Главная | Контакты | Настройки

СМЕНИТЬ ПАЛИТРУ:

Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Для кого предназначен этот документ

В данном документе приведена информация об угрозах, связанных с применением методов социотехники, и способах защиты от злоумышленников, использующих эти методы. Социотехнические угрозы большей частью не связаны с использованием технологий. Они многочисленны и разнообразны, поэтому понимать эти угрозы и знать возможные способы защиты от них должны руководители и технические специалисты, относящиеся к разным корпоративным структурам, в том числе:

• руководители высшего звена,
• технические менеджеры и менеджеры по обслуживанию,
• сотрудники службы поддержки,
• сотрудники службы безопасности,
• менеджеры по коммерческой деятельности.

Обзор

Для проведения атак злоумышленники, применяющие методы социотехники, эксплуатируют в своих целях доверчивость, лень, любезность и даже энтузиазм сотрудников организации. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули, а даже если и подозревают, часто предпочитают не рассказывать об этом. Злоумышленники (люди, пытающиеся получить несанкционированный доступ к компьютерным системам), которые используют методы социотехники, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы.

Для этого злоумышленник, использующий методы социотехники, пытается убедить сотрудников компании предоставить ему информацию, обеспечивающую доступ к корпоративным системам или их ресурсам. Такой подход традиционно называют злоупотреблением доверием. Во многих компаниях малого и среднего размера считают, что для злоумышленников представляют интерес только крупные богатые корпорации. Возможно, раньше так и было, но нынешний рост киберпреступности свидетельствует о том, что теперь злоумышленники не гнушаются никакими способами получения выгоды, атакуя и крупные компании, и системы домашних пользователей. Злоумышленники могут красть средства или ресурсы непосредственно у атакуемой компании, но могут и использовать ее в качестве точки опоры для проведения атак на другие организации. Это осложняет расследование таких преступлений и поимку преступников.

Для защиты от атак, основанных на методах социотехники, нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая этой информацией, можно интегрировать в политику безопасности меры защиты от атак, основанных на методах социотехники. В данном документе предполагается, что в организации принята политика безопасности, определяющая цели, методики и процедуры защиты корпоративных информационных активов, ресурсов и сотрудников от технологических и физических атак. Доработка корпоративной политики безопасности, поможет сотрудникам правильно реагировать на попытки заставить или убедить их предоставить доступ к корпоративным ресурсам или разгласить информацию, связанную с системой безопасности.

Угрозы, связанные с использованием методов социотехники, и способы защиты от них

Атаки, основанные на методах социотехники, можно разделить на пять основных направлений.

• Сетевые атаки.
• Телефонные атаки.
• Поиск информации в мусоре.
• Персональные подходы.
• Обратная социотехника.

Кроме этого нужно также понимать, что рассчитывают получить злоумышленники. Злоумышленниками движут те же потребности, что и всеми людьми: деньги, социальный статус и самооценка. Иными словами, злоумышленники хотят получить чужие деньги или ресурсы, добиться признания в обществе или своей группе и возвысить себя в своих глазах. К сожалению, злоумышленники добиваются этих целей незаконными методами, воруя информацию или причиняя вред компьютерным системам. Любые атаки могут нанести компании ущерб в виде финансовых убытков, траты ресурсов, утечки информации, снижения работоспособности компании и урона ее репутации. При разработке мер защиты от соответствующих угроз следует сначала оценить последствия атаки.

Сетевые угрозы

В наше время персоналу компаний часто приходится использовать и обрабатывать электронные данные и запросы, полученные из внутренних и внешних источников. Благодаря этому злоумышленники могут налаживать отношения с сотрудниками компаний через Интернет, оставаясь при этом анонимными. В прессе регулярно появляются сообщения о сетевых атаках, основанных на использовании электронной почты, всплывающих приложений и служб мгновенного обмена сообщениями. При проведении таких атак для причинения вреда или несанкционированного использования компьютерных ресурсов часто применяются троянские программы, черви или вирусы, которые объединяют под названием «вредоносные программы». Начать борьбу со многими угрозами этого рода можно с внедрения надежных средств защиты от вирусов.

Примечание.   Для получения информации о защите от вирусов обратитесь к документу «Руководство по комплексной защите от вирусов», который можно найти по адресу http://go.microsoft.com/fwlink/?linkid=28732.

Злоумышленник, использующий методы социотехники, не пытается заразить корпоративную систему вредоносными программами в ходе прямой атаки. Вместо этого он обманным путем убеждает сотрудника компании предоставить ему нужную информацию, приводя обоснованные правдоподобные доводы. Полученную информацию злоумышленник может использовать для последующего проведения атак с помощью вредоносных программ, но к социотехнике это уже не относится. Сотрудники компании должны знать, как лучше всего определять и блокировать сетевые атаки, основанные на методах социотехники.

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак, основанных на методах социотехники. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях.

Например, злоумышленник может отправить сотруднику компании письмо, в котором говорится об указании начальника прислать ему все расписания выходных дней для организации встречи, отправив копию ответа всем пользователям, включенным в прилагаемый список. Злоумышленник может легко включить в этот список внешний адрес и подделать имя отправителя, чтобы казалось, что письмо получено из внутреннего источника. Подделать данные особенно легко, если у злоумышленника есть доступ к корпоративной компьютерной системе, потому что в этом случае ему не могут помешать брандмауэры, защищающие периметр сети. Утечка информации о расписании выходных дней подразделения не кажется угрозой безопасности, но на самом деле благодаря этому злоумышленник может узнать, кто из сотрудников компании и когда будет отсутствовать на своем рабочем месте. В это время злоумышленник сможет выдать себя за отсутствующего сотрудника с меньшим риском разоблачения.

