Сервисы
Managed IT
Решения
Security
Импортозамещение
Партнерам
О компании

Как понизить роль социальной инженерии в угрозе проникновения

Защита от проникновения – это всегда комплексная работа, которая предполагает и автоматические, и ручные методы проверки. Но по-прежнему самым уязвимым звеном остается человек: он имеет доступ к информации и на него можно воздействовать методами социальной инженерии. Рассказываем, как снизить влияние этого фактора на информационную безопасность. Социальная инженерия – ряд методов, которыми пользуются мошенники, чтобы «взломать» людей с целью незаконно получить от них ценную информацию или средства доступа к ней. Эдакий биохакинг без применения технических средств. Вместо них мошенники используют психологические манипуляции и знания социологии. Изначально эти приемы считались незаконными, но сегодня с их помощью компании находят и ликвидируют пробелы в информационной безопасности.

Причины уязвимости для социальной инженерии[Причины уязвимости]

Почему человека считают самым слабым звеном в информационной безопасности? Однозначного ответа нет, но эксперты в этой теме указывают на качества, свойственные большинству из нас, и эмоции, испытываемые многими, – это страх, доверие, алчность, желание помочь ближнему. Социальная инженерия – угроза информационной безопасности

Профессор психологии Роберт Чалдини в своем бестселлере «Психология влияния» (1984 г.) описал шесть принципов влияния, которые применяют социальные инженеры:

  1. Сбор информации. Начальные сведения помогут ближе изучить цель и понять, с чем вы имеете дело. Подойдут активные и пассивные методы по методологии OSINT (Open source intelligence) – разведки на основе открытых источников. К открытым источникам относятся СМИ, публикации в интернете, общедоступные данные аэросъемок и радиомониторинга, публичные отчеты государственных и коммерческих организаций, профессиональные отчеты, конференции, доклады
  2. Выбор жертвы – человека, слабости которого будут вам полезны. Лучшими претендентами на эту роль станут те, кого легко обмануть, ввести в заблуждение, люди с чувством обиды или выраженной эмпатией
  3. Подготовка технического решения для фишинга. Самая трудоемкая и затратная часть в социальной инженерии, которая включает регистрацию домена, хостинга, их настройку и обкатку
  4. Контакт. Войти в круг доверия жертвы

На финальном этапе вы используете полученную информацию для достижения заветной цели: например, узнать пароль к системе или схему расположения камер видеонаблюдения. В отличие от других мошенников вам, вероятно, не придется заметать следы. Даже если жертва осознает собственный промах, она вряд ли поделится этой информацией с руководством, ведь признаваться в собственной глупости – занятие не самое приятное.

Социальная инженерия и тестирование на проникновение[Тестирование на проникновение]

Разоблачить киберпреступников еще до того, как они нанесут удар по информационной безопасности, помогает тест на проникновение (penetration testing, pentest или пентест). Это спланированная целенаправленная атака, которая позволяет проверить, насколько поведение сотрудников делает компанию уязвимой. Пентесты проводят как в классической IT-среде, так и в других критически важных отраслях: энергетической, транспортной, ресурсодобывающей. Результаты тестирования покажут, соблюдают сотрудники компании принципы информационной безопасности или нет и насколько эффективны меры по повышению их осведомленности в этом вопросе.

Тестирование на проникновение – этичный вид хакинга, когда социальные инженеры в «белых шляпах» (White Hat) действуют с пользой для компании: находят уязвимости, вызванные человеческим фактором. Рейчел Тобак (@RachelTobac), известный «хакер в белой шляпе», упоминает рабочий прием из мира социальных инженеров: «занятые руки открывают двери». Это значит, что пока вы держите коробку с пончиками, кто-нибудь обязательно придержит дверь и позволит вам войти в нее, даже если у вас нет ключа доступа.

Вернемся к тестам на проникновение. В любой сфере они преследуют общие цели:

Любое тестирование на проникновение имитирует реальную атаку. Его задача – оценить реальный уровень информационной безопасности в компании и разработать план защиты от кибермошенников.

Пентест будет успешным, если проводить его не формально, а учитывать реальные мотивы и потребности потенциальных жертв. Самое простое, что можно сделать с человеком, – вызвать интерес сообщениями личного характера или возможностью быстро заработать, запугать (ему захочется скрыть некомпетентность или он чувствует угрозу быть ущемленным, наказанным), надавить на жалость.

Этапы теста на проникновение

Penetration testing состоит из следующих этапов:

Этот условный сценарий поможет понять, знают ли сотрудники о том, что могут стать доступной мишенью, объектом социальной инженерии. Пентест показывает, насколько они подкованы в этом вопросе, придерживаются ли принципов информационной безопасности и вообще эффективны ли эти принципы на практике. И еще одна важная задача – узнать, насколько далеко злоумышленники могут переместиться вглубь компании в физическом и в информационном плане.

Кибермошенники часто ищут жертвы в соцсетях

Пентест в социальной инженерии – что не надо делать

Тестирование на проникновение – это не повод поймать за руку доверчивого сотрудника, а возможность предотвратить потенциальные атаки и повысить осведомленность сотрудников о том, как поддерживать принципы информационной безопасности во благо компании. В идеале результатом пентеста станет разработка программы повышения осведомленности (Security Awareness Program), которая закроет проблемы в уязвимых местах.

Методы защиты от социальной инженерии[Методы защиты]

Защищаться от техник социальной инженерии сложно, так как жертвы часто не догадываются о том, что их обманули и использовали их слабости, чтобы заполучить конфиденциальную информацию. Решить проблему можно одним способом: повысить осознанность сотрудников. А для этого их придется обучить правилам работы с информацией и донести опасность ее раскрытия. Вот что для этого можно сделать.

Определить информацию, уязвимую к атаке

Сотрудники должны уметь классифицировать информацию по степени защищенности и понимать, раскрытие каких данных может причинить вред компании. Например, пользовательские учетные данные всегда принадлежат организации, их нельзя передавать третьим лицам или оставлять в открытом доступе. Значит, придется распрощаться со стикерами, где написаны логины/пароли, не авторизовываться на корпоративных ресурсах через открытые Wi-Fi-сети. Также помогает привычка блокировать ПК или ноутбук в свое отсутствие.

Повысить компетентность в вопросах информационной безопасности

Техники социальной инженерии постоянно совершенствуются, а кибермошенники находят новые способы сыграть на человеческих эмоциях. Потому сотрудникам компании необходимо знать, жертвами каких потенциальных атак они могут стать и как вести себя в подобных ситуациях. Например, куда следует написать/позвонить, если третьи лица запросили у них конфиденциальную информацию или данные для авторизации.

Ограничить права доступа к информационным системам

Доступ на копирование, скачивание, изменение информации должны иметь только те сотрудники, которым это необходимо для выполнения должностных обязанностей. В некоторых компаниях целесообразно запретить использование съемных носителей.

Подготовить инструкции по обмену информацией

В любом отделе и подразделении все – от рядового офисного сотрудника до руководителя – должны иметь четкие инструкции о том, в каких условиях они могут раскрыть важную для компании информацию. В инструкции можно указать, какие сведения можно передавать службам техподдержки, представителям контролирующих органов и т. п.

Обновить антивирусное ПО до актуальной версии

Это поможет сделать компьютеры сотрудников менее уязвимыми к массовым фишинговым атакам. Современное антивирусное ПО включает инструменты для защиты от шпионских и вредоносных программ, и предупреждает при переходе по подозрительным ссылкам. Впрочем, доступа к социальным сетям на рабочем месте лучше не давать – это первое, чем обязательно воспользуются социальные инженеры.