1
Технологии - это еще не все
Откуда взялась социальная инженерия? Когда мы говорим о безопасности, в первую очередь на ум приходят передовые технологии и дорогие устройства: системы обнаружения вторжений, системы активного предотвращения, защиты данных от утечки, безопасная аутентификация, авторизация и совместное использование ресурсов. Чтобы чувствовать себя в безопасности, мы тратим немалые деньги и окружаем себя барьерами, сканерами, зондами, жетонами, сканерами отпечатков пальцев или радужной оболочки глаза. Мы устанавливаем системы, которые сканируют и фильтруют трафик на наличие вирусов, червей, троянов, сигнатур атак и других аномалий.
Чтобы обрабатывать данные из стольких систем, мы запускаем новые, которые используются для регистрации событий, их корреляции, анализа и предупреждения об угрозах. Таким образом, может показаться, что, делая так много, с такими большими затратами ресурсов, мы имеем право быть уверенными в безопасности наших систем и данных, обрабатываемых с их помощью. Однако в реальности все обстоит иначе. Сделав так много, мы забыли об основной вещи, которую следует до тошноты повторять в индустрии безопасности: уровень безопасности, как и прочность цепи, определяется не суммой всех ее звеньев, а силой самых слабых из них.
Поэтому мы должны спросить себя: «Что это за ссылка?» Или, еще лучше, «кто это?»
Даже самая совершенная технология не может защитить системы от пользователей. Именно человек, несмотря на все свое совершенство, является самым слабым и ненадежным звеном в цепи, составляющей процесс обеспечения безопасности. В основном это связано с психикой человека, которая, в отличие от алгоритмов, выполняемых процессорами, отличается отсутствием схематичности и непредсказуемости.
Человек, в отличие от техники, может вести себя по-разному при одних и тех же обстоятельствах. На его решения влияют не только входные данные, но также стресс, эмоции, прошлый опыт и другие условия, которых нет в случае технических мер. Социальная инженерия занимается изучением этих условий и взаимосвязи между их возникновением и решениями, принимаемыми людьми. Уроки, которые она преподает, - это главный инструмент в руках социальных инженеров. И именно последние представляют угрозу, от которой нас не могут защитить даже самые дорогие технологии. Именно они могут заставить пользователей, которые чувствуют себя в безопасности среди различных передовых систем безопасности, стать угрозой для самих себя.
Как это работает?
Социальные инженеры не используют передовые технологические знания или инструменты, такие как вирусы или эксплойты, для проведения атаки. В их деятельности навыки межличностного общения важнее технических навыков. Они используют искусно полученную информацию, которая, казалось бы, не имеет отношения к делу, чтобы укрепить доверие к собеседнику и извлечь из него новые данные.
Используя сценарии беседы, подготовленные для различных обстоятельств, они могут, имея только такой узкий материал, как общие контактные данные компании, извлечь ценную информацию от ее сотрудника или убедить его выполнить определенные действия, такие как, например, выполнение действия на своем компьютере или посещения зараженных сайтов. Для этого они могут притвориться, например, сотрудниками интернет-провайдера, подрядчиками или коллегами из другого филиала компании. Примерный сценарий телефонного разговора, представляющий собой атаку социальной инженерии, может выглядеть так:
Приведенный выше сценарий кажется тривиальным. Однако чем это банальнее, тем больше мы недооцениваем связанный с этим риск.
Вернемся к нашей цепочке дорогих и сложных систем безопасности. Именно этого сотрудника с менее чутким вниманием, может обмануть квалифицированный социальный инженер, который является самым слабым звеном. Именно он способен, хотя и неосознанно, помочь злоумышленнику преодолеть даже самые лучшие технические меры безопасности. И именно он, обманчиво чувствуя себя в безопасности, представляет для нас реальную угрозу.
Как себя защитить?
