Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Политика безопасности организации  должна включать положение об управлении жизненным циклом носителей, включая  процедуры разрушения или стирания.

В связи с тем, что атаки  на мусор нельзя считать правонарушениями, следует гарантировать, что персонал организации в полной мере понимает значение выброшенных бумажных или  электронных носителей. Необходимо также управлять внутренними  отходами. 

Одна из самых эффективных  мер при работе с мусором –  это спецификация классификации  данных. Производится назначение различных  категорий информации и определение  того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:

·   конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

·   частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

·   ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);

·   общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).  

 

 

  

 

 

  

 

 

 

Таблица 9 Атаки на мусор

Цели нападения	Описание	Направленность
Бумажные отходы во внешних  урнах	Социальный инженер берет  бумагу из внешне размещенной урны с мусором для захвата любой  уместной информации об организации	Конфиденциальная информация Атака на доверие
Бумажные отходы во внутренних урнах	Социальный инженер берет  бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты	Конфиденциальная информация Атака на доверие
Электронные отходы цифровых носителей	Социальный инженер захватывает  информацию и приложения из выброшенных  электронных носителей, а также  ворует сами носители	Конфиденциальная информация Атака на доверие Ресурсы

«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять  на отдельной изолированной машине все поступающие в организацию  непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов  и передавать носители в технический  отдел для проверки.

В правила технического отдела должны быть включены:

·   каждое действие технической поддержки должно быть запланировано;

·   подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;

·   при проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;

·   каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;

·   пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.

Пропускной режим. При  беспрепятственном передвижении по зданию организации, подвергается опасности  частная информация организации. В  наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно  рисковать.

Единственный выход из этой ситуации – это усилить процедуры  идентификации.

Менее распространенным, но более эффективным методом социального  инжиниринга является личный контакт  с сотрудником.

Ситуация, в которой неправомочный  человек следует за сотрудником, проходя в организацию, является самым простым примером нападения  с использованием социального инжиниринга.

Защищенность от таких  угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной  политике безопасности организации, учитывающей  три области:

·   помещения организации;

·   дом;

·   мобильная работа.

Необходимые действия, при  которых будет невозможно физическое нападение с использованием социального  инжиниринга в пределах организации:

·   идентификация с помощью фотографий на пропусках;

·   книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;

·   карточка посетителя (бейдж посетителя), которая должны быть видна всегда, пока он находится в здании и которая возвращается при уходе;

·   книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;

·   карточка подрядчика (бейдж подрядчика), которая должна быть видна всегда, пока он находится в здании.

Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных  действий социальных инженеров. Охранник обязан следовать следующим правилам:

·   пропускать только сотрудников с пропусками;

·   посетителей регистрировать в журнале при наличии документа подтверждающего личность;

позволять проходить в  помещение только в сопровождении  других сотрудников организации (сопровождение  должно производиться от самого входа  до места назначения и обратно, не позволяя им самостоятельно ходить по организации).

Отступать от этих правил нельзя ни в коем случае.

Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление  народа перед охранником, которое  может затруднить работу охраны.

Пример расположения поста  охраны показан на рисунке 10.

Рисунок 10 Планирование поста  охраны

Область поста охраны слева  позволяет неправомочному посетителю пройти, используя законного служащего  как экран. Пример справа требует, чтобы  любой посетитель шел мимо охранника. Позиция компьютерного терминала  не закрывает взгляд охранника.

Необходимо, чтобы сотрудники охраны просматривали весь проход и  не мешали друг другу, когда они проверяют  каждого человека.

Для того чтобы классифицировать нападения и определить риски  в организации, необходимо использовать матрицу векторов нападения, целей  нападения и описаний, изложенных в таблице 10.

Таблица 10 Физические Нападения

Цели нападения	Описание	Цель
Воровство мобильного идентификатора сотрудника	Социальный инженер наблюдает  за законным пользователем, набирающим имя и пароль для входа в  систему.	Конфиденциальная информация
Воровство домашнего идентификатора сотрудника	Социальный инженер изображает сервис-менеджера для получения  доступа к домашнему компьютеру и запрашивает пользовательский идентификатор и пароль, для проверки успешности обновления	Конфиденциальная информация
Прямой сетевой контакт  через домашнюю сеть сотрудника	Социальный инженер обращается к сети организации через домашнюю сеть сотрудника, изображая сотрудника технического отдела.	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги
Внешний доступ к домашней сети сотрудника	Социальный инженер получает доступ к интернету через необеспеченную домашнюю сеть	Ресурсы
Несопровождаемый доступ к офису организации	Социальный инженер получает доступ под видом авторизованного  сотрудника организации	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги
Обращение к человеку в  офисе организации	Социальный инженер обращается к сотруднику для использования  компьютерного оборудования или  бумажных ресурсов	Конфиденциальная информация Деловое доверие Деловая доступность Ресурсы Деньги

Работа технического отдела. Администраторы баз данных и локальных  сетей, которые работают с программным  обеспечением, располагающие технической  информацией, обязаны устанавливать  личность человека, который обратился  к ним за советом или информацией.

