Информационное письмо
Образец оформления статьи
Анкета автора
18.10.2016

Социальная инженерия и защита от неё в корпоративной среде

Видякина Александра Олеговна
Факультет математической экономики статистики и информатики, ФГБОУ ВО «РЭУ им. Г.В. Плеханова» г. Москва, Российская Федерация
Аннотация: В данной статье рассматривается влияние применения средств социальной инженерии в IT-среде, в особенности для осуществления взломов в корпоративной сфере. Конкретно рассматриваются методы социальной инженерии и способы защиты корпоративных данных.
Ключевые слова: защита информации, пароли, вредоносные файлы, доступ к данным, пользовательский интерфейс
Электронная версия
Скачать (650.1 Kb)

С растущим темпом развития информационных и компьютерных технологий, всё более изысканным становится как искусство взлома, так и искусство защиты информации. Конечно, создание идеальных средств для защиты информации практически невозможно; огромное количество взломов самой важной и, казалось бы, наиболее защищенной информации, происходит ежедневно. Однако, в большинстве случаев, вина за это лежит на невнимательном владельце информации, нежели чем на программном и аппаратном обеспечении.

Данные «человеческие» взломы осуществляются гораздо легче, чем компьютерные, и создать автоматизированный способ защиты для них не так легко. Для осуществления таких взломов используют методы социальной инженерии. Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным [3]. Это понятие возникло гораздо раньше первых вычислительных машин и используется не только для взлома компьютеров.

Применение социальной инженерии

Испокон веков люди становились жертвами мошенников, которые блестяще владели навыками социальной инженерии. Она стала интересным досугом и для ученых. Американский физик Ричард Фейнман славился тем, что мог открыть любой сейф, не взламывая его. Применяя знания человеческой психологии, он подбирал пароль, или же просто находил его в кабинете, записанным на листке бумаги [4].

Социальная инженерия невероятно широка в применении. Одним из ярких примеров можно считать мобильную связь. Часто злоумышленники, предварительно получив доступ к базе номеров, звонят людям и убеждают их в том, что им или их близким что-то угрожает, и требуется срочно перевести деньги на определенный счет. Есть и менее индивидуализированные способы — например, массовая рассылка СМС-сообщений с различным содержанием, обычно запрашивающих небольшую сумму денег. Зная человеческую психологию, достаточно легко придумать фразы, универсально подходящие для большинства жертв.

Однако в этой статье внимание будет сконцентрировано на применении социальной инженерии в области IT-технологий. В этой области навыки социальной инженерии (СИ) применяют в основном с целью:

1. Кражи личных паролей

2. Внедрения вируса на компьютер жертвы

Для первой цели используют такой метод, как фишинг. Фишинг является одной из самых популярных форм СИ. Чаще всего это происходит таким образом: на почтовый адрес жертвы высылают письмо, выглядящее как письмо от популярного сайта/бренда, в котором жертве сообщают, что ей необходимо совершить вход в свой аккаунт. Письмо сдержит ссылку на сайт, адрес которого визуально почти не отличается от адреса официального. После того как жертва заходит на сайт и вводит свои личные данные, злоумышленники используют полученную информацию в своих корыстных целях.

Для осуществления второй цели используют разнообразие методов. Наиболее распространенный метод маскирует вредоносный файл под файл, нужный пользователю. Его часто могут прикрепить к письму электронной почты, причем фантазия взломщиков здесь безгранична. Они используют самые обыденные и широко используемые фразы и обстоятельства, чтобы заставить человека поверить, что письмо прислал кто-то из знакомых. Уже с усыпленной бдительностью жертва кликает на файл и попадается в ловушку злоумышленника.

Распространен метод обратной социальной инженерии, когда жертва сама обращается к злоумышленнику, собственноручно находя и скачивая вредоносный файл, замаскированный под фильм/документ, или же передавая свои личные данные незнакомым лицам. Часто люди безукоризненно доверяют специалистам IT, самостоятельно раскрывая свои данные.

По данным компании Gartner, только в 2007 году в США сумма потерянных из-за фишинга денег превысила 3 миллиарда долларов [1]. Почему же это происходит, и так часто?

