Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

·   политики безопасности работы вне организации (определяет правила работы сотрудников, работающих с информацией вне организации);

·   политики безопасности работы с посетителями (она определяет правила для охранников и сотрудников, работающих с посетителями).

а) внутренние проблемы: политика работы с электронной почтой не конфликтует  с другими политиками, связанными с сотрудниками организации, но определяет, что сотрудник не должен считать  электронную почту частной;

б) внешние проблемы: политика почты определяет, при каких условиях в ней присутствуют ссылки на информационную политику, определяющую методы защиты секретных данных. Так же оговариваются  вопросы, связанные с входящей электронной  почтой. Она ссылается на политику безопасности организации, в которой говорится о соответствующих мерах, направленных на борьбу с вирусами.

·   процедура обработки инцидентов. Она определяет способы реагирования на возникновение инцидентов, связанных с безопасностью. Так же определяет, кто имеет право доступа и что необходимо делать, а так же определяет цели организации, достигаемые при обработке инцидента. Этими целями являются:

а) защита систем организации;

б) защита данных организации;

в) восстановление операций;

г) пресечение деятельности злоумышленника;

д) снижения уровня антирекламы  или ущерба.

2. Разработка перечней информации, создание перечня сведений, составляющих коммерческую тайну. В связи с отсутствием подобного рода перечня, было проведено исследование обрабатываемой в организациях информации, с дальнейшей их классификацией и созданием перечня сведений, составляющих коммерческую тайну, некоторые пункты были внесены с перспективой на развитие организаций.

3. Предоставление методического материала, политик безопасности всем сотрудникам. Все сотрудники организаций, под роспись были ознакомлены с политиками безопасности, прошли полные инструктажи и курс по противодействию социальному инжинирингу.

4. Рассылка информационных статей, напоминаний и т.п. с помощью электронной почты, локальной сети и «лично в руки». Сотрудникам, при помощи их электронных почт и локальной сети организации, стали рассылаться постоянно обновляемые информационные статьи, содержащие новости безопасности, а так же постоянные, но разнообразные напоминания по противодействию социальному инжинирингу.

5. Публикация наиболее надежного работника месяца. Данное мероприятие служит своеобразным «пряником» в системе безопасности, т.е. вместо сотрудника, который нарушил политики безопасности, выбирается сотрудник, который выполнил все обязанности по безопасности на 100%, и поощряется.

6. Публикация специальных плакатов в помещениях. Во всех кабинетах была произведена установка плакатов, содержащих тематику безопасности (например: «Болтун – находка для шпиона!).

7. Раздача печатных вкладышей в конвертах с зарплатой. При выдаче денежных средств в конвертах, производится вкладка буклетов с тематикой о безопасности и социальных инженерах, в виде анекдотов и примеров.

8. Создание хранителей экрана и экранных заставок с напоминаниями. Техническим отделом были созданы экранные хранители для рабочих компьютеров, которые выглядят в виде постоянно меняющихся советов и напоминаний о возможных атак социальных инженеров.

9. Вещание напоминаний через голосовую почту. Раз в месяц на голосовые почты сотрудников высылаются заранее записанные в аудио-формате сообщения, содержащие информацию об изменениях в политиках безопасности или советы по противодействию социальному инжинирингу.

10. Создание специальных наклеек на рабочие телефоны. Были придуманы, распечатаны и наклеены специальные наклейки, с короткими фразами, на все рабочие телефоны, для напоминания сотрудникам о возможности угрозы атак социальных инженеров (например: «Звонящий действительно тот, за кого себя выдает?»).

11. Создание системных сообщений в локальной сети. Техническим отделом была создана программа, использующая локальную сеть, и в дальнейшем работающая по принципу всплывающих окон. У всех сотрудников, в определенный момент времени, в углу экрана возникает всплывающее окно с напоминанием (содержание окна постоянно меняется). Закрыть окно, возможно только нажав определенную кнопку.

12. Создание единого почтового клиент-сервера. Был создан единый почтовый клиент-сервер, что позволило техническому отделу контролировать входящую и исходящую почту. В связи с этим, вероятность угрозы связанной с электронной почтой, значительно уменьшилась.

13. Постоянное обсуждение вопроса безопасности на собраниях, пятиминутках и т.д.

Итогом предпринятых действий стало то, что напоминания стали  своевременными и постоянными. 

 

 

  

 

 

  

 

 

  

 

 

  

 

3 РАЗРАБОТКА МЕТОДИКИ  ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОМУ ИНЖИНИРИНГУ  

 

В данной главе анализируется  шаблон, который способен обезопасить  организацию от атак социального  инжиниринга. Если обучение персонала, который занимается обработкой информации, не производится, то это будет длиться  до того момента, пока не произойдет потеря информации при помощи социального инжиниринга.

Никакие технические меры защиты информации практически не помогут  защититься от социального инжиниринга. Связано это с тем, что социальные инженеры используют слабости не технических  средств, а как говорилось, человеческий фактор. В связи с этим, единственный способ противодействовать социальным инженерам – это постоянная и  правильная работа с персоналом [51].

Для повышения безопасности в организации, все время должны проводиться специальные обучения, постоянно контролироваться уровень  знаний у сотрудников, должно проводиться  тестирование, а так же совершаться  внутренние диверсии, которые позволят выявить уровень подготовленности сотрудников в реальных условиях.