В последнее десятилетие использование электронной почты в качестве средства проведения социотехнических атак приобрело очень высокую популярность. Получение личной или конфиденциальной информации у пользователей с помощью электронной почты называют фишингом. С этой целью злоумышленники могут использовать электронные письма, имитирующие письма реальных организаций, например банков и компаний-партнеров.

Например, на следующем рисунке показана на первый взгляд корректная ссылка на страницу управления учетной записью веб-узла компании Contoso.

Рис. 1. Фишинг: поддельная гиперссылка в электронном письме

Однако если приглядеться к ней внимательнее, можно заметить два несоответствия.

• В тексте письма утверждается, что узел, на который указывает ссылка, защищен с помощью протокола https, тогда как по подсказке видно, что на самом деле при взаимодействии с этим узлом используется протокол http.
• В тексте письма указано название компании Contoso, но на самом деле ссылка указывает на веб-узел компании Comtoso.

Используя фишинг, злоумышленник обычно действует наобум, просто запрашивая у пользователя информацию. Для придания правдоподобности таким письмам злоумышленники могут использовать в них корпоративные логотипы и шрифты и даже указывать реальные бесплатные телефоны службы поддержки. Информация у пользователей часто запрашивается под предлогом оказания помощи с обновлением систем или предоставления дополнительных услуг. Более продвинутой формой фишинга является направленный фишинг (spear-phishing) — атака, целью которой является конкретный сотрудник или группа сотрудников. Этот подход гораздо более сложен, поскольку в этом случае злоумышленник должен быть знаком с личными и важными корпоративными данными, чтобы его обман выглядел убедительно. Однако и вознаграждение злоумышленника при этом выше: добившись успеха, он получит более подробные и конкретные сведения.

Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Как показано на рис. 1, ссылки не всегда ведут на заявленные страницы. Есть целый ряд других вариантов фишинга с помощью электронной почты, в том числе применение изображений в качестве гиперссылок на вредоносные программы и включение текста в изображения ради обхода фильтров проверки гиперссылок.  

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу, вирус-червь или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел со всплывающими приложениями, запрашивающими данные или предлагающими помощь.

Для классификации атак и оценки риска, с которым сталкивается конкретная компания, можно использовать таблицу направлений, объектов и описаний атак и наносимого ими ущерба. Ниже показана именно такая таблица. С некоторыми угрозами связано сразу несколько факторов риска. Если это так, в приведенных ниже примерах главные факторы риска выделены жирным шрифтом.

Таблица 1. Сетевые атаки, связанные с использованием электронной почты, и возможный ущерб от них

Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников, основанных на методах социотехники, является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.

• Вложения в документы.
• Гиперссылки в документах.
• Запросы личной или корпоративной информации, исходящие изнутри компании.
• Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Кроме того, в описание этих принципов следует включить примеры атак, основанных на фишинге. Ознакомившись с примерами, пользователям будет проще выявлять другие попытки фишинга.

Всплывающие приложения и диалоговые окна

Едва ли можно рассчитывать, что сотрудники компании не будут использовать корпоративные средства доступа в Интернет в своих личных целях. Совершая покупки в интернет-магазинах, разыскивая интересующую их информацию и решая другие личные задачи, сотрудники (а значит и компания) могут стать жертвами злоумышленников, использующими методы социотехники. Даже если злоумышленников не интересует эта конкретная компания, они могут попытаться получить через сотрудников доступ к корпоративным ресурсам. Одной из самых популярных целей таких атак является встраивание в корпоративную среду почтового механизма, который будет использоваться для фишинга или проведения иных типов почтовых атак на системы других компаний или пользователей.

На рис. 2 показана гиперссылка, якобы указывающая на защищенный узел (secure.contoso.com account_id?Amendments), в то время как в строке состояния отображается адрес сайта злоумышленника. Некоторые обозреватели Интернета позволяют злоумышленникам отключать отображение информации в строке состояния или изменять ее формат.

Рис. 2. Фишинг: веб-страница с поддельной гиперссылкой

Чтобы убедить пользователя нажать кнопку в диалоговом окне, злоумышленники чаще всего отображают предупреждение о проблеме (например реалистичное сообщение об ошибке операционной системы или приложения) или предлагают дополнительные услуги, такие как возможность бесплатно загрузить программу, ускоряющую работу компьютера. Опытные пользователи обычно распознают в подобных ситуациях обман, однако людей, плохо знакомых с компьютерными технологиями и Интернетом, такие всплывающие приложения или диалоговые окна могут напугать или заинтересовать.

Таблица 2. Сетевые атаки, связанные с использованием всплывающих приложений и диалоговых окон, и возможный ущерб от них

Защита пользователей от социотехнических атак, основанных на использовании всплывающих приложений, сводится преимущественно к информированию. Для устранения самих причин проблемы можно заблокировать в обозревателе Интернета всплывающие окна и автоматическую загрузку файлов, однако полностью исключить отображение всех всплывающих окон в обозревателе не получится. Поэтому лучше убедить пользователей не щелкать никакие ссылки во всплывающих окнах без ведома специалистов службы поддержки. Чтобы этот подход оправдал себя, сотрудники службы поддержки не должны осуждать пользователей за подключение к Интернету без служебной надобности. На это можно повлиять, приняв соответствующую корпоративную политику использования Интернета в личных целях.

Служба мгновенного обмена сообщениями

Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей, и некоторые аналитики прогнозируют, что число пользователей таких систем достигнет в 2006 году 200 миллионов. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения социотехнических атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это еще и один из способов запроса информации.

Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей — его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.

Подделку данных при использовании электронной почты и служб мгновенного обмена сообщениями поясняет рис. 3.

Рис. 3. Подделка мгновенных сообщений и электронных писем

Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.

