Разработка методики противодействия методам социальной инженерии в компьютерной системе

Исследование возможностей и описание методов атак социальной инженерии. Разработка методики противодействия этим угрозам в трехуровневой организации с целью защиты персональных данных. Характеристика основных услуг доступа к Интернету для сотрудников.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 18.09.2016
Размер файла 511,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Фарминг - это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунке 5 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 5, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а также название организации в почте - «Contoso», но ссылка указывает на организацию по имени «Comtoso».

Рисунок 5. Образец гиперссылки на фишинговый сайт.

При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты. Гиперссылка также может указывать на узлы с всплывающими приложениями, которые запрашивают какие-либо данные или предлагают помощь. Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:

Вложенные файлы;

Гиперссылки;

Запросы личной или корпоративной информации, исходящие изнутри организации;

Запросы личной или корпоративной информации, исходящие из-за пределов организации.

Примерами могут служить электронные письма, которые содержат предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д.

Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.

Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.

Следует сохранить несколько подобных писем для наглядного примера и напоминания сотрудникам о существующей проблеме.

Следует остерегаться вложенных приложений во входящей почте и свободного программного обеспечения.

Необходимо проверять доменные имена, в связи с тем, что вложенный в электронное письмо файл может содержать двойное расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение расширения файлов, выполнив команду «Сервис > Свойства папки» и снять флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например, щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).

Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:

Сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;

Обещания огромного денежного приза с минимальными усилиями или вовсе без них;

Запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;

Грамматические, пунктуационные или орфографические ошибки.

Популярные фишинговые схемы:

Мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);

??Подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);

??Ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО - это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).

Методы борьбы с фишингом:

1.Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.

2.Технические методы:

· Использование браузеров, которые предупреждают об угрозе фишинга.

· Создание списка фишинговых сайтов и последующая сверка с ним.

3. Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.

4. Усложнение процедуры авторизации (например, сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).

5. Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).

6. Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).

Отправляемая информация. Необходимо выстроить систему, которая будет обеспечивать безопасность пересылки важной информации какому-то незнакомому лично отправителю. Так же необходимо разработать особые процедуры для передачи файлов с важной информацией.

При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения его личности. Также должны быть установлены различные уровни доступа к информации.

Способы, которые следует применить:

1.Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).

2. Необходимо хранить историю всех транзакций.

Необходимо утвердить список сотрудников, которые имеют право отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.

При запросе на информацию в письменном виде (e-mail, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.

Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают подобные сведения (в том числе нельзя переходить по ссылкам в таких сообщениях).

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 14.

Таблица 14. Интерактивные Почтовые нападения

Цели нападения

Описание

Воровство информации, которая принадлежит организации

Социальный инженер играет роль внутреннего пользователя, для получения информации организации

Воровство финансовой информации

Социальный инженер использует фишинг, вишинг, фарминг для запроса конфиденциальной информации (например: подробности учетной записи)

Загрузка вредоносного ПО

Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации

Загрузка хакерского ПО

Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО

Всплывающие приложения и диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера в пределах компьютерной сети, через которую в последующем начинается фишинг-атака или иные почтовые нападения на другие организации или физические лица.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 15.

Таблица 15. Он-лайн атака с помощью всплывающих приложений или диалоговых окон

Цели нападения

Описание

Воровство персональной информации

Социальный инженер запрашивает персональную информацию сотрудника

Загрузка вредоносного ПО

Социальный инженер обманывает сотрудника с помощью гиперссылки или вложения, инфицирует сети организации

Загрузка хакерского ПО

Социальный инженер обманывает пользователя, с помощью гиперссылки или вложения, загружает хакерское ПО

Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом уровне заблокировать всплывающие окна и автоматические загрузки.

Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.

Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются:

1.Указание в тексте сообщения ссылки на вредоносную программу.

2. Доставка вредоносной программы.

Одной из особенностей служб мгновенного обмена сообщениями является неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет социальному инженеру гораздо легче выдавать себя за другого человека и значительно повышает шансы на успешное проведение атаки. На рисунке 6 показано, как работает имитация при использовании IM.

Рисунок 6. Имитация при использовании IM

Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает IM-сообщение, исходя из соображений, что получатели примут их за сообщения от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.

При использовании в организации программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований:

Выбрать одну платформу для мгновенного обмена сообщениями;

Определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;

Определить принципы установления новых контактов;

Задать стандарты выбора паролей.

Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:

1.Блокирование общих портов брандмауэрами.

2. Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;

Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.

В таблице 16 наглядно указаны цели нападения, описание нападения и направленность нападения с помощью IM.

Таблица 16. Нападения IM передачи сообщений.

