Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

·   выбрать одну платформу для мгновенного обмена сообщениями;

·   определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;

·   определить принципы установления новых контактов;

·   задать стандарты выбора паролей;

Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:

1. Блокирование общих портов брандмауэрами.

2. Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;

3. Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.

В таблице 8 наглядно указаны  цели нападения, описание нападения  и направленность нападения с  помощьюIM. 

 

 

  

 

 

 

Таблица 8 Нападения IM передачи сообщений

Цели нападения	Описание	Направленность
Запрос о конфиденциальной информации организации	Социальный инженер, исполняя роль коллеги, использует IM имитацию, для  запроса деловой информации	Конфиденциальная информация Доверие
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок  или вложений, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок  или вложений, загружает хакерское  ПО	Атака на ресурсы Доступность Деньги

В целом, методы защиты от социального  инжиниринга при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты [12, с. 20].

Пароли. Все сотрудники, имеющие  доступ к информации, должны четко  понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.

Сотрудники должны подозрительно  относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.

Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор  заглавных и строчных букв, различных  символов и цифр. А также размер должен быть никак не меньше шести-семи символов.

Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно  было взломать и воспользоваться  им.

Пароли, которые  часто взламывают:

·   электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;

·   ICQ, особенно короткие номера;

·   Skype;

·   ВКонтакте.

Пароли, которые  легко взломать:

·   дата рождения;

·   111, 333, 777 или что вроде этого;

·   12345 или qwerty – буквы клавиатуры идущие подряд;

·   простые имена - sergey, vovan, lena;

·   русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.

Защищенным паролем  является:

·   длинный (8-15 символов);

·   сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);

·   не из словаря, т.е. не слово, и не имя;

·   отдельный пароль для каждого отдельного сервиса;

·   не связанный с сотрудником (адрес, номер сотового и т.д).

Рекомендуется иметь уникальный пароль: для электронной почты  и платежных систем. Остальные пароли можно группировать. Например:

·   Простой пароль и логин для регистрации во всех временных и не важных мест;

·   Надежный пароль для всех форумов и социальных сетей и т.д.;

Самый сложный  и охраняемый пароль должен быть для электронной почты. Связано это с тем, что если получить доступ к электронной почте, то можно получить доступ ко всем местам, где производилась регистрация. Поэтому этот пароль должен быть надежным.

Ни в коем случае нельзя создавать в компьютере папку  с паролями, лучше запомнить или  записать на бумаге. Если пароли сохранены  на бумаге, то необходимо сделать вторую копию и хранить оригинал и  копию в недоступном месте, подальше от чужих глаз. 

Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого  требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.

При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.

Обратный социальный инжиниринг строится на трех факторах:

·   создание ситуации, которая вынуждает человека обратиться за помощью;

·   реклама своих услуг или опережение оказания помощи другими людьми;

·   оказание помощи и воздействие.

Если незнакомый человек  оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.

Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в  области использования компьютеров.

Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что  новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с  попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.

Прежде, чем новым сотрудникам  будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о нераскрывании паролей.

Одна основная часть решения: необходимо назначить сотрудников  в каждом отделе, которые будут  работать со всеми просьбами об отправке информации вне группы.

Личностный подход. Самым  простым способом получения информации для социального инженера является просьба. Существует четыре разновидности  такого подхода:

·   запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);

·   убеждение (самые обычные формы убеждения включают лесть);

·   использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);

·   помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).

Схема с использованием запугивания  с ссылкой на авторитет работает особенно хорошо в том случае, когда  сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании  важного человеческого имени  пропадают не только подозрения, но и появляются такие свойства, как  внимательность.

Защитой против нападения  запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.

Необходимо помнить, что  неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния  авторитета в дружеских или деловых  отношениях, но без нанесения вреда  общению. Более того, такие действия должны приветствоваться высшим руководством.

Защитой от убеждения является строгое следование инструкциям  и политикам безопасности.

Нападения «помощи» могут  быть сокращены, если имеется эффективная  техническая поддержка. Внутренний помощник – часто результат потери доверия к существующим услугам  технического отдела организации. Для  предотвращения таких атак:

·   необходимо закрепить в политике безопасности, что технический отдел – это единственное место, куда нужно сообщать о проблемах;

·   следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;

·   необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.

Существует два правила, которые позволяют избежать такие  типы атак.

1. Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.

2. Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а так же  должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» [4]работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Специально для тех сотрудников, которым этого мало, можно объяснить, что вся коммерческая информация является собственностью работодателя. Из чего следует, что воровство такой информации можно рассматривать как воровство имущества, что является предметом соответствующей статьи Уголовного кодекса (ст. 159 УК РФ) [8, с. 54]. Кроме того, можно сообщить сотрудникам, что  за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав») [8]. Практика показывает, что когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о не разглашении коммерческой тайны организации»).

Так же сотрудникам следует  знать несколько правил, которых  желательно придерживаться и стараться  не откланяться от данного списка. Это даст возможность при попытке  манипулирования социальным инженером, заметить и пресечь эти действия.

1. Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.

2. Споры. Любой спор необходимо избегать – это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.

3. Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.

4. Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.

5. Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.

Информация на бумажных носителях. Необходимо произвести назначение различных  категорий информации и определение  того, как персонал должен с ними обращаться. Категории должны включать:

·   конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

·   частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

·   ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);

·   общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

Предложения по защите от угроз  включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.

Анализ мусора. Целенаправленные поиски в мусорном контейнере –  общий практикуемый метод для  злоумышленников для получения  информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 9.