Таблица 3. Атаки, связанные с использованием службы мгновенного обмена сообщениями, и возможный ущерб от них

Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.

• Выберите одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.
• Определите параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.
• Определите принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.
• Задайте стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.
• Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.

Угрозы, связанные с использованием телефона

Телефонная связь обеспечивает уникальные возможности для проведения социотехнических атак. Это очень привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции. Еще одним видом атак (весьма грубым) является кража ПИН-кодов кредитных и телефонных карт через телефонные будки. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом и ПИН-коды корпоративных кредитных карт. Большинство людей довольно осторожны при вводе ПИН-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

Средства голосовой связи через Интернет (VoIP) могут обеспечить компаниям значительную экономию, и их рынок быстро развивается. В настоящее время из-за сравнительно небольшого числа таких систем атаки на них не рассматриваются в качестве серьезной угрозы. Однако можно ожидать, что по мере роста популярности этой технологии подделка пакетов VoIP станет такой же распространенной, как и подделка писем и мгновенных сообщений.

Корпоративные телефонные станции

Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

• Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.
• Получить возможность совершать бесплатные телефонные звонки.
• Получить доступ к коммуникационной сети.

Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой (см. рис. 4).

Рис. 4. Атаки на корпоративную телефонную станцию

Запрос информации или доступа по телефону — сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Помните, однако, что в реальной жизни эти атаки бывают довольно изощренными. Злоумышленник не просит напрямую сказать ему идентификатор пользователя и пароль. Обычно он описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, и лишь потом запрашивает личную или деловую информацию, как бы чуть не забыв об этом.

Таблица 4. Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них

Большинство пользователей ничего не знают о внутренней телефонной системе компании, исключая, конечно, сам телефон. Это и есть самый важный рубеж защиты, который можно определить в политике безопасности и который в своих целях часто пытаются использовать злоумышленники. Чаще всего жертвами при этом являются сотрудники приемной или сотрудники, работающие с коммутатором. В политике нужно указать, что только специалисты службы поддержки имеют право оказывать помощь по телефону. Благодаря этому все обращения за технической помощью будут обрабатывать только авторизованные сотрудники. Этот подход позволяет также организовать быстрое и эффективное перенаправление таких запросов квалифицированным специалистам.

Служба поддержки

Служба поддержки — один из главных механизмов защиты от обычных злоумышленников и в то же время частая мишень злоумышленников, использующих методы социотехники. Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отделение не удовлетворило их требования, склонны жаловаться; руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

Таблица 5. Телефонные атаки на службу поддержки и возможный ущерб от них

Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности. Едва ли, например, кто-нибудь из сотрудников будет протестовать, если при обращении в службу поддержки его попросят назвать свой номер, отделение и фамилию начальника. Конечно, это недостаточно надежная защита, так как злоумышленник может украсть эту информацию, но для начала и этот подход неплох. На самом деле единственным методом идентификации с точностью 99,99 % является тест ДНК, использовать который явно не представляется возможным.

Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее. Злоумышленники из их числа хорошо разбираются во внутренних процедурах компании и будут действовать наверняка, собрав перед обращением в службу поддержки всю необходимую информацию. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.

• Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.
• Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.

Если пользователи будут знать эти правила, а руководители поддержат их реализацию, злоумышленникам будет гораздо труднее проводить атаки и оставаться безнаказанными. Полный аудиторский контроль — самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.

Угрозы, связанные с утилизацией мусора

Несанкционированный анализ мусора — или, как это еще называют, «ныряние в мусорные контейнеры» — часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

Электронные средства хранения информации бывают для злоумышленников еще более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

Таблица 6. Атаки, основанные на поиске информации в мусоре, и возможный ущерб от них

Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться. Само по себе «ныряние в мусоре» не всегда является чем-то незаконным, поэтому сотрудники компании должны знать, что нужно делать с мусором. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный — уничтожать или стирать записанные на нем данные. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области, недоступной посторонним лицам.

При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.

Кроме внешнего мусора — бумажных или электронных отходов, доступных посторонним лицам, — есть еще и внутренний, который тоже нужно контролировать. При определении политик безопасности это часто упускают из виду, предполагая, что любому, кто имеет доступ на объекты компании, можно доверять. Ясно, что это не всегда так. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.

• Конфиденциальная корпоративная информация. Прежде чем выбросить какие-либо документы с конфиденциальной корпоративной информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
• Закрытая информация. Прежде чем выбросить какие-либо документы с закрытой информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
• Информация отделения. Прежде чем выбросить какие-либо документы с информацией отделений компании в общедоступный мусорный контейнер, их необходимо измельчить в бумагорезательной машине.
• Открытая информация. Документы с открытой информацией можно выбрасывать в любые мусорные корзины и контейнеры или сдавать на переработку как макулатуру.

Для получения дополнительных сведений о классификации данных обратитесь к статье «Техническое руководство по организации системы безопасности» в журнале Microsoft® TechNet, по адресу http://go.microsoft.com/fwlink/?linkid=37696 (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Персональные подходы

Самый простой и дешевый для злоумышленника способ получить нужную ему информацию — непосредственно запросить ее. Каким бы грубым и банальным этот способ ни казался, он неизменно остается главным в арсенале злоумышленников, использующих методы социотехники. Для получения информации с помощью этого способа злоумышленники используют четыре стратегии.

• Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.
• Убеждение. Самые популярные формы убеждения — лесть и ссылки на известных людей.
• Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации.
• Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.

В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Безоговорочное доверие — одна из целей злоумышленника, использующего методы социотехники.

