Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Автор работы: Пользователь скрыл имя, 15 Декабря 2013 в 18:49, дипломная работа

Краткое описание

цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа»).
Задачами дипломной работы являются:
1. Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
2. Описание основных способов противодействия социальному инжинирингу.
3. Разработка методики противодействия социальному инжинирингу.

Содержание

Введение……………………………………………………………………………...4
1 Теоретические и методологические основы социального инжиниринга…….8
1.1 Цели социального инжиниринга………………………………………..12
1.2 Техники и виды атак…………………………………………………….17
1.3 Известные социальные инженеры……………………………………...27
2 Анализ состояния изучаемой проблемы в организациях……………………...28
2.1 Краткие характеристики организаций………………………………….28
2.2 Выявление уязвимостей и оценка рисков..…………………………….34
2.3 Предпринятые меры……………………………………………………..44
3 Разработка методики противодействия социальному инжинирингу…………49
3.1 Теоретические аспекты создания методики противодействия….……50
3.1.1 Создание тренировочной и образовательной программы…………..50
3.1.2 Цели, структура и содержание методики обучения персонала…….54
3.2 Методика противодействия социальному инжинирингу…….……….57
Заключение………………………………………………………………………….91
Библиографический список………………………………………………………..94

Прикрепленные файлы: 1 файл

ДИПЛОМсоциальный инжиниринг.docx

— 117.77 Кб (Скачать документ)

Успешные злоумышленники чаще всего используют социальный инжиниринг и проводят атаку манипулируя  пользователями. По этой причине, для  предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного  компонента безопасности.

Объяснение сущности социального  инжиниринга и, в частности, таких  его разновидностей, как гипноз и  нейролингвистическое программирование (НЛП), является взаимодействие между  сознанием и подсознанием. Люди верят  в то, что принимают решения  осознанно, но НЛП и гипноз уже  давно продемонстрировали силу подсознания, а исследования последних лет  подтвердили, что подсознательное  принятие решений опережает сознательное порой на 10 секунд [15, с. 119].

На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить  определенные действия и тем самым  раскрыть конфиденциальную информацию.

Многие профессионалы  информационных технологий придерживаются неправильного представления, считая, что они используют стандартные  продукты по безопасности: файерволы, системы для обнаружения вторжений или серьезные устройства для аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления [23, с. 95].

Кроме технических методов  защиты информации, необходима серьезная  работа с персоналом, обучение сотрудников  применению политики безопасности и  техники противостояния социальным инженерам – только в этом случае система обеспечения информационной безопасности будет комплексной. 

 

1.1 Цели социального инжиниринга

Атака социального инженера разделяется на три стадии подготовки:

1.   Определение точной цели (происходит конкретное определение, за какого рода информацией идет охота и где она находится, причем, в связи со знанием точного местоположения информации на диске или на другом носителе, «операция» проводится очень быстро, и в итоге, никто не определяет такой доступ как НСД).

2.   Сбор информации об объекте обработки (производится изучение жертвы – это позволяет понять характер человека, его уязвимые места, привычки и т.д., источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков).

3.   Разработка плана действий, моральная подготовка/тренировка (происходит проработка сценария, каждое слово сопоставляется с психологической моделью изученной жертвы) [27, с. 46].

Общая схема работы социальных инженеров представлена [24, с. 22] на рисунке 2

Рисунок 2 Общая схема  методов работы социальных инженеров

Социальный инжиниринг, в  совокупности с техническими знаниями систем информационной безопасности, используют для достижения следующих  целей:

1.   Сбор информации о потенциальной жертве.

2.   Получение конфиденциальной информации (для достижения данной цели при продолжительном общении с жертвой, социальный инженер входит в доверие и под удобными предлогами получает необходимую информацию).

3.   Получение информации, необходимой для несанкционированного доступа (НСД) [35, с. 99].

4.   Вынуждение объекта совершить необходимые социальному инженеру действия (т.е. совершение таких действий, которые вынуждают жертву сделать то, что повлечет за собой потенциальную возможность НСД).

Атаки социальных инженеров  представлены [24, с. 13] в виде рисунка 3.

Рисунок 3 Основная схема  воздействия в социальном инжиниринге

Эта схема называется «схема Шейнова». В общем виде она приведена  в книге белорусского психолога  и социолога В.П.Шейнова, который  долгое время занимался психологией  мошенничества [42, с. 89].

