Методы борьбы с фишингом, созданные для защиты от фишинга:

1. Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.

2. Технические методы:

2.1. Использование браузеров, которые предупреждают об угрозе фишинга.

2.2. Создание списка фишинговых сайтов и последующая сверка с ним.

2.3. Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.

2.4. Усложнение процедуры авторизации (например: сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).

2.5. Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).

2.6. Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).

Отправляемая информация. Необходимо выстроить систему, которая будет обеспечивать безопасность пересылки важной информации какому-то незнакомому лично отправителю. Так же необходимо разработать особые процедуры для передачи файлов с важной информацией.

При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения его личности. Также должны быть установлены различные уровни доступа к информации.

Способы, которые следует применить:

1. Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).

2. Необходимо хранить историю всех транзакций.

3. Необходимо утвердить список сотрудников, которые имеют право отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.

4. При запросе на информацию в письменном виде (е_мэйл, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.

Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают подобные сведения (в том числе нельзя переходить по ссылкам в таких сообщениях).

Для контроля электронной почты в организациях следует сделать единый почтовый сервер, которым будут пользоваться все сотрудники организации или филиалов в отдельности.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 6.

Таблица 6 Интерактивные Почтовые нападения

Цели нападения	Описание	Направленность
Воровство информации, которая принадлежит организации	Социальный инженер играет роль внутреннего пользователя, для получения информации организации	Конфиденциальная информация Деловое доверие
Воровство финансовой информации	Социальный инженер использует фишинг, вишинг, фарминг для запроса конфиденциальной информации (например: подробности учетной записи)	Деньги Конфиденциальная информация
Загрузка вредоносного ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО	Атака на ресурсы Доступность Деньги

Всплывающие приложения и диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера в пределах компьютерной сети, через которую в последующем начинается фишинг-атака или иные почтовые нападения на другие организации или физические лица.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 7.

Таблица 7 Он-лайн атака с помощью всплывающих приложений или диалоговых окон

Цели нападения	Описание	Направленность
Воровство персональной информации	Социальный инженер запрашивает персональную информацию сотрудника	Конфиденциальная информация Деньги
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника с помощью гиперссылки или вложения, инфицирует сети организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя, с помощью гиперссылки или вложения, загружает хакерское ПО	Атака на ресурсы Доступность Деньги

Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом уровне заблокировать всплывающие окна и автоматические загрузки.

Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.

Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются:

1. Указание в тексте сообщения ссылки на вредоносную программу.

2. Доставка вредоносной программы.

Одной из особенностей служб мгновенного обмена сообщениями является неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет социальному инженеру гораздо легче выдавать себя за другого человека и значительно повышает шансы на успешное проведение атаки. На рисунке 9 показно, как работает имитация при использовании IM.

Рисунок 9 Имитация при использовании IM

Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает IM-сообщение, исходя из соображений, что получатели примут их за сообщения от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.

При использовании в организации программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований:

· выбрать одну платформу для мгновенного обмена сообщениями;

· определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;

· определить принципы установления новых контактов;

· задать стандарты выбора паролей;

Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:

1. Блокирование общих портов брандмауэрами.

2. Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;

3. Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.

В таблице 8 наглядно указаны цели нападения, описание нападения и направленность нападения с помощью IM.

Таблица 8 Нападения IM передачи сообщений

Цели нападения	Описание	Направленность
Запрос о конфиденциальной информации организации	Социальный инженер, исполняя роль коллеги, использует IM имитацию, для запроса деловой информации	Конфиденциальная информация Доверие
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, загружает хакерское ПО	Атака на ресурсы Доступность Деньги

В целом, методы защиты от социального инжиниринга при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты [12, с. 20].

Пароли. Все сотрудники, имеющие доступ к информации, должны четко понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.

Сотрудники должны подозрительно относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.

Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор заглавных и строчных букв, различных символов и цифр. А также размер должен быть никак не меньше шести-семи символов.

Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно было взломать и воспользоваться им.

Пароли, которые часто взламывают:

· электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;

· ICQ, особенно короткие номера;

· Skype;

· ВКонтакте.

Пароли, которые легко взломать:

· дата рождения;

· 111, 333, 777 или что вроде этого;

· 12345 или qwerty - буквы клавиатуры идущие подряд;

· простые имена - sergey, vovan, lena;

· русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.

Защищенным паролем является:

· длинный (8-15 символов);

· сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);

· не из словаря, т.е. не слово, и не имя;

· отдельный пароль для каждого отдельного сервиса;

· не связанный с сотрудником (адрес, номер сотового и т.д).

Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем. Остальные пароли можно группировать. Например:

· Простой пароль и логин для регистрации во всех временных и не важных мест;

· Надежный пароль для всех форумов и социальных сетей и т.д.;

Самый сложный и охраняемый пароль должен быть для электронной почты. Связано это с тем, что если получить доступ к электронной почте, то можно получить доступ ко всем местам, где производилась регистрация. Поэтому этот пароль должен быть надежным.

Ни в коем случае нельзя создавать в компьютере папку с паролями, лучше запомнить или записать на бумаге. Если пароли сохранены на бумаге, то необходимо сделать вторую копию и хранить оригинал и копию в недоступном месте, подальше от чужих глаз.

Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.

При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.

Обратный социальный инжиниринг строится на трех факторах:

· создание ситуации, которая вынуждает человека обратиться за помощью;

· реклама своих услуг или опережение оказания помощи другими людьми;

· оказание помощи и воздействие.

Если незнакомый человек оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.

Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в области использования компьютеров.

Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.

Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.

Одна основная часть решения: необходимо назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы.

Личностный подход. Самым простым способом получения информации для социального инженера является просьба. Существует четыре разновидности такого подхода:

· запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);

· убеждение (самые обычные формы убеждения включают лесть);

· использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);

· помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).

Схема с использованием запугивания с ссылкой на авторитет работает особенно хорошо в том случае, когда сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании важного человеческого имени пропадают не только подозрения, но и появляются такие свойства, как внимательность.

Защитой против нападения запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.

Необходимо помнить, что неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.

Защитой от убеждения является строгое следование инструкциям и политикам безопасности.

Нападения «помощи» могут быть сокращены, если имеется эффективная техническая поддержка. Внутренний помощник - часто результат потери доверия к существующим услугам технического отдела организации. Для предотвращения таких атак:

· необходимо закрепить в политике безопасности, что технический отдел - это единственное место, куда нужно сообщать о проблемах;

· следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;

· необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.

Существует два правила, которые позволяют избежать такие типы атак.

1. Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.

2. Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а так же должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» [4] работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально для тех сотрудников, которым этого мало, можно объяснить, что вся коммерческая информация является собственностью работодателя. Из чего следует, что воровство такой информации можно рассматривать как воровство имущества, что является предметом соответствующей статьи Уголовного кодекса (ст. 159 УК РФ) [8, с. 54]. Кроме того, можно сообщить сотрудникам, что за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав») [8]. Практика показывает, что когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о не разглашении коммерческой тайны организации»).

Так же сотрудникам следует знать несколько правил, которых желательно придерживаться и стараться не откланяться от данного списка. Это даст возможность при попытке манипулирования социальным инженером, заметить и пресечь эти действия.

1. Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.

2. Споры. Любой спор необходимо избегать - это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.

3. Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.

4. Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.

5. Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.

Информация на бумажных носителях. Необходимо произвести назначение различных категорий информации и определение того, как персонал должен с ними обращаться. Категории должны включать:

· конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

· частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

· ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);

· общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

Предложения по защите от угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.

Анализ мусора. Целенаправленные поиски в мусорном контейнере - общий практикуемый метод для злоумышленников для получения информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 9.