Защитить пользователей от атак, основанных на описанных персональных подходах, очень сложно. Некоторые пользователи в силу своего характера имеют больше шансов стать жертвами атак, основанных на каком-либо из четырех этих подходов. Защититься от атак, основанных на запугивании, можно, способствуя формированию корпоративной культуры, исключающей страх. Если сотрудники компании всегда ведут себя вежливо и учтиво, запугивание не позволит злоумышленнику добиться желаемого, потому что подвергшийся атаке сотрудник скорее всего сообщит об этом начальству. Благожелательное отношение к сотрудникам со стороны руководства и надзор за процедурой решения проблем и принятия решений — худшее, с чем может столкнуться злоумышленник, использующий методы социотехники. Ему нужно, чтобы жертвы атак принимали решения быстро. Если в компании принято докладывать о проблемах руководителям, злоумышленник этого не добьется.

Убеждение всегда было важным способом достижения личных целей. Полностью исключить вероятность успешного проведения атак, основанных на убеждении, нельзя, но сотрудникам можно дать четкие указания по поводу того, что им следует делать, а что не следует. Пытаясь получить конфиденциальную информацию методом убеждения, злоумышленники всегда представляют тот или иной сценарий, предполагающий, что пользователь сообщит ее добровольно. Регулярное проведение информационных кампаний и определение базовых принципов использования паролей и других средств обеспечения безопасности — лучшая защита от подобных атак.

Чтобы войти в доверие к сотрудникам компании, злоумышленнику нужно время. Злоумышленник должен регулярно общаться с сотрудниками, что значительно легче, если он работает вместе с ними. В большинстве компаний среднего размера основным источником таких угроз являются работники, регулярно оказывающие компании какие-либо услуги или работающие по контракту. Поэтому отдел кадров должен уделять подбору сотрудников, работающих по контракту, не меньше внимания, чем найму постоянных сотрудников. Основную часть этой работы можно делегировать кадровому агентству. Для гарантии того, что агентство справится с этой задачей, можно потребовать, чтобы им были соблюдены принятые в компании политики подбора постоянных сотрудников. Если есть подозрение, что на постоянную работу в компанию устроился злоумышленник, использующий методы социотехники, лучшими способами защиты от него являются информирование сотрудников и соблюдение ими политики информационной безопасности.

Наконец, вероятность успешного проведения атак, основанных на злоупотреблении взаимопомощью, можно свести к минимуму, обеспечив высокую эффективность работы службы поддержки. Зачастую сотрудники обращаются за помощью к коллегам из-за неудовлетворенности услугами имеющейся службы поддержки. Чтобы гарантировать, что в случае проблем сотрудники будут обращаться в службу поддержки, а не к коллегам или, хуже того, к внешним специалистам, необходимо выполнить два условия.

• Укажите в политике безопасности, что при возникновении проблем пользователи могут запрашивать помощь только у специалистов службы поддержки и ни у кого больше.
• Убедитесь в том, что для службы поддержки определена процедура реагирования на проблемы, отраженная в принятом для отделения компании соглашении об уровне обслуживания. Регулярно проводите аудит эффективности работы службы поддержки, проверяя, чтобы пользователи получали всю необходимую помощь.

Служба поддержки — важный механизм защиты от социотехнических атак, который не стоит недооценивать.

Виртуальные методы

Для проведения атаки, основанной на социотехнике, злоумышленнику нужно установить контакт с жертвой. Как правило, для этого он использует электронные способы взаимодействия, такие как электронная почта или всплывающие окна. Из-за увеличения числа нежелательных писем, получаемых большинством пользователей, эффективность этого метода атак снизилась, так как пользователи стали более скептически относиться к письмам, присланным по цепочке, и предложениям принять участие в «законных» прибыльных финансовых операциях. И все же, несмотря на сравнительную неэффективность этого метода, объем нежелательной корреспонденции и многочисленные попытки проведения атак с помощью троянских почтовых программ говорят о том, что некоторые злоумышленники не спешат отказываться от старых методик. В большинстве случаев эти атаки направлены на конкретных людей и проводятся с целью получения идентификационных данных жертвы. Однако из-за частого использования корпоративных компьютеров, средств доступа в Интернет и других бизнес-систем в личных целях такие атаки представляют угрозу и для компаний.

Телефонные технологии позволяют злоумышленникам устанавливать более личные, но менее массовые контакты с жертвами. Из-за низкой вероятности ареста некоторые злоумышленники рассматривают телефон как одно из главных средств социотехнических атак, но область применения этого метода во многом ограничена атаками на корпоративную телефонную станцию и службу поддержки. Это объясняется тем, что большинство пользователей с подозрением относятся к звонкам с запросами информации, исходящим от незнакомцев.

Физические методы

Менее популярным, но более эффективным для злоумышленника способом подготовки к проведению атаки является установление непосредственного личного контакта с жертвой. Только самые недоверчивые сотрудники способны усомниться в искренности человека, лично просящего помощи в решении компьютерных проблем или предлагающего такую помощь. Хотя такие способы связаны для злоумышленника с гораздо большим риском, они обеспечивают ему ряд преимуществ. В случае успеха он получает свободный доступ к корпоративным системам изнутри компании, обойдя все технические средства защиты периметра.

Другой серьезной угрозой для компаний является распространение мобильных технологий, позволяющих пользователям подключаться к корпоративным сетям дома и в пути. Это делает возможными самые разные атаки: от совсем простых, основанных на наблюдении за тем, как пользователь вводит в ноутбук идентификатор и пароль, до довольно сложных, при которых злоумышленник, выдавая себя за услужливого сотрудника службы поддержки, приносит и устанавливает обновление для устройства чтения карт или маршрутизатора, попутно попросив у пользователя идентификатор и пароль для доступа к корпоративной сети (а иногда еще и чашечку кофе). Идущий до конца злоумышленник может даже попросить и получить от пользователя электронную подпись, используемую для проверки его полномочий. В качестве другого примера атак этого рода можно привести использование оплаченных компанией ресурсов для доступа в Интернет через незащищенную беспроводную сеть.

