Противодействие социальной инженерии

Методы социальной инженерии представляют се­рьезную угрозу информационной безопасности любой организации. Для предотвращения им необходи­мо создать и разработать различ­ные варианты политики безопасно­сти, определить правила корректно­го использования телефонов, ком­пьютеров и т. д. При этом необходи­мо учитывать, что даже самые луч­шие правила и инструкции могут не спасти, если будут использоваться ненадлежащим образом.

Предлагается несколько мер противодействия социальной инженерии.

1. Разработка четкого плана действий для сотрудников в случае обнаружения атаки социальной инженерии.

Для предотвращения атак с ис­пользованием методов социальной инженерии необхо­димо разработать четкие инструк­ции для всех категорий сотрудников, в которых будут пошагово расписа­ны их действия в случае обнаруже­ния атак социальной инженерии, и эту информацию разместить в доступном месте. Кро­ме того, все сотрудники должны быть осведомлены о принимаемых мерах по предотвращению проник­новения в информационные систе­мы с помощью социальной инженерии и протестирова­ны на знание инструкций и политик безопасности, принятых в данной организации.

2. Разработка для сотрудников правил, позволяющих определять, какая информация является важной для компании.

Общеизвестно, что в орга­низации должны существовать пра­вила доступа к конфиденциальной информации. Однако даже те сведе­ния, которые в большинстве случа­ев не считаются особенно важными, могут быть полезными социальному инженеру, собирающему крупицы информа­ции, внешне бесполезной, но впол­не пригодной в профессиональных руках для создания атмосферы до­верия и симпатии. Такой информа­цией может быть рабочее название проекта, место нахождения коман­ды разработчиков, имя сервера, ис­пользуемого сотрудниками и т. п. Кроме того, сотрудники должны знать правила уничтожения офис­ного мусора, который является для социальных инженеров неисчерпаемым источником информации.

3. Научить сотрудников говорить «Нет!».

Говорить «Нет!» достаточно слож­но. Не многие владеют этим качест­вом, не испытывая чувства неловко­сти. Программа компании по про­тиводействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости, а именно – разра­ботку вежливого отклонения запро­са о важной информации, пока не будет установлена личность запра­шивающего и его право на доступ к этой информации.

4. Разработать процедуры для проверки личности человека и его авторизации.

В любой организации должен быть разработан процесс проверки личности и авторизации людей, за­прашивающих информацию или требующих каких-либо действий от сотрудников компании. При этом не следует полагаться на личный номер сотрудника или иные похожие мето­ды идентификации, так как такие номера часто используются и могут быть легко получены социальным инженером от самих сотрудников. С другой стороны, можно обязать сотрудников проверять личность звонившего, набрав его телефонный номер, который указан в телефон­ном справочнике компании. Этапроцедура не очень удобна в повсе­дневной работе и не решает проблем с установлением личности, но может защитить от многих атак. Использо­вание АОН также может пригодить­ся для этой цели.

5. Получить поддержку руководства компании.

Служба безопасности не сможет вводить меры по предот­вращению атак без одобрения руко­водства. Однако часто само руко­водство нарушает принятые им са­мим политики безопасности. По­этому сотрудники никогда не долж­ны получать от руководства указа­ний обойти протокол безопасности, и ни один сотрудник не должен быть наказан за то, что будет следо­вать протоколу безопасности, даже если получил от руководства указа­ние его нарушить. Причем эти по­ложения следует задокументировать и заверить подписями всех ру­ководителей. Кроме того, действенными ме­рами противодействия социальной инженерии являют­ся тесты на проникновение, кото­рые могут проводиться регулярно. Тесты позволяют не только прове­рить политики безопасности и пра­вильность их применения, но и об­наружить те недостатки защиты, которые не были учтены при их разра­ботке.

6. Обучение и тренинг персонала.

Важным является обучение персонала навыкам противодействия методам социальной инженерии, разработка тренингов по установлению бдительности персонала и периодическая проверка знаний и навыков сотрудников путем проведения специальных проверок.

В программе обучения противодействия атакам методами социальной инженерии должны быть рассмотрены следующие вопросы:

– описание методов, используемых социальным инженером для достижения цели;

– используемые средства доступа социальным инженером к объекту своего воздействия;

– методы предупреждения возможных атак с использованием социальной инженерии;

– описание процедуры обработки подозрительных запросов;

– описание процедуры информирования о попытках или удачных атаках;

– необходимость проверки того, кто делает подозрительный запрос, не считаясь с его должностью или важностью;

– важность идентификации и проверка авторизации делающего запрос;

– описание процедуры защиты важной информации, включая любые данные о системе ее хранения;

– политики и процедуры безопасности компании и их важность в защите информации;

– важность следования политикам безопасности.

Следует отметить, что все атаки социальных инженеров основаны на обмане. Социальный инженер пытается заставить жертву думать, что он является начальником, коллегой-сотрудником или техническим специалистом. Однако большинство атак сорвется, если потенциальная жертва просто проведет процедуру идентификации личности, вступившей с ним в контакт, а также проверит наличие у него уровня доступа, соответствующего запрашиваемой информации.

Раздел 3 Методы и средства защиты информации