Сначала всегда формулируется  цель воздействия на тот или иной объект (под «объектом» понимается жертва, на которую нацелена атака  социального инженера). Далее собирается информация об объекте, с целью обнаружения  наиболее удобных мишеней воздействия, после чего наступает этап, называемый аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т.е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Мишенью является потребность сотрудника в деньгах. О нужде в деньгах узнается на этапе сбора информации. Аттракцией является создание условий, при которых сотрудник будет очень нуждаться в деньгах).

Для того чтобы обойти средства безопасности, социальный инженер находит  способ обмана сотрудника, для раскрытия  информации или получения доступа  к информации.

В большинстве случаев, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты.

Большая часть корпоративной  информации может казаться общедоступной  или не секретной, но она может  быть очень ценна для социального  инженера, потому что может сыграть  существенную роль для большей правдоподобности.

Иногда только одно знание внутренней терминологии может заставить  социального инженера казаться авторитетным и хорошо осведомлённым.

Многие атаки социальной инженерии являются сложными, включая  в себя тщательно планируемый  ряд шагов, сочетая манипуляцию  и технологические знания [31, с. 14].

Чтобы осуществить атаку, социальный инженер полагается на межличностное  взаимодействие (социальные навыки), посредством  которого компрометирует сведения об организации или ее компьютерных системах. Если социальный инженер  не может собрать достаточно сведений из одного источника, то он обращается к другому источнику в той  же организации и, используя информацию, полученную от первого, повышает свою убедительность.

Одна из основных техник социального инжиниринга включает в себя создание чувства доверия  со стороны жертвы. Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение.

Из-за высокого темпа жизни, человеку не хватает времени, чтобы  задуматься над принятием какого-то решения, даже очень важного. Запутанные ситуации, нехватка времени, эмоциональное  напряжение – вот одни из предпосылок. Таким образом, решение принимается  в спешке, полученная информация не анализируется, такой процесс называется автоматическим ответом.

Большинство сотрудников  организаций даже не подозревают  о наличии угроз, связанных с  социальным инжинирингом. Они имеют  доступ к информации, не разбираясь в деталях работы, и не осознавая  важности обрабатываемой информации. Социальный инженер, чаще всего, выбирает своей целью сотрудника с низким уровнем владения компьютером [18, с. 13].

Социальные инженеры используют человеческие чувства. Одно из таких  чувств – это вызов сочувствия у собеседника. При рассказе о  причинах, вызывающих сочувствие у  собеседника, он смягчает свою просьбу.

Так же, социальные инженеры используют профессиональный жаргон, в связи с тем, что сотрудники доверяют тем, кто знает профессиональный жаргон, некую внутреннюю форму общения  их организации, которая скрыта от посторонних  глаз.

Социальный инжиниринг делится  на два вида:

1. Краткосрочный.

2. Долговременный.

Краткосрочный производится за короткий срок времени. Его плюс в том, что он не требует лишних временных ресурсов, а минус заключается  в том, что социальный инженер  не может заставить совершить  человека какие-то значимые действия [25, с. 23].

Долговременный означает, что необходимо потратить много  времени на то, чтобы подчинить  себе человека. Минус – продолжительность  подготовки, плюс в том, что можно  заставить человека совершить более  значимые действия.

Основными причинами реализации угроз социального инжиниринга  являются:

1. Страх – это самый часто используемый и самый опасный психокомплекс человека, существуют десятки разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так [30, с. 368].

2. Любопытство.

3. Жадность.

4. Превосходство.

5. Великодушие и жалость – эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие.

6. Доверчивость – людям свойственно надеяться на лучшее и верить, что именно их никто не обманет, именно этот психокомплекс использовался при организации пирамид «МММ», «Русский Дом Селенга» и т. д.  [14, с. 15].

Как же остановить социальный инжиниринг? «Цена вопроса – 64 миллиона долларов, – говорит Стюарт Макклюр, президент и технический директор «Foundstone». – Единственным успешным методом  противодействия является обучение» [50].

Рич Могулл, директор по исследованиям  «Gartner» в сфере информационной безопасности и рисков, говорит, что  «социальный инжиниринг – более  серьезная проблема, чем хакерство. Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие  тенденции, которые можно эксплуатировать  при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения  в защищенные системы совершаются, и будут совершаться методами социального инжиниринга, а не электронного взлома или хакерства [50].

