Материал Аудит. воссоздание официальных звонков от банковских и других ivr (англ. Interactive Voice Response) систем 40, с. 175
 Скачать 3.81 Mb.
|
|
Рис. 2. Фишинг: веб-страница с поддельной гиперссылкой Чтобы убедить пользователя нажать кнопку в диалоговом окне, злоумышленники чаще всего отображают предупреждение о проблеме (например реалистичное сообщение об ошибке операционной системы или приложения) или предлагают дополнительные услуги, такие как возможность бесплатно загрузить программу, ускоряющую работу компьютера. Опытные пользователи обычно распознают в подобных ситуациях обман, однако людей, плохо знакомых с компьютерными технологиями и Интернетом, такие всплывающие приложения или диалоговые окна могут напугать или заинтересовать. Таблица 2. Сетевые атаки, связанные с использованием всплывающих приложений и диалоговых окон, и возможный ущерб от них
Защита пользователей от социотехнических атак, основанных на использовании всплывающих приложений, сводится преимущественно к информированию. Для устранения самих причин проблемы можно заблокировать в обозревателе Интернета всплывающие окна и автоматическую загрузку файлов, однако полностью исключить отображение всех всплывающих окон в обозревателе не получится. Поэтому лучше убедить пользователей не щелкать никакие ссылки во всплывающих окнах без ведома специалистов службы поддержки. Чтобы этот подход оправдал себя, сотрудники службы поддержки не должны осуждать пользователей за подключение к Интернету без служебной надобности. На это можно повлиять, приняв соответствующую корпоративную политику использования Интернета в личных целях. Служба мгновенного обмена сообщениями Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей, и некоторые аналитики прогнозируют, что число пользователей таких систем достигнет в 2006 году 200 миллионов. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения социотехнических атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это еще и один из способов запроса информации. Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей — его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных. Подделку данных при использовании электронной почты и служб мгновенного обмена сообщениями поясняет рис. 3.  Рис. 3. Подделка мгновенных сообщений и электронных писем Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам. Таблица 3. Атаки, связанные с использованием службы мгновенного обмена сообщениями, и возможный ущерб от них
Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований. Выберите одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями. Определите параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов. Определите принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению. Задайте стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему. Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами. Угрозы, связанные с использованием телефона Телефонная связь обеспечивает уникальные возможности для проведения социотехнических атак. Это очень привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции. Еще одним видом атак (весьма грубым) является кража ПИН-кодов кредитных и телефонных карт через телефонные будки. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом и ПИН-коды корпоративных кредитных карт. Большинство людей довольно осторожны при вводе ПИН-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно. Средства голосовой связи через Интернет (VoIP) могут обеспечить компаниям значительную экономию, и их рынок быстро развивается. В настоящее время из-за сравнительно небольшого числа таких систем атаки на них не рассматриваются в качестве серьезной угрозы. Однако можно ожидать, что по мере роста популярности этой технологии подделка пакетов VoIP станет такой же распространенной, как и подделка писем и мгновенных сообщений. Корпоративные телефонные станции Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели. Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам. Получить возможность совершать бесплатные телефонные звонки. Получить доступ к коммуникационной сети. Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой (см. рис. 4).  Рис. 4. Атаки на корпоративную телефонную станцию Запрос информации или доступа по телефону — сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Помните, однако, что в реальной жизни эти атаки бывают довольно изощренными. Злоумышленник не просит напрямую сказать ему идентификатор пользователя и пароль. Обычно он описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, и лишь потом запрашивает личную или деловую информацию, как бы чуть не забыв об этом. Таблица 4. Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них
Большинство пользователей ничего не знают о внутренней телефонной системе компании, исключая, конечно, сам телефон. Это и есть самый важный рубеж защиты, который можно определить в политике безопасности и который в своих целях часто пытаются использовать злоумышленники. Чаще всего жертвами при этом являются сотрудники приемной или сотрудники, работающие с коммутатором. В политике нужно указать, что только специалисты службы поддержки имеют право оказывать помощь по телефону. Благодаря этому все обращения за технической помощью будут обрабатывать только авторизованные сотрудники. Этот подход позволяет также организовать быстрое и эффективное перенаправление таких запросов квалифицированным специалистам. ###### Служба поддержки Служба поддержки — один из главных механизмов защиты от обычных злоумышленников и в то же время частая мишень злоумышленников, использующих методы социотехники. Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отделение не удовлетворило их требования, склонны жаловаться; руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами. **Таблица 5. Телефонные атаки на службу поддержки и возможный ущерб от них**
Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности. Едва ли, например, кто-нибудь из сотрудников будет протестовать, если при обращении в службу поддержки его попросят назвать свой номер, отделение и фамилию начальника. Конечно, это недостаточно надежная защита, так как злоумышленник может украсть эту информацию, но для начала и этот подход неплох. На самом деле единственным методом идентификации с точностью 99,99 % является тест ДНК, использовать который явно не представляется возможным. Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее. Злоумышленники из их числа хорошо разбираются во внутренних процедурах компании и будут действовать наверняка, собрав перед обращением в службу поддержки всю необходимую информацию. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции. Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки. Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности. Если пользователи будут знать эти правила, а руководители поддержат их реализацию, злоумышленникам будет гораздо труднее проводить атаки и оставаться безнаказанными. Полный аудиторский контроль — самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм. Угрозы, связанные с утилизацией мусора Несанкционированный анализ мусора — или, как это еще называют, «ныряние в мусорные контейнеры» — часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой. Электронные средства хранения информации бывают для злоумышленников еще более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных. |