Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»

ФАКУЛЬТЕТ ИНФОРМАТИКИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Пояснительная записка

Разработка методики противодействия методам социальной инженерии в компьютерной системе

Программно-аппаратные средства обеспечения информационной безопасности

Выполнила

Скворцова А.С.

Проверил

Пекунов А.А.

г. Йошкар-Ола 2016



ТЕХНИЧЕСКОЕ ЗАДАНИЕ

Общие сведения

Разработать методику противодействия методам социальной инженерии в компьютерной системе. Предполагается, что данная методика будет использоваться в организации для защиты персональных данных.

Основания для разработки

Основанием для разработки является выбранная тема курсового проекта «Разработка методики противодействия методам социальной инженерии в компьютерной системе», согласованная с преподавателем.

Назначение разработки

Разработка предназначена для ознакомления и обучения сотрудников организации о методах социальной инженерии в компьютерной системе и о способах противодействия этим методам с целью защиты информации о персональных данных.

Требования к методике

Разрабатываемая методика должна предусматривать противодействие основным методам атак социальных инженеров, а также быть доступной для понимания и ее реализации и быть изложена на русском языке. При необходимости может быть переведена на другие языки.

Требования к документации

Пояснительная записка к курсовой работе должна содержать:

1. Аннотация

2. Содержание

3. Введение

4. Аналитическая часть

5. Конструкторская часть

6. Заключение

7. Библиографический список

Стадии и этапы разработки курсового проекта

Время выполнения проекта - 2,5 месяца.

1. Изучение теоретического материала на тему «Социальная инженерия в компьютерных системах».

2. Исследование возможностей и описание методов атак социальной инженерии.

3. Разработка методики противодействия атакам такого рода.

4. Анализ проделанной работы и составление пояснительной записки для защиты курсового проекта.

Порядок контроля и приемки

По истечении срока реализации работы преподавателю оформляется и предоставляется документация в виде пояснительной записки по курсовому проекту.



СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

1.1 Цели социальной инженерии

1.2 Техники социальной инженерии

1.3 Обратная социальная инженерия

2. АНАЛИЗ ПРОБЛЕМЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ В ОРГАНИЗАЦИИ

2.1 Характеристики организации

2.2 Выявление уязвимостей и оценка рисков

3. ТРЕБОВАНИЯ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ПРОТИВОДЕЙСТВИЮ МЕТОДАМ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

3.1 ГОСТ Р ИСО/МЭК 27033-3-2014

3.2 ГОСТ Р ИСО/МЭК 27004-2011

3.3 ГОСТ Р ИСО/МЭК 27005-2010

4. РАЗРАБОТКА МЕТОДИКИ ПРОТИВОДЕЙСТВИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

4.1 Теоретические аспекты создания методики противодействия

4.2 Анализ технических средств защиты от социальной инженерии

4.3 Цели, структура и содержание методики противодействия

4.4 Методика противодействия социальной инженерии

ЗАКЛЮЧЕНИЕ

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

АННОТАЦИЯ

ПРИЛОЖЕНИЯ



ВВЕДЕНИЕ

Наиболее досадной брешью в системах компьютерной безопасности являются не аппаратное и программное обеспечение, а пользователи. В этом уверены лучшие хакеры мира и специалисты по кибербезопасности.

Социальная инженерия - это процесс манипуляции людьми или определенным человеком с целью получения от этих людей или конкретного человека доступа к конфиденциальной информации или разглашения этой информации. Этот процесс основан на использовании слабостей человеческого фактора и считается очень разрушительным.

Социальная инженерия образовалась как отдельная часть из прикладной психологии. Ей обучают шпионов и тайных агентов. Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивными искажениями Когнитивное искажение -- понятие когнитивной науки, означающее систематические отклонения в поведении, восприятии и мышлении, обусловленные субъективными предубеждениями и стереотипами, социальными, моральными и эмоциональными причинами, сбоями в обработке и анализе информации, а также физическими ограничениями и особенностями строения человеческого мозга.. Эти предрассудки используются в различных комбинациях с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае.

Несмотря на то, что понятие социальной инженерии появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной «неправоте». Выступая от имени верхов, они вели дипломатические переговоры, при этом зачастую им приходилось лгать и придумывать выгодные для себя аргументы с целью решения проблем, которые, в противном случае, невозможно было решить без помощи меча. В шпионской среде социальная инженерия всегда являлась главным оружием. Выдавая себя за других людей, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны.

Заговаривая людям зубы по телефону, чтобы получить необходимую информацию или заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области по наводящим вопросам или даже по интонации голоса могут определить комплексы и страхи человека, используя их в своих целях.

Многие профессионалы в области информационных технологий придерживаются неверного представления, считая, что могут достаточно защитить свои данные, используя лишь стандартные методы по защите: системы для обнаружения вторжений, межсетевые экраны, устройства аутентификации и другие. Безопасность - это не только технологическая проблема, но и проблема людей и управления.

