Как защитить свою сеть от социальных инженеров

Опубликовано: 14 Апреля, 2023

Если пользователями в вашей организации, имеющими законный доступ к вашей сети, можно манипулировать, чтобы они раскрыли свои пароли или позволили неавторизованному лицу использовать свои компьютеры, все ваши технологические методы предотвращения атак напрасны. Каждый грабитель знает, что самый простой способ проникнуть в здание — открыть дверь ключом, а не часами пытаться взломать замок или применить грубую силу, чтобы выбить окно.


В контексте компьютерной безопасности процесс получения этого ключа называется социальной инженерией. Социальным инженерам даже не нужно быть особенно технически подкованными; именно их «умение работать с людьми» помогает им оказаться там, где им быть не положено. Они используют обаяние, запугивание или обман, чтобы убедить других раскрыть информацию, которая ставит под угрозу безопасность сети. Кевин Митник прославился (и попал в тюрьму) благодаря своему мастерству в искусстве. Он даже написал книгу на эту тему вместе с соавторами Стивом Возняком и Уильямом Л. Саймоном: Искусство обмана: управление человеческим элементом безопасности (опубликовано John Wiley and Sons).


Как работает социальная инженерия?


Социальная инженерия определяется как «нетехнический вид вторжения, который в значительной степени зависит от человеческого взаимодействия и часто включает в себя обман других людей для нарушения обычных процедур безопасности». (с сайта searchsecurity.techtarget.com). Общие сценарии социальной инженерии включают в себя:




  • Звонок пользователю под видом члена ИТ-команды, которому требуется пароль пользователя и другая информация для устранения проблем с сетью или учетной записью пользователя.


  • Позвонить в ИТ-отдел и представиться высокопоставленным руководителем компании, притворившись, что забыл свой пароль, и немедленно потребовать эту информацию из-за неотложной деловой необходимости.


  • Развитие личных отношений с пользователем или членом ИТ-команды с целью «разговора» с человеком из конфиденциальной информации, которая может быть использована для проникновения в сеть.

Хороший социальный инженер — это не только хороший актер, но и умение «читать» людей, чтобы определить, какой тип уловки лучше всего сработает с конкретным человеком. Когда хакер сочетает навыки социальной инженерии с техническими знаниями, становится легко взломать практически любую сеть. Многие распространенные интернет-мошенничества, такие как электронные письма якобы от банка пользователя или компании, выпускающей кредитные карты, с просьбой перейти на веб-сайт, где им предлагается заполнить информацию об учетной записи, являются формами социальной инженерии.


Некоторые социальные инженеры основывают свой успех на исследовательских способностях. Такие действия, как «погружение в мусорку» (прохождение выброшенных документов в поисках учетных данных и другой полезной информации), также можно считать формой социальной инженерии. Некоторые хакеры могут разрабатывать сложные схемы, чтобы выдать себя за ремонтников зданий или даже временно устроиться на работу уборщиками, чтобы получить первоначальный доступ, в то время как другие выполняют всю свою работу издалека и никогда не приближаются к физическому объекту. Решительный хакер может потратить дни или недели усилий, чтобы завоевать доверие целевого сотрудника. Это можно сделать лично, по телефону, по электронной почте или через мгновенные сообщения.


«Обратная социальная инженерия» — это термин, используемый для обозначения хакеров, которые создают какую-то проблему в сети или на компьютере пользователя, а затем приходят на помощь (как мы иногда читаем о случаях, когда человек поджигает, а затем врывается внутрь). потушить его, став мгновенным героем для жертв). Это помогает социальному инженеру быстро завоевать доверие и облегчает получение нужной информации от жертвы. Например, социальный инженер может затем отправить по электронной почте вложение, содержащее вредоносный код, с помощью которого он может получить контроль над компьютером жертвы. Поскольку теперь жертва «знает» (и доверяет) инженеру, жертва не проявляет такой осторожности при открытии вложения, как если бы вложение было отправлено кем-то другим.


Как защититься от социальных инженеров?


Защита от социальных и технических угроз должна быть частью вашей стратегии «глубокоэшелонированной защиты», но ее часто игнорируют. Не думайте, что ваши пользователи «знают лучше», чем раздавать свои пароли. Если прямо не указано иное, у среднего сотрудника нет причин задавать вопросы тому, у кого, кажется, есть законная причина для этого. Даже члены ИТ-команды, заботящиеся о безопасности, могут не решиться запросить удостоверение личности у разгневанного человека, утверждающего, что он является членом высшего руководства.


