Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
Скачать 3.81 Mb.
|
Обратная социотехника Об обратной социотехнике говорят тогда, когда жертва или жертвы сами предлагают злоумышленнику нужную ему информацию. Это может показаться маловероятным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом. Тем не менее, социотехнические атаки в большинстве случаев инициируются злоумышленником. Обычно злоумышленник, использующий методы социотехники, создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Рассмотрим следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Он даже может сказать, что корпоративная политика запрещает это. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника. Не все атаки, основанные на обратной социотехнике, требуют, чтобы злоумышленник был знаком с жертвой или хотя бы встретился с ней. Добиться своего злоумышленник может, имитируя проблемы с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу. Таблица 8. Атаки, основанные на методах обратной социотехники, и возможный ущерб от них
Защититься от атак, основанных на обратной социотехнике, наверное, сложнее всего. У жертвы нет оснований подозревать злоумышленника в чем-либо, так как при таких атаках создается впечатление, что ситуация находится под ее контролем. Главным способом защиты от атак, основанных на обратной социотехнике, является включение в политику безопасности принципа, требующего, чтобы все проблемы разрешались только через службу поддержки. Если специалисты службы поддержки будут компетентны, вежливы и терпимы, у сотрудников компании не будет повода обращаться за помощью к кому-либо другому. 2. Проектирование системы защиты от угроз, основанных на методах социотехники Осознав всю широту спектра существующих угроз, необходимо выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социотехники. Помните, что эффективность защиты во многом определяется во время ее планирования. Часто защитные меры предпринимаются только после обнаружения успешно проведенной атаки для предотвращения аналогичных проблем в будущем. Этот подход показывает, что обеспечению безопасности в компании уделяется некоторое внимание, но такое решение проблемы может оказаться слишком запоздалым, если компании уже причинен значительный ущерб. Чтобы не допустить этого, нужно выполнить три следующих действия. Разработка стратегии управления обеспечением безопасности. Определите задачи защиты от социотехнических угроз и назначьте сотрудников, отвечающих за их выполнение. Оценка риска. В разных компаниях уровень риска, связанного с одними и теми же угрозами, может быть разным. Проанализируйте каждую из социотехнических угроз и определите, насколько она опасна для организации. Интеграция принципов защиты от социотехнических атак в политику безопасности. Разработайте и задокументируйте политики и процедуры, регламентирующие действия сотрудников в ситуациях, которые могут оказаться социотехническими атаками. Для выполнения этого этапа необходимо, чтобы в организации уже была принята политика безопасности, охватывающая угрозы, не связанные с социотехникой. Если политика безопасности отсутствует, ее нужно разработать. Факторы, определенные на этапе оценки риска, связанного с социотехническими угрозами, помогут приступить к разработке политики безопасности, но позднее в ней нужно будет учесть и другие возможные угрозы. Дополнительную информацию о политиках безопасности можно найти на веб-узле Microsoft Security по адресу www.microsoft.com/security (данная ссылка может указывать на содержимое полностью или частично на английском языке). Разработка стратегии управления обеспечением безопасности Стратегия управления обеспечением безопасности должна давать общее представление о социотехнических угрозах, которым подвергается организация, и определять сотрудников, отвечающих за разработку политик и процедур, блокирующих эти угрозы. Это не означает, что на работу нужно принять специалистов, в чьи обязанности будет входить только обеспечение безопасности корпоративных активов. Такой подход возможен в крупных компаниях, но в организациях среднего размера создавать такие должности в большинстве случаев невыгодно. Главное, что нужно сделать — это распределить между некоторыми сотрудниками следующие роли. Куратор по безопасности. Руководитель высшего звена (предположительно — уровня совета директоров), следящий за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладающий необходимым для этого авторитетом. Администратор по безопасности. Руководитель, отвечающий за организацию разработки политики безопасности и ее обновление в соответствии с изменениями требований. Менеджер по безопасности ИТ-систем. Технический специалист, отвечающий за разработку политик и процедур обеспечения безопасности ИТ-инфраструктуры и операций. Менеджер по безопасности на объекте. Член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте. Менеджер по информированию персонала о способах обеспечения безопасности. Руководящий сотрудник (обычно из отдела кадров), отвечающий за разработку и проведение кампаний по информированию персонала об угрозах и способах защиты от них. Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности (Security Steering Committee), который должен определять главные цели стратегии управления обеспечением безопасности. Если не определить эти цели, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которую должен выполнить руководящий комитет по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными социотехнические атаки. Чтобы быстро получить представление о возможных векторах этих атак, можно воспользоваться простой таблицей наподобие приведенной ниже. Таблица 9. Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники
Когда члены руководящего комитета по обеспечению безопасности основательно разберутся в имеющихся уязвимостях, они могут составить таблицу уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социотехники (см. пример выше). В этой таблице следует описать рабочие процессы компании в потенциально уязвимых областях. Информация об уязвимостях позволяет членам руководящего комитета разработать предварительные варианты требований, которые могут быть включены в политику. Сначала руководящий комитет должен определить области, которые могут подвергнуть компанию риску. Выполняя эту задачу, нужно учесть все направления атак, описанные в данном документе, и специфические для компании элементы, такие как использование общедоступных терминалов или процедуры управления офисной средой. Оценка риска При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается компания при различных атаках. Для тщательной оценки риска не обязательно требуется очень много времени. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, можно сгруппировать факторы риска в категории и назначить им приоритеты. Ниже перечислены категории риска. Утечка конфиденциальной информации. Урон репутации компании. Снижение работоспособности компании. Трата ресурсов. Финансовые потери. При определении приоритета фактора риска следует учесть стоимость его устранения. Если она превышает возможный ущерб от соответствующей атаки, возможно, с риском лучше смириться. Оценка риска может предоставить очень полезную информацию на заключительных этапах разработки политики безопасности. Например, руководящий комитет по обеспечению безопасности может обнаружить недостатки принятого в компании пропускного режима. Если предполагается, что компанию будут посещать не более 20 человек в час, будет достаточно нанять одного контролера, завести книгу учета посетителей и пронумерованные идентификационные карточки. Если же компанию будут посещать 150 человек в час, возможно, придется расширить штат контролеров или установить терминалы для самостоятельной регистрации. В компаниях малого размера установка таких терминалов едва ли окупится, но для крупных компаний, которые в случае простоя из-за атак могут понести крупные убытки, этот вариант может оказаться наиболее эффективным. Рассмотрим другой пример. Для компании, не принимающей посетителей и не нанимающей подрядчиков, может не быть практически никакой опасности в выкладывании распечатанных документов в одном определенном месте, откуда их будут забирать сотрудники. Между тем, для компании, часто пользующейся услугами многих подрядчиков, этот вариант связан со слишком большим риском, и ее руководители могут решить, что для предотвращения краж конфиденциальных документов из принтеров необходимо установить принтер на каждом рабочем столе. Компания может устранить этот риск, поставив условие, чтобы каждого посетителя в течение всего визита сопровождал штатный сотрудник. Это решение окажется гораздо менее дорогим, если, конечно, не учитывать финансовые следствия неэффективного использования рабочего времени сотрудников. Используя таблицу уязвимостей корпоративной среды, допускающих проведение социотехнических атак, руководящий комитет по обеспечению безопасности может определить для компании требования политики безопасности, типы и уровни риска. При этом можно использовать формат таблицы 10. Таблица 10. |