Искусство вторжения

В типичной атаке, использующей реактивность, злоумышленник говорит своей жертве, что доступа к компьютерным файлам не будет в течение какого то срока и называет совершенно неприемлемый период времени. «Вы не сможете получить доступ к своим файлам в течение двух следующих недель, но мы сделаем все возможное, чтобы этот срок не увеличился». Когда атакуемый начинает проявлять свои эмоции, атакующий предлагает восстановить файлы быстрее: все, что нужно для этого — назвать имя пользователя и пароль. Жертва, напуганная возможными потерями, обычно с радостью соглашается.

Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?

КОНТРМЕРЫ

Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:

• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;

• разработка тренингов по усилению бдительности персонала;

• разработка простых и понятных правил определения важности информации;

• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;

• разработка грамотной системы классификации данных;

• обучение персонала навыкам сопротивления методам социальной инженерии;

• проверка готовности сотрудников к противостоянию атакам по методу социальной инженерии при помощи специальных проверок.

Наиболее важный аспект программы — установление соответствующих протоколов безопасности и мотивация сотрудников для их выполнения. И в дополнение к этому — установление ключевых точек, где разработанные программы и тренинги противостоят угрозе социальных инженеров.

ПЛАН ТРЕНИНГОВ

Вот некоторые ключевые позиции для тренингов:

• убедите сотрудников в том, что социальные инженеры наверняка будут где-то атаковать компанию, причем многократно. Существует явная недооценка угрозы, которую представляют собой атаки социальных инженеров; часто даже полное незнание того, что такая угроза существует. Обычно люди не ждут обмана и манипуляций, поэтому неосознанно подпадают под атаку социальной инженерии. Многие Интернет-пользователи получают электронную почту из Нигерии с предложением перевести значительные суммы денег в США; в них предлагаются неплохие комиссионные за помощь. Потом вас просят перевести некоторую сумму для того, чтобы начать процедуру передачи денег. Одна леди из Нью-Йорка недавно поверила этим предложениям и заняла сотни тысяч долларов у своего сотрудника, чтобы начать процедуру перевода. И вместо того, чтобы наслаждаться отдыхом на своей яхте, которую она уже видела почти купленной, она стоит перед малоприятной перспективой очутиться на казенной койке в одной из американских тюрем. Люди постоянно покупаются на эти ловушки социальных инженеров, иначе нигерийские «спамеры» перестали бы рассылать свои письма.

• используйте ролевые игры для наглядной демонстрации уязвимости каждого перед технологиями социальных инженеров, обучайте сотрудников, кик им противостоять. Большинство людей работают, пребывая в полной иллюзии собственной неуязвимости, считая себя очень умными для того, чтобы их можно было обмануть, обжулить, манипулировать ими, или влиять на них. Они считают, что так можно поступить только с « г л у —пыми» людьми. Есть два способа помочь сотрудникам понять свою уязвимость и поверить в необходимость защиты. Один из них заключается в демонстрации эффективности социальной инженерии путем «подставы» некоторых сотрудников под такую атаку, а затем разбора случившегося на специальном семинаре по безопасности. Другой состоит в подробном анализе конкретных методов социальной инженерии, с целью демонстрации уязвимости всех и каждого подобным атакам. В каждом случае тренинг должен содержать подробный анализ механизма атаки, причин ее успеха и обсуждения способов распознавания атаки и противостояния ей.

• надо развить в сотрудниках умение чувствовать обман или манипулирование со стороны социальных инженеров. На тренингах надо объяснить сотрудникам их персональную ответственность за защиту важной корпоративной информации. Организаторы таких тренингов обязательно должны учитывать, что мотивация к выполнению некоторых процедур обеспечения безопасности у людей в определенных ситуациях только возрастает, если они хорошо понимают необходимость применения тех или иных протоколов. Во время тренингов преподаватели должны давать наглядные примеры того, как те или иные меры безопасности защищают бизнес, и какой ущерб может быть нанесен компании, если сотрудники будут игнорировать их или выполнять недостаточно тщательно. Очень важно обратить внимание на то, что успешная атака может нанести ущерб персонально сотруднику или его друзьям и знакомым. В базе данных компании может содержаться особо ценная для воров и н ф о р м а ц и я о людях. Но главный мотивационный фактор — это то, что никто не хочет быть обманутым или обмишуленным, или позволить кому-то собой манипулировать. Именно поэтому люди всегда имеют мотивацию противостоять обману и жульничеству, надо просто обратить их внимание на это.

ПРОГРАММЫ ДЛЯ ПРОТИВОСТОЯНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Вот несколько основных моментов, которые необходимо учитывать при разработке программ:

• Надо разработать четкий план действий для сотрудников в случае обнаружения атаки социальной инженерии.

Мы отсылаем читателей к обширному списку политик безопасности, приведенных в «Искусстве обмана». Из них надо выбрать те, которые подходят именно вам. После того, как компания выбрала нужные процедуры и внедрила их в жизнь, эта информация должна быть выложена на сайте компании, чтобы она была постоянно доступна для сотрудников. Еще один прекрасный ресурс — это учебный курс Чарльза Крессона Вуда по разработке политик информационной безопасности «Information Security Policies Made Easy» (San Jose, CA: Baseline Software, 2001).

• Надо разработать простые правила для сотрудников, позволяющие определять, какая информация является важной для компании.

Поскольку мы обрабатываем информацию в случайном режиме большую часть времени, нужно разработать простые правила безопасности, которые отслеживают все запросы к важной информации (такой, как конфиденциальная бизнес-информация или индивидуальные пароли). После того, как сотрудник осознал, что произошел запрос о важной информации или о некотором компьютерном действии, он должен свериться с принятым руководством по политике безопасности, чтобы определить верный алгоритм процедуры, которому надо следовать.

Кроме того, важно осознать и донести до сотрудников, что даже информация, которая не считается особенно важной, может быть полезной социальному инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Имя менеджера или название важного проекта компании, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники, имя, которым назван секретный проект — все это важно, и каждой компании нужно определить необходимую степень защиты от возможных угроз безопасности.

Есть несколько наглядных примеров информации, которая на первый взгляд не является важной, но может использоваться атакующим. В книге «Искусство обмана» описано несколько сценариев, которые могут быть полезны преподавателям для подтверждения этой мысли.