Помимо технических методов защиты информации, необходима серьёзная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социальным инженерам. Лишь в этом случае система обеспечения информационной безопасности будет иметь комплексное значение.



1. ТЕОРЕТИЧЕСКИЕ И МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

1.1 Цели социальной инженерии

Основные области применения социальной инженерии показаны на рисунке 1.

Рисунок 1. Области применения социальной инженерии

Социальную инженерию используют для достижения следующих целей:

1. Сбор информации о потенциальной жертве.

2. Получение конфиденциальной информации. Для достижения данной цели при продолжительном общении с жертвой социальный инженер входит в доверие и под удобным предлогом получает необходимую информацию.

3. Получение информации, необходимой для несанкционированного доступа.

4. Вынуждение объекта совершить необходимые социальному инженеру действия, то есть совершение таких действий, которые вынуждают жертву сделать то, что повлечет за собой потенциальную возможность НСД.

Подавляющее большинство социальных инженеров действует по одинаковым или очень похожим между собой шаблонам, что позволяет выявить основные этапы их атаки.

Сначала всегда формируется цель воздействия на тот или иной объект. Под объектом понимается жертва, на которую нацелена атака социального инженера. Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап аттракции. Аттракция - это создание необходимых условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, то есть, после того, как достигается этап аттракции, жертва сама делает нужные социальному инженеру действия. Но бывают такие случаи, когда этот этап приобретает самостоятельную значимость, например, когда принуждение к действию выполняется путем введения в транс, под психологическим давлением и т.д.

Как уже упоминалось, корни социальной инженерии в прикладной психологии. Каждый человек имеет «болевые точки», поразить которые и есть задача социального инженера. В основном социальные инженеры используют следующие человеческие качества:

1. Страх. Это самый часто используемый и самый опасный психологический комплекс человека.

2. Любопытство.

3. Превосходство.

4. Жадность.

5. Жалость.

6. Доверчивость.

Задача злоумышленника - сделать так, чтобы жертва приняла некое решение и до самого конца была уверена, что так решила сама.



1.2 Техники социальной инженерии

Существует несколько распространенных техник, которыми пользуются социальные инженеры. Общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое - либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д.

В современном информационном мире информационных технологий приемы социальной инженерии активно и успешно используют разного рода кибермошенники - хакеры, фишеры, спамеры и т.д. Интернет - технологии (блоги, социальные сети, электронную почту) позволяют злоумышленникам атаковать «человеческий фактор», не вступая в непосредственный физический контакт с жертвой.

В абсолютном большинстве случаев целью применения приемов социальной инженерии является похищение информации у ее носителя.

Основными техниками таких атак являются:

1. Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определенную информацию. Этот вид атак применяется обычно по телефону. Чаще всего эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (Например, персонализации: дата рождения, сумма последнего счета и т.д.), с тем, чтобы обеспечить доверие цели. Вероятно, самый известный прием похищения пароля - это звонок жертве от имени администратора системы или, напротив, администратору - от имени некоторого пользователя. Просьба в обоих случаях одна, - под каким бы то ни было предлогом сообщить пароль на некоторый ресурс.

2. Фишинг (англ. phishing, от fishing -- рыбная ловля, выуживание). Достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Альфа-банк), сервисов (Mail.ru) или внутри социальных сетей (Вконтакте). В письме, как правило, требуется проверка определенной информации или совершение определенных действий. Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до PIN-кода банковской карты.

3. Вишинг (vishing -- voice phishing). Данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR IVR (англ. Interactive Voice Response) -- система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра с использованием информации, вводимой клиентом на клавиатуре телефона с помощью тонального набора. систем. Обычно, жертва получает запрос (чаще всего, через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие вишинга в том, что так или иначе, задействуется телефон.

4. Фарминг (англ. pharming) - перенаправление жертвы по ложному интернет - адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен - «domain name system»). Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт - вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов.

5. Human denial-of-service (HDoS - человеческий отказ в обслуживании). Суть атаки сводится к тому, чтобы заставить человека не реагировать (или реагировать неадекватно) на те или иные ситуации. Чаще всего, это отвлечение внимания, например, на ложную сетевую атаку. Злоумышленник создает видимость выполнения некоторой операции, но на самом деле выполняет совсем иные действия. А жертва, слишком занятая другим, не замечает настоящей опасности.

6. «Человеческий фактор» и электронная почта. Злоумышленники, очень любят использовать такой канал связи с жертвой, как электронная почта. Тем более что за последнее десятилетие e-mail стал одним из основных каналов обмена деловой и личной информацией, а также мощным инструментом ведения бизнеса. Использование электронной почты облегчает задачу злоумышленнику: ему не нужно разыгрывать перед жертвой спектакль - лично либо по телефону - достаточно просто талантливо скопировать эпистолярный стиль какого-нибудь хорошего знакомого жертвы и воспользоваться специальной программой для фальсификации адреса отправителя. Все дальнейшее зависит лишь от фантазии злоумышленника и степени доверчивости его жертвы.

7. Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», «Instagram», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

8. Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания, но искусный социальный инженер может достичь своей цели с помощью простой прямой атаки - просто попросить информацию. Существует три разновидности такого подхода:

Запугивание. Этот подход может использовать олицетворение полномочий, чтобы принудить адресат исполнить запрос.

Убеждение. Самые обычные формы убеждения включают лесть.

Использование доверительных отношений. Этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от адресата.

Используя социальную инженерию, можно не только напрямую выведать информацию у жертвы, но и просто установить на ее компьютер специальные программные средства (закладки), которые выполнят всю работу сами. Для установки таких средств используют следующие методы:

1. Троянский конь. Эта техника эксплуатирует любопытство, либо алчность цели. Распространение троянских программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью служб обмена сообщениями (Например, электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере. Открывая прикрепленный к письму файл, сотрудник устанавливает на компьютер вредоносное ПО, действующее в интересах злоумышленника.

2. Дорожное яблоко. Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью: «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

3. Кви про кво Quid pro quo, Квипроквом или кипроко (от лат. Quid pro quo -- «то за это») -- фразеологизм, обычно используемый в английском языке в значении «услуга за услугу».. Злоумышленник может позвонить по случайному номеру в компанию и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

1.3 Обратная социальная инженерия

Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вряд ли можно многого добиться. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям "Храните в тайне свой пароль". Социальная инженерия рассчитана на наивных пользователей. Чтобы спровоцировать пользователя на действия, способствующие передаче интересующей информации, используют обратную социальную инженерию (ОСИ). Ее целью является заставить жертву саму обратиться к злоумышленнику за «помощью». Помогая пользователю разрешить возникшие проблемы, хакер без особых усилий может узнать рабочие имена и пароли. Атака с помощью ОСИ состоит из трех частей.

1. Диверсия. Это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения, например,

а) Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают: устанавливаемые по умолчанию порты принтера, цвета экрана, макросы, скрытые коды принтера, периферийные технические установки. Установить файлы в режиме «Только для чтения», или переименовать их, или сделать невидимыми в их директориях.

б) Вмешательство в аппаратное обеспечение: переключить цветной монитор в монохромный режим, поменять дисководы, отключить клавиатуру.

в) Инсталлировать большие резидентные программы, занимающие много памяти. В этом случае пользователь не поймет, почему ему не удается запустить программу.

г) Запустить модель программы, которая станет выдавать сообщения об ошибках.

2. Реклама. Информирование пользователя о том, что злоумышленник разбирается в вопросах из области компьютеров. Например, позвонить за день, или даже за несколько часов до совершения диверсии, и сообщить тому, кто подойдет к телефону, новый номер вызова помощи из компьютерного отдела (это будет номер злоумышленника). При этом, попросить пользователя держать этот номер под рукой на случай возникновения проблем.

3. Помощь. Общение с пользователем, в процессе которого хакер решает проблемы пользователя, а тот, не подозревая, решает его проблемы.



2. АНАЛИЗ ПРОБЛЕМЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ В ОРГАНИЗАЦИИ

2.1 Характеристики организации

Исследование данной проблемы рассматривается на примере государственной организации, имеющей трехуровневую иерархию: Головной Центр (1) - подчиненные Управления (20) - Отделы (5). Категория обрабатываемой информации - персональные данные (ПДн).

Количество помещений в здании варьируется в зависимости от уровня иерархии: Головной Центр (50) - подчиненные Управления (20) - Отделы (8).

Количество сотрудников также зависит от уровня иерархии: на Головной офис приходится 100 человек, подчинённые Управления - 50 человек, отделы - 8 человек.

В данной организации происходит обработка более 100 тысяч персональных данных.

На каждый уровень иерархии приходится по одной базе данных и одной локальной вычислительной сети (ЛВС). Головной офис и подчиненные управления имеют 2 почтовых сервера, отделы имеют по одному. Общее количество ПЭВМ в Головном офисе - 75, подчиненных управлениях - 35, отделах - 15.

2.2 Выявление уязвимостей и оценка рисков

Обрабатываемая информация может служить социальным инженерам для извлечения какой-либо выгоды или для использования в определенных целях.

В связи с тем, что обрабатывается большое количество персональных данных, то к подобной базе данных имеет доступ большое количество сотрудников, которые потенциально могут быть подвержены социальным атакам, что может привести к разглашению информации, в следствии чего, организация понесет материальный ущерб.