Хотя в большинстве крупных компаний имеется развитая инфраструктура ограничения доступа на корпоративные объекты, в компаниях малого и среднего размера этим часто пренебрегают. Это обеспечивает возможность проведения очень простых социотехнических атак, основанных на несанкционированном проникновении в офисное здание вместе с сотрудником компании, имеющим пропуск. Злоумышленник придерживает дверь перед законным пользователем, заводит с ним разговор на какую-нибудь банальную тему и проходит вместе с ним через пропускной пункт, не вызывая подозрения у контролеров. Для атак на крупные компании, сотрудники которых могут пройти в здание только через турникеты, считывающие данные с электронных карт, и малые организации, где все друг друга знают, этот подход не годится. Однако для атак на компании, насчитывающие около тысячи сотрудников, далеко не всегда знакомых друг с другом, он подходит как нельзя лучше. Если злоумышленнику ранее удалось получить корпоративную информацию, например названия подразделений, фамилии сотрудников или данные из внутренних служебных записок, ему будет проще завязать разговор.

Обеспечение безопасности систем сотрудников, работающих дома, обычно ограничивается техническими средствами. Политика безопасности должна требовать, чтобы домашние системы этих сотрудников были защищены брандмауэрами, блокирующими попытки злоумышленников получить доступ к сети извне. Других требований к обеспечению безопасности и даже резервному копированию данных, выполняемому сотрудниками дома, в большинстве компаний среднего размера нет.

Таблица 7. Атаки, основанные на физическом доступе, и возможный ущерб от них

Защита от этих угроз во многом сводится к реализации оптимальных методик работы на основе эффективной корпоративной политики безопасности, которая должна охватывать три области:

• здание компании;
• домашние системы;
• мобильные системы, используемые для работы.

Возможность проникновения в здание или на объект компании без прохождения авторизации должна быть исключена. Взаимодействуя с работниками компании, подрядчиками и посетителями, служащие приемной должны быть вежливыми, но непреклонными. Включив в корпоративную политику безопасности несколько простых принципов, вероятность проведения социотехнических атак в здании можно свести практически к нулю. Эти принципы могут определять перечисленные ниже требования.

• Использование идентификационных карт с фотографиями, демонстрируемых каждый раз при входе в здание компании и выходе из него.
• Ведение книги учета посетителей, в которой посетитель и сотрудник, к которому он явился, должны поставить свои подписи при прибытии посетителя и его уходе.
• Применение датированных пропусков посетителей, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.
• Ведение книги учета подрядчиков, в которой подрядчик и сотрудник компании, утвердивший его рабочее задание, должны поставить свои подписи при прибытии подрядчика и его уходе.
• Применение датированных пропусков подрядчиков, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.

Чтобы гарантировать, что все посетители будут представляться служащему приемной, нужно организовать барьеры, не позволяющие проникнуть в здание компании без его ведома и без выполнения регистрационных процедур. Использовать для этого турникеты или что-либо подобное необязательно.

Например, для организации потока посетителей через приемную можно использовать диван (см. рис. 5).

Рис. 5. Два плана приемной

План, показанный слева, облегчает несанкционированное проникновение на территорию компании, позволяя злоумышленнику скрыться за подлинным сотрудником компании. Если же доступ в компанию организован по изображенной справа схеме, никакой посетитель не сможет пройти мимо стола служащего приемной незамеченным. Кроме того, в этом случае компьютер не ограничивает имеющийся у служащего приемной обзор. Проход на территорию компании нужно сделать достаточно широким, чтобы посетители, в том числе люди в инвалидных колясках, не испытывали никаких неудобств. Встречая и регистрируя каждого посетителя, служащие приемной должны вести себя профессионально и последовательно. Каждый вход в здание компании нужно привести в соответствие этим стандартам, запретив сотрудникам использование других входов и выходов — любые черные ходы должны отсутствовать.

При установке каких-либо барьеров или пропускных систем необходимо убедиться, что соблюдены все санитарные нормы, правила техники безопасности и права инвалидов.

Что касается домашних систем, то реализовать в них средства авторизации всех гостей и коммивояжеров невозможно. Однако на самом деле большинство людей при визите посетителей к ним домой ведут себя гораздо более осмотрительно, чем в такой же ситуации на работе. Таким образом, важнее гарантировать, что злоумышленник не сможет получить доступ к корпоративным ресурсам. Протокол оказания ИТ-услуг вне территории компании должен включать следующие правила.

• Все услуги технической поддержки, в том числе восстановление работоспособности систем и обновление их конфигурации на местах, должны планироваться и утверждаться службой поддержки.
• Подрядчики и штатные сотрудники, устанавливающие или обслуживающие системы на местах, должны иметь удостоверения, желательно с фотографией.
• Пользователи должны сообщать в службу поддержки время прибытия и отъезда ее представителя.
• На каждое задание должен выдаваться наряд на работу, подписываемый пользователем.
• Пользователи никогда не должны сообщать специалисту службы поддержки свои учетные данные или регистрироваться в системе ради того, чтобы он мог получить доступ к тем или иным ресурсам.

Последний пункт заслуживает особого внимания. Предоставлять специалистам по поддержке систем информацию, достаточную для выполнения работы, должен отдел обслуживания ИТ-систем. Если у инженера, прибывшего к пользователю, нет нужных прав доступа, он должен обратиться в службу поддержки. Это требование очень важно, потому что скромная должность сотрудника компании, занимающейся обслуживанием компьютеров, как нельзя лучше подходит для проведения атак. Она позволяет злоумышленнику демонстрировать свою принадлежность к официальным техническим службам и в то же время предлагать помощь.

Мобильные сотрудники часто используют свои компьютеры в поездах, аэропортах, ресторанах и других людных местах. Ясно, что исключить возможность наблюдения за сотрудником в таких условиях нельзя, но в корпоративную политику безопасности все равно нужно включить рекомендации по уменьшению риска кражи личной и корпоративной информации таким способом. Если сотрудники компании используют карманные ПК, в политике безопасности следует определить принципы управления защитой этих систем и синхронизации данных.

Обратная социотехника

Об обратной социотехнике говорят тогда, когда жертва или жертвы сами предлагают злоумышленнику нужную ему информацию. Это может показаться маловероятным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом. Тем не менее, социотехнические атаки в большинстве случаев инициируются злоумышленником.

Обычно злоумышленник, использующий методы социотехники, создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Рассмотрим следующий простой сценарий.

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Он даже может сказать, что корпоративная политика запрещает это. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Не все атаки, основанные на обратной социотехнике, требуют, чтобы злоумышленник был знаком с жертвой или хотя бы встретился с ней. Добиться своего злоумышленник может, имитируя проблемы с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.

Таблица 8. Атаки, основанные на методах обратной социотехники, и возможный ущерб от них

Защититься от атак, основанных на обратной социотехнике, наверное, сложнее всего. У жертвы нет оснований подозревать злоумышленника в чем-либо, так как при таких атаках создается впечатление, что ситуация находится под ее контролем. Главным способом защиты от атак, основанных на обратной социотехнике, является включение в политику безопасности принципа, требующего, чтобы все проблемы разрешались только через службу поддержки. Если специалисты службы поддержки будут компетентны, вежливы и терпимы, у сотрудников компании не будет повода обращаться за помощью к кому-либо другому.

Проектирование системы защиты от угроз, основанных на методах социотехники

Осознав всю широту спектра существующих угроз, необходимо выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социотехники. Помните, что эффективность защиты во многом определяется во время ее планирования. Часто защитные меры предпринимаются только после обнаружения успешно проведенной атаки для предотвращения аналогичных проблем в будущем. Этот подход показывает, что обеспечению безопасности в компании уделяется некоторое внимание, но такое решение проблемы может оказаться слишком запоздалым, если компании уже причинен значительный ущерб. Чтобы не допустить этого, нужно выполнить три следующих действия.

• Разработка стратегии управления обеспечением безопасности. Определите задачи защиты от социотехнических угроз и назначьте сотрудников, отвечающих за их выполнение.
• Оценка риска. В разных компаниях уровень риска, связанного с одними и теми же угрозами, может быть разным. Проанализируйте каждую из социотехнических угроз и определите, насколько она опасна для организации.
• Интеграция принципов защиты от социотехнических атак в политику безопасности. Разработайте и задокументируйте политики и процедуры, регламентирующие действия сотрудников в ситуациях, которые могут оказаться социотехническими атаками. Для выполнения этого этапа необходимо, чтобы в организации уже была принята политика безопасности, охватывающая угрозы, не связанные с социотехникой. Если политика безопасности отсутствует, ее нужно разработать. Факторы, определенные на этапе оценки риска, связанного с социотехническими угрозами, помогут приступить к разработке политики безопасности, но позднее в ней нужно будет учесть и другие возможные угрозы.
  
  Дополнительную информацию о политиках безопасности можно найти на веб-узле Microsoft Security по адресу www.microsoft.com/security (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Разработка стратегии управления обеспечением безопасности

Стратегия управления обеспечением безопасности должна давать общее представление о социотехнических угрозах, которым подвергается организация, и определять сотрудников, отвечающих за разработку политик и процедур, блокирующих эти угрозы. Это не означает, что на работу нужно принять специалистов, в чьи обязанности будет входить только обеспечение безопасности корпоративных активов. Такой подход возможен в крупных компаниях, но в организациях среднего размера создавать такие должности в большинстве случаев невыгодно. Главное, что нужно сделать — это распределить между некоторыми сотрудниками следующие роли.

• Куратор по безопасности. Руководитель высшего звена (предположительно — уровня совета директоров), следящий за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладающий необходимым для этого авторитетом.
• Администратор по безопасности. Руководитель, отвечающий за организацию разработки политики безопасности и ее обновление в соответствии с изменениями требований.
• Менеджер по безопасности ИТ-систем. Технический специалист, отвечающий за разработку политик и процедур обеспечения безопасности ИТ-инфраструктуры и операций.
• Менеджер по безопасности на объекте. Член группы, обслуживающей здание, который отвечает за разработку политик и процедур обеспечения безопасности на объекте.
• Менеджер по информированию персонала о способах обеспечения безопасности. Руководящий сотрудник (обычно из отдела кадров), отвечающий за разработку и проведение кампаний по информированию персонала об угрозах и способах защиты от них.

Сотрудники, выполняющие эти роли, формируют руководящий комитет по обеспечению безопасности (Security Steering Committee), который должен определять главные цели стратегии управления обеспечением безопасности. Если не определить эти цели, будет сложно привлекать к участию в проектах по обеспечению безопасности других сотрудников и оценивать результаты таких проектов. Первой задачей, которую должен выполнить руководящий комитет по обеспечению безопасности, является обнаружение в корпоративной среде уязвимостей, делающих возможными социотехнические атаки. Чтобы быстро получить представление о возможных векторах этих атак, можно воспользоваться простой таблицей наподобие приведенной ниже.