Причиной этому служит неосведомленность подавляющего большинства пользователей в вопросах информационной безопасности. Люди выкладывают всё больше и больше информации в свободный доступ, что легко считывается программами, которые злоумышленники применяют для сбора данных и используется после для массовой рассылки писем. Пользователи часто не отдают должного внимания созданию подходящих паролей и регистрируются на множестве ресурсов, используя один и тот же почтовый адрес и пароль. В этом случае, когда злоумышленник получает логин и пароль пользователя с одного сайта, он также может применить его к другим сайтам с зарегистрированным адресом и получить доступ сразу к нескольким аккаунтам жертвы. Такая неосторожность может привести как к взлому важных корпоративных данных, так и к потере финансовых средств.

Вообще, ввод паролей – одна из сторон проектирования пользовательского интерфейса. Первая проблема паролей заключается в том, что пароль может быть слишком прост, и тогда злоумышленник может легко получить доступ к информации, подобрав пароль. Вторая проблема паролей заключается в том, что пароль может быть слишком сложным. И тогда пользователь может забыть пароль. А чтобы не забыть – где-то записывает его (например, в телефоне). В этом случае злоумышленник может просто считать пароль и получить доступ к данным. Поэтому для противодействия социальной инженерии пользовательский интерфейс программного обеспечения должен быть таким, чтобы позволял пользователю вспомнить пароль (если он его забыл), а также не позволять пользователю вводить простые пароли [5].

Социальная инженерия и корпоративная среда

Подобная утечка информации особенно опасна для корпоративной сферы. Во-первых, компании располагают гораздо большими денежными средствами, во-вторых — внутренние данные компании имеют больший вес для злоумышленников. По этим причинам часто целью преступников становятся фирмы, которые, имея сложную и дорогую защиту аппаратного и программного обеспечения, зачастую оказываются так же уязвимы перед лицом угрозы СИ.

Как же это предотвратить? Во-первых, необходимо проводить обязательный курс информационной безопасности среди сотрудников, предупредить их о возможных способах кражи информации и рассылки вредоносных программ.

Однако человеческая природа такова, что даже самые продвинутые специалисты по безопасности не могут быть полностью застрахованы от ошибок, так можно ли попробовать повлиять на ситуацию другим способом?

Большинство компаний разных направлений используют многочисленные информационные системы. Информационные системы предназначены для автоматизации работы предприятия с данными. Следовательно, необходимо попытаться внедрить защиту от социальной инженерии в ИС.

1. Первое, что необходимо сделать для достижения нашей цели – требуется организовать структурированное хранилище информации. Все данные должны быть четко разделены по важности, степени влияния на жизнедеятельность организации и другим критериям, важным для организации. Разные по важности данные должны находиться в разных местах. Недопустимо хранение базовых и важных, скрытых документов в одном месте.

2. Второй шаг на пути к защищенным данным – правильное распределение доступа к ним. К каждой части хранилища должен быть прописан и реализован доступ. Желательно, чтобы персонал, не имеющий доступа к каким-то документам, не видел их вообще.

3. Часто причины утечки информации кроются в совершенно незначительном отходе от правил и инструкций, который, на первый взгляд, не может привести к серьезным последствиям. Чтобы не допустить таких негативных последствий, необходимо ужесточить правила и инструкции и следить за их неукоснительным выполнением.

4. Также необходимо навести порядок в файлах и документах. Кроме структурирования и распределения их по уровням требуется следить за тем, чтобы сотрудники не имели личных файлов на корпоративном компьютере. Часто вредоносные программы попадают на защищенные компьютеры компании из-за сотрудников, использующих личные флеш-карты на рабочем месте. Кроме этого, сотрудники могут использовать свою личную электронную почту за компьютером компании, что тоже может повлечь за собой неприятные последствия. Следовательно, подобные действия должны быть запрещены компанией.

5. На компьютерах фирмы не должно быть практически никаких данных, так как это может облегчить для злоумышленника доступ к ним. Находящиеся же на компьютере данные подлежат строгой защите.

6. Необходимо использование программного обеспечения, подходящего требованиям компании и осуществляющего задачи архивирования, сканирования устройства на наличие вирусов и их удаления.