Для защиты сети от атак социальной инженерии требуется, в первую очередь, набор политик безопасности, определяющих причины и процедуры реагирования на запросы такого типа. Просто разработать политику недостаточно. Чтобы быть эффективным:



  • Все члены руководства должны согласиться с политиками и понимать необходимость надлежащего подтверждения своей личности при запросах паролей и т. д.
  • Политики должны быть распространены среди всех пользователей сети, а также должно быть обеспечено обучение и обучение тому, почему соблюдение требований имеет важное значение.
  • Должны быть четко определены последствия нарушения политики.

Ваши политики безопасности должны быть конкретными и касаться таких вопросов, как:



  • Политики надежных паролей: минимальная длина, требования к сложности, требования к смене паролей через определенные промежутки времени, запрет на словарные слова, легко угадываемые числа, такие как даты рождения и номера социального страхования и т. д., запреты на запись паролей.
  • Запреты на разглашение паролей, кому (если кому-либо) можно разглашать пароли и при каких обстоятельствах, процедура, которой следует следовать, если кто-то требует раскрытия паролей.
  • Требование, чтобы пользователи выходили из системы или использовали заставки, защищенные паролем, когда они не находятся за компьютером, предостерегающие инструкции о том, чтобы никто не наблюдал, когда вы вводите информацию для входа в систему, и т. д.
  • Меры физической безопасности для предотвращения доступа посетителей и внешних подрядчиков к системам для размещения кейлоггеров и т. д.
  • Процедура проверки личности пользователей для ИТ-отдела и ИТ-персонала для пользователей (секретные PIN-коды, процедуры обратного вызова и т. д.).
  • Политики, регулирующие уничтожение (уничтожение, сжигание и т. д.) документов, дисков и других носителей, содержащих информацию, которую хакер может использовать для нарушения безопасности.

Контрольный список предотвращения и обнаружения социальной инженерии


Чтобы социальные инженеры не смогли получить информацию, необходимую им для выполнения своей грязной работы в вашей сети, и чтобы помочь определить, когда происходит возможная попытка социальной инженерии, необходимо предпринять следующие шаги:



  • Обеспечьте физическую безопасность компьютеров и сетевых устройств.
  • Разработайте подробную политику безопасности, направленную на решение проблем социальной инженерии, и применяйте ее во всей компании.
  • Обучите всех пользователей тому, как распознать попытку социальной инженерии.
  • Запирайте документы и магнитные носители, содержащие конфиденциальную информацию, и уничтожайте их, когда они больше не нужны.

Хорошей практикой является создание централизованной базы данных, в которой регистрируются попытки социальной инженерии. Например, если секретарю звонит кто-то, выдающий себя за ИТ-менеджера и запрашивающий ее пароль, она должна иметь возможность сообщить об инциденте назначенному лицу или в отдел, где он будет зарегистрирован. Это позволяет вам обнаруживать шаблоны и быть начеку на предмет нарушений безопасности, потому что вы знаете, что кто-то пытается получить информацию, которая может быть использована для проникновения в вашу сеть.


Резюме


Социальная инженерия — это самый простой способ для хакера получить доступ к вашей сети и один из самых распространенных, однако многие компании тратят тысячи долларов на предотвращение технических атак и ничего не делают для предотвращения эксплуатации «человеческого фактора». Создание политик — это первый шаг в предотвращении атак с использованием социальной инженерии, но, возможно, наиболее важным шагом является информирование сотрудников об опасности социальной инженерии. Люди, которые становятся жертвами мошенничества с социальной инженерией — будь то уловка постороннего, притворяющегося менеджером компании, которому нужно изменить пароль, или электронное письмо от незнакомца, притворяющегося богатым нигерийцем, у которого есть деньги для раздачи, — это те кто не слышал о мошенничестве. Осведомленность о безопасности должна быть частью обучения каждого сотрудника, использующего сеть, и, чтобы быть эффективным, оно должно быть постоянным. Предупрежден — значит вооружен, особенно когда речь идет о социальной инженерии.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023