Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО "ВДПО" и ООО "Служба Мониторинга-Уфа"

2. Администратор по безопасности - руководитель, который отвечает за организацию разработки политик безопасности и их обновление в соответствии с изменениями требований.

3. Администратор по безопасности IT-систем - технический специалист, который отвечает за разработку политик и процедур обеспечения безопасности IT-инфраструктуры и операций.

4. Администратор по безопасности на объекте - член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.

5. Администратор по информированию сотрудников о способах обеспечения безопасности - руководящий сотрудник (из отдела кадров), который отвечает за разработку и проведение кампаний по информированию сотрудников об угрозах и способах защиты от них.

Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которая была выполнена руководящим комитетом по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения представления о возможных векторах атак, была использована таблица 2:

Таблица 2 Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социального инжиниринга

Направление атаки	Нынешнее положение дел	Комментарии
Сетевые атаки
Электронная почта	На компьютерах всех сотрудников установлена программа Microsoft Outlook	У каждого сотрудника свой свой электронный ящик, что не дает доступность контроля за входящей почтой
Интернет	Сотрудники используют интернет в рабочих и личных целях	Пользование интернетом в личных целях усугубляет положение не возможностью контроля за действиями сотрудников
Всплывающие приложения		На текущий момент никакие технические средства защиты от всплывающих приложений в организации не используются
Служба мгновенного обмена сообщениями	Принятые в организации методики работы допускают неконтролируемое использование различных систем мгновенного обмена сообщениями
Телефонные атаки
Корпоративная телефонная станция	Телефоны используются без определителя внутренних и внешних номеров
Служба поддержки	В настоящее время функции «службы поддержки» бессистемно выполняет технический отдел.	Процессы оказания услуг поддержки необходимо сделать системными
Поиск информации в мусоре
Внутренний мусор	Каждое отделение избавляется от собственного мусора самостоятельно
Внешний мусор	Мусорные контейнеры располагаются на территории организации. Вывоз мусора осуществляется по четвергам
Личностные подходы
Физическая безопасность
Безопасность офисов	Все офисы остаются незапертыми в течение всего рабочего дня
Сотрудники, работающие дома	Письменные стандарты обеспечения безопасности систем сотрудников, работающих дома, отсутствуют.
Другие направления атак и уязвимости, специфические для компании
Подрядчики, работающие на объектах организации		Нет никакой информации о ее сотрудниках и не приняты для них политики безопасности

После основательного понимания имеющихся уязвимостей, была составлена таблица уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социального инжиниринга. В этой таблице описаны рабочие процессы организации в потенциально уязвимых областях. Информация об уязвимостях позволила членам руководящего комитета разработать предварительные варианты требований, которые должны быть включены в политики безопасности (ПБ).

Сначала были определены области, которые могут подвергнуть организацию риску. Выполняя эту задачу, было необходимым учесть все направления атак, описанных в данном документе

При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, были сгруппированы факторы риска в категории и назначены их приоритеты. Ниже перечислены категории риска:

· утечка конфиденциальной информации (УКИ);

· урон репутации организации (УРО);

· снижение работоспособности организации (СРО);

· трата ресурсов (ТР);

· финансовые потери (ФП).

Используя таблицу уязвимостей корпоративной среды, допускающих проведение атак социальных инженеров, руководящим комитетом по обеспечению безопасности были определены для организации требования политик безопасности, типы и уровни риска. При этом была использована таблица 3.