Цели нападения

Описание

Запрос о конфиденциальной информации организации

Социальный инженер, исполняя роль коллеги, использует IM имитацию, для запроса деловой информации

Загрузка вредоносного ПО

Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, инфицирует сеть организации

Загрузка хакерского ПО

Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, загружает хакерское ПО

В целом, методы защиты от социальной инженерии при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты.

Пароли. Все сотрудники, имеющие доступ к информации, должны четко понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.

Сотрудники должны подозрительно относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.

Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор заглавных и строчных букв, различных символов и цифр. А также размер должен быть никак не меньше восьми символов.

Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно было взломать и воспользоваться им.

Пароли, которые часто взламывают:

Электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;

ICQ, особенно короткие номера;

Skype;

ВКонтакте.

Пароли, которые легко взломать:

Дата рождения;

111, 333, 777 или что вроде этого;

12345 или qwerty - буквы клавиатуры, идущие подряд;

Простые имена - sergey, vovan, lena;

Русское слово, набранное в английской кодировке, напр. Сергей получится Cthutq.

Защищенным паролем является:

Длинный (8-15 символов);

Сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);

Не из словаря, т.е. не слово, и не имя;

Отдельный пароль для каждого отдельного сервиса;

Не связанный с сотрудником (адрес, номер сотового и т.д).

Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем. Остальные пароли можно группировать. Например,

Простой пароль и логин для регистрации во всех временных и не важных мест;

Надежный пароль для всех форумов и социальных сетей и т.д.;

Самый сложный и охраняемый пароль должен быть для электронной почты. Связано это с тем, что если получить доступ к электронной почте, то можно получить доступ ко всем местам, где производилась регистрация. Поэтому этот пароль должен быть надежным.

Ни в коем случае нельзя создавать в компьютере папку с паролями, лучше запомнить или записать на бумаге. Если пароли сохранены на бумаге, то необходимо сделать вторую копию и хранить оригинал и копию в недоступном месте, подальше от чужих глаз.

Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.

При хранении поистине важной информации, следует менять пароль раз в месяц. Такой способ рекомендует Microsoft, и так поступают крупные структуры, включая банки.

Обратная социальная инженерия строится на трех факторах:

Создание ситуации, которая вынуждает человека обратиться за помощью;

Реклама своих услуг или опережение оказания помощи другими людьми;

Оказание помощи и воздействие.

Если незнакомый человек оказывает услугу, а потом просит сделать что-либо, ни в коем случае нельзя это делать, не обдумав то, что он просит.

Социальный инженер чаще всего выбирает целью сотрудников, у которых ограниченные знания в области использования компьютеров.

Так же новые сотрудники организации являются целями социальных инженеров, в связи с тем, что новые сотрудники не знают всех процедур предоставления и обработки информации в организации. Это связано с попыткой создания хорошего впечатления о себе и желания показать, как быстро и хорошо они могут работать и откликаться на просьбы.

Прежде, чем новым сотрудникам будет разрешено получить доступ к компьютерным системам, они должны быть обучены правилам безопасности, в особенности правилам о не раскрывании паролей.

Одна основная часть решения: необходимо назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы.

Личностный подход. Самым простым способом получения информации для социального инженера является просьба. Существует четыре разновидности такого подхода:

Запугивание (этот подход использует олицетворение полномочий для принуждения исполнения запроса);

Убеждение (самые обычные формы убеждения включают лесть);

Использование доверительных отношений (этот подход требует более долгого срока, в течение которого социальный инженер формирует отношения для получения доверия и информации от объекта);

Помощь (помощь будет требовать, чтобы сотрудник обнародовал какую-либо информацию).

Схема с использованием запугивания с ссылкой на авторитет работает особенно хорошо в том случае, когда сотрудник, против которого используют запугивание, имеет достаточно низкий статус в организации. При использовании важного человеческого имени пропадают не только подозрения, но и появляются такие свойства, как внимательность.

Защитой против нападения запугивания является развитие культуры «отсутствия страха из-за ошибки», если нормальным поведением является вежливость, то успех запугивания уменьшается.

Необходимо помнить, что неприемлемо зависеть от чьего-либо авторитета. Следует избегать влияния авторитета в дружеских или деловых отношениях, но без нанесения вреда общению. Более того, такие действия должны приветствоваться высшим руководством.

Защитой от убеждения является строгое следование инструкциям и политикам безопасности.