Вышеперечисленные средства могут значительно повлиять на уровень защиты от взломов хакерами, работающих с социальной инженерией. Однако лучший способ в борьбе с негативным применением социальной инженерии это позитивное её применение. Социальный инженер Мишель Финчер в своей лекции о принятии решений высказала интересный факт: большое влияние на принятие определенных решений для людей оказывает их лень. Она привела пример с анкетой, в которой люди соглашаются или отказываются стать донорами органов. Различия между числом доноров огромны. Оказывается, что в странах, где мало таких желающих, в анкете имеется строчка «Отметьте этот квадрат, если вы ЖЕЛАЕТЕ стать участником программы», в то время как в странах с большим процентом желающих, эта строчка выглядит так: «Отметьте этот квадрат, если вы НЕ ЖЕЛАЕТЕ стать участником программы» [2]. Получается, что даже на принятие такого важного решения может повлиять обыденная человеческая лень.

Теперь следует определить, каким образом стоит применить эти знания в информационной системе. Необходимо сделать так, чтобы информационная система сама направляла человека на выполнение всех правил.

Компания должна использовать только те файлы, которые не могут нанести потенциальный вред. Нередко это уже закреплено в программном обеспечении компании, однако это легко нарушается. Например, большинство ПО автоматически не открывает файлы с макросами, которые могут потенциально быть вирусами. Однако применяя социальную инженерию, злоумышленник может заставить жертву самостоятельно включить использование макросов и открыть документ. Чтобы предотвратить подобные случаи, необходимо запретить персоналу введение каких-либо изменений на компьютере. Сотрудник должен иметь возможность доступа исключительно к функциям, предназначенным непосредственно для работы с отведенными его роду деятельности документами. Любые отклонения от этого должны быть автоматически запрещены. В этом случае пользователю будет легче обратиться к IT-специалисту, который сразу поймёт, что данный файл несет потенциальную угрозу.

Защита от социальной инженерии обязательно должна быть учтена в пользовательском интерфейсе информационной системы. Пользовательский интерфейс должен быть таким, чтобы минимизировать количество ошибок пользователя в результате воздействия на него социальной инженерии [5]. Во-первых, должна быть улучшена разборчивость и заметность элементов управления, отображаемых в пользовательском интерфейсе. Элементы управления должны своим внешним видом показывать о той функции, для которой они предназначены. Во-вторых, потенциально опасные действия пользователя должны быть блокированы (действия пользователя с файлами, изменение, скачивание или удаление которых может привести к нерабочему состоянию информационной системы). В-третьих, информация, которую вводит пользователь в процессе работы с информационной системой, должна проверяться на правильность.

В этом же заключается и смысл ужесточения правил. В обстановке, когда сотруднику легче сделать всё по инструкции, чем писать долгие объяснительные, почему задача была выполнена по-другому, риск угрозы компьютерной безопасности гораздо ниже.

Заключение

Проанализировав угрозы социальной инженерии в корпоративной среде можно сделать вывод, что применение методов борьбы с ними в информационных системах возможно. Процесс по внедрению данных методов должен включать в себя разработку системы инструкций для сотрудников, распределения уровней конфиденциальности информации, разработку системы использования документов и файлов для каждого уровня доступа и создание удобного интерфейса для осуществления этих целей. Особое внимание следует выделить разработке программного комплекса по защите информации в бухгалтерских системах, непосредственно работающих с финансовыми сведениями.

Список литературы:

1. Gartner: сайт. - URL: http://www.gartner.com/newsroom/id/565125 (дата обращения: 10.10.2016)

2. Michele Fincher’s presentation in SE Village at DEF CON 23: сайт. - URL: http://www.social-engineer.org/resources/82015-defcon23-se-village-chris-hadnagy/ (дата обращения: 10.10.2016)

3. Википедия: сайт. - URL: https://ru.wikipedia.org/wiki/Социальная_инженерия (дата обращения: 10.10.2016)

4. Ричард Фейнман. Радость познания (The Pleasure Of Finding Things Out). — М.: АСТ, 2013. — 348, [4] с. — ISBN 978-5-17-078430-1

5. Попов А.А. Эргономика пользовательских интерфейсов в информационных системах: учебное пособие / А.А. Попов. М.: РУСАЙНС, 2016. 312с.