Таблица 3 Форма для определения требований к обеспечению безопасности и оценки факторов риска

Направление атаки	Возможные требования политик	Тип риска	Уровень риска:	Действие
	Изложить ПБ защиты от угроз, основанных на методах социального инжиниринга, в письменной форме
	Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником
	Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком
Сетевые атаки
Электронная почта	Принять ПБ, регламентирующую действия сотрудников при получении вложений конкретных типов	УКИ УРО ФП	3	Разработана ПБ использования электронной почты, создан единый почтовый клиент-сервек
Интернет	Принять ПБ, регламентирующую использование интернета	УКИ СРО ТР ФП	4	Разработана политика использования интернета
Всплывающие приложения	Включить в политику использования интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон	УКИ ТР ФП	3	Разработана политика использования компьютеров
Служба мгновенного обмена сообщениями	Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями	УКИ СРО	2	Разработаны правила по работе со службами мгновенными сообщениями
Телефонные атаки
Корпоративная телефонная станция	Принять политику управления обслуживанием корпоративной телефонной станции	УКИ ФП	2	Разработана политика работы при телефонных переговорах
Служба поддержки	Принять политику, регламентирующую предоставление доступа к данным	УКИ ТР	2	Разработана политика управления доступом
Поиск информации в мусоре
Бумажный мусор	Принять политику утилизации бумажного мусора	УКИ УРО ФП	3	Разработана информационная ПБ
	Определить принципы использования мусорных контейнеров
Электронный мусор	Принять политику утилизации электронного мусора	УКИ УРО ФП	3	Разработана информационная ПБ
Личностные подходы
Физическая безопасность	Принять политику работы с посетителями	УКИ ФП	2	Разработана ПБ работы с посетителями
Безопасность офисов	Принять политику управления идентификаторами и паролями пользователей	УКИ УРО ФП	3	Разработана ПБ идентификации и аутентификации
Сотрудники, работающие дома	Принять политику использования мобильных компьютеров вне организации	УКИ УРО ФП	3	Разработана ПБ работы вне организации
Другие направления атак и уязвимости, специфические для организации
Подрядчики, работающие на объектах организации	Принять политику проверки сотрудников сторонних организаций	УКИ УРО ТР ФП	4	Подписывается соглашение о неразглашении сведений

Для главных областей обеспечения безопасности и факторов риска, руководящим комитетом по обеспечению безопасности была разработана документация, регламентирующая соответствующие процедуры, процессы и бизнес-операции. В таблице 4 показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон определил документы, необходимые для поддержки политики безопасности.

Таблица 4 Требования к процедурам и документации

Требования политик	Требования к процедурам и документации	Дата выполнения действия
Изложить политики защиты от угроз, основанных на методах социального инжиниринга в письменной форме	Отсутствуют	20.12.2012
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с сотрудником	1. Сформулировать новые контрактные требования (отдел кадров)	15.01.2013
	2. Определить новый формат контрактов, заключаемых с сотрудником	15.01.2013
Внести пункт о необходимости соблюдения ПБ в стандартный контракт с подрядчиком	1. Сформулировать новые контрактные требования (отдел кадров)	17.01.2013
	2. Определить новый формат контрактов, заключаемых с подрядчиками	17.01.2013
Принять политику работы с посетителями	1. Разработать процедуру регистрации посетителей при входе на объект и выходе с него	01.02.2013
	2. Разработать процедуру сопровождения посетителей	01.02.2013
Определить принципы использования мусорных контейнеров	1. Разработать процедуру утилизации бумажного мусора	18.01.2013
	2. Разработать процедуру утилизации электронного мусора	18.01.2013
Принять политику, регламентирующую предоставление доступа к данным	1. Разработать информационную ПБ	02.03.2013
	2. Разработать перечни информации	15.02.2013
Принять политику утилизации бумажного мусора	Разработать процедуру утилизации бумажного мусора	18.01.2013
Принять политику утилизации электронного мусора	Разработать процедуру утилизации электронного мусора	18.01.2013
Включить в ПБ использования Интернета явные указания по поводу того, что следует делать при появлении всплывающих диалоговых окон	1. Разработать политику использования интернета	27.12.2012 23.12.2012
	2. Разработать правила действий при всплывающих окнах
Принять политику управления идентификаторами и паролями сотрудников	1. Разработать политику безопасности идентификации и аутентификации	07.04.2013
	2. Разработать процедуры смены и защиты паролей	20.01.2013
Принять ПБ использования мобильных компьютеров вне организации	1. Разработать политику безопасности работы вне организации	03.05.2013
	2. Разработать политику использования компьютеров	15.09.2012

После того, как политики безопасности были задокументированы и утверждены, было проведено информирование сотрудников и разъяснение важности соблюдения этих политик.