Нападения «помощи» могут быть сокращены, если имеется эффективная техническая поддержка. Внутренний помощник - часто результат потери доверия к существующим услугам технического отдела организации. Для предотвращения таких атак:

Необходимо закрепить в политике безопасности, что технический отдел - это единственное место, куда нужно сообщать о проблемах;

Следует гарантировать, что технический отдел имеет согласованный процесс ответа в пределах установленного уровня обслуживания;

Необходимо проверять выполнение сервисных работ регулярно, чтобы удостовериться, что сотрудники получают подходящий уровень ответов и решений.

Существует два правила, которые позволяют избежать такие типы атак.

1.Ни один из сотрудников организации не должен знать больше, чем ему положено знать по должности. Это связано с тем, что большинство людей не умеют хранить секреты.

2. Данное правило применяется в случаях, когда у кого-то из сотрудников возникает желание с кем-то поделиться информацией. В трудовом договоре с сотрудником обязательно должно быть четко прописано, что является коммерческой тайной (приложение А), а также должен быть пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Так же сотруднику необходимо четко разъяснить, что согласно ст. 7, 8, 10 и 11 Федерального закона «О коммерческой тайне» работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые, по мнению работодателя, являются коммерческой тайной организации, и за разглашение которой он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона, сотрудник обязан будет возместить причиненные организации убытки, которые возникли в результате разглашения конфиденциальной информации (размер убытков устанавливает суд). Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего-либо пропадает в момент появления. Кроме того, можно сообщить сотрудникам, что за хищение такой информации, можно инициировать судебное разбирательство по четырем статьям Уголовного кодекса: ст. 159 («Кража»), ст. 272 («Несанкционированный доступ к компьютерной информации»), ст. 183 («Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну») и ст. 146 («Нарушение авторских и смежных прав»). Практика показывает, что, когда перед сотрудниками появляется возможность получить уголовное преследование за кражу информации, они становятся намного осмотрительнее в своих действиях. (в приложении Б предоставлен документ «Обязательства о неразглашении коммерческой тайны организации»).

Так же сотрудникам следует знать несколько правил, которых желательно придерживаться и стараться не откланяться от данного списка. Это даст возможность при попытке манипулирования социальным инженером, заметить и пресечь эти действия.

1.Репутация. Чем больше репутация у сотрудника в организации, тем меньше шансов, что он будет подвергнут атаке со стороны социального инженера.

2. Споры. Любой спор необходимо избегать - это учит быть уравновешенным и не принимать быстрых, и порой, неправильных решений, это требование оставляет сотрудника хладнокровным в любой ситуации и помогает трезво оценивать ситуацию.

3. Сплетни. Желательно стараться ни с кем не обсуждать другого человека, даже пытаться не делиться новостями местного характера (те же сплетни). В разговорах, содержащих сплетни, необходимо выходить из них какими-то историческими фактами. Необходимо плавно менять тему на какую-нибудь из научных для того, чтобы собеседнику данная тема была не интересна, и он был бы вынужден сам изменить тему на более подходящую.

4. Постоянная смена собеседников. У человека существует такое свойство, как быстрое привыкание, как к хорошему, так и к плохому, как только сотрудник привык к другому, он начинает замечать изъяны и ставить на уровень ниже, чем при знакомстве или начале беседы. Человек никогда не сможет поругаться с собеседником, с которым недавно познакомился, но как только они начинают привыкать друг к другу, они начинают себе позволять намного больше, нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание «смены партнера», здесь речь идет о том, что желательно не вести продолжительные беседы, а желательно стараться быстро обсуждать важные вещи и по возможности находить нового собеседника и проводить с ним столько же времени в дискуссии. Ни в коем случае нельзя замыкаться в себе и не показываться на глаза другим сотрудникам. Если сотрудника не будут видеть, то первое требование в списке не сможет быть соблюдено.

5. Не посвящение никого в свои проблемы. Каждый будет стараться оказать помощь в решении какой-либо проблемы и тут сотрудник автоматически становится жертвой социального инженера, так как после оказания помощи будет ему обязан.

Анализ мусора. Целенаправленные поиски в мусорном контейнере - общий практикуемый метод для злоумышленников для получения информации, компрометирующую организацию. Цели, направленность и описание подобных атак представлены в таблице 17.

Политика безопасности организации должна включать положение об управлении жизненным циклом носителей, включая процедуры разрушения или стирания.

В связи с тем, что атаки на мусор нельзя считать правонарушениями, следует гарантировать, что персонал организации в полной мере понимает значение выброшенных бумажных или электронных носителей. Необходимо также управлять внутренними отходами.