Политика безопасности организации должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания.

В связи с тем, что атаки на мусор нельзя считать правонарушениями, следует гарантировать, что персонал организации в полной мере понимает значение выброшенных бумажных или электронных носителей. Необходимо также управлять внутренними отходами.

Одна из самых эффективных мер при работе с мусором - это спецификация классификации данных. Производится назначение различных категорий информации и определение того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:

· конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

· частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

· ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);

· общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

Таблица 9 Атаки на мусор

Цели нападения	Описание	Направленность
Бумажные отходы во внешних урнах	Социальный инженер берет бумагу из внешне размещенной урны с мусором для захвата любой уместной информации об организации	Конфиденциальная информация Атака на доверие
Бумажные отходы во внутренних урнах	Социальный инженер берет бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты	Конфиденциальная информация Атака на доверие
Электронные отходы цифровых носителей	Социальный инженер захватывает информацию и приложения из выброшенных электронных носителей, а также ворует сами носители	Конфиденциальная информация Атака на доверие Ресурсы

«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять на отдельной изолированной машине все поступающие в организацию непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов и передавать носители в технический отдел для проверки.

В правила технического отдела должны быть включены:

· каждое действие технической поддержки должно быть запланировано;

· подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;

· при проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;

· каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;

· пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.

Пропускной режим. При беспрепятственном передвижении по зданию организации, подвергается опасности частная информация организации. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.

Единственный выход из этой ситуации - это усилить процедуры идентификации.

Менее распространенным, но более эффективным методом социального инжиниринга является личный контакт с сотрудником.

Ситуация, в которой неправомочный человек следует за сотрудником, проходя в организацию, является самым простым примером нападения с использованием социального инжиниринга.

Защищенность от таких угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной политике безопасности организации, учитывающей три области:

· помещения организации;

· дом;

· мобильная работа.

Необходимые действия, при которых будет невозможно физическое нападение с использованием социального инжиниринга в пределах организации:

· идентификация с помощью фотографий на пропусках;

· книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;

· карточка посетителя (бейдж посетителя), которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе;

· книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;

· карточка подрядчика (бейдж подрядчика), которая должна быть видна всегда, пока он находится в здании.

Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных действий социальных инженеров. Охранник обязан следовать следующим правилам:

· пропускать только сотрудников с пропусками;

· посетителей регистрировать в журнале при наличии документа подтверждающего личность;

позволять проходить в помещение только в сопровождении других сотрудников организации (сопровождение должно производиться от самого входа до места назначения и обратно, не позволяя им самостоятельно ходить по организации).

Отступать от этих правил нельзя ни в коем случае.

Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление народа перед охранником, которое может затруднить работу охраны.

Пример расположения поста охраны показан на рисунке 10.

Рисунок 10 Планирование поста охраны

Область поста охраны слева позволяет неправомочному посетителю пройти, используя законного служащего как экран. Пример справа требует, чтобы любой посетитель шел мимо охранника. Позиция компьютерного терминала не закрывает взгляд охранника.

Необходимо, чтобы сотрудники охраны просматривали весь проход и не мешали друг другу, когда они проверяют каждого человека.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 10.

Таблица 10 Физические нападения

Цели нападения	Описание	Цель
Воровство мобильного идентификатора сотрудника	Социальный инженер наблюдает за законным пользователем, набирающим имя и пароль для входа в систему.	Конфиденциальная информация
Воровство домашнего идентификатора сотрудника	Социальный инженер изображает сервис-менеджера для получения доступа к домашнему компьютеру и запрашивает пользовательский идентификатор и пароль, для проверки успешности обновления	Конфиденциальная информация
Прямой сетевой контакт через домашнюю сеть сотрудника	Социальный инженер обращается к сети организации через домашнюю сеть сотрудника, изображая сотрудника технического отдела.	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги
Внешний доступ к домашней сети сотрудника	Социальный инженер получает доступ к интернету через необеспеченную домашнюю сеть	Ресурсы
Несопровождаемый доступ к офису организации	Социальный инженер получает доступ под видом авторизованного сотрудника организации	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги
Обращение к человеку в офисе организации	Социальный инженер обращается к сотруднику для использования компьютерного оборудования или бумажных ресурсов	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги

Работа технического отдела. Администраторы баз данных и локальных сетей, которые работают с программным обеспечением, располагающие технической информацией, обязаны устанавливать личность человека, который обратился к ним за советом или информацией.