Таблица 9. Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники

Когда члены руководящего комитета по обеспечению безопасности основательно разберутся в имеющихся уязвимостях, они могут составить таблицу уязвимостей корпоративной среды, допускающих проведение атак, основанных на методах социотехники (см. пример выше). В этой таблице следует описать рабочие процессы компании в потенциально уязвимых областях. Информация об уязвимостях позволяет членам руководящего комитета разработать предварительные варианты требований, которые могут быть включены в политику.

Сначала руководящий комитет должен определить области, которые могут подвергнуть компанию риску. Выполняя эту задачу, нужно учесть все направления атак, описанные в данном документе, и специфические для компании элементы, такие как использование общедоступных терминалов или процедуры управления офисной средой.

Оценка риска

При разработке мер по обеспечению безопасности всегда нужно оценить уровень риска, которому подвергается компания при различных атаках. Для тщательной оценки риска не обязательно требуется очень много времени. Опираясь на информацию о главных элементах стратегии управления обеспечением безопасности, определенных руководящим комитетом по обеспечению безопасности, можно сгруппировать факторы риска в категории и назначить им приоритеты. Ниже перечислены категории риска.

• Утечка конфиденциальной информации.
• Урон репутации компании.
• Снижение работоспособности компании.
• Трата ресурсов.
• Финансовые потери.

При определении приоритета фактора риска следует учесть стоимость его устранения. Если она превышает возможный ущерб от соответствующей атаки, возможно, с риском лучше смириться. Оценка риска может предоставить очень полезную информацию на заключительных этапах разработки политики безопасности.

Например, руководящий комитет по обеспечению безопасности может обнаружить недостатки принятого в компании пропускного режима. Если предполагается, что компанию будут посещать не более 20 человек в час, будет достаточно нанять одного контролера, завести книгу учета посетителей и пронумерованные идентификационные карточки. Если же компанию будут посещать 150 человек в час, возможно, придется расширить штат контролеров или установить терминалы для самостоятельной регистрации. В компаниях малого размера установка таких терминалов едва ли окупится, но для крупных компаний, которые в случае простоя из-за атак могут понести крупные убытки, этот вариант может оказаться наиболее эффективным.

Рассмотрим другой пример. Для компании, не принимающей посетителей и не нанимающей подрядчиков, может не быть практически никакой опасности в выкладывании распечатанных документов в одном определенном месте, откуда их будут забирать сотрудники. Между тем, для компании, часто пользующейся услугами многих подрядчиков, этот вариант связан со слишком большим риском, и ее руководители могут решить, что для предотвращения краж конфиденциальных документов из принтеров необходимо установить принтер на каждом рабочем столе. Компания может устранить этот риск, поставив условие, чтобы каждого посетителя в течение всего визита сопровождал штатный сотрудник. Это решение окажется гораздо менее дорогим, если, конечно, не учитывать финансовые следствия неэффективного использования рабочего времени сотрудников.

Используя таблицу уязвимостей корпоративной среды, допускающих проведение социотехнических атак, руководящий комитет по обеспечению безопасности может определить для компании требования политики безопасности, типы и уровни риска. При этом можно использовать формат таблицы 10.

Таблица 10. Форма для руководящего комитета, служащая для определения требований к обеспечению безопасности и оценки факторов риска

Сотрудники каждого подразделения будут по-разному воспринимать риск, связанный с различными угрозами. Члены комитета по обеспечению безопасности должны учесть их мнения и прийти к согласию по поводу важности разных факторов риска.

Для получения дополнительной информации о методологиях и инструментах оценки риска обратитесь к документу «Руководство по оценке риска, связанного с обеспечением безопасности», расположенному по адресу http://go.microsoft.com/fwlink/?linkid=30794 (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Социотехника и политики безопасности

Руководящие органы компании и представители ее ИТ-подразделения должны разработать эффективную политику безопасности и помочь реализовать ее в корпоративной среде. Иногда в политике безопасности основное внимание уделяется техническим средствам защиты, помогающим бороться с техническими же угрозами, примерами которых могут служить вирусы и черви. Эти средства ориентированы на защиту технических элементов среды, таких как файлы данных, приложения и операционные системы. Средства защиты от социотехнических угроз должны помогать отражать социотехнические атаки на сотрудников компании.

Для главных областей обеспечения безопасности и факторов риска руководящий комитет по обеспечению безопасности должен разработать документацию, регламентирующую соответствующие процедуры, процессы и бизнес-операции. В следующей таблице показано, как руководящий комитет по обеспечению безопасности с помощью заинтересованных сторон может определить документы, необходимые для поддержки политики безопасности.

Таблица 11. Требования к процедурам и документации, определяемые руководящим комитетом

Как видите, такой список может оказаться в итоге довольно длинным. Чтобы ускорить его составление, можно воспользоваться помощью специалистов. Особое внимание руководящий комитет по обеспечению безопасности должен уделить приоритетным областям, определенным в ходе оценки риска.

Реализация мер защиты от угроз, основанных на методах социотехники

После того, как политика безопасности задокументирована и утверждена, нужно проинформировать о ней сотрудников и разъяснить им важность ее соблюдения. Технические средства защиты можно внедрить и без участия сотрудников, но при реализации мер защиты от социотехнических атак без поддержки сотрудников обойтись не удастся. Чтобы облегчить реализацию этих мер, нужно разработать для службы поддержки протоколы реагирования на инциденты.

Информирование

Ничто так не облегчает реализацию социотехнических элементов политики безопасности, как удачная кампания по информированию сотрудников. Конечно, такую кампанию тоже можно рассматривать как разновидность социотехники. В ходе ее реализации нужно позаботиться о том, чтобы сотрудники ознакомились с политикой безопасности, поняли, зачем она нужна, и запомнили, что нужно делать, заподозрив атаку. Ключевой элемент социотехнических атак — доверие. Чтобы злоумышленник добился своего, жертва должна ему доверять. Для защиты от таких атак нужно привить сотрудникам разумное скептическое отношение ко всему неожиданному и внушить им доверие к корпоративной службе технической поддержки.