Одна из самых эффективных мер при работе с мусором - это спецификация классификации данных. Производится назначение различных категорий информации и определение того, как персонал должен с ними обращаться и уничтожать. Категории должны включать:

Конфиденциальная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

Частная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги);

Ведомственная информация (необходимо уничтожать все бумаги, имеющие данный шифр в специальных уничтожителях бумаги перед выбрасыванием в общедоступные урны);

Общедоступная информация (можно избавиться от общедоступных документов в любой урне или использовать их как черновики).

Таблица 17. Атаки на мусор.

Цели нападения

Описание

Бумажные отходы во внешних урнах

Социальный инженер берет бумагу из внешне размещенной урны с мусором для захвата любой уместной информации об организации

Бумажные отходы во внутренних урнах

Социальный инженер берет бумагу из внутренних офисных урн, совершая обход любых рекомендаций защиты

Электронные отходы цифровых носителей

Социальный инженер захватывает информацию и приложения из выброшенных электронных носителей, а также ворует сами носители

«Дорожное яблоко». Для борьбы с этим методом атак, следует проверять на отдельной изолированной машине все поступающие в организацию непроверенные источники информации. Так же всем сотрудникам необходимо воздержаться от самостоятельных экспериментов и передавать носители в технический отдел для проверки.

В правила технического отдела должны быть включены:

Каждое действие технической поддержки должно быть запланировано;

Подрядчики и внутренние сотрудники, которые совершают локальное обслуживание или установку какого-либо оборудования или программ, должны иметь документы, идентифицирующие личность;

При проведении работ сотрудник обязан перезванивать в технический отдел, чтобы сообщить им время прибытия сотрудника технического отдела и время его ухода;

Каждая произведенная работа должна иметь документы, которые подписываются сотрудниками;

Пользователь никогда не должен обращаться к информации или регистрации на компьютере для обеспечения доступа сотруднику технического отдела.

Пропускной режим. При беспрепятственном передвижении по зданию организации, подвергается опасности частная информация организации. В наше время, когда угроза терроризма нависает над обществом, это больше, чем просто информация, которой можно рисковать.

Единственный выход из этой ситуации - это усилить процедуры идентификации.

Менее распространенным, но более эффективным методом социальной инженерии является личный контакт с сотрудником.

Ситуация, в которой неправомочный человек следует за сотрудником, проходя в организацию, является самым простым примером нападения с использованием социальной инженерии.

Защищенность от таких угроз зависит от выполнения сотрудниками действий, которые основаны на эффективной политике безопасности организации, учитывающей три области:

Помещения организации;

Дом;

Мобильная работа.

Необходимые действия, при которых будет невозможно физическое нападение с использованием социальной инженерии в пределах организации:

Идентификация с помощью фотографий на пропусках;

Книга посетителей, в которой расписывается посетитель и сотрудник, которого он посещает;

Карточка посетителя (удостоверение посетителя), которая должна быть видна всегда, пока он находится в здании и которая возвращается при уходе;

Книга подрядчиков, в которой расписывается подрядчик и сотрудник, который уполномочил их работу;

Карточка подрядчика (удостоверение подрядчика), которая должна быть видна всегда, пока он находится в здании.

Охранник, осуществляющий пропускной режим в организации, должен быть проинструктирован касательно возможных действий социальных инженеров. Охранник обязан следовать следующим правилам:

Пропускать только сотрудников с пропусками;

Посетителей регистрировать в журнале при наличии документа, подтверждающего личность;

Позволять проходить в помещение только в сопровождении других сотрудников организации (сопровождение должно производиться от самого входа до места назначения и обратно, не позволяя им самостоятельно ходить по организации).

Отступать от этих правил нельзя ни в коем случае.

Для того чтобы удостовериться, что каждый посетитель представляется охране, вход в организацию должен быть организован так, чтобы посетители должны были идти непосредственно мимо поста охраны так, чтобы предъявить свои пропуска или зарегистрироваться. При этом недопустимо скопление народа перед охранником, которое может затруднить работу охраны.

Пример расположения поста охраны показан на рисунке 7.

Область поста охраны слева позволяет неправомочному посетителю пройти, используя законного служащего как экран. Пример справа требует, чтобы любой посетитель шел мимо охранника. Позиция компьютерного терминала не закрывает взгляд охранника.

Рисунок 7. Планирование поста охраны.

Необходимо, чтобы сотрудники охраны просматривали весь проход и не мешали друг другу, когда они проверяют каждого человека.

Работа технического отдела. Администраторы баз данных и локальных сетей, которые работают с программным обеспечением, располагающие технической информацией, обязаны устанавливать личность человека, который обратился к ним за советом или информацией.

Необходимо сменить учетные данные на всех коммутаторах организации, в связи с использованием одинаковой сервисной учетной записи на всех коммутаторах от завода.