Для облегчения реализации этих мер, для технического отдела, выполняющего функции технической поддержки, были разработаны протоколы реагирования на инциденты.

При получении информации об атаке, сотрудники технического отдела стали проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты.

При регистрации инцидента руководящий комитет по обеспечению безопасности начал выяснять, представляет ли он для организации новую или измененную угрозу, и, опираясь на сделанные выводы, создает или обновляет политики и процедуры.

Для управления инцидентами технический отдела использует утвержденный протокол, регистрируя в нем следующую информацию:

· жертва атаки;

· подразделение жертвы;

· дата;

· направление атаки;

· описание атаки;

· результат атаки;

· последствия атаки;

· рекомендации.

Регистрация инцидентов стала позволять определять шаблоны атак и улучшать защиту от будущих атак.

При полном анализе организаций, были выявлены следующие факторы, которые делают организацию уязвимыми к атакам:

1. Большое количество сотрудников. Суммарный штат сотрудников составляет 221 человек. Это позволяет социальному инженеру провести атаку, представившись кем-либо из органов управления или сотрудником из удаленного офиса.

2. Большое количество филиалов. Филиалы находятся в 28 населенных пунктах Республики Башкортостан, и головные офисы находятся в Уфе, что делает географию организаций очень обширной. В связи с этим, социальный инженер может провести атаку представившись кем-либо из органов управления или сотрудником из удаленного офиса.

3. Информация о местонахождении сотрудников. При запросе о местонахождении нужного сотрудника, информация предоставляется в 100% случаев. Такая информация позволяет социальному инженеру использовать такую информацию в корыстных целях, к примеру ссылаясь на сотрудника, местонахождение которого ему известно.

4. Информация о внутренних телефонах и названиях отделов является общедоступной. При запросе какого-либо внутреннего номера или точного названия отдела, информация предоставляется в 90% случаев. Эта информация помогает социальному инженеру досконально изучить внутреннюю структуру организаций, которая при проведении атаки, позволит оперировать ему точными названиями отделов и внутренних телефонов, которые не должны быть общедоступными.

5. Поверхностное обучение правилам безопасности. Отсутствуют какие-либо документы, регламентирующие политики и правила безопасности, так же отсутствие полного обучения сотрудников этим правилам, халатное отношение к безопасности в целом. Это помогает социальному инженеру тем, что сотрудники не обучены тому, как вести себя в тех или иных ситуациях, что в свою очередь позволяет ему манипулировать сотрудниками без особого усилия.

6. Отсутствие системы классификации информации. Все вышеперечисленные типы информации хранятся в одинаковых условиях и месте. Это опасно тем, что документы, которые не должны являться общедоступными, а по своей сути, являются коммерческой тайной, могут перепутаться, потеряться или подобраться посетителями.

7. Отсутствие системы сообщения об инцидентах. Отсутствуют какие-либо сообщения от сотрудников о произошедших инцидентах, касающихся обрабатываемой информации. Социальные инженеры знают, что, даже если их обнаружат, у сотрудника нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает [36, с. 70]. Это позволяет социальному инженеру практически на 100% быть уверенным в том, что сотрудник, на которого может быть произведена атака, не будет писать служебных записок и докладных, что влечет за собой ненаказуемость и не знание других сотрудников о проведенной атаке, в связи с чем, социальный инженер может воспользоваться данным видом атаки вновь и вновь.