Поскольку технические контрмеры можно обойти с помощью социальной инженерии, для защиты от них также должны быть приняты нетехнические меры. Первый шаг, с которого мы должны начать, - это разработать и внедрить политику безопасности. Он должен содержать, в частности, определения процедур и рекомендаций по раскрытию информации сотрудниками компании и шаблоны документов для предоставления и доступа к конкретным данным. Очень важно, чтобы они применялись не только к незнакомцам, но и к тем, чью личность мы не можем подтвердить. Тот факт, что кто-то представляется нам в телефонном звонке или по электронной почте как конкретное лицо, не обязательно означает, что это так.
Однако простой реализации политики безопасности недостаточно. Безопасность следует рассматривать не как состояние дел, а как непрерывный, контролируемый и улучшаемый процесс. Поэтому очень важным элементом является непрерывное обучение сотрудников с целью выработки навыков обеспечения конфиденциальности информации и ограниченного доверия. Лучшая и наиболее эффективная форма обучения - это специальная подготовка сотрудников по вопросам безопасности. Во время такого обучения они узнают о реальных примерах атак социальной инженерии и узнают, как их распознать и избежать. Подобное обучение, несмотря на его невысокую стоимость, позволяет значительно повысить безопасность организации и осведомленность ее сотрудников.
Тесты социальной инженерии
Хороший способ проверить эффективность наших политик и процедур - запустить контролируемые тесты социальной инженерии. Социальная инженерия, выполняемая по запросу, позволит оценить реальную безопасность организации и может послужить возможностью обучить персонал.
В мире, где повседневные, даже самые простые операции связаны с электронными транзакциями и базами данных, обрабатывающими данные через сети и компьютеры, каждый из нас должен проявлять большую осторожность и ограниченное доверие. Перенос поведения, разработанного политикой компании, в сферу частной жизни может стать хорошим способом повысить уровень вашей безопасности и помочь нам всегда оставаться бдительными.
Откуда взялась социальная инженерия? Когда мы говорим о безопасности, в первую очередь на ум приходят передовые технологии и дорогие устройства: системы обнаружения вторжений, системы активного предотвращения, защиты данных от утечки, безопасная аутентификация, авторизация и совместное использование ресурсов. Чтобы чувствовать себя в безопасности, мы тратим немалые деньги и окружаем себя барьерами, сканерами, зондами, жетонами, сканерами отпечатков пальцев или радужной оболочки глаза. Мы устанавливаем системы, которые сканируют и фильтруют трафик на наличие вирусов, червей, троянов, сигнатур атак и других аномалий.
Чтобы обрабатывать данные из стольких систем, мы запускаем новые, которые используются для регистрации событий, их корреляции, анализа и предупреждения об угрозах. Таким образом, может показаться, что, делая так много, с такими большими затратами ресурсов, мы имеем право быть уверенными в безопасности наших систем и данных, обрабатываемых с их помощью. Однако в реальности все обстоит иначе. Сделав так много, мы забыли об основной вещи, которую следует до тошноты повторять в индустрии безопасности: уровень безопасности, как и прочность цепи, определяется не суммой всех ее звеньев, а силой самых слабых из них.
Поэтому мы должны спросить себя: «Что это за ссылка?» Или, еще лучше, «кто это?»
Даже самая совершенная технология не может защитить системы от пользователей. Именно человек, несмотря на все свое совершенство, является самым слабым и ненадежным звеном в цепи, составляющей процесс обеспечения безопасности. В основном это связано с психикой человека, которая, в отличие от алгоритмов, выполняемых процессорами, отличается отсутствием схематичности и непредсказуемости.
Человек, в отличие от техники, может вести себя по-разному при одних и тех же обстоятельствах. На его решения влияют не только входные данные, но также стресс, эмоции, прошлый опыт и другие условия, которых нет в случае технических мер. Социальная инженерия занимается изучением этих условий и взаимосвязи между их возникновением и решениями, принимаемыми людьми. Уроки, которые она преподает, - это главный инструмент в руках социальных инженеров. И именно последние представляют угрозу, от которой нас не могут защитить даже самые дорогие технологии. Именно они могут заставить пользователей, которые чувствуют себя в безопасности среди различных передовых систем безопасности, стать угрозой для самих себя.