Те же самые действия необходимо произвести и с телефонными коммутаторами.

Необходимо использовать утилиту «L0phtcrack4» для проверки «слабых» паролей или аналогичные ей.

Для того чтобы меры по обеспечению безопасности имели смысл - как для администраторов сети, так и для сотрудников, использующих сетевые ресурсы - необходимо определить сетевую политику безопасности, в которой нужно четко описать, что можно и чего нельзя делать в сети.

Для ознакомления сотрудников с политиками обеспечения безопасности компьютеров и сети необходимо использовать следующие документы:

1. Политику сетевых соединений.

2. Процедуры по устранению последствий вторжения.

3. Правила пользования компьютером.

Ознакомление с этими документами должно подтверждаться подписью сотрудников, подобно тому, как это происходит при инструктаже по технике безопасности.

Политика сетевых соединений. Документы этого типа должны содержать перечень устройств, которые разрешается подключать к сети, а также свод требований по обеспечению безопасности - какие функции операционной системы используются, ответственные лица за утверждение подключения к сети новых устройств. Так же должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора и даже маршрутизатора - что разрешено делать, а что запрещено. Отдельно должна составляться политика сетевых подключений для брандмауэров - с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и из сети.

При работе сотрудниками через виртуальную частную сеть (Virtual Private Network, VPN), необходимо разработать специальные документы с подробным описанием настройки портативных и настольных компьютеров.

В документации необходимо описать все процедуры получения учетной записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля. Необходимо ясно озвучить, что никакие соединения, идущие вразрез с описанными процедурами и политиками безопасности и происходящие без ведома ответственных лиц, не допускаются.

При предоставлении сотрудникам права коммутируемого доступа, сотрудники должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для такого доступа.

Следует запретить сотрудникам работать дома с рабочего компьютера (ноутбука, нетбука и т.д.).

При желании сотрудником получения разрешения на какое-либо послабление установленной политики, от него необходимо требовать письменное заявление с обоснованием своей просьбы. При просьбе установки программы, которая не поддерживается техническим отделом, нельзя давать разрешение на ее установку только по причине острой производственной необходимости. В последнем случае программу необходимо внести в политику сетевых соединений и обучить персонал технического отдела ее использованию. Ни при каких обстоятельствах нельзя разрешать сотрудникам загружать и устанавливать программы из интернета.

Отдельное внимание следует обратить на попытки доступа к данным, не имеющим отношения к служебным обязанностям сотрудника. Такие действия называются «прощупыванием» сети и должны рассматриваться как причина для увольнения. Если сотрудник желает знать, где хранятся данные или приложения, то он должен обсудить этот вопрос с руководством или техническим отделом.

Устранение последствий вторжения. В организации должен быть специальный сотрудник или сотрудники, которые должны отвечать за исследование вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа, в котором расписаны процедуры на случай тех или иных нарушений системы защиты, показывает сотрудникам, насколько важна безопасность сети и насколько тщательно нужно выполнять меры по ее соблюдению.

В документе, который должен содержать описание процедур по устранению последствий вторжения, следует дать определение того, что считается брешью в защите. Это может быть следующее:

Кража аппаратных средств или программного обеспечения;

Подбор или разглашение пароля;

Недопустимая передача кому-либо носителей информации, в том числе дисков, флеш-драйверов и бумажных носителей;

Совместное использование одной учетной записи либо разглашение имени пользователя и пароля;

Просмотр сети без соответствующих полномочий;

Вмешательство в данные или учетную запись другого сотрудника;

Подозрительное проникновение в сеть извне;

Компьютерные вирусы;

Нарушение физического доступа.

Некоторые из этих ситуаций кажутся вполне очевидными. Однако наивно рассчитывать справиться с подобными проблемами без заранее написанных инструкций.

Инструкции по использованию компьютера. В инструкции по использованию компьютера должно быть ясно прописано, что все компьютерные программы должны предоставляться исключительно организацией; использование на компьютере, принадлежащем организации, или в корпоративной сети посторонних программ запрещается. Следует убедиться, что все сотрудники понимают это и что организация таким образом защищена от возможных судебных разбирательств.

Так же, в документации необходимо отметить о запрете копирования пользователями принадлежащее организации программное обеспечение и данные, уносить их домой или использовать другим неразрешенным образом.

Необходимо обязать сотрудников сообщать о любых подозрительных действиях или неправомочном использовании компьютерных ресурсов. На сотрудников также должна возлагаться ответственность за принятие необходимых мер по защите данных и программ в пределах их полномочий - в частности, они не должны оставлять рабочую станцию, зарегистрированную для работы в сети, без присмотра на длительное время, (для этого следует пользоваться защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую конфиденциальную информацию и тому подобное.