8. Отсутствие единого почтового клиент-сервера в организациях и филиалах. Большинство сотрудников пользуются собственными почтовыми сервисами, что создает уязвимости компьютерным сетям организаций. Это позволяет социальному инженеру проникнуть в сеть организации с помощью почтового ящика какого-либо сотрудника из-за того, что не производится проверка входящих писем и по халатности сотрудника.

Следующим этапом выявления уязвимостей были выявлены, сотрудники, которые являются главными объектами атак социальных инженеров.

В первую очередь ими являются:

1. Секретарь в приемной. При возникновении доверия, социальный инженер способен получить телефоны других сотрудников.

2. Сотрудник по работе с клиентами. При представлении каким-либо клиентом, возможно получить информацию по интересующей организации.

3. Телефонные справочники. Они позволяют найти необходимые номера, а так же получить представление о структуре организации, т.е. точные названия отделов, должностей.

4. Удаленные филиалы. Связь с ними осуществляется по телефону или интернету, в связи с чем ухудшается идентификация личности.

2.3 Предпринятые меры

После выявленных угроз, было принято решении о их устранении. Перечень предпринятых действий в организациях включает:

1. Разработка политик безопасности и процедур. Были разработаны такие процедуры и политики безопасности, как:

· информационная политика безопасности (ею целью является определение секретной информации внутри организации и способы ее защиты. Разработанная политика безопасности предусматривает защиту для всех форм информации, как на бумажных носителях, так и в электронном виде [52]);

· политика использования компьютеров. Она определяет собой:

а) кто может использовать компьютерные системы, и каким образом они могут использоваться;

б) что все компьютеры принадлежат организации, и что они предоставляются сотрудникам для работы в соответствии с их должностными обязанностями;

в) запрещает использование компьютеров, для подключения к внутренним системам организации через систему удаленного доступа, не принадлежащих организации, для выполнения работы, связанной с деловой деятельностью организации;

г) что вся информация, хранимая или используемая на компьютерах организации, принадлежит организации;

д) что на компьютерных системах запрещена загрузка неавторизованного программного обеспечения;

е) что сотрудник не должен подразумевать частный статус любой информации, хранимой, отправляемой или получаемой на любых компьютерах организации. Он должен понимать, что любая информация, включая электронную почту, может просматриваться сотрудниками технического отдела. А сотрудники отдела безопасности могут отслеживать все действия, связанные с компьютерами, включая посещение веб-сайтов [53].

· политика безопасности идентификации и аутентификации (важным моментом является установление основного механизма для аутентификации сотрудников и администраторов, в нее включены такие аспекты, как определение минимальной длинны пароля, и других характеристик выбора пароля);

· политика управления доступом (при установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационный механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям);

· политика безопасности сетевых соединений (она описывает правила установки сетевых соединений и используемые механизмы защиты);

· политика использования интернета (она определяет соответствующее назначение и нецелевое использование интернета);

· политики безопасности использования электронной почты. Эта политика оговаривает как внутренние проблемы, так и внешние;

· политики безопасности при проведении телефонных переговорах (определяет правила ведения как внутренних, так и внешних телефонных переговоров);

· политики безопасности работы вне организации (определяет правила работы сотрудников, работающих с информацией вне организации);

· политики безопасности работы с посетителями (она определяет правила для охранников и сотрудников, работающих с посетителями).

а) внутренние проблемы: политика работы с электронной почтой не конфликтует с другими политиками, связанными с сотрудниками организации, но определяет, что сотрудник не должен считать электронную почту частной;

б) внешние проблемы: политика почты определяет, при каких условиях в ней присутствуют ссылки на информационную политику, определяющую методы защиты секретных данных. Так же оговариваются вопросы, связанные с входящей электронной почтой. Она ссылается на политику безопасности организации, в которой говорится о соответствующих мерах, направленных на борьбу с вирусами.

