 |  |
https://bugtraq.ru/library/books/mitnick/chapter15/ |
|
|||
|
|
|
||
| https://bugtraq.ru/library/books/mitnick/chapter15/ |
||||
| ||||
(Chapter 15 Information Security Awareness and Training)
//Глава еще будет редактироваться
Перевод: sly (http://slyworks.net.ru) ICQ:239940067
Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.
Что остановит его?
Ваш файервол? Нет.
Мощная система идентификации? Нет.
Система обнаружения вторжений? Нет.
Шифрование данных? Нет.
Ограничение доступа к номерам дозвона модемов? Нет.
Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет.
Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера.
Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников.
Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании.
Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку.
Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики – это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации.
Эта и следующая главы показывают безопасный шаблон (blueprint – синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well- thought -out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабочих.
Для того, чтобы разработать действенную программу обучения, Вы должны понять, почему люди в первую очередь уязвимы для атак. Для выделения этих тенденций в вашей программе, например, обратить на них внимание благодаря дискуссии – этим Вы поможете сотрудникам понять, как социальный инженер может манипулировать людьми.
Манипуляция начала изучаться социальными исследователями в последние 50 лет. Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил результаты этих исследований и выделил 6 «черт человеческой натуры», которые используются в попытке получения нужного ответа.
Это 6 приемов, которые применяются социальными инженерами наиболее часто и успешно в попытках манипулировать.
Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть или право задавать этот вопрос.
В своей книге «Влияние» Dr. Cialdini написал об обучении в 3 госпиталях Мидвестерна, в которых аппараты 22 медсестер соединялись с человеком, который выдавал себя за физиотерапевта, инструктируя административный персонал на выписку рецепта препарата (наркотика?) пациенту. Медсестры, которые получили это указание, не знали звонившего. Они не знали, действительно ли он доктор (а он им не был). Они получали инструкции для выписки рецепта по телефону, что нарушает политику безопасности госпиталя. Препарат, который указывался, не разрешен к применению, а его доза составляла в 2 раза большую, чем допустимая суточная норма – все это может опасно отразиться на состоянии здоровья пациента или даже убить его. Более чем в 95% случаев Cialdini сообщает, что «медсестра брала необходимую дозу из палаты с медикаментами и уже была на пути к палате указанного пациента», где перехватывалась наблюдателем, который сообщал ей об эксперименте.
Примеры атак:
Социнженер пытается выдать себя за авторитетное лицо из IT департамента или должностное лицо, выполняющее задание компании.
Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
Примеры атак:
В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность.
Взаимность
Мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Когда кто-то делает что-то для нас, мы чувствуем желание отплатить. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность (расположить к себе, а, следовательно, получить информацию) – преподнести неявно обязывающий подарок.
Поклонники религиозного культа Хари Кришны очень опытны в умении получать влияние над человеком путем преподнесения подарка – книги или цветка. Если человек пробует вернуть, отказаться от подарка, дарящий мягко настаивает: «Это наш подарок Вам». Этот основной принцип взаимности использовался Кришнами для постоянного увеличения пожертвований.
Примеры атак:
Сотрудник получает звонок от человека, который называет себя сотрудником IT департамента. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он хочет отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов…
Ответственность
Люди меют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность.
Примеры атак:
Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это - основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника "для подтверждения согласия" с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой прароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению.
Социальная принадлежность к авторизованным
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, "если так делают другие, я тоже должен действовать так".
Примеры атак:
Звонящий говорит, что он проверяющий и называет имена других людей из департамента, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат работникам департамента. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва.
Ограниченное количество «бесплатного сыра»
Еще одна из потенциально опасных для безопасностии информации человеческих черт - вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.
Примеры атак:
Атакующий рассылает электронные письма, сообщающие, что первые 500 зарегистрировавшихся на новом сайте компании выиграют 3 билета на примьеру отличного фильма. Когда ничего не подозревающий сотрудник регистрируется на сайте, его просят ввести свой адрес электронного почтового ящика на рабочем месте и выбрать пароль. Многие люди, чтоб не забыть множество паролей, часто используют один и тот же во всех системах. Воспользовавшись этим, атакующий может попытаться получить доступ к целевому рабочему или домашнему компьютеру зарегистрировавшегося.