Как это работает?
Социальные инженеры не используют передовые технологические знания или инструменты, такие как вирусы или эксплойты, для проведения атаки. В их деятельности навыки межличностного общения важнее технических навыков. Они используют искусно полученную информацию, которая, казалось бы, не имеет отношения к делу, чтобы укрепить доверие к собеседнику и извлечь из него новые данные.
Используя сценарии беседы, подготовленные для различных обстоятельств, они могут, имея только такой узкий материал, как общие контактные данные компании, извлечь ценную информацию от ее сотрудника или убедить его выполнить определенные действия, такие как, например, выполнение действия на своем компьютере или посещения зараженных сайтов. Для этого они могут притвориться, например, сотрудниками интернет-провайдера, подрядчиками или коллегами из другого филиала компании. Примерный сценарий телефонного разговора, представляющий собой атаку социальной инженерии, может выглядеть так:
- Злоумышленник звонит в нашу компанию, представившись, например, сотрудником интернет-провайдера, и просит связаться с ИТ-отделом.
- Сотрудник узнает, что ИТ-сервис предоставляется внешней компанией X
- Мошенник звонит другому сотруднику, представляющемуся сотрудником компании X, и спрашивает адрес электронной почты, чтобы проверить электронную почту, с которой было сообщено о проблемах.
- Через несколько дней мошенник отправляет на адрес электронной почты специально подготовленное сообщение (как сотрудник компании X) и просит запустить прикрепленный «патч безопасности»
Приведенный выше сценарий кажется тривиальным. Однако чем это банальнее, тем больше мы недооцениваем связанный с этим риск.
Вернемся к нашей цепочке дорогих и сложных систем безопасности. Именно этого сотрудника с менее чутким вниманием, может обмануть квалифицированный социальный инженер, который является самым слабым звеном. Именно он способен, хотя и неосознанно, помочь злоумышленнику преодолеть даже самые лучшие технические меры безопасности. И именно он, обманчиво чувствуя себя в безопасности, представляет для нас реальную угрозу.
Как себя защитить?
Поскольку технические контрмеры можно обойти с помощью социальной инженерии, для защиты от них также должны быть приняты нетехнические меры. Первый шаг, с которого мы должны начать, - это разработать и внедрить политику безопасности. Он должен содержать, в частности, определения процедур и рекомендаций по раскрытию информации сотрудниками компании и шаблоны документов для предоставления и доступа к конкретным данным. Очень важно, чтобы они применялись не только к незнакомцам, но и к тем, чью личность мы не можем подтвердить. Тот факт, что кто-то представляется нам в телефонном звонке или по электронной почте как конкретное лицо, не обязательно означает, что это так.
Однако простой реализации политики безопасности недостаточно. Безопасность следует рассматривать не как состояние дел, а как непрерывный, контролируемый и улучшаемый процесс. Поэтому очень важным элементом является непрерывное обучение сотрудников с целью выработки навыков обеспечения конфиденциальности информации и ограниченного доверия. Лучшая и наиболее эффективная форма обучения - это специальная подготовка сотрудников по вопросам безопасности. Во время такого обучения они узнают о реальных примерах атак социальной инженерии и узнают, как их распознать и избежать. Подобное обучение, несмотря на его невысокую стоимость, позволяет значительно повысить безопасность организации и осведомленность ее сотрудников.
Тесты социальной инженерии
Хороший способ проверить эффективность наших политик и процедур - запустить контролируемые тесты социальной инженерии. Социальная инженерия, выполняемая по запросу, позволит оценить реальную безопасность организации и может послужить возможностью обучить персонал.
В мире, где повседневные, даже самые простые операции связаны с электронными транзакциями и базами данных, обрабатывающими данные через сети и компьютеры, каждый из нас должен проявлять большую осторожность и ограниченное доверие. Перенос поведения, разработанного политикой компании, в сферу частной жизни может стать хорошим способом повысить уровень вашей безопасности и помочь нам всегда оставаться бдительными.