Как защититься от угроз социальной инженерии

Чтобы атаковать вашу организацию, хакеры, использующие социальную инженерию, эксплуатируют доверчивость, лень, хорошие манеры и энтузиазм вашего персонала. Поэтому защититься против проектируемого нападения достаточно трудно, ведь «жертвы» не могут понять, что они были обмануты, или могут предпочесть не признавать этого. Цели хакеров, использующих социальную инженерию, подобны целям любого другого хакера: они хотят получить деньги вашей компании, информацию или ИТ-ресурсы.

Предположим, что в вашей организации уже создана политика безопасности, которая излагает цели, действия и процедуры для защиты информационных активов компании, ресурсы и штат против технологического или физического нападения, либо вы собираетесь ее создавать. Изменения в политике безопасности помогут обеспечивать сотрудников руководством о том, как реагировать на столкновение с человеком или компьютерным приложением, которое пытается принуждать (убеждать) их подвергать опасности деловые ресурсы либо раскрывать информацию о безопасности.

Угрозы социальной инженерии и защищенность

Есть пять главных векторов нападения, которые используются при проведении атак с помощью социальной инженерии:

• Онлайн (интерактивно);

• Телефон;

• Личнностые подходы;

• Реверсивная социальная инже-нерия.

Однако кроме этого, вы также должны знать цели нападения, понимать, что хакер надеется получить. Его цели основаны на тех же потребностях, которые управляют всеми нами: деньги, социальное продвижение и самоутверждение.

1) Сетевые (онлайн) угрозы
Зависимость рядовых сотрудников от электронных инструментов бизнес-коммуникаций дает возможность хакерам подойти к вашему персоналу, используя относительную анонимность в интернет.

Угрозы электронной почты (e-mail)

Использование электронной почты как инструмента социальной инженерии стало обычным за прошлое десятилетие. Phishing — использование электронной почты для получения персональной информации от пользователя. Хакеры посылают почтовые сообщения, которые, кажется, исходят из доверяемых организаций — банков или компаний партнеров. Каждое phishing-письмо маскируется под запрос о пользовательской информации, который якобы должен облегчить пользователю установить обновление или обеспечить дополнительное обслуживание.

Новый вид phishing-атак — spear-phishing. Это узконаправленные координированные атаки на организацию или конкретного пользователя с целью получения критически важных данных. В данном случае хакер осуществляет более правдоподобный обман, максимально приближаясь к целевой группе и используя для маскировки внутреннюю информацию компании. Чтобы более эффективно сопротивляться хакерским нападениям, использующим социальную инженерию, стоит относиться со скептицизмом к чему-либо неожиданному в вашем почтовом ящике.

В дополнение к этим рекомендациям, вы должны включить примеры нападений phishing в программу обучения сотрудников. После того, как пользователи распознают одно phishing-надувательство, они поймут, что это намного проще, чем казалось, и начнут обращать внимание на другие.

Всплывающие приложения и диалоговые окна

Нереалистично полагать, что персонал использует доступ компании к интернет только для служебных нужд. Эти действия персонала могут принести служащим опасность контакта с хакерами, использующими социальную инженерию.

Два самых обычных метода соблазнить пользователя щелкнуть кнопкой в диалоговом окне — это прислать пользователю предупреждение о проблеме, которое выглядит как реальное сообщение ОС об ошибках, или предложение дополнительных услуг, например, бесплатная загрузка, которая якобы заставит компьютер пользователя работать быстрее.

Защита пользователей от всплывающих приложений, использующих социальную инженерию — главным образом функция понимания. Нужно удостовериться в том, что пользователи знают, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с персоналом поддержки. Поэтому ваш персонал должен быть уверен, что штат поддержки не будет поверхностно относиться к просьбам пользователей о помощи, если пользователь просматривает интернет. Эти доверительные отношения можно предусмотреть вашей политикой безопасности по работе в интернет.

