Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

·   негативное;

·   позитивное.

Негативное означает наказание  за какой-либо проступок в отношении  соблюдения мер безопасности (пример: если во время проверки оказалось, что  сотрудник прилепил лист с паролем  на монитор, то ему должен быть сделан выговор).

Другой метод – «привязать»  заботу о безопасности к годовому отчету о деятельности сотрудника, что, в свою очередь, заставляет понять ее важность и, в конце концов, ответственность  за безопасность ложится на каждого.

Негативное подкрепление может служить для предотвращения серьезных нарушений (например: установка  неавторизованной точки доступа  или модема).

Позитивное подкрепление обеспечивает воодушевлением сотрудников  по заботе о безопасности (пример: вместо поиска нарушителей политики – установление, кого из пользователей следует поощрить за точное следование инструкциям). 

 

3.1.2 Цели, структура и содержание методики противодействия

Главной целью любой обучающей  программы является необходимость  переосмысления сотрудниками своего поведения  и отношения, мотивирования [37, с. 197] их желания защитить и сохранить  информацию организации. Хорошей мотивацией является демонстрация вознаграждения за участие не самой организации, а конкретных сотрудников.

Основными целями при разработке методики обучения персонала и защите информации, является фокусировка внимания на том, что:

·   сотрудники организации могут быть подвержены нападению в любое время;

·   сотрудники должны выучить и понять свою роль в защите информации организации;

·   тренинг по обучению безопасности должен быть более важным, чем просто правила, которые предоставляются для ознакомления.

Организация может считать  цели достигнутыми, если все сотрудники привыкнут к мысли, что защита информации – это часть их обязанностей.

Сотрудники должны полностью  понять, что атаки социальных инженеров  реальны, что потеря обрабатываемой организацией информации угрожает не только организации, но персонально каждому из сотрудников, их работе и благосостоянию.

В своей основе обучающий  тренинг должен быть построен таким  образом, чтобы посещался всеми  сотрудниками. Вновь принятые на работу сотрудники должны проходить тренинг  как часть первоначального ознакомления и знакомства с новой работой [38, с. 75]. Рекомендуется вообще не допускать  сотрудника до работы с компьютером, пока он не ознакомится с обучающим  тренингом и основами информационной безопасности.

Самым первым рекомендуется  занятие, которое посвящено внештатным ситуациям и системам оповещения. Ознакомление с набором коротких важных сообщений заметно облегчит восприятие материала сотрудниками.

Особое значение первого  занятия следует выразить в особой роли гармонии, которая будет царить в организации, после того как  станут руководствоваться данной программой. Более важным, чем обучающие тренировки, будет мотивация, которая должна побудить сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда какие-либо сотрудники не могут посещать общие  занятия, организация должна прибегнуть к другим формам обучения, таким  как видео, компьютерные программы, онлайн?курсы или печатные материалы.

После короткого вводного занятия остальные более длинные  занятия должны быть спланированы так, чтобы все сотрудники внимательно  ознакомились со слабыми местами  и техниками атак, которые могут  применяться конкретно на них.

Завершающим этапом программы  следует проводить получение  подписей сотрудников о соглашении следованию установленных политик  безопасности и принципов поведения. Ответственность, которую должны будут  брать на себя сотрудники, подписав соглашение, поможет избегать сомнений (т.е. поступать как кто-либо просит, или поступать как того требует политики безопасности).

Как минимум один раз в  год необходимо проводить занятия  для повторения всех этих правил.

Начальники отделов должны быть готовы к тому, что им придется тратить время на подчиненных  для того, чтобы помочь им понять и самим поучаствовать в процессе обучения.

Тренинг следует делать в  рабочее время. Это стоит помнить  и при ознакомлении со всеми положениями  организации, новых сотрудников.

Сотрудники организации, которые получили повышение, должны пройти тренинг еще раз в соответствии с их новыми должностными обязанностями.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера  и связанные с ними аспекты  социального инжиниринга, включает:

·   описание того, как атакующие используют навыки социального инжиниринга;

·   описание методов, используемых социальными инженерами для достижения своих целей;

·   меры по предупреждению возможных атак с использованием социального инжиниринга;

·   процедуру обработки подозрительных запросов;

·   последовательность действий при сообщении о попытках или удачных атаках;

·   важность идентификации делающего запрос на получение информации;

·   классификацию информации, процедуры защиты, предоставления важной информации, включая любые данные о системе ее хранения;

·   аннотация ключевых политик безопасности и их назначение;

·   обязанности всех сотрудников следовать политикам безопасности;

·   политики безопасности для паролей компьютеров и голосовой почты;

·   политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов»;

·   ношение бейджей и удостоверений как метод физической защиты;

·   специальные меры в отношении людей, не носящих бейджей. 