Инструкции по использованию компьютера могут включать много нюансов. При ее составлении необходимо учесть следующие моменты:

Недовольство пользователей (в лучшем случае пользователи не станут выполнять слишком строгую инструкцию, которая создает серьезные неудобства, - особенно если им непонятно, насколько эти меры оправданы, в худшем - возможно нарастание скрытой агрессии и открытый конфликт);

Наказания (если правило подразумевает принятие некоторых болезненных мер, то оно всегда должно выполняться с максимальной значительностью и строгостью, в идеале такие меры должны приниматься один раз);

Сотрудники (в любом документе, который содержит инструкции по использованию сети, должно подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично);

Внешние соединения (еще одной областью, которой часто уделяется недостаточно внимания, являются сотрудники, которые приходят в организацию и получают временный доступ к сети. Для сотрудника, который нанят по контракту для выполнения определенных работ, обязательно должны быть разработаны правила использования компьютера - такие сотрудники должны прочесть эти правила и подписью подтвердить факт ознакомления с ними).

В инструкциях так же должно быть сказано, что сотрудник не имеет права обсуждать с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.

Работа отдела кадров. Очень часто, когда речь заходит о безопасности организации, в том числе, когда дело касается социальной инженерии, нельзя забывать о том, что опасность может быть внутри организации. Связано это с тем, что у сотрудников могут быть свои пороки. Типами сотрудников являются:

1.Упрямые сотрудники (они упрямы и уверены, что делают что-либо правильно и это не может подлежать никакому критическому обсуждению).

2. Недобросовестные сотрудники (они демонстрируют деловую активность пока за ними наблюдаешь, как только наблюдение прекращается - они перестают работать).

3. Расхитители (по данным Национальной Американской Ассоциации от «50 до 70% убытков организации приходится на кражи, которые совершают сотрудники»). К расхитителям можно отнести и тех сотрудников, которые наняты конкурентами.

Согласно статистике, представленной на рисунке 8, «процент честных сотрудников равен 10, 65% готовы нарушить закон в том случае, если они будут уверены в своей безнаказанности. Оставшиеся 25% готовы нарушить закон при любых обстоятельствах».

Отделу кадров рекомендуется наблюдать за сотрудниками на всех стадиях их развития в организации.

Любой сотрудник в организации всегда проходит три стадии развития:

1. Устройство на работу.

2. Этап работы.

3. Увольнение.

При приеме сотрудника на работу необходимо собрать о нем как можно больше сведений, с целью прогноза поведения в каких-либо ситуациях. Как правило, такие проверки проще проводить с помощью стандартных психологических тестов. Так же следует определить, не принадлежит ли кандидат на должность к одной из категорий «неудобных сотрудников», классификацию и описание которых приведена ниже.

Всех сотрудников можно разделить на четыре группы:

1. Сотрудники, которые довольны работой в организации, как в моральном, так и в материальном плане.

2. Сотрудники, которые довольны работой в организации в моральном плане, но в материальном плане они не получают достойного вознаграждения за свой труд, при этом относятся к этому снисходительно, т.к. считают, что другой такой же интересной работы они не найдут, а на неинтересной работе они работать не могут.

3. Сотрудники, которые работают только за зарплату, которая их пока устраивает, а к любой работе они относятся только как к обязанности, которую нужно выполнить, чтобы получить деньги (эта группа является опасной, т.к. такого сотрудника можно подкупить).

4. Сотрудники, которые не довольны работой в организации ни в моральном, ни в материальном плане (эта группа сотрудников является самой опасной, т.к. если в организации большинство сотрудников принадлежит именно к этой группе, то такая организация разрушит сама себя.

Нельзя создавать незаменимых сотрудников, связано это с тем, что сотрудник, почувствовавший свою значимость, начинает шантажировать организацию.

Сообщения от сотрудников о попытках атак. Служба безопасности обязана предоставить сотрудника или группу, которая сформирована, как орган, в который должны поступать все отчеты о подозрительной деятельности, направленной на атаку организации.

Если есть мнение, что сотрудники раскрыли информацию об организации, необходимо сообщить об этом надлежащим сотрудникам организации: в службу безопасности и/или системным администраторам. Их же можно предупреждать о любой подозрительной или необычной активности.

Если существует подозрение, что были скомпрометированы сведения финансового характера, следует незамедлительно поставить в известность финансовую организацию и заблокировать соответствующие счета. Следует обращать внимание на любые неясные расходные операции по своим счетам.