· процедура обработки инцидентов. Она определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. Так же определяет, кто имеет право доступа и что необходимо делать, а так же определяет цели организации, достигаемые при обработке инцидента. Этими целями являются:

а) защита систем организации;

б) защита данных организации;

в) восстановление операций;

г) пресечение деятельности злоумышленника;

д) снижения уровня антирекламы или ущерба.

2. Разработка перечней информации, создание перечня сведений, составляющих коммерческую тайну. В связи с отсутствием подобного рода перечня, было проведено исследование обрабатываемой в организациях информации, с дальнейшей их классификацией и созданием перечня сведений, составляющих коммерческую тайну, некоторые пункты были внесены с перспективой на развитие организаций.

3. Предоставление методического материала, политик безопасности всем сотрудникам. Все сотрудники организаций, под роспись были ознакомлены с политиками безопасности, прошли полные инструктажи и курс по противодействию социальному инжинирингу.

4. Рассылка информационных статей, напоминаний и т.п. с помощью электронной почты, локальной сети и «лично в руки». Сотрудникам, при помощи их электронных почт и локальной сети организации, стали рассылаться постоянно обновляемые информационные статьи, содержащие новости безопасности, а так же постоянные, но разнообразные напоминания по противодействию социальному инжинирингу.

5. Публикация наиболее надежного работника месяца. Данное мероприятие служит своеобразным «пряником» в системе безопасности, т.е. вместо сотрудника, который нарушил политики безопасности, выбирается сотрудник, который выполнил все обязанности по безопасности на 100%, и поощряется.

6. Публикация специальных плакатов в помещениях. Во всех кабинетах была произведена установка плакатов, содержащих тематику безопасности (например: «Болтун - находка для шпиона!).

7. Раздача печатных вкладышей в конвертах с зарплатой. При выдаче денежных средств в конвертах, производится вкладка буклетов с тематикой о безопасности и социальных инженерах, в виде анекдотов и примеров.

8. Создание хранителей экрана и экранных заставок с напоминаниями. Техническим отделом были созданы экранные хранители для рабочих компьютеров, которые выглядят в виде постоянно меняющихся советов и напоминаний о возможных атак социальных инженеров.

9. Вещание напоминаний через голосовую почту. Раз в месяц на голосовые почты сотрудников высылаются заранее записанные в аудио-формате сообщения, содержащие информацию об изменениях в политиках безопасности или советы по противодействию социальному инжинирингу.

10. Создание специальных наклеек на рабочие телефоны. Были придуманы, распечатаны и наклеены специальные наклейки, с короткими фразами, на все рабочие телефоны, для напоминания сотрудникам о возможности угрозы атак социальных инженеров (например: «Звонящий действительно тот, за кого себя выдает?»).

11. Создание системных сообщений в локальной сети. Техническим отделом была создана программа, использующая локальную сеть, и в дальнейшем работающая по принципу всплывающих окон. У всех сотрудников, в определенный момент времени, в углу экрана возникает всплывающее окно с напоминанием (содержание окна постоянно меняется). Закрыть окно, возможно только нажав определенную кнопку.

12. Создание единого почтового клиент-сервера. Был создан единый почтовый клиент-сервер, что позволило техническому отделу контролировать входящую и исходящую почту. В связи с этим, вероятность угрозы связанной с электронной почтой, значительно уменьшилась.

13. Постоянное обсуждение вопроса безопасности на собраниях, пятиминутках и т.д.

Итогом предпринятых действий стало то, что напоминания стали своевременными и постоянными.

3. Разработка методики противодействия социальному инжинирингу

В данной главе анализируется шаблон, который способен обезопасить организацию от атак социального инжиниринга. Если обучение персонала, который занимается обработкой информации, не производится, то это будет длиться до того момента, пока не произойдет потеря информации при помощи социального инжиниринга.

Никакие технические меры защиты информации практически не помогут защититься от социального инжиниринга. Связано это с тем, что социальные инженеры используют слабости не технических средств, а как говорилось, человеческий фактор. В связи с этим, единственный способ противодействовать социальным инженерам - это постоянная и правильная работа с персоналом [51].

