Всем привет!
Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность.
Предлагаю вашему вниманию статью Джефри Катальфамо.
Когда дело заходит о защите сети, ИТ-профессионалы обычно прибегают к техническим средствам. Чем больше технологических уровней мы нагромождаем, тем больше разнообразие этих уровней, и следовательно, тем сильнее должна быть защита сетей. Однако компаниям не всегда удается избежать неудач, потому что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент — человеческий фактор.
Успешные злоумышленники часто пользуются социальной инженерией и атакуют защищенные сети опосредованно, манипулируя пользователями. По причине этой общей и постоянной угрозы для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.
Первый и наиболее важный момент, на который нужно указать относительно подготовки пользователей – это то, что обучение есть циклический процесс без начала и конца. Специалисты по социальной инженерии постоянно оттачивают свое мастерство, придумывая новые и оригинальные способы одурачить пользователей или целые организации. И работа службы безопасности сети предприятия заключается в том, чтобы быть в курсе последних «достижений» социнженеров, и предупреждать пользователей о возможных методах, с помощью которых их могут обмануть. Тестирование сети также важно, чтобы обнаружить как области уязвимости, так и относительно защищенные зоны. Результаты тестирования позволяют провести общую системную оценку для улучшения методик противодействия и понимания, куда перенаправить усилия.
Противодействие социнженерам нужно начинать с создания команды, отвечающей за безопасность. Она должна отвечать за разработку политик и процедур, направленных на защиту отдельных пользователей и сети предприятия в целом. Эта команда должна включать в себя сотрудников из разных отделов организации.
В задачи этой команды должно входить обеспечение поддержки всех политик и процедур в их сфере деятельности. Они также должны помогать в разработке учебно-методических материалов для сотрудников. К тому же тренинг по безопасности ИТ должен быть формализованным процессом для каждого вновь взятого на работу, необходимо уделить особое внимание проблемам защиты сети и обучению противодействия социальной инженерии. Это обучение должно сосредоточиться не только на том, как избежать воздействия социальной инженерии, но главное на том, как вести себя в ситуации, когда человек уже столкнулся с реальной атакой. Направления угроз, которые должны быть охвачены в этом процессе обучения, включают:
Взаимодействие лицом-к-лицу: это упражнение обычно называется «как определить ложного поставщика». Ролевая игра представляет собой прекрасный инструмент, демонстрирующий, как самые простые вопросы или настойчивость разгневанного поставщика могут являться стратегическим маневром злоумышленника, который пытается собрать информацию или получить доступ к вашему сайту. Надо разработать политики в отношении совместного использования компьютерных ресурсов вендорами и работниками организации. E-mail: примеры почтовых атак на каждом шагу. Как правило, люди видят несколько подобных входящих писем в неделю; они должны быть сохранены в качестве обучающих, помеченные как подставные email адреса. Также персонал должен быть обучен проверке доменных имен (fdic.com против fdic.gov), т.к. это типичная тактика злоумышленников с которой можно столкнуться. Примерами могут служить электронные письма, содержащие предложение, слишком хорошее, чтобы быть правдой или призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас» «осталось только 20 мест» и т.д. и т.п. Персонал должен уметь разглядеть признаки несоответствия – письмо получено от сотрудника компании, но оно не соответствует корпоративной политике. В таких письмах может отсутствовать блок подписи или шрифты могут не соответствовать корпоративным стандартам. Вэб-сайты: Безопасность вэб-сайтов идет рука об руку с безопасностью электронной почты. Необходимо научить сотрудников просматривать ссылку, указанную в письме не нажимая на нее. Многие фишинговые письма содержат ссылки на сайт злоумышленника. Во многих случаях отображенная ссылка не соответствует основному адресу, с которого получено письмо. Например, письмо, присланное из FDIC (Federal Deposit Insurance Corporation, USA) вряд ли должно направлять вас на FDIC.com.jp, т.к. этот фиктивный домен находится в Японии. Телефон: Должен быть выработан процесс, указывающий как действовать в случае атак по телефону. Персонал должен быть проинструктирован, чтобы слепо не следовать директивам абонента. Учите их правильно и эффективно использовать имеющиеся под рукой ресурсы, такие как определитель номера и внутренние инструкции. Информация на бумажном носителе: целенаправленные поиски в мусорном контейнере — общий практикуемый метод для злоумышленников, чтобы получить информацию, компрометирующую предприятия и отдельных потребителей. Должна быть выработана строгая политика для уменьшения вероятности этой угрозы. Предложения по защите от данных видов угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.
Рекомендации, описанные выше, могут быть использованы в качестве базисной программы для обучения конечных пользователей основам безопасности. Причем обучение должно периодически повторяться и усложняться. А что действительно необходимо для успеха обучающей программы, так это оценка ее компетентной в этой области фирмой – она поможет оценить обучающие программы путем проведения реальных испытаний вашей команды методами социнженеров. За три дня такого “представления” компания сможет оценить успешность вашей программы обучения, выявить недостатки данной программы, а также поможет выявить конкретных лиц, которым может потребоваться корректировка знаний и дополнительное обучение.
После подобного теста, который следует проводить регулярно, необходимо оценить результаты и определить потребности подготовки/переподготовки. Это включает в себя обзор всех соответствующих политик и процедур.
Нарушения правил информационной безопасности может дорого обойтись. Каждый год компании тратят миллиарды долларов в попытке оправиться от подобных инцидентов. Один только ущерб репутации компании может быть достаточным поводом для беспокойства о такого рода проблемах. И хотя ИТ-специалисты могут применять многоуровневые технологии для физической защиты их сетей, крайне важно учитывать человеческий фактор. Отсутствие мер по предотвращению человеческих ошибок внесет ощутимые пробелы в общую систему безопасности компании, неизбежно остающийся след из “хлебных крошек” (специально встраиваемые в программу отладочные операторы) приведут к важной информации клиентов, утечка которой может привести к весьма прискорбным последствиям.
Усилия, прилагаемые организацией для обучения персонала противодействию социальной инженерии, позволяют организации контролировать эти риски и не допускать неприятных инцидентов.
Источник: expo-itsecurity.ru