Необходимо сообщать об инциденте в правоохранительные органы.

Сотрудник должен составить протокол, который описывает попытку атаки, с содержанием следующей информации:

Название;

Отдел;

Цель нападения;

Эффект нападения;

Рекомендации;

Дата;

Подпись.

Все сотрудники должны немедленно сообщать обо всех запросах, которые были сделаны при необычных обстоятельствах.

Также должны сообщать обо всех неудачных попытках установить личность запрашивающего.

Проводя протоколирование попыток атаки, можно идентифицировать их в дальнейшем. Необходимо помнить, что только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем.

Советы по улучшению.

Необходимо использовать яркие заставки, которые будут появляться при включении компьютеров у сотрудников, и каждый раз содержать новый совет по безопасности. Сообщение должно быть построено таким образом, чтобы оно не исчезало автоматически, а требовало от сотрудника нажатия на определенную кнопку.

Следует производить постоянные напоминания о безопасности. Для этого можно использовать внутреннюю еженедельную рассылку. Сообщения должны иметь каждый раз разное содержание.

Так же следует использовать короткие аннотации. Необходимо делать несколько маленьких колонок, как маленький экран в собственной газете. В каждой аннотации следует представлять очередное напоминание в коротком и хорошо запоминающемся виде.

Для расширения тренинга рекомендуется активная и яркая программа вознаграждений. Следует объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социальной инженерии, или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, которое посвящено тренингу, а взломы должны быть широко освещены и разобраны внутри организации.

Но также сотрудники должны понимать, что нарушение политик безопасности и установленных процедур и халатность наказуемы.

ЗАКЛЮЧЕНИЕ

При выполнении курсовой работы был изучен широкий спектр существующих сегодня методов социальной инженерии. Предложена общая классификация угроз организаций.

По статистике 70% несанкционированного доступа к информации происходит с помощью социальной инженерии, которая использует в свою очередь человеческий фактор, и сотрудников, не соблюдающих политики безопасности. Подразделениями в организации, занимающимися безопасностью и кадровой безопасностью, являются технический отдел и отдел кадров. Они должны находиться в тесном и постоянном взаимодействии.

Как можно убедиться - социальная инженерия - это мощнейший инструмент в руках умелого психолога, и защита от него не менее важна, чем от других способов взлома. Защита от атак социальной инженерии, несомненно, одно из самых сложных в разработке мероприятий. Данный тип защиты нельзя построить исключительно техническими методами.

Социальная инженерия является самым быстрым и легким путем к нарушению информационной безопасности и самым трудно обнаруживаемым. Для проведения атак злоумышленники, применяющие методы социальной инженерии, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Воздействие приходится оценивать, полагаясь на свидетельские показания сотрудников, ставших жертвами, причем надо учитывать, что они могут искажать реальность, желая спасти свою репутацию.

Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной информации, содержащейся в их организации.

Если правила безопасности не будут точно описывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что-либо, что облегчит их работу.

Угрозами со стороны социальных инженеров являются: противоправные действия для получения конфиденциальной информации и иной информации, а также действия, наносящие ущерб организациям.

Полностью исключить опасность, исходящую от социальной инженерии невозможно, но можно сократить риск нанесения ущерба, а в некоторых случаях и исключить его. Если не запускать ситуацию и адекватно реагировать на возникающие проблемы, то будет не сложно добиться весьма высоких результатов.

Для того чтобы снизить эти риски, в данной курсовой работе, была разработана методика противодействия социальной инженерии, которая описывает теоретические аспекты социальной инженерии, методы воздействия на сотрудников организации, и методы, которых необходимо придерживаться сотрудникам, для снижения реализации угрозы со стороны социальных инженеров.

Также в курсовой работе была произведена оценка рисков, разработаны требования к процедурам, которые должны быть осуществлены.

Комплекс всех мер по противодействию социальной инженерии способствует укреплению организации, ее стабильности и безопасности, экономическому развитию, внося тем самым лепту в профилактику экономических преступлений и нарушений, укрепляя экономику на всех уровнях.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-3-2014 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 9 сентября 2014 г. N 1029-ст).

2. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2011 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. N 681-ст)

- результаты тестирования, например, полученные в результате тестирования на проникновение, использования социальной инженерии, инструментальных средств обеспечения соответствия, а также инструментальных средств аудита безопасности.

3. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст)

4. Об информации, информатизации и защите информации: ФЗ от 27 июл. 2006 г. №149-ФЗ // РГ - 2006. №4131. - 197 с.

5. Об утверждении Перечня сведений конфиденциального характера: Указ от 23 сен. 2005 г. №1111 // - РГ - 2006. №4531 - 3 с.