Для создания методики противодействия угрозам, связанных с использованием социальной инженерии, необходимо выполнить три действия. При этом нужно помнить, что эффективность защиты во многом определяется во время ее планирования. Чтобы не допустить возможных угроз, необходимо выполнить три следующих действия:

1.Разработать стратегии управления обеспечением безопасности. Необходимо определить задачи защиты от угроз, связанных с социальной инженерией и назначить сотрудников, отвечающих за их выполнение.

2. Провести оценку рисков. Проанализировать каждую угрозу и определить, насколько она опасна для организации, какой ущерб она может нанести.

3. Произвести интеграцию принципов защиты от атак социальных инженеров в политику безопасности организации. Разработать процедуры, которые регламентируют действия сотрудников в ситуациях, которые могут оказаться атаками социальных инженеров.

Стратегия управления обеспечением безопасности дает общее представление об угрозах социальной инженерии, которым подвергается организация. Сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:

1. Куратор по безопасности. Должен следить за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладать необходимым для этого авторитетом.

2. Администратор по безопасности. Должен отвечает за организацию разработки политик безопасности и их обновление в соответствии с изменениями требований.

3. Администратор по информированию сотрудников о способах обеспечения безопасности - руководящий сотрудник, который должен отвечать за разработку и проведение кампаний по информированию сотрудников об угрозах и способах защиты от них.

Сотрудники, выполняющие эти роли, должны формировать руководящий комитет по обеспечению безопасности, который определяет главные цели стратегии управления обеспечением безопасности. Связано это с тем, что без определения целей, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которая должна быть выполнена руководящим комитетом по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными атаки социальных инженеров. Для быстрого получения представления о возможных направлениях атак, была составлена таблица (Таблица 1).

Таблица 1. Возможные уязвимости, допускающие проведение атак, основанных на методах социальной инженерии.

Направление атаки	Уязвимость
Электронная почта	Сотрудники подвержены фишинговым атакам и атакам, касающимся «человеческого фактора».
Интернет	Пользование интернетом в личных целях усугубляет положение невозможностью контроля за действиями сотрудников, возможны атаки типа «Троянский конь», «Фрминг», «Человечкский отказ в обслуживании».
Телефонные атаки	Вишинг-атаки.
Служба поддержки	Атаки - Кви про кво и обратная социальная инженерия.
Безопасность офиса	Офисы находятся в незапертом состоянии в течение всего дня. Это позволяет злоумышленнику попасть во внутрь помещения. Возможны атаки типа «Дорожное яблоко».
Атаки на внешний и внутренний мусор	От мусора каждый отдел избавляется самостоятельно. Мусорные контейнеры располагаются на территории организации. Возможна утечка информации путем сбора информации из открытых источников.

При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается организация при различных атаках. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, были сгруппированы факторы риска. Ниже перечислены категории риска:

Утечка информации (УИ);

Урон репутации организации (УРО);

Снижение работоспособности организации (СРО);

Трата ресурсов (ТР);

Финансовые потери (ФП).

Используя таблицу уязвимостей, допускающих проведение атак социальных инженеров, для организации определены требования политик безопасности, типы и уровни риска. Результат представлен в Таблице 2.

Таблица 2. Форма для определения требований к обеспечению безопасности и оценки факторов риска.

Направление атаки	Требования политик	Тип риска
Электронная почта	Принять ПБ, регламентирующую действия сотрудников при получении вложений конкретных типов	УИ УРО ФП
Интернет	Принять ПБ, регламентирующую использование интернета	УИ СРО ТР ФП
Телефонные атаки	Принять политику управления обслуживанием корпоративной телефонной станции	УИ ФП
Служба поддержки	Принять политику, регламентирующую предоставление доступа к данным	УИ ТР
Мусор	Принять политику утилизации бумажного мусора Определить принципы использования мусорных контейнеров	УИ УРО ФП
Физическая безопасность	Принять политику работы с посетителями	УИ ФП
Безопасность офиса	Принять политику управления идентификаторами и паролями пользователей	УКИ УРО ФП



Для облегчения реализации этих мер, необходимо разработать протоколы реагирования на инциденты.

При получении информации об атаке, сотрудникам технического отдела необходимо проводить дополнительный аудит безопасности. Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты.

При регистрации инцидента нужно выяснить, представляет ли он для организации новую или измененную угрозу, и, опираясь на сделанные выводы, создать или обновить политики и процедуры.

Для управления инцидентами необходимо использование протокола, регистрируя в нем следующую информацию:

1. Жертва атаки;

2. Дата;

3. Направление атаки;

4. Описание атаки;

5. Результат атаки;

6. Последствия атаки;

7. Дальнейшие рекомендации.

Регистрация инцидентов позволит определять шаблоны атак и улучшать защиту от будущих атак.

При полном анализе организации, были выявлены следующие факторы, которые делают организацию уязвимыми к атакам:

1.Большое количество сотрудников позволяет социальному инженеру провести атаку, представившись кем-либо из органов управления или Головного Центра.

