Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники

Служба мгновенного обмена сообщениями

Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей, и некоторые аналитики прогнозируют, что число пользователей таких систем достигнет в 2006 году 200 миллионов. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения социотехнических атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это еще и один из способов запроса информации.

Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей — его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.

Подделку данных при использовании электронной почты и служб мгновенного обмена сообщениями поясняет рис. 3.

Рис. 3. Подделка мгновенных сообщений и электронных писем

Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.

Таблица 3. Атаки, связанные с использованием службы мгновенного обмена сообщениями, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Получение конфиденциальной корпоративной информации	Подделывая мгновенные сообщения, злоумышленник выдает себя за сотрудника компании, чтобы запросить корпоративную информацию.	Утечка конфиденциальной информации Урон репутации компании
Загрузка вредоносного ПО	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, что приводит к заражению корпоративной сети.	Снижение работоспособности компании Урон репутации компании
Загрузка ПО злоумышленника	Злоумышленник обманным путем убеждает пользователя щелкнуть гиперссылку или открыть вложение, в результате чего происходит загрузка программы злоумышленника (например почтового механизма), потребляющей ресурсы корпоративной сети.	Трата ресурсов Урон репутации компании Финансовые потери

Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде выполните пять следующих требований.

• Выберите одну платформу для мгновенного обмена сообщениями. Это облегчит работу службы поддержки и уменьшит вероятность того, что сотрудники будут пользоваться аналогичными службами других поставщиков. Если нужно надежнее ограничить имеющийся у пользователей выбор, можно заблокировать порты, используемые популярными службами мгновенного обмена сообщениями.
• Определите параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями. Клиентские модули систем мгновенного обмена сообщениями поддерживают различные параметры конфигурирования функций обеспечения безопасности и конфиденциальности, таких как поиск вирусов.
• Определите принципы установления новых контактов. Порекомендуйте пользователям не принимать по умолчанию любые приглашения к общению.
• Задайте стандарты выбора паролей. Потребуйте от сотрудников, чтобы их пароли к службе обмена сообщениями соответствовали стандартам выбора надежных паролей, которые приняты для паролей, служащих для входа в систему.
• Составьте рекомендации по использованию службы мгновенного обмена сообщениями. Сформулируйте для пользователей службы мгновенного обмена сообщениями оптимальные принципы работы с ней, подкрепив рекомендации обоснованными доводами.

Угрозы, связанные с использованием телефона

Телефонная связь обеспечивает уникальные возможности для проведения социотехнических атак. Это очень привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции. Еще одним видом атак (весьма грубым) является кража ПИН-кодов кредитных и телефонных карт через телефонные будки. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом и ПИН-коды корпоративных кредитных карт. Большинство людей довольно осторожны при вводе ПИН-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

Средства голосовой связи через Интернет (VoIP) могут обеспечить компаниям значительную экономию, и их рынок быстро развивается. В настоящее время из-за сравнительно небольшого числа таких систем атаки на них не рассматриваются в качестве серьезной угрозы. Однако можно ожидать, что по мере роста популярности этой технологии подделка пакетов VoIP станет такой же распространенной, как и подделка писем и мгновенных сообщений.

Корпоративные телефонные станции

Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

• Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.
• Получить возможность совершать бесплатные телефонные звонки.
• Получить доступ к коммуникационной сети.

Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой (см. рис. 4).

Рис. 4. Атаки на корпоративную телефонную станцию

Запрос информации или доступа по телефону — сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Помните, однако, что в реальной жизни эти атаки бывают довольно изощренными. Злоумышленник не просит напрямую сказать ему идентификатор пользователя и пароль. Обычно он описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, и лишь потом запрашивает личную или деловую информацию, как бы чуть не забыв об этом.

Таблица 4. Атаки, связанные с использованием корпоративной телефонной станции, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Получение корпоративной информации	Выдавая себя за легального пользователя, злоумышленник пытается получить конфиденциальную информацию.	Утечка конфиденциальной информации Урон репутации компании
Получение информации о телефонной системе	Выдавая себя за инженера по обслуживанию телефонных систем, злоумышленник пытается получить доступ к корпоративной телефонной станции с целью совершения внешних телефонных звонков.	Трата ресурсов Финансовые потери
Использование корпоративной телефонной станции для доступа к компьютерным системам	Используя корпоративную телефонную станцию, злоумышленник получает доступ к компьютерным системам для кражи или изменения информации, заражения систем вредоносным ПО или использования ресурсов в своих целях.