Необходимо сменить учетные данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.

Те же самые действия необходимо произвести и с телефонными коммутаторами.

Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные ей.

Для того чтобы меры по обеспечению безопасности имели смысл - как для администраторов сети, так и для сотрудников, использующих сетевые ресурсы - необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.

Для ознакомления сотрудников с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:

1. Политику сетевых соединений.

2. Процедуры по устранению последствий вторжения.

3. Правила пользования компьютером.

Ознакомление с этими документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже по технике безопасности.

1. Политика сетевых соединений. Документы этого типа должны содержать перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности - какие функции операционной системы используются, ответственные лица за утверждение подключения к сети новых устройств. Так же должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора - что разрешено делать, а что запрещено. Отдельно должна составляться политика сетевых подключений для брандмауэров - с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.

При работе сотрудниками через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.

В документации необходимо описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез с описанными процедурами и политиками безопасности и происходящие без ведома ответственных лиц, не допускаются.

При предоставлении сотрудникам права коммутируемого доступа, сотрудники должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа.

Следует запретить сотрудникам работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).

При желании сотрудником получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей просьбы. При просьбе установки программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить персонал технического отдела ее использованию. Ни при каких обстоятельствах нельзя разрешать сотрудникам загружать и устанавливать программы из интернета.

Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям сотрудника. Такие действия называются «прощупыванием» сети и должны рассматриваться как причина для увольнения. Если сотрудник желает знать, где хранятся данные или приложения, то он должен обсудить этот вопрос с руководством или техническим отделом.

2. Устранение последствий вторжения. В организации должен быть специальный сотрудник или сотрудники, которые должны отвечать за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, показывает сотрудникам, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.

В документе, который должен содержать описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:

· кража аппаратных средств или программного обеспечения;

· подбор или разглашение пароля;

· недопустимая передача кому-либо носителей информации, в том числе дисков, флеш-драйверов и бумажных носителей;

· совместное использование одной учетной записи либо разглашение имени пользователя и пароля;

· просмотр сети без соответствующих полномочий;

· вмешательство в данные или учетную запись другого сотрудника;

· подозрительное проникновение в сеть извне;

· компьютерные вирусы;

· нарушение физического доступа.

Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными проблемами без заранее написанных инструкций.

3. Инструкции по использованию компьютера. В инструкции по использованию компьютера должно быть ясно прописано, что все компьютерные программы должны предоставляться исключительно организацией; использование на компьютере, принадлежащем организации, или в корпоративной сети посторонних программ запрещается. Следует убедиться, что все сотрудники понимают это и что организация таким образом защищена от возможных судебных разбирательств.

Так же, в документации необходимо отметить о запрете копирования пользователями принадлежащее организации программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.

Необходимо обязать сотрудников сообщать о любых подозрительных действиях или неправомочном использовании компьютерных ресурсов. На сотрудников также должна возлагаться ответственность за принятие необходимых мер по защите данных и программ в пределах их полномочий - в частности, они не должны оставлять рабочую станцию, зарегистрированную для работы в сети, без присмотра на длительное время, (для этого следует пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.