2. Информация о местонахождении сотрудников позволяет социальному инженеру использовать такую информацию в корыстных целях, к примеру, ссылаясь на сотрудника, местонахождение которого ему известно.

3. Информация о внутренних телефонах и названиях отделов помогает социальному инженеру досконально изучить внутреннюю структуру организаций, которая при проведении атаки, позволит оперировать ему точными названиями отделов и внутренних телефонов, которые не должны быть общедоступными.

4. Отсутствие каких-либо документов, регламентирующих политики и правила безопасности, так же отсутствие полного обучения сотрудников этим правилам помогает социальному инженеру тем, что сотрудники не обучены тому, как вести себя в тех или иных ситуациях, что в свою очередь позволяет ему манипулировать сотрудниками без особого усилия.

5. Документы, которые не должны являться общедоступными, а по своей сути, являются коммерческой тайной, могут перепутаться, потеряться или подобраться посетителями.

6. Отсутствие каких-либо сообщений от сотрудников о произошедших инцидентах, касающихся обрабатываемой информации. Социальные инженеры знают, что, даже если их обнаружат, у сотрудника нет возможности предупредить других сотрудников об атаках. В результате атака может быть продолжена с минимальными изменениями и после компрометации. По существу, компрометация только улучшит атаку, так как атакующие узнают, что именно не срабатывает. Это позволяет социальному инженеру практически на 100% быть уверенным в том, что сотрудник, на которого может быть произведена атака, не будет писать служебных записок и докладных, что влечет за собой ненаказуемость и не знание других сотрудников о проведенной атаке, в связи с чем, социальный инженер может воспользоваться данным видом атаки вновь и вновь.

7. Использование личных почтовых ящиков на рабочем месте создает уязвимости компьютерным сетям организаций. Это позволяет социальному инженеру проникнуть в сеть организации с помощью почтового ящика какого-либо сотрудника из-за того, что не производится проверка входящих писем и по халатности сотрудника.

Следующим этапом выявления уязвимостей необходимо выявить сотрудников, которые являются главными объектами атак социальных инженеров.

В первую очередь ими являются:

1.Секретарь в приемной. При возникновении доверия, социальный инженер способен получить телефоны других сотрудников.

2. Сотрудник по работе с клиентами. При представлении каким-либо клиентом, возможно получить информацию по интересующей организации.

Телефонные справочники. Они позволяют найти необходимые номера, а также получить представление о структуре организации, т.е. точные названия отделов, должностей.



3. ТРЕБОВАНИЯ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ПРОТИВОДЕЙСТВИЮ МЕТОДАМ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

3.1 ГОСТ Р ИСО/МЭК 27033-3-2014

Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления.

Руководства, представленные в настоящем стандарте для каждого из определенных типовых сетевых сценариев, основаны на нижеперечисленных подходах:

- Проверка вводной информации и рамок сценария;

- Описание угроз, соответствующих сценарию;

- Проведение анализа риска относительно обнаруженных уязвимостей;

- Анализ влияния на организацию рассматриваемых уязвимостей;

- Определение рекомендаций по реализации обеспечения безопасности сети.

В целях решения вопросов безопасности любой сети, желательным является систематическое и всеобъемлющее оценивание. Сложность подобного анализа зависит от характера и размера сети в области действия. Тем не менее, последовательная методика очень важна для менеджмента безопасности, особенно в связи с развивающимся характером технологий. Безопасность сети также предполагает защиту различных деятельностей, поддерживаемых в сети, таких как, управленческая деятельность, а также сигналы управления/оповещения, и данные (резидентные и передаваемые) конечных пользователей.

Например, управление GUI GUI (Graphical User Interface) - Графический интерфейс пользователя. ГОСТ Р ИСО/МЭК 27033-3-2014 может быть предметом раскрытия в результате несанкционированного доступа (простой для отгадывания пароль и идентификатор администратора). Управление трафиком само является предметом искажения в результате ложных команд ОА&М OA&M (operations, administration and management) - Пакет прикладных программ по эксплуатации, администрированию и управлению сети. с ложными IP адресами операционных систем, или раскрытия путем пассивного прослушивания сети или прерывания в результате атаки лавинного распространения пакетов.

Проектирование контрмер и реализация мер и средств контроля и управления, защищающих слабые места активов от угроз, является частью любой методики оценки безопасности. В соответствии с требованиями стандартов серии ИСО/МЭК 27000 отбор и реализация соответствующих мер и средств контроля и управления имеет решающее значение для защиты активов/информации. Стандарт требует сохранения конфиденциальности, целостности и доступности информации, и дополнительно он затрагивает и другие свойства, такие как подлинность, неотказуемость и достоверность.