Необходимо сменить учетные  данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.

Те же самые действия необходимо произвести и с телефонными коммутаторами.

Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные  ей.

Для того чтобы меры по обеспечению  безопасности имели смысл – как  для администраторов сети, так  и для сотрудников, использующих сетевые ресурсы – необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.

Для ознакомления сотрудников  с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:

1. Политику сетевых соединений.

2. Процедуры по устранению последствий вторжения.

3. Правила пользования компьютером.

Ознакомление с этими  документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже  по технике безопасности.

1.   Политика сетевых соединений. Документы этого типа должны содержать перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности – какие функции операционной системы используются, ответственные лица за утверждение подключения к сети новых устройств. Так же должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора – что разрешено делать, а что запрещено. Отдельно должна составляться политика сетевых подключений для брандмауэров – с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.

При работе сотрудниками через  виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные  документы с подробным описанием  настройки портативных и настольных компьютеров.

В документации необходимо описать все процедуры получения  учетной записи компьютера, а также  права и привилегии всех типов, которые  могут быть предоставлены учетной  записи, сетевые адреса, которые  могут быть использованы, и способы  их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез  с описанными процедурами и политиками безопасности и происходящие без  ведома ответственных лиц, не допускаются.

При предоставлении сотрудникам  права коммутируемого доступа, сотрудники должны четко понимать, что ни в  коем случае нельзя сообщать информацию, необходимую для такого доступа.

Следует запретить сотрудникам  работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).

При желании сотрудником  получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей  просьбы. При просьбе установки  программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить  персонал технического отдела ее использованию. Ни при каких обстоятельствах  нельзя разрешать сотрудникам загружать  и устанавливать программы из интернета.

Отдельное внимание следует  обратить на попытки доступа к  данным, не имеющим отношения к  служебным обязанностям сотрудника. Такие действия называются «прощупыванием»  сети и должны рассматриваться как  причина для увольнения. Если сотрудник  желает знать, где хранятся данные или  приложения, то он должен обсудить этот вопрос с руководством или техническим  отделом.

2. Устранение последствий вторжения. В организации должен быть специальный сотрудник или сотрудники, которые должны отвечать за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, показывает сотрудникам, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.

В документе, который должен содержать описание процедур по устранению последствий вторжения, следует  дать определение того, что считается  брешью в защите. Это может быть следующее:

·   кража аппаратных средств или программного обеспечения;

·   подбор или разглашение пароля;

·   недопустимая передача кому-либо носителей информации, в том числе дисков, флеш-драйверов и бумажных носителей;

·   совместное использование одной учетной записи либо разглашение имени пользователя и пароля;

·   просмотр сети без соответствующих полномочий;

·   вмешательство в данные или учетную запись другого сотрудника;

·   подозрительное проникновение в сеть извне;

·   компьютерные вирусы;

·   нарушение физического доступа.

Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными  проблемами без заранее написанных инструкций.

3. Инструкции по использованию компьютера. В инструкции по использованию компьютера должно быть ясно прописано, что все компьютерные программы должны предоставляться исключительно организацией; использование на компьютере, принадлежащем организации, или в корпоративной сети посторонних программ запрещается. Следует убедиться, что все сотрудники понимают это и что организация таким образом защищена от возможных судебных разбирательств.

Так же, в документации необходимо отметить о запрете копирования  пользователями принадлежащее организации  программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.

Необходимо обязать сотрудников  сообщать о любых подозрительных действиях или неправомочном  использовании компьютерных ресурсов. На сотрудников также должна возлагаться  ответственность за принятие необходимых  мер по защите данных и программ в пределах их полномочий – в  частности, они не должны оставлять  рабочую станцию, зарегистрированную для работы в сети, без присмотра  на длительное время, (для этого следует  пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.