Для повышения безопасности в организации, все время должны проводиться специальные обучения, постоянно контролироваться уровень знаний у сотрудников, должно проводиться тестирование, а так же совершаться внутренние диверсии, которые позволят выявить уровень подготовленности сотрудников в реальных условиях.

Самый важный момент в подготовке пользователей, на который следует указать внимание - это то, что обучение - это циклический процесс, который должен повторяться с периодичностью во времени.

Форма обучения может состоять из таких видов, как:

1. Теоретические занятия.

2. Практикум.

3. Онлайн-семинары.

4. Ролевые игры (т.е. создание модели атаки).

3.1 Теоретические аспекты создания методики противодействия

3.1.1 Создание тренировочных и образовательных программ

Для того чтобы создать методику обучения персонала, которая будет работать, необходимо понять, почему люди уязвимы для атак. Для выявления этих тенденций, необходимо обратить на них внимание благодаря дискуссии - этим можно помочь сотрудникам понять, как социальный инженер может манипулировать людьми.

Манипуляция, как метод воздействия, начала изучаться социальными исследователями в последние 50 лет. Роберт Чалдини (известный американский экспериментальный социальный психолог, известный по книге «Психология влияния»), написал статью в «Американской науке» (Февраль 2001 года), и объединил там результаты исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.

Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулирования [41, с. 124]:

1. Авторитетность - людям свойственно желание услужить человеку с авторитетом (пример атаки: социальный инженер пытается выдать себя за авторитетное лицо из IT-отдела или должностное лицо, выполняющее задание организации).

2. Умение расположить к себе - люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами (пример атаки: в разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему знакомо. Также он может сообщить, что он из той же школы или места. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность).

3. Взаимность - человек способен машинально ответить на вопрос, когда получает что-либо взамен. Это один из самых эффективных путей повлиять на человека, чтобы получить благосклонность (пример атаки: сотрудник получает звонок от человека, который называет себя сотрудником IT-отдела. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса).

4. Ответственность - люди имеют привычку исполнять обещанное (пример атаки: атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это - основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению).

5. Социальная принадлежность к авторизованным пользователям - людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения (пример атаки: звонящий говорит, что он проверяющий и называет имена других людей из отдела, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат настоящим сотрудникам названного отдела. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва).

6. Ограниченное количество «бесплатного сыра» - вера в то, что объект делится частью информации, на которую претендуют другие, или, что эта информация доступна только в этот момент (пример атаки: атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на премьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося).

Организация ответственна за то, чтобы предупредить сотрудников насколько серьезной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание сотрудников о надлежащей работе с корпоративной информацией.

Обучение безопасности в рамках политики организации по защите информации должно проводиться для всех сотрудников без исключения, а не только для сотрудников, у которых есть электронный или физический доступ к информационным активам организации.

В сегодняшних условиях почти все, чем занимаются сотрудники, связано с обработкой информации. Вот почему политика безопасности организации должна распространяться по всему предприятию, независимо от положения сотрудников [3, с. 2].

Разработку противодействий социальному инжинирингу необходимо начать с создания группы людей, которые будут отвечать за безопасность. Они должны отвечать за разработку политик и процедур безопасности, которые должны быть направлены на защиту отдельных сотрудников и сети организации в целом. Эта группа должна включать в себя сотрудников из разных отделов.

В задачи этой группы должны входить такие вещи как:

1. Обеспечение поддержки политик и процедур безопасности.

2. Помощь в разработке учебно-методических материалов для сотрудников.

Сотрудник, ответственный за разработку программы информационной безопасности должен выработать специфические требования для отдельных групп сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для следующих групп персонала:

1. Менеджеры.

2. IT_сотрудники.

3. Пользователи ПК.

4. Обслуживающий персонал.

5. Администраторы и их ассистенты.

6. Техники связи.