В таблице 3 приведены примеры механизмов обеспечения безопасности сети, которые могут быть реализованы для обеспечения свойств безопасности, выбранных для уменьшения потенциального риска.

Таблица 3. Примеры методов обеспечения безопасности сети

Рассмотрения безопасности	Механизмы/методы обеспечения безопасности
Управление доступом	Система пропусков (идентификационных карточек), списки управления доступом (ACL - Access Control List), разделение обязанностей
Аутентификация	Несложная регистрация входа в систему/пароль, цифровые сертификаты, цифровые подписи, TLS версии 1.2, SSO, CHAP
Доступность	Избыточность и резервное копирование, межсетевые экраны, IDS/IPS (для блокирования атаки DoS), непрерывность бизнеса, сетевой менеджмент и менеджмент услуг с SLAs
Безопасность связи	IPSec/L2TP, частные линии связи, обособленные сети
Конфиденциальность	Шифрование (3DES, AES), списки управления доступом, права доступа к файлам
Целостность	IPSec HMACs (например, SHA-256), циклический избыточный контроль, антивирусное программное средство
Неотказуемость	Регистрация событий, управление доступом, основанное на ролях, и цифровые подписи
Непрозрачность	Шифрование IP-заголовков (например, VPN с режимом туннелирования IP-Sec, NAT (для IP версии 4)

УСЛУГИ ДОСТУПА К ИНТЕРНЕТУ ДЛЯ СОТРУДНИКОВ

Организации, которые должны предоставлять услуги доступа к Интернету для своих сотрудников, должны продумать этот сценарий, чтобы обеспечить уверенность в том, что осуществляется доступ с четко определенными и санкционированными целями, а не общий открытый доступ. Организации должны быть обеспокоены вопросами управления доступом, чтобы избежать потери пропускной способности сети и способности к реагированию, а также привлечения к правовой ответственности сотрудников, имеющих неконтролируемый доступ к услугам Интернета.

Управление доступом сотрудников к Интернету вызывает растущее беспокойство, учитывая количество появляющихся судебных прецедентов, связанных с Интернетом. Таким образом, организация несет ответственность за установление, мониторинг и претворение в жизнь точно выраженной политики использования Интернета посредством оценивания следующих сценариев и обеспечения соответствующих требований в политике:

- доступ к Интернету предоставлен в интересах бизнеса;

- если доступ к Интернету также разрешен (ограниченно) в личных целях, то какими услугами разрешено пользоваться;

- разрешено ли расширенное применение услуг для совместного использования;

- разрешено ли сотрудникам участвовать в чате, форумах и т.д.

Хотя, зачастую, написанная политика выступает как существенный сдерживающий фактор неприемлемого использования Интернета, организация все еще подвергается значительным рискам информационной безопасности. Угрозы безопасности, рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, направленные на уменьшение рисков безопасности, излагаются в нижеследующих пунктах, как только для внутреннего, так и для внутреннего и внешнего использования.

Методы проектирования безопасности и мер и средств контроля и управления

Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 4.

Таблица 4. Меры и средства контроля и управления безопасности для сценария доступа сотрудников к Интернету

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Вирусные атаки и введение вредоносных программ
- Целостность - Управление доступом - Аутентификация	- Предоставление сотрудникам Интернет-услуг, только соответствующих организации. Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах. - Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений. - Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Блокирование появляющихся окон и вэб-рекламы. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания.
Утечка информации
- Безопасность связи - Целостность - Управление доступом	- Реализация фильтров для мобильного кода на шлюзах доступа к Интернету. - Прием мобильного кода только с некритичных сайтов, занесённых в белый список. - Прием мобильного кода, подписанного цифровой подписью, только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного управления и реализации белого списка разрешенных органов сертификации, подписывающих код.
Несанкционированное использование и доступ
- Управление доступом - Неотказуемость	- Предоставление служащим только соответствующих организации Интернет-услуг. Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов. - Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных. - Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет. - Четкое определение авторизованного и неавторизованного использования доступа к Интернету в специальной политике. - Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки.
Ответственность за несоблюдение нормативов
- Неотказуемость	- Использование записи событий, отметок времени. - Осведомленность и профессиональная подготовка пользователей.
Снижение доступности сети связи
- Целостность - Доступность	- Надлежащий менеджмент уязвимостей и исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости. - В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows. - Прерывание пропускной способности для потоковых мультимедийных средств (если только это разрешено политикой бизнеса). - Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий

Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации. Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.

МОБИЛЬНАЯ СВЯЗЬ

Этот сценарий должны рассматривать организации, разрешающие сотрудникам использование мобильных устройств.