 

3.2 Методика противодействия  социальному инжинирингу

Необходимые действия и меры соблюдения правил. Для защиты организаций  и их сотрудников следует применять  комплексные многоуровневые системы  безопасности. Ниже перечислены особенности  и обязанности таких систем:

1. Физическая безопасность – это барьеры, которые ограничивают доступ в здания организации и к корпоративным ресурсам. Так же стоит помнить, что ресурсы организации, например, мусорные контейнеры, которые расположены вне территории организации, физически не защищены [11, с. 70].

2. Данные – это деловая информация (учетные записи, почтовая корреспонденция и так далее). При анализе угроз и планировании мер по защите данных нужно определять принципы обращения с бумажными и электронными носителями данных.

3. Приложения – программы, запускаемые сотрудниками.

4. Компьютеры – это серверы и клиентские системы, которые используются в организации. Защита сотрудников от прямых атак на их компьютеры, проводится путем определения принципов, которые указывают какие программы можно использовать на корпоративных компьютерах.

5. Внутренняя сеть – это сеть, с помощью которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам организации необходимо разъяснять, что они должны делать для организации безопасной работы в любой сетевой среде.

6. Периметр сети – это граница между внутренними сетями организации и внешними, такими как интернет или сети партнерских организаций.

Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового  и Гражданского кодекса РФ [7, с. 156], что может негативно повлиять на возможность дальнейшего трудоустройства  на ответственную должность.

Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации [2, с. 4]. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации  и не поддались на уловки социального  инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к  общению с посторонними лицами.

Другая мера защиты –  это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том  числе сотрудников из филиалов, то вероятность того, что посторонний  человек сможет представиться кем-то из персонала, будет значительно  меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.

Телефонные переговоры. Необходимо, чтобы все в организации, а  особенно работающие с клиентами, соблюдали  определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном  разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.

Необходимо обучить сотрудников  тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной  почте).

Существует три главных  типа атак, направленных на офисные  АТС, во время которых:

·   просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;

·   получают доступ к «свободному» использованию телефона;

·   получают доступ к системе коммуникаций.

Термин для атак такого рода называется – фрикинг. Самый  обычный подход социального инженера – это симулирование роли телефонного  инженера, как показано на рисунке 6.  

 

Рисунок 6 Схема нападения  на офисную АТС

Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает  с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в  организации.

Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).

Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической  поддержки.

Даже когда личность звонящего  установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной  почте, если это не предусмотрено  инструкцией. При четком регламентировании  правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого  правила нельзя, даже если обратившийся утверждает, что эти данные очень  необходимы.

Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости  перезвонить, сотрудник должен убедиться, что в указанной организации  действительно имеется сотрудник  с такой фамилией и что телефон, по которому надо перезвонить действительно  телефон этой организации.

Если сотрудник не может  проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному  начальнику.

Технический отдел должен балансировать между безопасностью  и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Социальные инженеры пытаются создавать такие ситуации, когда  обычный порядок действий разговора  по телефону оказывается неприменимым.

Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой  звонок, возникает ощущение, что  ему позвонили по внутреннему  номеру, и его бдительность снижается). Также требуется, чтобы секретарь  при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал  информацию о нем в журнал, в  том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно  также передавать суть разговора).

Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:

·   аналитик технического отдела должен иметь гарантии аудита всех действий (необходимо вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки);

·   аналитик технического отдела должен иметь структурированную процедуру действий обработки запросов пользователей.

Аудит всех процедур — самый  ценный инструмент в предотвращении инцидента и последующем его  расследовании.

Следует иметь отдельный  идентификатор для работ, связанных  с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения  от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.

Для контроля телефона, следует  использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании  рабочего дня, в связи с этим, социальный инженер может связаться с  необходимым ему сотрудником  в нерабочее время.

Также необходимо постоянное обновление телефонного справочника  для того, чтобы все сотрудники были в курсе о принятии или  увольнении сотрудников.

Для того чтобы классифицировать нападения и определить риски  в организации, необходимо использовать матрицу векторов нападения, целей  нападения и описаний, изложенных в таблице 5.