Инструкции по использованию компьютера могут включать много нюансов. При ее составлении необходимо учесть следующие моменты:

· недовольство пользователей (в лучшем случае пользователи не станут выполнять слишком строгую инструкцию, которая создает серьезные неудобства, - особенно если им непонятно, насколько эти меры оправданы, в худшем - возможно нарастание скрытой агрессии и открытый конфликт);

· наказания (если правило подразумевает принятие некоторых болезненных мер, то оно всегда должно выполняться с максимальной значительностью и строгостью, в идеале такие меры должны приниматься один раз);

· сотрудники (в любом документе, который содержит инструкции по использованию сети, должно подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично);

· внешние соединения (еще одной областью, которой часто уделяется недостаточно внимания, являются сотрудники, которые приходят в организацию и получают временный доступ к сети. Для сотрудника, который нанят по контракту для выполнения определенных работ, обязательно должны быть разработаны правила использования компьютера - такие сотрудники должны прочесть эти правила и подписью подтвердить факт ознакомления с ними).

В инструкциях так же должно быть сказано, что сотрудник не имеет права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.

Работа отдела кадров. Очень часто, когда речь заходит о безопасности организации, в том числе, когда дело касается социального инжиниринга, нельзя забывать о том, что опасность может быть внутри организации. Связано это с тем, что у сотрудников могут быть свои пороки. Типами сотрудников являются:

1. Упрямые сотрудники (они упрямы и уверены, что делают что-либо правильно и это не может подлежать никакому критическому обсуждению).

2. Недобросовестные сотрудники (они демонстрируют деловую активность пока за ними наблюдаешь, как только наблюдение прекращается - они перестают работать).

3. Расхитители (по данным Национальной Американской Ассоциации от «50 до 70% убытков организации приходится на кражи, которые совершают сотрудники»). К расхитителям можно отнести и тех сотрудников, которые наняты конкурентами.

Согласно статистике, представленной на рисунке 11, «процент честных сотрудников равен 10, 65% готовы нарушить закон в том случае, если они будут уверены в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых обстоятельствах».

Рисунок 11 Статистика честности сотрудников

Отделу кадров рекомендуется наблюдать за сотрудниками на всех стадиях их развития в организации.

Любой сотрудник в организации всегда проходит три стадии развития:

1. Устройство на работу.

2. Этап работы.

3. Увольнение.

При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью стандартных психологических тестов. Так же следует определить, не принадлежит ли кандидат на должность к одной из категорий «неудобных сотрудников», классификацию и описание которых приведена ниже.

Нельзя допускать в своей организации существования алкогольно-сексуальных групп (речь идет о стиле поведения людей, входящих в эту группу) [28, стр. 186].

Лояльность сотрудников - это означает, что сотрудник доволен работой в организации, как моральном, так и в материальном плане. Всех сотрудников можно разделить на четыре группы:

1. Сотрудники, которые довольны работой в организации, как в моральном, так и в материальном плане.

2. Сотрудники, которые довольны работой в организации в моральном плане, но в материальном плане они не получают достойного вознаграждения за свой труд, при этом относятся к этому снисходительно, т.к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут.

3. Сотрудники, которые работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги (эта группа является опасной, т.к. такого сотрудника можно подкупить).

4. Сотрудники, которые не довольны работой в организации ни в моральном, ни в материальном плане (эта группа сотрудников является самой опасной, т.к. если в организации большинство сотрудников принадлежит именно к этой группе, то такая организация разрушит сама себя.

Нельзя создавать незаменимых сотрудников, связано это с тем, что сотрудник, почувствовавший свою значимость, начинает шантажировать организацию [26, с. 117].

Сообщения от сотрудников, о попытках атак. Служба безопасности обязана предоставить сотрудника или группу, которая сформирована, как орган, в который должны поступать все отчеты о подозрительной деятельности, направленной на атаку организации.

Если есть мнение, что сотрудники раскрыли информацию об организации, необходимо сообщить об этом надлежащим сотрудникам организации: в службу безопасности и/или системным администраторам. Их же можно предупреждать о любой подозрительной или необычной активности.

Если существует подозрение, что были скомпрометированы сведения финансового характера, следует незамедлительно поставить в известность финансовую организацию и заблокировать соответствующие счета. Следует обращать внимание на любые неясные расходные операции по своим счетам.

Необходимо сообщать об инциденте в правоохранительные органы.

Сотрудник должен составить протокол, который описывает попытку атаки, с содержанием следующей информации:

· название;

· отдел;

· цель нападения;

· эффект нападения;

· рекомендации;

· дата;

· подпись.

Все сотрудники должны немедленно сообщать обо всех запросах, которые были сделаны при необычных обстоятельствах.

Также должны сообщать обо всех неудачных попытках установить личность запрашивающего.

Проводя протоколирование попыток атаки, можно идентифицировать их в дальнейшем. Необходимо помнить, что только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем.

Советы по улучшению. Необходимо использовать яркие заставки, которые будут появляться при включении компьютеров у сотрудников, и каждый раз содержать новый совет по безопасности. Сообщение должно быть построено таким образом, чтобы оно не исчезало автоматически, а требовало от сотрудника нажатия на определенную кнопку.

Следует производить постоянные напоминания о безопасности. Для этого можно использовать внутреннюю еженедельную рассылку. Сообщения должны иметь каждый раз разное содержание.

Так же следует использовать короткие аннотации. Необходимо делать несколько маленьких колонок, как маленький экран в собственной газете. В каждой аннотации следует представлять очередное напоминание в коротком и хорошо запоминающемся виде.

Для расширения тренинга рекомендуется активная и яркая программа вознаграждений. Следует объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социального инженера, или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, которое посвящено тренингу, а взломы должны быть широко освещены и разобраны внутри организации [31, с. 204].

Но так же сотрудники должны понимать, что нарушение политик безопасности и установленных процедур и халатность наказуемы.

Заключение

При подготовке дипломной работы мною был изучен широкий спектр существующих сегодня методов социального инжиниринга. Предложена общая классификация угроз организаций.

По статистике 70% несанкционированного доступа к информации происходит с помощью социального инжиниринга, который использует в свою очередь человеческий фактор, и сотрудников, не соблюдающих политики безопасности. Подразделениями в организации, занимающимися безопасностью и кадровой безопасностью, являются технический отдел и отдел кадров. Они должны находиться в тесном и постоянном взаимодействии.

Как можно убедиться - социальный инжиниринг - это мощнейший инструмент в руках умелого психолога, и защита от него не менее важна, чем от других способов взлома. Защита от атак социального инжиниринга несомненно, одно из самых сложных в разработке мероприятий. Данный тип защиты нельзя построить исключительно техническими методами.

Социальный инжиниринг является самым быстрым и легким путем к нарушению информационной безопасности и самым труднообнаруживаемым. Для проведения атак злоумышленники, применяющие методы социального инжиниринга, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут искажать реальность, желая спасти свою репутацию.

Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной информации, содержащейся в их организации.

Если правила безопасности не будут точно описывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что-либо, что облегчит их работу.

Угрозами со стороны социальных инженеров являются: противоправные действия для получения конфиденциальной информации и иной информации, а также действия, наносящие ущерб организациям.

Полностью исключить опасность, исходящую от социального инжиниринга невозможно, но можно сократить риск нанесения ущерба, а в некоторых случаях и исключить его. Если не запускать ситуацию и адекватно реагировать на возникающие проблемы, то будет не сложно добиться весьма высоких результатов.

Для того чтобы снизить эти риски, в данной выпускной квалификационной работе, мной была разработана методика противодействия социальному инжинирингу, которая описывает теоретические аспекты социального инжиниринга, методы воздействия на сотрудников организации, и методы, которых необходимо придерживаться сотрудникам, для снижения реализации угрозы со стороны социальных инженеров.

Также в выпускной квалификационной работе мной была произведена оценка рисков, разработаны требования к процедурам и документациям, которые в последующем были осуществлены.

Комплекс всех мер по противодействию социальному инжинирингу способствует укреплению организаций, их стабильности и безопасности, экономическому развитию, внося тем самым лепту в профилактику экономических преступлений и нарушений, укрепляя экономику на всех уровнях.

Не только против злоумышленников можно применять методы социальной инженерии, они могут оказаться полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в нарушениях, произошедших в организациях. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальный инжиниринг не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Она не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако она, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана. Сотрудники организации должны знать, как лучше всего определять и блокировать атаки, основанные на методах социального инжиниринга.

социальный инжиниринг атака информационный

Библиографический список

1. Гражданский кодекс Российской Федерации: офиц. текст: по состоянию на 1 мар. 2013 г. - М.: ЭЛИТ, 2013 г. - 321 с.

2. Об информации, информатизации и защите информации: ФЗ от 27 июл. 2006 г. №149-ФЗ // РГ - 2006. №4131. - 197 с.

3. Об утверждении Перечня сведений конфиденциального характера: Указ от 23 сен. 2005 г. №1111 // - РГ - 2006. №4531 - 3 с.

4. О защите коммерческой тайны: ФЗ от 29 июл. 2004 г. №98-ФЗ // ГАРАНТ - 2011. №3543. - 168 с.

5. Приказ МЧС России от 28.12.2009 года № 743: офиц. текст - 3 с.

6. Технический регламент о требованиях пожарной безопасности: ФЗ от 22 июл. 2008 г. №123-ФЗ // РГ - 2008. №4720. - 140 с.

7. Трудовой кодекс Российской Федерации: офиц. текст: по состоянию на 19 мая 2013 г. - М.: ЭЛИТ, 2013 г. - 265 с.

8. Уголовный кодекс Российской Федерации: офиц. текст: по состоянию на 24 июл. 2009 г. - М.: ЭЛИТ, 2013 г. - 179 с.

9. Устав ООО «ВДПО» от 22.07.2011 года: офиц. текст - 5 с.

10. Устав ООО «СМ-Уфа» от 25.05.2011 года: офиц. текст - 3 с.

11. Андреева Г.М. Социальная психология: учебник для вузов / Г.М. Андреева - М.: ЭЛИТ, 2003. - 270 с.

12. Баутов А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. - 2012. - № 2. - с. 12-23.

13. Большаков А.А. Основы обеспечения безопасности данных в компьютерных системах и сетях: учебник для вузов / А.А. Большаков, А.Б. Петpяев, В.В. Платонов - М.: РИЦ, 2008. - 528 с.

14. Вихорев С. Как определить источники угроз / С. Вихорев, Р. Кобцев // Открытые системы. - 2012. - № 8. - с. 9-16.

15. Гаврилов А. Социальный инжиниринг в действии / А. Гаврилов // Безопасность. - 2012. - №3. - с. 118-122.

16. Гайкович В.Ю. Основы безопасности информационных технологий: учебник для вузов / В.Ю. Гайкович, Д.В. Ершов - М.: Триумф. 2007. - 351 с.

17. Долгин А.Е. Как защитить информацию: учеб.-методич. пособие / А.Е. Долгин, М.Ю. Потанин. - М.: Феникс, 2008. - 320 с.

18. Ездаков А. Как защитить информацию / А. Ездаков // Сети. - 2010. - № 8. -с. 11-19.

19. Информационная безопасность государственных организаций и коммерческих фирм: учебное пособие / А. В. Волокитин [и др.]; под ред. Л. Д. Реймана - М.: НТЦ «ФИОРД-ИНФО», 2012. - 272с.

20. Катальфамо Д. Противодействие социальной инженерии / Д. Катальфамо // SearchSecurity. - 2010. - №1. - с. 78-82.

21. Касперски К. Секретное оружие социальной инженерии / К. Касперски // Журнал сетевых решений. - 2012. - №9 - с. 12-15.