Этот сценарий сосредоточен на безопасных деловых отношениях предприятий, использующих и развертывающих мобильные устройства и приложения. Хотя основным фактором для быстрого развития новых возможностей мобильных устройств, таких как смартфоны или персональные информационные устройства (PDA - personal data assistants), является потребительский рынок, они также используются в среде бизнеса. Часто такие устройства являются личной собственностью и используются как для целей организации, так и в личных целях. Иногда устройства могут быть предоставлены компанией и применены для личного использования. Таким образом, ориентированным на профессиональную деятельность устройствам необходимо иметь функции, введенные для потребительского рынка, поскольку продавцы хотят получить настолько выгодный бизнес, насколько он возможен в условиях конкуренции.

Устройства мобильной связи позволяют удаленным пользователям координировать персональные базы данных, а также обеспечивать доступ к услугам сети, таким как беспроводная электронная почта, просмотр веб-страниц, а также доступ к Интернету. Когда человек использует одни и те же устройства для частных и для деловых целей, возникает тенденция обхода политик или игнорирование их использования, таким образом, на предприятие привносятся значительные риски информационной безопасности.

В пунктах ниже описываются угрозы безопасности и даются рекомендации по методам проектирования безопасности, а также приводятся меры и средства контроля и управления, как только для внутреннего, так и для внутреннего и внешнего использования, для уменьшения соответствующих рисков.

Методы проектирования безопасности и меры и средства контроля и управления

Таблица 5. Меры и средства контроля и управления безопасности для сценария мобильной связи

Применяемые свойства безопасности для идентифицированных угроз	Реализуемые проекты и методы
Несанкционированный доступ к информации, хранящейся на мобильных устройствах
- Управление доступом - Аутентификация - Неотказуемость	- Осведомленность пользователя о физическом контроле. - Избегание стандартных конфигураций. - Строгая аутентификация. - Включение опций регистрации. - Блокировка таймера неактивности. - Межсетевые экраны. - Формирование политики безопасности в отношении паролей и использования в организации (ограничение использования в личных целях устройств, принадлежащих предприятию).
Несанкционированное разглашение конфиденциальных данных и информации, касающейся размещения
- Конфиденциальность - Аутентификация - Безопасность связи - Непрозрачность	- Шифрование хранимых и передаваемых (беспроводным способом) данных. - Защита паролей. - Избегать услуг третьей стороны, которые требуют свободного доступа к тексту передаваемых данных или, а если это невыполнимо, то требовать обеспечения уверенности в том, что конфиденциальность обрабатываемых данных такая, как требуется. - Обеспечение уверенности в безопасных процедурах синхронизации. - Для удаленного доступа использовать соединения через безопасную VPN. - Надлежащие процедуры утилизации носителей для удаления чувствительных данных. - Согласие пользователя на определение его местоположения.
Несанкционированная модификация/удаление хранимой информации (включая программное средство)
- Конфиденциальность - Доступность - Целостность	- Отключение неиспользуемых беспроводных интерфейсов, услуг и приложений. - Своевременное проведение исправлений операционной системы. - Надлежащие процедуры утилизации для удаления конфиденциальных данных. - Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователи предупреждены о том, что обновления доступны. - Загрузка программного средства, полученного только от предприятий, имеющих право на распространение программного средства (во избежание установки нелицензионного программного средства). - Цифровые подписи для проверки источника загружаемого программного средства.
Спам
- Управление доступом	- Фильтрация информации. - Повышение осведомленности пользователей.
Кража или случайная потеря
- Конфиденциальность - Аутентификация	- Удаленное управление активами (устройства отключения/блокировки). - Периодическое безопасное резервное копирование. - Централизованный менеджмент в отношении отслеживания активов и соблюдения политики.

Пример политики использования объединенной сети

Политика

1) Хотя администрация сети организации желает обеспечить приемлемый уровень непрозрачности, пользователи должны быть осведомлены о том, что данные, которые они создают на корпоративных системах, являются собственностью организации. В связи с необходимостью защиты сети организации менеджмент не может гарантировать конфиденциальности информации, хранящейся на любых сетевых устройствах, принадлежащих организации.

2) Сотрудники несут ответственность за осуществление правильного решения, касающегося обоснованности персонального использования. Отдельные подразделения несут ответственность за создание рекомендаций, касающихся персонального использования систем Интернет/Интранет/Экстранет. При отсутствии политик, сотрудники должны руководствоваться ведомственными политиками в личных целях, и, если возникают какие-либо неопределенности, сотрудники должны проконсультироваться со своим руководителем или менеджером.

3) InfoSec рекомендует, чтобы любая информация, которую пользователи считают чувствительной или уязвимой, была зашифрована. Для получения руководящих указаний, касающихся классификации информации, см. "Политику чувствительной информации", разработанную InfoSec. Для получения руководящих указаний по шифрованию электронной почты и документов обратитесь к "Инициативе осведомленности", разработанной InfoSec.

4) В целях безопасности и технического обслуживания сетей, уполномоченные лица в пределах организации могут контролировать оборудование, системы и сетевой трафик в любое время согласно "Политике аудита", разработанной InfoSec.