7. Охранники (требуется краткий курс обучения).

Технические методы обучения должны включать:

1. Демонстрацию социального инжиниринга при помощи игры по ролям.

2. Обзорные медиаотчеты о последних атаках на другие организации.

3. Обсуждения путей предотвращения потери информации.

4. Просмотр специальных видеоматериалов по безопасности.

Организация обязана не только иметь прописанные правила политик безопасности, но и побуждать сотрудников, работающих с корпоративной информацией или компьютерной системой, старательно изучать и следовать этим правилам. Более того, необходимо убедиться, что все сотрудники организации понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.

Правила безопасности должны быть реалистичными, они не должны призывать сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что необходимо выполнять поручения по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации самой и сотрудников.

Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят свое ежедневное поведение. Для этого необходимо позаботиться о соответствующем подкреплении. Оно может быть двух типов:

· негативное;

· позитивное.

Негативное означает наказание за какой-либо проступок в отношении соблюдения мер безопасности (пример: если во время проверки оказалось, что сотрудник прилепил лист с паролем на монитор, то ему должен быть сделан выговор).

Другой метод - «привязать» заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность за безопасность ложится на каждого.

Негативное подкрепление может служить для предотвращения серьезных нарушений (например: установка неавторизованной точки доступа или модема).

Позитивное подкрепление обеспечивает воодушевлением сотрудников по заботе о безопасности (пример: вместо поиска нарушителей политики - установление, кого из пользователей следует поощрить за точное следование инструкциям).

3.1.2 Цели, структура и содержание методики противодействия

Главной целью любой обучающей программы является необходимость переосмысления сотрудниками своего поведения и отношения, мотивирования [37, с. 197] их желания защитить и сохранить информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.

Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:

· сотрудники организации могут быть подвержены нападению в любое время;

· сотрудники должны выучить и понять свою роль в защите информации организации;

· тренинг по обучению безопасности должен быть более важным, чем просто правила, которые предоставляются для ознакомления.

Организация может считать цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации - это часть их обязанностей.

Сотрудники должны полностью понять, что атаки социальных инженеров реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.

В своей основе обучающий тренинг должен быть построен таким образом, чтобы посещался всеми сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг как часть первоначального ознакомления и знакомства с новой работой [38, с. 75]. Рекомендуется вообще не допускать сотрудника до работы с компьютером, пока он не ознакомится с обучающим тренингом и основами информационной безопасности.

Самым первым рекомендуется занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.

Особое значение первого занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда какие-либо сотрудники не могут посещать общие занятия, организация должна прибегнуть к другим формам обучения, таким как видео, компьютерные программы, онлайн_курсы или печатные материалы.

После короткого вводного занятия остальные более длинные занятия должны быть спланированы так, чтобы все сотрудники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно на них.

Завершающим этапом программы следует проводить получение подписей сотрудников о соглашении следованию установленных политик безопасности и принципов поведения. Ответственность, которую должны будут брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).

Как минимум один раз в год необходимо проводить занятия для повторения всех этих правил.

Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.

Тренинг следует делать в рабочее время. Это стоит помнить и при ознакомлении со всеми положениями организации, новых сотрудников.

Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социального инжиниринга, включает:

· описание того, как атакующие используют навыки социального инжиниринга;

· описание методов, используемых социальными инженерами для достижения своих целей;

· меры по предупреждению возможных атак с использованием социального инжиниринга;

· процедуру обработки подозрительных запросов;

· последовательность действий при сообщении о попытках или удачных атаках;

· важность идентификации делающего запрос на получение информации;

· классификацию информации, процедуры защиты, предоставления важной информации, включая любые данные о системе ее хранения;

· аннотация ключевых политик безопасности и их назначение;

· обязанности всех сотрудников следовать политикам безопасности;

· политики безопасности для паролей компьютеров и голосовой почты;

· политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов»;

· ношение бейджей и удостоверений как метод физической защиты;

· специальные меры в отношении людей, не носящих бейджей.