Элементы кампании по информированию сотрудников зависят от того, как в организации принято сообщать информацию. Для информирования о политиках безопасности можно выбрать структурированные обучающие курсы, неформальные встречи, плакаты и другие средства. Чем убедительнее будут представлены политики, тем эффективнее пройдет их реализация. Начать кампанию по информированию о проблемах безопасности можно с крупного мероприятия, но не менее важно регулярно напоминать о них руководителям и сотрудникам. Обеспечение безопасности — задача всей компании, и к ее решению следует привлечь по возможности всех сотрудников. Постарайтесь учесть мнения представителей всех подразделений и пользователей разных категорий, особенно тех, которые работают вне офисов.

Управление инцидентами

Получив информацию о социотехнической атаке, сотрудники службы поддержки должны знать, как действовать в сложившейся ситуации. В политике безопасности должны быть определены протоколы реагирования, но один из принципов управления инцидентами заключается в том, что в ответ на атаку проводится дополнительный аудит безопасности. Направления атак изменяются, поэтому обеспечение безопасности — это путь, не имеющий конца.

Каждый инцидент предоставляет новую информацию для текущего аудита безопасности в соответствии с моделью реагирования на инциденты (см. рис. 6).

Рис. 6. Модель реагирования на инциденты

При регистрации инцидента руководящий комитет по обеспечению безопасности должен выяснить, представляет ли он для компании новую или измененную угрозу, и, опираясь на сделанные выводы, создать или обновить политики и процедуры. Все поправки, вносимые в политики безопасности, должны соответствовать корпоративным стандартам управления изменениями.

Для управления инцидентами служба поддержки должна использовать утвержденный протокол, регистрируя в нем следующую информацию:

• Жертва атаки
• Подразделение жертвы
• Дата
• Направление атаки
• Описание атаки
• Результат атаки
• Последствия атаки
• Рекомендации

Регистрация инцидентов позволяет определить шаблоны атак и улучшить защиту от будущих атак. Образец бланка отчета об инциденте можно найти в приложении 1.

Рекомендации по работе

При выполнении аудита безопасности не следует чересчур увлекаться защитой компании от всевозможных потенциальных угроз. Политика безопасности должна отражать главную цель любой коммерческой компании — получение прибыли. Если предполагаемые меры защиты компании отрицательно скажутся на ее прибыльности или конкурентоспособности, возможно, риск следует оценить заново. Необходимо найти баланс между обеспечением безопасности и удобством и эффективностью работы.

С другой стороны, важно понимать, что репутация компании, уделяющей большое внимание безопасности, также обеспечивает коммерческие преимущества. Это не только отпугивает злоумышленников, но и вызывает доверие к компании у ее клиентов и партнеров.

Социотехника и комплексная многоуровневая модель обеспечения безопасности

В комплексной многоуровневой модели обеспечения безопасности решения для защиты компьютерных систем классифицируются в соответствии с направлениями атак — слабостями, которые злоумышленники могут использовать для реализации угроз. Ниже перечислены некоторые направления атак.

• Политики, процедуры и информированность сотрудников. Выраженные в письменной форме правила, регламентирующие управление всеми аспектами обеспечения безопасности, и образовательные программы, помогающие сотрудникам понять эти правила и соблюдать их.
• Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не забывайте про ресурсы компании; например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
• Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз, связанных с использованием социотехники, и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
• Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники, применяющие методы социотехники, могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
• Компьютеры. Серверы и клиентские системы, используемые в организации. Защитите пользователей от прямых атак на их компьютеры, определив строгие принципы, указывающие, какие программы можно использовать на корпоративных компьютерах и как следует управлять такими средствами обеспечения безопасности, как идентификаторы пользователей и пароли.
• Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
• Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций, возможно, входящие в экстрасеть. Используя методы социотехники, злоумышленники часто пытаются проникнуть через периметр сети, чтобы получить возможность проведения атак на данные, приложения и компьютеры во внутренней сети.

Рис. 7. Комплексная модель обеспечения безопасности

При разработке средств защиты комплексная модель обеспечения безопасности поможет лучше представить области бизнеса, которые подвергаются угрозам. Она охватывает не только социотехнические угрозы, но средства защиты от угроз этого рода должны быть реализованы на каждом уровне модели.

Самыми общими средствами защиты в этой модели являются политики безопасности, процедуры и информирование персонала. Они ориентированы на сотрудников организации и определяют, кто, что, когда и почему должен делать. Остальные уровни позволяют настроить средства обеспечения безопасности в соответствии со специфическими требованиями, но главным фактором защиты ИТ-среды все равно является структурированный набор правил, известных всем сотрудникам организации.

Для получения дополнительной информации о комплексной модели обеспечения безопасности обратитесь к статье «Техническое руководство по организации системы безопасности» в журнале Microsoft TechNet по адресу http://go.microsoft.com/fwlink/?linkid=37696.

Приложение 1. Политика защиты от угроз, связанных с использованием социотехники: контрольные списки

В данном документе было представлены несколько таблиц, служащих для учета уязвимостей для атак, основанных на социотехнике, и определения требований политики обеспечения безопасности. В этом приложении приводятся их шаблоны, которые можно копировать и использовать в реальных условиях.

Уязвимости корпоративной среды, допускающие проведение атак, основанных на методах социотехники

Форма для руководящего комитета, служащая для определения требований к обеспечению безопасности и оценки факторов риска

Требования к процедурам и документации, определяемые руководящим комитетом

Реализация политики безопасности: контрольный список

Отчет об инциденте

Приложение 2. Глоссарий