Выпуская брошюру политик информационной безопасности или направляя рабочих на Интранет-страницу с этими правилами, но которая не содержит простого разъяснения деталей, вы уменьшаете риск. Каждый бизнес должен не только иметь прописные правила, но и побуждать (заставлять) старательно изучить и следовать этим правилам всех, кто работает с корпоративной информацией или компьютерной системой. Более того, вы должны убедиться, что все понимают причину принятия того или иного положения этих правил, поэтому они не попытаются обойти эти правила ради материальной выгоды. Иначе незнание всегда будет отговоркой рабочих и совершенно точно, что социальный инженер воспользуется этим незнанием.
Главная цель любой обучающей программы состоит в том, чтобы заставить людей сменить их поведение и отношение, мотивировать их желание защитить и сохранить свою часть информации организации. Хорошим мотивом тут будет демонстрация того, как за их участие будет вознаграждена не сама компания, а конкретные сотрудники. Начиная с того момента, когда компания начнет сохранять определенную персональную информацию о каждом работнике, а рабочие будут выполнять свою часть по защите информации и информационных сетей, то и эта персональная информация будет также надежно сокрыта.
Программа тренировки безопасности требует прочной поддержки. Для тренировочных занятий нужно, чтобы каждый, кто имеет доступ к важной информации или компьютерной информационной системе, не должен быть пассивен, должен постоянно исправляться, совершенствоваться, «натаскивая» персонал на новые угрозы и уязвимости. Это обязательство должно быть реальным делом, а не пустой отговоркой «ну и Бог с ним». А также программа должна быть подкреплена достаточными ресурсами для разработки, взаимодействия, тестирования – вот чем определяется успех.
Цели
Основным направлением, которого следует придерживаться при разработке программы по тренингу и защите информации, является фокусировка на мысли, что они могут подвергнуться нападению в любое время. Они должны заучить свою роль в защите от любой попытки проникновения в компьютерную систему или кражи важных данных.
Так как многие аспекты информационной безопасности являются «вовлекающей» технологией, то сотрудникам легко представить, что проблема обнаружится файерволом или другими средствами защиты. Главная цель здесь – заставить находящихся на ответственных местах сотрудников осознать, как усилить информационную «броню» организации.
Тренинг по безопасности должен быть более важной целью, чем простые правила для ознакомления. Создатель тренинга должен признать сильное желание части сотрудников, которые под давлением желания окончить работу не обратят внимание или проигнорируют обязанности по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения безусловно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации работников использовать эти знания.
Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, что защита информации – часть их работы.
Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной корпоративной информации может угрожать не только компании, но персонально каждому из них, их работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчиненных.
Учреждение обучающего тренинга
Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специфических требований для отдельных групп сотрудников, участвующих в делопроизводстве. В то время как описанные в главе 16 политики безопасности применимы ко всем без исключения работникам, другие уникальны. По минимуму, большинство компаний должно иметь в своем арсенале тренинги для следующих групп персонала: менеджеры, IT-сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, техники связи, охранники. (Смотри деление полиции по роду занятий в главе 16.)
Начнем с персонала отдела технической безопасности: удивительно надеяться на неопытность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам кажется, входить в контакт с другими компьютерами компании и экспериментировать – обычно это упускается из внимания при подготовке программы этого типа. Также социнженер может убедить охрану или другого работника впустить его в здание, или офис, или предоставить доступ, результатом которого станет компьютерное проникновение. Проще говоря – взлом. Пока охранники конечно не нуждаются в прохождении полного курса тренировочной программы, которая необходима персоналу, непосредственно работающему с компьютерами, но и они недолжны быть забыты.
В корпоративном мире существует несколько положений о том, чему должны быть обучены все сотрудники. Они одновременно и важны, и скучны, что присуще безопасности. Действительно хорошая программа по повышению информационной безопасности должна как информировать, так и захватывать внимание, рождать энтузиазм у обучающихся.