Самый важный момент в подготовке пользователей, на который следует  указать внимание – это то, что  обучение – это циклический процесс, который должен повторяться с  периодичностью во времени.

Форма обучения может состоять из таких видов, как:

1.   Теоретические занятия.

2.   Практикум.

3.   Онлайн-семинары.

4.   Ролевые игры (т.е. создание модели атаки). 

 

 

  

 

3.1 Теоретические  аспекты создания методики противодействия  

 

3.1.1 Создание тренировочных  и образовательных программ

Для того чтобы создать  методику обучения персонала, которая  будет работать, необходимо понять, почему люди уязвимы для атак. Для  выявления этих тенденций, необходимо обратить на них внимание благодаря  дискуссии – этим можно помочь сотрудникам понять, как социальный инженер может манипулировать людьми.

Манипуляция, как метод  воздействия, начала изучаться социальными  исследователями в последние 50 лет. Роберт Чалдини (известный американский экспериментальный социальный психолог, известный по книге «Психология  влияния»), написал статью в «Американской науке»  (Февраль 2001 года), и объединил там результаты исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.

Это 6 приемов, которые применяются  социальными инженерами наиболее часто  и успешно в попытках манипулирования [41, с. 124]:

1.   Авторитетность – людям свойственно желание услужить человеку с авторитетом (пример атаки:социальный инженер пытается выдать себя за авторитетное лицо из IT-отдела или должностное лицо, выполняющее задание организации).

2.   Умение расположить к себе – люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами (пример атаки: в разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему знакомо. Также он может сообщить, что он из той же школы или места. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность).

3.   Взаимность – человек способен машинально ответить на вопрос, когда получает что-либо взамен. Это один из самых эффективных путей повлиять на человека, чтобы получить благосклонность (пример атаки: сотрудник получает звонок от человека, который называет себя сотрудником IT-отдела. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса).

4.   Ответственность – люди имеют привычку исполнять обещанное (пример атаки: атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это – основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению).

5.   Социальная принадлежность к авторизованным пользователям – людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения (пример атаки: звонящий говорит, что он проверяющий и называет имена других людей из отдела, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат настоящим сотрудникам названного отдела. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва).

6.   Ограниченное количество «бесплатного сыра» – вера в то, что объект делится частью информации, на которую претендуют другие, или, что эта информация доступна только в этот момент (пример  атаки:атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на премьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося).

Организация ответственна за то, чтобы предупредить сотрудников  насколько серьезной может быть выдача непубличной информации. Хорошая  продуманная информационная  политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание сотрудников о надлежащей работе с корпоративной информацией.

Обучение безопасности в  рамках политики организации по защите информации должно проводиться для  всех сотрудников без исключения, а не только для сотрудников, у  которых есть электронный или  физический доступ к  информационным активам организации.

В сегодняшних условиях почти  все, чем занимаются сотрудники, связано  с обработкой информации. Вот почему политика безопасности организации  должна распространяться по всему предприятию, независимо от положения сотрудников [3, с. 2].

Разработку противодействий  социальному инжинирингу необходимо начать с создания группы людей, которые  будут отвечать за безопасность. Они  должны отвечать за разработку политик  и процедур безопасности, которые  должны быть направлены на защиту отдельных  сотрудников и сети организации  в целом. Эта группа должна включать в себя сотрудников из разных отделов.

В задачи этой группы должны входить такие вещи как:

1. Обеспечение поддержки политик и процедур безопасности.

2. Помощь в разработке учебно-методических материалов для сотрудников.

Сотрудник, ответственный  за разработку программы информационной безопасности должен выработать специфические  требования для отдельных групп  сотрудников, участвующих в работе с информацией, обрабатываемой организацией. Тренинги должны проводиться для  следующих групп персонала:

1. Менеджеры.

2. IT?сотрудники.

3. Пользователи ПК.

4. Обслуживающий персонал.

5. Администраторы и их ассистенты.

6. Техники связи.

7. Охранники (требуется краткий курс обучения).

Технические методы обучения должны включать:

1. Демонстрацию социального инжиниринга при помощи игры по ролям.

2. Обзорные медиаотчеты о последних атаках на другие организации.

3. Обсуждения путей предотвращения потери информации.

4. Просмотр специальных видеоматериалов по безопасности.

Организация обязана не только иметь прописанные правила политик  безопасности, но и побуждать сотрудников, работающих с корпоративной информацией  или компьютерной системой, старательно  изучать и следовать этим правилам. Более того, необходимо убедиться, что  все сотрудники организации  понимают причину принятия тех или иных положений в правилах, тогда они не будут пытаться обходить эти правила ради извлечения собственной выгоды.

Правила безопасности должны быть реалистичными, они не должны призывать  сотрудников выполнять слишком  обременительные вещи, которые, скорее всего, будут ими проигнорированы. Также, программа обучения по безопасности должна убедить сотрудников, что  необходимо выполнять поручения  по работе быстро, но кратчайший путь, который пренебрегает системой безопасности, оказывается вредным для организации  самой и сотрудников.

Но, даже ознакомившись со всеми документами и обучением, многие сотрудники вряд ли изменят  свое ежедневное поведение. Для этого  необходимо позаботиться о соответствующем  подкреплении. Оно может быть двух типов: