Главная страница
Навигация по странице:

  • Цели атаки Описание Ущерб

  • Утечка конфиденциальной информации

  • Снижение работоспособности компании

  • Трата ресурсов Урон репутации компании

  • Угрозы, связанные с использованием телефона

  • Корпоративные телефонные станции

  • Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них

  • Телефонные атаки на службу поддержки и возможный ущерб от них

  • Утечка конфиденциальной информации Урон репутации компании Снижение работоспособности компании Трата ресурсов

  • Угрозы, связанные с утилизацией мусора

  • Атаки, основанные на поиске информации в мусоре, и возможный ущерб от них

  • Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175


    Скачать 3.81 Mb.
    Названиевоссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
    Дата03.09.2022
    Размер3.81 Mb.
    Формат файлаdocx
    Имя файлаМатериал Аудит.docx
    ТипДокументы
    #660363
    страница11 из 26
    1   ...   7   8   9   10   11   12   13   14   ...   26

    Атаки, связанные с использованием службы мгновенного обмена сообщениями, и возможный ущерб от них

     

    Цели атаки

    Описание

    Ущерб

    Получение конфиденциальной корпоративной информации

    Подделывая мгновенные сообщения, злоумышленник выдает себя за сотрудника компании, чтобы запросить корпоративную информацию.

    Утечка конфиденциальной информации

    Урон репутации компании

    Загрузка вредоносного ПО

    Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, что приводит к заражению корпоративной сети.

    Снижение работоспособности компании

    Урон репутации компании

    Загрузка ПО злоумышленника

    Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, в результате чего происходит загрузка программы злоумышленника (например почтового механизма), потребляющей ресурсы корпоративной сети.

    Трата ресурсов

    Урон репутации компании

    Финансовые потери

     

    Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.

          Выберите одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.

          Определите параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.

          Определите принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.

          Задайте стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.

          Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.

     

    Угрозы, связанные с использованием телефона

    Телефонная связь обеспечивает уникальные возможности для проведения социотехнических атак. Это очень привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции. Еще одним видом атак (весьма грубым) является кража ПИН-кодов кредитных и телефонных карт через телефонные будки. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом и ПИН-коды корпоративных кредитных карт. Большинство людей довольно осторожны при вводе ПИН-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

    Средства голосовой связи через Интернет (VoIP) могут обеспечить компаниям значительную экономию, и их рынок быстро развивается. В настоящее время из-за сравнительно небольшого числа таких систем атаки на них не рассматриваются в качестве серьезной угрозы. Однако можно ожидать, что по мере роста популярности этой технологии подделка пакетов VoIP станет такой же распространенной, как и подделка писем и мгновенных сообщений.

     

    Корпоративные телефонные станции

    Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

    1.       Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.

    2.       Получить возможность совершать бесплатные телефонные звонки.

    3.       Получить доступ к коммуникационной сети.

    Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой (см. рис. 6).



    Рис. 5. Атаки на корпоративную телефонную станцию

     

    Запрос информации или доступа по телефону — сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Помните, однако, что в реальной жизни эти атаки бывают довольно изощренными. Злоумышленник не просит напрямую сказать ему идентификатор пользователя и пароль. Обычно он описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, и лишь потом запрашивает личную или деловую информацию, как бы чуть не забыв об этом.

     

    Таблица 4.

     

     

    Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них

     

    Цели атаки

    Описание

    Ущерб

    Получение корпоративной информации

    Выдавая себя за легального пользователя, злоумышленник пытается получить конфиденциальную информацию.

    Утечка конфиденциальной информации

    Урон репутации компании

    Получение информации о телефонной системе

    Выдавая себя за инженера по обслуживанию телефонных систем, злоумышленник пытается получить доступ к корпоративной телефонной станции с целью совершения внешних телефонных звонков.

    Трата ресурсов

    Финансовые потери

    Использование корпоративной телефонной станции для доступа к компьютерным системам

    Используя корпоративную телефонную станцию, злоумышленник получает доступ к компьютерным системам для кражи или изменения информации, заражения систем вредоносным ПО или использования ресурсов в своих целях.

      

     

    Большинство пользователей ничего не знают о внутренней телефонной системе компании, исключая, конечно, сам телефон. Это и есть самый важный рубеж защиты, который можно определить в политике безопасности и который в своих целях часто пытаются использовать злоумышленники. Чаще всего жертвами при этом являются сотрудники приемной или сотрудники, работающие с коммутатором. В политике нужно указать, что только специалисты службы поддержки имеют право оказывать помощь по телефону. Благодаря этому все обращения за технической помощью будут обрабатывать только авторизованные сотрудники. Этот подход позволяет также организовать быстрое и эффективное перенаправление таких запросов квалифицированным специалистам.

     

    Служба поддержки

    Служба поддержки — один из главных механизмов защиты от обычных злоумышленников и в то же время частая мишень злоумышленников, использующих методы социотехники. Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отделение не удовлетворило их требования, склонны жаловаться; руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

     

    Таблица 5.

     

    Телефонные атаки на службу поддержки и возможный ущерб от них

     

    Цели атаки

    Описание

    Ущерб

    Получение информации

    Выдавая себя за легального пользователя, злоумышленник пытается получить деловую информацию.

    Утечка конфиденциальной информации

    Получение доступа

    Выдавая себя за легального пользователя, злоумышленник пытается получить доступ к корпоративным системам.

    Утечка конфиденциальной информации

    Урон репутации компании

    Снижение работоспособности компании

    Трата ресурсов

    Финансовые потери

     

    Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности. Едва ли, например, кто-нибудь из сотрудников будет протестовать, если при обращении в службу поддержки его попросят назвать свой номер, отделение и фамилию начальника. Конечно, это недостаточно надежная защита, так как злоумышленник может украсть эту информацию, но для начала и этот подход неплох. На самом деле единственным методом идентификации с точностью 99,99 % является тест ДНК, использовать который явно не представляется возможным.

    Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее. Злоумышленники из их числа хорошо разбираются во внутренних процедурах компании и будут действовать наверняка, собрав перед обращением в службу поддержки всю необходимую информацию. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.

    Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.

    Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.

    Если пользователи будут знать эти правила, а руководители поддержат их реализацию, злоумышленникам будет гораздо труднее проводить атаки и оставаться безнаказанными. Полный аудиторский контроль — самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.

     

     

     

    Угрозы, связанные с утилизацией мусора

    Несанкционированный анализ мусора — или, как это еще называют, «ныряние в мусорные контейнеры» — часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

    Электронные средства хранения информации бывают для злоумышленников еще более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

     

    Таблица 6.

     

    Атаки, основанные на поиске информации в мусоре, и возможный ущерб от них

     

    Цели атаки

    Описание

    Ущерб

    Бумажный мусор в мусорных корзинах, расположенных вне организации

    Изучая документы, извлеченные из внешних мусорных контейнеров, злоумышленник узнает важную корпоративную информацию.

    Утечка конфиденциальной информации

    Урон репутации компании

    Бумажный мусор в мусорных корзинах, расположенных внутри организации

    Обходя принятые в организации принципы управления внешним мусором, злоумышленник ворует документы из мусорных корзин, расположенных в самой организации.

    Утечка конфиденциальной информации

    Урон репутации компании

    Выброшенные электронные носители

    Злоумышленник ворует данные и приложения, хранящиеся на выброшенных электронных носителях, и сами носители.

    Утечка конфиденциальной информации

    Трата ресурсов

    Урон репутации компании

     

    Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться. Само по себе «ныряние в мусоре» не всегда является чем-то незаконным, поэтому сотрудники компании должны знать, что нужно делать с мусором. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный — уничтожать или стирать записанные на нем данные. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области, недоступной посторонним лицам.

    При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.

    Кроме внешнего мусора — бумажных или электронных отходов, доступных посторонним лицам, — есть еще и внутренний, который тоже нужно контролировать. При определении политик безопасности это часто упускают из виду, предполагая, что любому, кто имеет доступ на объекты компании, можно доверять. Ясно, что это не всегда так. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.
    1   ...   7   8   9   10   11   12   13   14   ...   26


    написать администратору сайта