Целью должна стать увлекательная, интерактивная программа. Технические приемы обучения должны включать демонстрацию социнженерии с помощью игры по ролям; обзорные медиа-отчеты о последних атаках на других менее удачливых конкурентов и обсуждения путей предотвращения потери информации; просмотр специальных видео-материалов по безопасности, которые непосредственно вводят в курс и обучают одновременно. Такие материалы всегда можно найти в компаниях, занимающихся обеспечением информационной безопасности.
Заметка:
Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании, предоставляющие данную услугу. Их можно найти на одной из выставочных площадок, например на http://www.secureworldexpo.com.
Истории в этой книге представляют собой огромное количество материала для объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дискуссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку.
Грамотные разработчики и преподаватели данных тренингов найдут множество трудностей, но также множество возможностей оживить учебный процесс, заставить окружающих стать его частью.
Структура тренинга
В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допускать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы информационной безопасности.
Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе оповещений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда людям сложно усвоить такое количество материла.
Особое значение первого занятия будет в выражении особой роли гармонии, которая будет царить в компании, пока все руководствуются данной программой. Более важным, нежели обучающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответственность за безопасность.
В ситуациях, когда некоторые работники не могут посещать общие занятия, компания должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.
После короткого вводного занятия остальные более длинные уроки должны быть спланированы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно к ним соответственно занимаемым местам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь материал программы должен постоянно обновляться. Более того, осведомленность и бдительность людей со временем ослабляется, поэтому тренинги должны повторяться через определенные промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик безопасности и мотивация следовать им, чем демонстрация специфических угроз и методов социнженерии.
Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении с положениями новых сотрудников – они должны иметь достаточно свободного времени, чтобы освоиться со своими рабочими обязанностями.
Сотрудники, получающие повышение с доступом к важной информации несомненно должны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК становится системным администратором, или секретарь переходит на должность ассистента администратора – тренинг необходим.
Содержание тренировочной программы
В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется верой в то, что атакующий – сотрудник или вышестоящий чиновник, авторизованный для получения важной информации, или человек, который вправе инструктировать жертву по работе с компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва просто делает 2 шага:
Заметка:
Так как одних тренировок недостаточно, используйте технологии безопасности, где только возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Например, когда операционная система настроена на предотвращение закачек программ из Интернета, или когда выбирается короткий, легко отгадываемый пароль.
Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.
Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать:
Социальная инженерия по определению включает в себя некоторые виды человеческого взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности должна включать в себя:
Установление оптимального уровня защиты для важных документов и медиа-данных, которые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информацию, т.е. архивы.
Также, если компания планирует использовать тестирование с инсценированным проникновением, чтобы проверить свои сильные и слабые места во время атак с использованием социнженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым иным способом, используемым атакующим, который является частью теста. Используйте результаты этого теста не для паники, а для усиления слабых мест в защите.
Детали каждого из этих пунктов будут рассмотрены в главе 16.
Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите.
Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих.
На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений – поступить, как просят, или как установлено политикой безопасности.
Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно.
Один из методов сохранять безопасность основой мышления работника заключается в том, чтобы сделать информационную безопасность своеобразной работой, обязанностью каждого на производстве. Это ободряет сотрудника, потому что он чувствует себя одной из частей слаженного механизма безопасности компании. С другой стороны здесь существует сильная тенденция «безопасность – не моя работа, мне за нее не платят».
Если основная ответственность за информационную программу безопасности, обычно лежит на сотруднике отдела безопасности или отдела информационных технологий, то разработку такой системы лучше вести совместно со специальным отделом проведения тренинга.
Программа по поддержанию бдительности должна быть как можно более интерактивной и использовать любые доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о хороших привычках безопасности. Методы должны использовать все доступные традиционные каналы + особенные способы, которые разработчики программ только смогут придумать. К примеру, реклама, юмор и вредные советы – традиционные способы. Использование различных слов и написаний одних и тех же сообщений-напоминаний предохраняет их от назойливости и последующего игнорирования.
Список возможных действий для выполнения этой программы может включать:
Вывод: напоминания должны быть своевременными и постоянными.
Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании.
Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться.
|
|
|