Instant Messaging

Мгновенная передача сообщений (IM) уже успела получить широкую популярность как деловой инструмент. Непосредственность и дружелюбный интерфейс IM делают богатым «охотничьим угодьем» для нападений, использующих социальную инженерию, поскольку пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Две главные атаки, которые можно воспроизвести, используя IM — гиперссылки на malware в IM-сообщениях и непосредственная рассылка файлов.

Существует множество потенциальных угроз, свойственных IM при атаке с помощью социальной инженерии. Первый — непринужденность IM. Болтливая природа IM, вместе с опцией предоставления прозвища или ложного имени означает, что не ясно, с кем вы говорите, это весьма расширяет возможности для атаки.

Если Вы стремитесь использовать IM в работе, вы должны включить IM-безопасность в вашу политику безопасности, используя следующие пять правил:

• Ввести стандарт на единственную IM-платформу.

• Определить параметры настройки безопасности развертывания.

• Рекомендовать пользователям не использовать настройки по умолчанию.

• Установить стандарты пароля.

• Обеспечить руководство по использованию.

2) Угрозы при использовании телефонной связи
Телефон предлагает уникальный способ нападения для хакеров. Это — знакомая среда, однако она также обезличивает звонящего, потому что адресат не может видеть хакера.

Есть три главных типа атак хакеров, нападающих на офисные АТС, во время которых они:

• Просят информацию, обычно имитируя законного пользователя, чтобы или обратиться к телефонной системе непосредственно или получить удаленный доступ к компьютерным системам.

• Получают доступ к «свободному» использованию телефона.

• Получают доступ к системе коммуникаций.

Запросы об информации или доступе по телефону — относительно свободная от риска форма нападения. Если адресат становится подозрительным или отказывается исполнять запрос, хакер может просто положить трубку. Но такие нападения более сложны, чем атака хакера, просто звонящего в компанию и просящего о пользовательском идентификаторе и пароле. Хакер обычно представляет сценарий, прося или предлагая справку, прежде чем почти машинально происходит запрос о личной или деловой информации.

Служба поддержки

Служба ИТ-поддержки или справочная служба — является одним из средств защиты против атак хакеров, но, вместе с тем это адресат для хакеров, использующих социальную инженерию. Хотя штат службы поддержки часто знает об угрозе взлома, они также обучаются, чтобы помочь и поддерживать пользователей, предлагая им советы и решая их проблемы. Иногда энтузиазм, демонстрируемый штатом технической поддержки в обеспечении решения, заставляет забыть их о своих обязанностях по выполнению процедур безопасности. Если службе поддержки предписывают строгие стандарты безопасности, прося о доказательствах, которые могут проверить правильность запроса пользователя, то появляются бесполезные помехи в работе.

Служба поддержки должна балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Труднее защитить аналитика службы поддержки от внутреннего взлома. У внутреннего хакера будет хорошее практическое знание внутренних процедур и у него будет время, чтобы удостовериться, что эти знания обеспечивают всю требуемую информацию, перед тем, как сделать сервисный запрос.

Процедуры защиты должны обеспечить двойную роль в этой ситуации: аналитик службы поддержки должен иметь гарантии аудита всех действий ихорошо структурированную процедуру действий обработки запросов пользователей.

Если пользователи знают об этих правилах, а руководство поддерживает их выполнение, это намного затруднит действия хакеров, особенно в том, чтобы реализовать атаку и оставаться необнаруженным. Создание лог-журналов (аудит всех процедур) — самый ценный инструмент в предотвращении и открытии инцидента.

3) Личностные подходы
Для хакера самый простой и самый дешевый путь получения информации — это попросить об этом непосредственно. Этот подход может казаться грубым и очевидным, но это основа мошенничества с незапамятных времен. Существует четыре разновидности такого подхода:

• Запугивание.

• Убеждение.

• Использование доверительных отношений.

• Помощь.

Несомненное доверие — одна из целей хакера. Защита против нападения запугивания — развитие культуры “отсутствия страха из-за ошибки” в пределах организации.

Убеждение всегда было важным человеческим методом достигнуть личных целей. Созданная вами атмосфера понимания в компании и политика паролей — ваша лучшая защита. Если хакер, использующий социальную инженерию, получает постоянную работу в вашей компании, то лучшая защита — понимание вашего персонала и их приверженность правилам политики безопасности.

Наконец, угрозы под видом «помощи» могут быть сокращены, если вы имеете эффективную сервисную поддержку. Внутренний помощник — часто результат потери доверия к существующим услугам службы поддержки компании. Вы должны предусмотреть, чтобы штатные сотрудники могли входить в контакт только с сервисной службой, а не неправомочным внутренним экспертом, или того хуже — экспертом за пределами компании. Для этого выполните следующие условия.

• Определите в вашей политике безопасности, что служба поддержки — единственное место, куда пользователи должны сообщать о проблемах.

• Гарантируйте, что служба поддержки имеет согласованный процесс ответа в пределах установленного уровня обслуживания.

• Проверяйте выполнение сервисных работ регулярно, чтобы удостовериться, что пользователи получают подходящий уровень ответов и решений.

Физические подходы

ИТ-услуги должны включать правила, предусматривающие следующие условия.

• Каждое действие технической поддержки должно быть запланировано и уполномочено службой поддержки.

• Подрядчики и внутренний персонал, которые совершают локальное обслуживание или инсталляцию должны иметь документы, идентифицирующие личность, предпочтительно включающие фотографию.

• Пользователь должен войти в контакт с ИТ-отделом поддержки, чтобы сообщить им, когда прибывает инженер и когда он закончил работу.

• Каждая работа имеет наряд на работу, подписываемый пользователем.

• Пользователь никогда не должен обращаться к информации или регистрации на компьютере, чтобы обеспечить доступ инженера.

Последний пункт является критическим. Это необходимо для группы ИТ-услуг, чтобы удостовериться в том, что любой инженер вне организации имеет достаточные личные права доступа для выполнения работы. Если инженер не имеет достаточных прав доступа, чтобы завершить задачу, он должен войти в контакт с сервисной службой. Это требование является основополагающим, поскольку непритязательный сервисный инженер для компании вычислительных центров — одна из самых выгодных вакансий, которую может найти предполагаемый хакер. Это делает хакера и обладателем полномочий и помощником в то же самое время.

Мобильные работники будут часто использовать свои компьютеры в переполненной людьми среде: в транспорте, в аэропортах, ресторанах. Если сотрудники используют наладонные компьютеры, вы должны включить в политику безопасности требования по их использованию.

4) Реверсивная социальная инженерия
Под реверсивной социальной инженерией подразумевается разновидность угроз, в которых первичная инициатива исходит изнутри – сотрудники компании неправомочно передают или продают конфиденциальные данные неуполномоченным лицам или злоумышленникам извне. Такой сценарий может казаться маловероятным, однако пользователи, обладающие соответствующими техническими и прочими полномочиями, достаточно часто получают доступ к личной информации других пользователей (идентификаторы и пароли). В силу этого полностью снять с них подозрение невозможно.

Защита от реверсивной социальной инженерии, вероятно, самая трудная. Жертва, как правило, не подозревает злоумышленника, поскольку считает, что они находятся в одной команде. Одна из наиболее существенных рекомендаций в этом случае — обязательно решение всех внутренних проблем, в которых так или иначе фигурируют личностные идентификаторы, через сервисную службу компании.

Осуществление защиты от атак социальной инженерии

После того, как вы создали политику безопасности, вы должны сделать ее доступной персоналу и добиться ее исполнения, при этом главная задача — обучить персонал политике ИБ.

Безопасность компании — общее дело, поэтому донесите ее основы до всех отделов и пользователей, особенно тех, кто работает вне офисной среды.