6. О защите коммерческой тайны: ФЗ от 29 июл. 2004 г. №98-ФЗ // ГАРАНТ - 2011. №3543. - 168 с.

7. Трудовой кодекс Российской Федерации: офиц. текст: по состоянию на 19 мая 2013 г. - М.: ЭЛИТ, 2013 г. - 265 с.

8. Уголовный кодекс Российской Федерации: офиц. текст: по состоянию на 24 июл. 2009 г. - М.: ЭЛИТ, 2013 г. - 179 с.

9. Андреева Г.М. Социальная психология: учебник для вузов / Г.М. Андреева - М.: ЭЛИТ, 2003. - 270 с.

10. Баутов А. Экономический взгляд на проблемы информационной безопасности / А. Баутов // Открытые системы. - 2012. - № 2. - с. 12-23.

11. Большаков А.А. Основы обеспечения безопасности данных в компьютерных системах и сетях: учебник для вузов / А.А. Большаков, А.Б. Петpяев, В.В. Платонов - М.: РИЦ, 2008. - 528 с.

12. Вихорев С. Как определить источники угроз / С. Вихорев, Р. Кобцев // Открытые системы. - 2012. - № 8. - с. 9-16.

13. Гаврилов А. Социальный инжиниринг в действии / А. Гаврилов // Безопасность. - 2012. - №3. - с. 118-122.

14. Гайкович В.Ю. Основы безопасности информационных технологий: учебник для вузов / В.Ю. Гайкович, Д.В. Ершов - М.: Триумф. 2007. - 351 с.

15. Долгин А.Е. Как защитить информацию: учеб.-методич. пособие / А.Е. Долгин, М.Ю. Потанин. - М.: Феникс, 2008. - 320 с.

16. Ездаков А. Как защитить информацию / А. Ездаков // Сети. - 2010. - № 8. -с. 11-19

АННОТАЦИЯ

В данном курсовом проекте производится анализ целей, методов, техник и атак социальной инженерии, выявление уязвимостей и оценка рисков защищаемой организации, рассматриваются требования нормативных документов по защите от атак социальной инженерии, а также разработка методики противодействия этим угрозам в трехуровневой организации с целью защиты персональных данных.

In this course project is carried out analysis of the objectives, methods, techniques and social engineering attacks, identify vulnerabilities, and risk assessment of the protected organization, addresses the requirements of regulations on protection against social engineering attacks, as well as to develop methods to counteract these threats in a three-level organization for the protection of personal data.

ПРИЛОЖЕНИЯ

Приложение А

Таблица А.1. Перечень сведений, составляющих коммерческую тайну

№ п/п

Наименование сведений

Срок действия ограничения

Управление

1

Сведения о перспективных и оригинальных методах управления компанией.

2 года

2

Сведения о подготовке, принятии и исполнении отдельных решений.

2 года

3

Сведения о фактах проведения, целях, предмете и результатах отдельных совещаний и заседаний органов управления компании.

2 года

Планирование

4

Планы развития компании (текущие, перспективные).

3 года

5

Планы внешнеэкономической деятельности компании.

3 года

6

Инвестиционные программы, технико-экономические обоснования планируемых инвестиций.

3 года

7

Данные о ходе выполнения планов.

2 года

8

Планы предстоящих закупок по объему, срокам, ассортименту, ценам, странам, фирмам-поставщикам.

2 года

Финансы

9

Сведения, раскрывающие фактические показатели финансового плана.

2 года

10

Сведения о балансе компании.

2 года

11

Имущественное положение компании.

2 года

12

Бюджет компании.

2 года

13

Оборотные средства компании.

2 года

14

Сведения о банковских и финансовых операциях компании.

2 года

15

Специфика международных расчетов с инофирмами, плановые и отчетные данные по валютным операциям.

2 года

16

Состояние банковских счетов компании.

2 года

17

Уровень выручки компании.

2 года

18

Уровень доходов компании.

2 года

19

Долговые обязательства компании.

2 года

20

Источники кредитов и условия по ним.

2 года

21

Сведения о размерах планируемого кредитования.

2 года

Маркетинг

22

Сведения о применяемых организацией оригинальных методах изучения рынка.

2 года

23

Сведения о результатах изучения рынка, содержащие оценки состояния и перспектив развития рыночной конъюнктуры.

2 года

24

Сведения об оригинальных методах продаж.

2 года

25

Сведения о конкретных направлениях в торговой политике.

2 года

26

Сведения о продаже товара на новых рынках.

2 года

27

Политика деятельности предприятия в целом и по регионам.

...

Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.