По словам Могулла, наиболее опасна кража идентификационных  данных, так как большинство преступников «заново изобретают старые аферы» с  применением новой технологии. Мошенники  используют социальный инжиниринг для  кражи идентификационных данных либо из корыстных побуждений, либо для последующего сбора информации об организации. Это не только вмешательство  в бизнес, но и нарушение тайны  личной жизни. Так же мы убеждены, что  в ближайшее десятилетие главную  угрозу для безопасности будет представлять социальный инжиниринг [50].

Социальный инжиниринг так  же успешно применяется для достижения таких целей, как:

1. Извлечение прибыли.

2. Способ ведения статистики.

3. В целях повышения уровня доверия посетителя.

4. Формирование цен.

5. Борьба с конкурентами (например: борьба за клиента в такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие. Цель этого – получение денег обманным путем). 

 

1.2 Техники и виды атак

Естественно, при проведении атаки с использованием социального  инжиниринга так же, как и в  обычных атаках, присутствует классификация  степени доступа при успешно  проведенной атаке. Эта степень  зависит от уровня подготовленности социального инженера и того, кем  является жертва.

Всего уровней четыре, ниже они перечислены в порядке  убывания полномочий:

1. Администратор.

2. Начальник.

3. Пользователь.

4. Знакомый.

В таблице 1 показана вероятность  получения доступа разных уровней  и средства применения (1 – низкая; 2 – средняя; 3 – высокая) [21, с. 14]. 

 

 

  

 

 

  

 

Таблица 1 Вероятность получения  доступа разных уровней

Класс атаки / подготовленность злоумышленника

Новичок

Любитель

Профессионал

Средства применения

Телефон

3

3

3

Электронная почта

2

3

3

Обыкновенная почта

1

3

3

Разговор по Internet

3

3

3

Личная встреча

1

2

3

Уровень общения (отношения)

Официальный

2

3

3

Товарищеский

3

3

3

Дружеский

1

2

3

Степень доступа

Администратор

1

2

3

Начальник

1

2

3

Пользователь

3

3

3

Знакомый

2

3

3


Теперь рассмотрим распространенные техники и виды атак, которыми пользуются социальные инженеры. Все они основаны на особенностях принятия людьми решений, известных как когнитивные  предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, целью которых является заставить человека совершить какое-либо действие, необходимое социальному инженеру. Для достижения поставленного результата используется целый ряд всевозможных тактик:

·   выдача себя за другое лицо;

·   отвлечение внимания;

·   нагнетание психологического напряжения и т.д.

Конечные цели обмана так  же могут быть весьма разнообразными [55].

Техники социального инжиниринга:

1. Претекстинг – это набор действий, осуществляемый по определенному сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, «Skype» и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, социальный инженер просит жертву сообщить ему пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных об объекте атаки. Самая распространенная стратегия при данной технике – использование в начале небольших запросов и упоминание имен реальных людей из организации, в дальнейшем, социальный инженер объясняет, что нуждаются в помощи (большинство людей могут выполнить задачи, которые не воспринимаются ими как подозрительные). Как только доверительная связь установлена, социальный инженер может попросить что-то более существенное и важное.

2. Фишинг (от англ. phishing, от fishing — рыбная ловля, выуживание) – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (например: от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru) [33, с. 95]. В письме содержится прямая ссылка на сайт, который внешне неотличим от настоящего, либо на сайт, содержащий редирект (автоматическое перенаправление пользователей с одного сайта на другой). После попадания на поддельную страницу, происходят попытки различными психологическими приёмами побудить пользователя ввести свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам, банковским счетам и т.п. Техника фишинга первый раз была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе «alt.online-service.America-Online» сети «Usenet» [55]. Пожалуй, это самая популярная схема социального инжиниринга на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок. Чаще всего целью фишеров являются клиенты банков и электронных платёжных систем. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В данный момент множество ссылок на фишинговые сайты, нацелены на кражу регистрационных данных. По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании «Gartner», «в 2008 году жертвы фишеров потеряли 2,4 миллиарда долларов США, в 2009 году – ущерб составил 2,8 миллиарда долларов, в 2010 – 3,2 миллиарда [55].

Информация о работе Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»