22. Ключко Н. Современные трансформации методов социальной инженерии / Н. Ключко // Финансовая газета. - 2009. - №37. - с. 79-89.

23. Комаров А. TMS управляет жизненным циклов токенов / А. Комаров // CNews. - 2008. - №10. - с. 90-113.

24. Кузнецов М.В. Социальная инженерия и социальные хакеры: учеб.-метод. пособие / М.В. Кузнецов - С.-Пб.: БХВ-Петербург, 2010 - 368 с.

25. Кузнецов Н. Информационное взаимодействие как объект научного исследования / Н. Кузнецов // Вопросы философии. - 2011. - №1. - с. 21-29.

26. Кузнецов Н.И. Учебник по информационно-аналитической работе: учебник для вузов / Н.И. Кузнецов - М.: Яуза, 2011 - 217 с.

27. Кучук Е. Современный гипноз или социальный инжиниринг. / Е. Кучук // Компьютерная газета. - 2009. - №4. - с. 46-51.

28. Литвак М.Е. Психологическое айкидо: учебное пособие / М.Е. Литвак - М.: Юниор, 2007. - 278 с.

29. Лихоносов А.Г. Безопасность серверных операционных систем: учебник для вузов / А.Г. Лихоносов - М.: МФПУ, 2010 - 210 с.

30. Лукацкий А.В. Обнаружение атак: учеб.-метод. пособие / А.В. Лукацкий - С.-Пб.: БХВ-Петербург, 2009 - 624 с.

31. Митник К.Д. Искусство обмана: учеб.-метод. пособие / К.Д. Митник - NYC: Wiley Books. 2008 - 273 с.

32. Насакин Р. Ботнет / Р. Насакин // Компьютер. - 2007. - №17. - с. 50-61.

33. Петраков А.В. Основы практической защиты информации: учебное пособие / А.В. Петраков. - 3-е изд. - М.: Радио и связь, 2011. - 368с.

34. Плэтт В. Стретегическая разведка: учебник для вузов / В. Плэтт - М.: МИФИ, 2007. - 310 с.

35. Прокофьев И.В. Введение в теоретические основы компьютерной безопасности: учебное пособие / И.В. Прокофьев - М.: МИФИ, 2008. - 287 с.

36. Серегин А. Введение в компьютерную безопасность / А. Серегин // Умный офис. - 2010. - №4. - с. 67-74.

37. Спивак В.А. Организационное поведение и управление персоналом: учебник для вузов / В.А. Спивак - С.-Пб.: Питер, 2008 - 415 с.

38. Форсиф П.Е. Развитие и обучение персонала: учебник для вузов / П.Е. Форсиф - С.-Пб.: Нева, 2009 - 128 с.

39. Хорошко В.А. Методы и средства защиты информации: учебник для вузов / В.А. Хорошко, А.А. Чекатков; под ред. Ю.Ф. Ковтанюка - К.: Юниор, 2013. - 504с.

40. Хоффман Л. Современные методы защиты информации: учеб.-методич. пособие / Л. Хоффман - М.: СР, 2010. - 269 с.

41. Чалдини Р. Психология влияния: учебник для вузов / Р. Чалдини - С.-Пб.: Питер, 2008 - 298 с.

42. Шейнов В.П. Искусство управлять людьми: учеб.-метод. пособие / В.П. Шейнов - Мн.: Харвест. 2005 - 512 с.

43. Шудрова К. Социальная инженерия в информационной безопасности / К. Шудрова // Директор по безопасности. - 2012. - №10. - с. 13-17.

44. Щекин Г.В. Основы кадрового менеджмента: учебник для вузов / Г.В. Щекин - К.: МАУП, 2010 - 280 с.

45. Яремчук С.А. Защита вашего компьютера: учеб.-метод. пособие / С.А. Яремчук - С.-Пб.: Питер, 2011 - 378 с.