Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

 

  

 

 

  

 

Продолжение таблицы 3

Направление атаки	Возможные требования политик	Тип риска	Уровень риска:	Действие
Служба мгновенного обмена сообщениями	Принять политику, определяющую поддерживаемые и допустимые клиентские программы мгновенного обмена сообщениями	УКИ СРО	2	Разработаны правила по работе со службами мгновенными сообщениями
Телефонные атаки
Корпоративная телефонная станция	Принять политику управления обслуживанием корпоративной телефонной станции	УКИ ФП	2	Разработана политика работы при телефонных переговорах
Служба поддержки	Принять политику, регламентирующую предоставление доступа к данным	УКИ ТР	2	Разработана политика управления доступом
Поиск информации в мусоре
Бумажный мусор	Принять политику утилизации бумажного мусора	УКИ УРО ФП	3	Разработана информационная ПБ
	Определить принципы использования  мусорных контейнеров
Электронный мусор	Принять политику утилизации электронного мусора	УКИ УРО ФП	3	Разработана информационная ПБ
Личностные подходы
Физическая безопасность	Принять политику работы с  посетителями	УКИ ФП	2	Разработана ПБ работы с  посетителями
Безопасность офисов	Принять политику управления идентификаторами и паролями пользователей	УКИ УРО ФП	3	Разработана ПБ идентификации  и аутентификации
Сотрудники, работающие дома	Принять политику использования  мобильных компьютеров вне организации	УКИ УРО ФП	3	Разработана ПБ работы вне  организации
Другие направления  атак и   уязвимости, специфические для организации
Подрядчики, работающие на объектах организации	Принять политику проверки сотрудников сторонних организаций	УКИ УРО ТР ФП	4	Подписывается соглашение о  неразглашении сведений

Для главных областей обеспечения  безопасности и факторов риска, руководящим  комитетом по обеспечению безопасности была разработана документация, регламентирующая соответствующие процедуры, процессы и бизнес-операции. В таблице 4 показано, как руководящий комитет по обеспечению  безопасности с помощью заинтересованных сторон определил документы, необходимые  для поддержки политики безопасности.

Таблица 4 Требования к процедурам и документации

Требования политик	Требования к  процедурам и документации	Дата выполнения действия
Изложить политики защиты от угроз, основанных на методах социального  инжиниринга в письменной форме	Отсутствуют	20.12.2012
Внести пункт о необходимости  соблюдения ПБ в стандартный контракт с сотрудником	1.   Сформулировать новые контрактные требования (отдел кадров)	15.01.2013
	2.   Определить новый формат контрактов, заключаемых с сотрудником	15.01.2013
Внести пункт о необходимости  соблюдения ПБ в стандартный контракт с подрядчиком	1.   Сформулировать новые контрактные требования (отдел кадров)	17.01.2013
	2.   Определить новый формат контрактов, заключаемых с подрядчиками	17.01.2013
Принять политику работы с  посетителями	1.   Разработать процедуру регистрации посетителей при входе на объект и выходе с него	01.02.2013
	2.   Разработать процедуру сопровождения посетителей	01.02.2013
Определить принципы использования  мусорных контейнеров	1.   Разработать процедуру утилизации бумажного мусора	18.01.2013
	2.   Разработать процедуру утилизации электронного мусора	18.01.2013
Принять политику, регламентирующую предоставление доступа к данным	1.   Разработать информационную ПБ	02.03.2013
	2.   Разработать перечни информации	15.02.2013
Принять политику утилизации бумажного мусора	Разработать процедуру утилизации бумажного мусора	18.01.2013
Принять политику утилизации электронного мусора	Разработать процедуру утилизации электронного мусора	18.01.2013

Продолжение таблицы 4

Требования политик	Требования к  процедурам и документации	Дата выполнения действия
Включить в ПБ использования  Интернета явные указания по поводу того, что следует делать при появлении  всплывающих диалоговых окон	1.   Разработать политику использования интернета	27.12.2012 23.12.2012
	2.   Разработать правила действий при всплывающих окнах
Принять политику управления идентификаторами и паролями сотрудников	1.   Разработать политику безопасности идентификации и аутентификации	07.04.2013
	2.   Разработать процедуры смены и защиты паролей	20.01.2013
Принять ПБ использования  мобильных компьютеров вне организации	1.   Разработать политику безопасности работы вне организации	03.05.2013
	2.   Разработать политику использования компьютеров	15.09.2012

После того, как политики безопасности были задокументированы  и утверждены, было проведено информирование сотрудников и разъяснение важности соблюдения этих политик.

Для облегчения реализации этих мер, для технического отдела, выполняющего функции технической  поддержки, были разработаны протоколы  реагирования на инциденты.

При получении информации об атаке, сотрудники технического отдела стали проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в  соответствии с моделью реагирования на инциденты.

При регистрации инцидента  руководящий комитет по обеспечению  безопасности начал выяснять, представляет ли он для организации новую или  измененную угрозу, и, опираясь на сделанные  выводы, создает или обновляет  политики и процедуры.

Для управления инцидентами  технический отдела использует утвержденный протокол, регистрируя в нем следующую  информацию:

·   жертва атаки;

·   подразделение жертвы;

·   дата;

·   направление атаки;

·   описание атаки;

·   результат атаки;

·   последствия атаки;

·   рекомендации.

Регистрация инцидентов стала  позволять определять шаблоны атак и улучшать защиту от будущих атак.

При полном анализе организаций, были выявлены следующие факторы, которые  делают организацию уязвимыми к  атакам:

1.   Большое количество сотрудников. Суммарный штат сотрудников составляет 221 человек. Это позволяет социальному инженеру провести атаку, представившись кем-либо из органов управления или сотрудником из удаленного офиса.

2.   Большое количество филиалов. Филиалы находятся в 28 населенных пунктах Республики Башкортостан, и головные офисы находятся в Уфе, что делает географию организаций очень обширной. В связи с этим, социальный инженер может провести атаку представившись кем-либо из органов управления или сотрудником из удаленного офиса.

3.   Информация о местонахождении сотрудников. При запросе о местонахождении нужного сотрудника, информация предоставляется в 100% случаев. Такая информация позволяет социальному инженеру использовать такую информацию в корыстных целях, к примеру ссылаясь на сотрудника, местонахождение которого ему известно.

4.   Информация о внутренних телефонах и названиях отделов является общедоступной. При запросе какого-либо внутреннего номера или точного названия отдела, информация предоставляется в 90% случаев. Эта информация помогает социальному инженеру досконально изучить внутреннюю структуру организаций, которая при проведении атаки, позволит оперировать ему точными названиями отделов и внутренних телефонов, которые не должны быть общедоступными.

5.   Поверхностное обучение правилам безопасности. Отсутствуют какие-либо документы, регламентирующие политики и правила безопасности, так же отсутствие полного обучения сотрудников этим правилам, халатное отношение к безопасности в целом. Это помогает социальному инженеру тем, что сотрудники не обучены тому, как вести себя в тех или иных ситуациях, что в свою очередь позволяет ему манипулировать сотрудниками без особого усилия.

6.   Отсутствие системы классификации информации. Все вышеперечисленные типы информации хранятся в одинаковых условиях и месте. Это опасно тем, что документы, которые не должны являться общедоступными, а по своей сути, являются коммерческой тайной, могут перепутаться, потеряться или подобраться посетителями.

7.   Отсутствие системы сообщения об инцидентах. Отсутствуют какие-либо сообщения от сотрудников о произошедших инцидентах, касающихся обрабатываемой информации. Социальные инженеры знают, что, даже если их обнаружат, у сотрудника нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает [36, с. 70]. Это позволяет социальному инженеру практически на 100% быть уверенным в том, что сотрудник, на которого может быть произведена атака, не будет писать служебных записок и докладных, что влечет за собой ненаказуемость и не знание других сотрудников о проведенной атаке, в связи с чем, социальный инженер может воспользоваться данным видом атаки вновь и вновь.

8.   Отсутствие единого почтового клиент-сервера в организациях и филиалах. Большинство сотрудников пользуются собственными почтовыми сервисами, что создает уязвимости компьютерным сетям организаций. Это позволяет социальному инженеру проникнуть в сеть организации с помощью почтового ящика какого-либо сотрудника из-за того, что не производится проверка входящих писем и по халатности сотрудника.

Следующим этапом выявления  уязвимостей были выявлены, сотрудники, которые являются главными объектами  атак социальных инженеров.

В первую очередь ими являются:

1. Секретарь в приемной. При возникновении доверия, социальный инженер способен получить телефоны других сотрудников.

2. Сотрудник по работе с клиентами. При представлении каким-либо клиентом, возможно получить информацию по интересующей организации.

3. Телефонные справочники. Они позволяют найти необходимые номера, а так же получить представление о структуре организации, т.е. точные названия отделов, должностей.

4. Удаленные филиалы. Связь с ними осуществляется по телефону или интернету, в связи с чем ухудшается идентификация личности. 

 

2.3 Предпринятые меры

После выявленных угроз, было принято решении о их устранении. Перечень предпринятых действий в организациях включает:

1. Разработка политик безопасности и процедур. Были разработаны такие процедуры и политики безопасности, как:

·   информационная политика безопасности (ею целью является определение секретной информации внутри организации и способы ее защиты. Разработанная политика безопасности предусматривает защиту для всех форм информации, как на бумажных носителях, так и в электронном виде [52]);

·   политика использования компьютеров. Она определяет собой:

а) кто может использовать компьютерные системы, и каким образом  они могут использоваться;

б) что все компьютеры принадлежат организации, и что  они предоставляются сотрудникам  для работы в соответствии с их должностными обязанностями;

в) запрещает использование  компьютеров, для подключения к  внутренним системам организации через  систему удаленного доступа, не принадлежащих  организации, для выполнения работы, связанной с деловой деятельностью  организации;

г) что вся информация, хранимая или используемая на компьютерах  организации, принадлежит организации;

д) что на компьютерных системах запрещена загрузка неавторизованного  программного обеспечения;

е) что сотрудник не должен подразумевать частный статус любой  информации, хранимой, отправляемой или  получаемой на любых компьютерах  организации. Он должен понимать, что  любая информация, включая электронную  почту, может просматриваться сотрудниками технического отдела. А сотрудники отдела безопасности могут отслеживать  все действия, связанные с компьютерами, включая посещение веб-сайтов [53].

·   политика безопасности идентификации и аутентификации (важным моментом является установление основного механизма для аутентификации сотрудников и администраторов, в нее включены такие аспекты, как определение минимальной длинны пароля, и других характеристик выбора пароля);

·   политика управления доступом (при установке требований к управлению доступом к электронным файлам, механизм доступа и аутентификационный механизм работают в паре, что обеспечивает получение доступа к файлам только авторизованным пользователям);

·   политика безопасности сетевых соединений (она описывает правила установки сетевых соединений и используемые механизмы защиты);

·   политика использования интернета (она определяет соответствующее назначение и нецелевое использование интернета);

·   политики безопасности использования электронной почты. Эта политика оговаривает как внутренние проблемы, так и внешние;

·   политики безопасности при проведении телефонных переговорах (определяет правила ведения как внутренних, так и внешних телефонных переговоров);