3.2 Методика противодействия социальному инжинирингу

Необходимые действия и меры соблюдения правил. Для защиты организаций и их сотрудников следует применять комплексные многоуровневые системы безопасности. Ниже перечислены особенности и обязанности таких систем:

1. Физическая безопасность - это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены [11, с. 70].

2. Данные - это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.

3. Приложения - программы, запускаемые сотрудниками.

4. Компьютеры - это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.

5. Внутренняя сеть - это сеть, с помощью которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.

6. Периметр сети - это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.

Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ [7, с. 156], что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.

Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации [2, с. 4]. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уловки социального инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к общению с посторонними лицами.

Другая мера защиты - это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.

Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.

Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).

Существует три главных типа атак, направленных на офисные АТС, во время которых:

· просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;

· получают доступ к «свободному» использованию телефона;

· получают доступ к системе коммуникаций.

Термин для атак такого рода называется - фрикинг. Самый обычный подход социального инженера - это симулирование роли телефонного инженера, как показано на рисунке 6.

Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.

Рисунок 6 Схема нападения на офисную АТС

Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).

Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической поддержки.

Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. При четком регламентировании правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные очень необходимы.

Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости перезвонить, сотрудник должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации.

Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному начальнику.

Технический отдел должен балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Социальные инженеры пытаются создавать такие ситуации, когда обычный порядок действий разговора по телефону оказывается неприменимым.

Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно также передавать суть разговора).

Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:

· аналитик технического отдела должен иметь гарантии аудита всех действий (необходимо вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки);

· аналитик технического отдела должен иметь структурированную процедуру действий обработки запросов пользователей.

Аудит всех процедур -- самый ценный инструмент в предотвращении инцидента и последующем его расследовании.

Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.

Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.

Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 5.

Таблица 5 Телефонные нападения

Цели нападения	Описание	Направленность
Запрос информации организации	Социальный инженер исполняет роль законного пользователя для получения конфиденциальной информации	Конфиденциальная информация Деловое доверие
Телефонный запрос информации	Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС	Ресурсы Деньги
Используя офисную АТС, обратиться к компьютерным системам	Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией

Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.

Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:

1. При звонке, организация, услугами которой вы пользуетесь, обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.

2. Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона.

3. Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных - это мошенники, и следует прервать разговор.

Электронная почта. Принимаемая информация. Входящие электронные письма могут содержать гиперссылки, которые вынуждают сотрудников к нарушению защиты корпоративной среды. Такой вид мошенничества называется «Фарминг».

Фарминг - это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунках 7 и 8 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 7, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте - «Contoso», но ссылка указывает на организацию по имени «Comtoso».



Рисунок 7 Образец гиперссылки на фишинговый сайт

При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты. Гиперссылка также может указывать на узлы с всплывающими приложениями, которые запрашивают какие-либо данные или предлагают помощь. Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам [1, с. 76]. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:

· вложенные файлы;

· гиперссылки;

· запросы личной или корпоративной информации, исходящие изнутри организации;

· запросы личной или корпоративной информации, исходящие из-за пределов организации.

Рисунок 8 Образец фишингового письма

Примерами могут служить электронные письма, которые содержат предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д.

Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.

Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.

Следует сохранить несколько подобных писем для наглядного примера и напоминания сотрудникам о существующей проблеме.

Следует остерегаться вложенных приложений во входящей почте и свободного программного обеспечения.

Необходимо проверять доменные имена, в связи с тем, что вложенный в электронное письмо файл может содержать двойное расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение расширения файлов, выполнив команду «Сервис > Свойства папки» и снять флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например: щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).

Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:

· сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;

· обещания огромного денежного приза с минимальными усилиями или вовсе без них;

· запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;

· грамматические, пунктуационные или орфографические ошибки.

Популярные фишинговые схемы:

· мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);

· подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);

· ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО - это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).