5) Организация сохраняет за собой право на проведение аудита сетей и систем на регулярной основе в целях обеспечения соблюдения этой политики.

Безопасность и служебная информация

1) Интерфейс пользователя для информации, содержащейся в системах, связанных с Интернет/Интранет/Экстранет, которая должна быть классифицирована в качестве конфиденциальной или не конфиденциальной, как определено в рекомендациях по корпоративной конфиденциальности, более подробные сведения о которой можно найти в "Кадровой политике". Примеры конфиденциальной информации включают, но не ограничиваются: секреты компании, корпоративные стратегии, чувствительную информацию о конкурентах, торговые секреты, спецификации, списки клиентов и данные исследований. Сотрудники должны принять все необходимые меры для предотвращения несанкционированного доступа к этой информации.

2) Хранить пароли в секрете и не разделять учетные записи. Авторизованные пользователи несут ответственность за сохранность своих паролей и учетных записей. Пароли системного уровня должны изменяться ежеквартально, пароли уровня пользователя следует изменять каждые шесть месяцев.

3) Все персональные компьютеры, ноутбуки и рабочие станции должны быть обеспечены защищенной паролем заставкой с автоматической активацией, установленной на 10 минут или меньше, или отключением регистрации (комбинация клавиш "control-alt-delete" для пользователей Win2), когда хост будет необслуживаемым.

4) Использование шифрования информации в соответствии с "Политикой приемлемого использования шифрования", разработанной InfoSec.

5) Поскольку информация, содержащаяся на портативных компьютерах особенно уязвима, ей должно быть уделено особое внимание. Защита ноутбука осуществляется в соответствии с "Информацией по безопасности для ноутбука".

6) Почтовые сообщения сотрудников из адреса электронной почты организации для сетевых телеконференций должны содержать оговорку о том, что выражено строго индивидуальное мнение, и оно не обязательно совпадает с позицией организации, кроме почтовых сообщений, участвующих в процессе бизнеса.

7) Все хосты, используемые служащими для подключения к Интернет/Интранет/Экстранет организации и принадлежащие сотруднику или организации, должны непрерывно сканироваться антивирусной программой с действующей (актуальной) базой данных вирусов, если не переопределены ведомственные или групповые политики.

8) Сотрудники должны соблюдать осторожность при открытии вложений электронной почты, полученных от неизвестных отправителей, которые могут содержать вирусы, бомбы электронной почты, или код Троянского коня.

Системная и сетевая деятельность

Следующие мероприятия, без исключений, являются строго запрещенными:

1) Нарушения прав любого лица или компании, защищенных авторскими правами, коммерческой тайной, патентом или иной интеллектуальной собственностью, а также нарушения аналогичных законов или правил, включая, но не ограничиваясь, установки или распространения "пиратских" или других программных продуктов, которые не являются соответствующим образом лицензированными для использования организацией.

2) Строго запрещено несанкционированное копирование материалов, защищенных авторским правом, включая, но не ограничиваясь, оцифровку и распространение фотографий из журналов, книг или других источников, защищенных авторским правом, защищенной авторским правом музыки, а также установка любого программного средства, защищенного авторским правом, на которое организация или конечный пользователь не имеет активной лицензии;

3) Незаконным является экспорт программного обеспечения, технической информации, программного обеспечения или технологии шифрования в нарушение международных или региональных законов о контроле над экспортом. Соответствующим представителям менеджмента следует проконсультироваться перед экспортом какого-либо рассматриваемого материала;

4) Внедрение вредоносных программ в сеть или на сервер (например, вирусов, "червей", "Троянских коней", "бомб" электронной почты, и т.д.);

5) Раскрытие своего пароля учетной записи другим лицам или разрешение использовать свою учетную запись другими. Это касается членов семьи и других родственников, когда работа ведется на дому;

6) Использование вычислительных активов организации для активного участия в приобретении или передаче материала, который нарушает законы о враждебном отношении на рабочем месте, находящиеся в местной юрисдикции пользователей;

7) Оформление мошеннических предложений товаров, предметов или услуг, исходящих из какой-либо учетной записи компании.

8) Оформление заявления о гарантии, прямой или косвенной, если это не является частью обычных рабочих обязанностей;

9) Осуществление нарушений безопасности или сбоев в сетевой коммуникации. Нарушения безопасности включают, но не ограничиваются, доступ к данным служащего, который не является предполагаемым получателем, регистрацию на сервере или учетную запись, явно неразрешенную для доступа сотрудника, если эти обязанности не входят в рамки обычных обязанностей.

Для целей настоящего раздела термин "нарушение" включает, но не ограничивается, сниффинг, переполнение пакетами "запрос отклика", пакетный спуффинг, отказ в обслуживании, и ложная маршрутная информация в злонамеренных целях.

...