Большинство пользователей ничего не знают о внутренней телефонной системе компании, исключая, конечно, сам телефон. Это и есть самый важный рубеж защиты, который можно определить в политике безопасности и который в своих целях часто пытаются использовать злоумышленники. Чаще всего жертвами при этом являются сотрудники приемной или сотрудники, работающие с коммутатором. В политике нужно указать, что только специалисты службы поддержки имеют право оказывать помощь по телефону. Благодаря этому все обращения за технической помощью будут обрабатывать только авторизованные сотрудники. Этот подход позволяет также организовать быстрое и эффективное перенаправление таких запросов квалифицированным специалистам.

Служба поддержки

Служба поддержки — один из главных механизмов защиты от обычных злоумышленников и в то же время частая мишень злоумышленников, использующих методы социотехники. Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отделение не удовлетворило их требования, склонны жаловаться; руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

Таблица 5. Телефонные атаки на службу поддержки и возможный ущерб от них

Цели атаки	Описание	Ущерб
Получение информации	Выдавая себя за легального пользователя, злоумышленник пытается получить деловую информацию.	Утечка конфиденциальной информации
Получение доступа	Выдавая себя за легального пользователя, злоумышленник пытается получить доступ к корпоративным системам.	Утечка конфиденциальной информации Урон репутации компании Снижение работоспособности компании Трата ресурсов Финансовые потери

Службе поддержки следует найти баланс между безопасностью и эффективностью работы и отразить достигнутый компромисс в политиках и процедурах безопасности. Едва ли, например, кто-нибудь из сотрудников будет протестовать, если при обращении в службу поддержки его попросят назвать свой номер, отделение и фамилию начальника. Конечно, это недостаточно надежная защита, так как злоумышленник может украсть эту информацию, но для начала и этот подход неплох. На самом деле единственным методом идентификации с точностью 99,99 % является тест ДНК, использовать который явно не представляется возможным.

Защитить службу поддержки от атак со стороны внутреннего сотрудника или подрядчика сложнее. Злоумышленники из их числа хорошо разбираются во внутренних процедурах компании и будут действовать наверняка, собрав перед обращением в службу поддержки всю необходимую информацию. Процедуры обеспечения безопасности должны выполнять в таких ситуациях две следующих функции.

• Служба поддержки должна гарантировать, что все действия пользователей, обращающихся за помощью, регистрируются. Если, обратившись в службу поддержки, злоумышленник возможность несанкционированного доступа к данным и ресурсам, регистрация его действий позволит быстро заблокировать атаку и ограничить причиненный ущерб. Кроме того, при каждом обращении в службу поддержки целесообразно генерировать автоматически или создавать вручную почтовое сообщение с описанием проблемы или запроса и отправлять его заинтересованным лицам. Это поможет сотруднику, у которого украли учетные данные, понять, что произошло, и обратиться в службу поддержки.
• Служба поддержки должна утвердить структурированную процедуру обработки разных типов запросов. Например, если запрашивать изменения прав доступа для сотрудника должен будет по электронной почте его начальник, это исключит несанкционированные или неформальные изменения уровней безопасности.

Если пользователи будут знать эти правила, а руководители поддержат их реализацию, злоумышленникам будет гораздо труднее проводить атаки и оставаться безнаказанными. Полный аудиторский контроль — самое эффективное средство обнаружения и предотвращения нарушений законов и корпоративных норм.

Угрозы, связанные с утилизацией мусора

Несанкционированный анализ мусора — или, как это еще называют, «ныряние в мусорные контейнеры» — часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

Электронные средства хранения информации бывают для злоумышленников еще более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

Таблица 6. Атаки, основанные на поиске информации в мусоре, и возможный ущерб от них

Цели атаки	Описание	Ущерб
Бумажный мусор в мусорных корзинах, расположенных вне организации	Изучая документы, извлеченные из внешних мусорных контейнеров, злоумышленник узнает важную корпоративную информацию.	Утечка конфиденциальной информации Урон репутации компании
Бумажный мусор в мусорных корзинах, расположенных внутри организации	Обходя принятые в организации принципы управления внешним мусором, злоумышленник ворует документы из мусорных корзин, расположенных в самой организации.	Утечка конфиденциальной информации Урон репутации компании
Выброшенные электронные носители	Злоумышленник ворует данные и приложения, хранящиеся на выброшенных электронных носителях, и сами носители.	Утечка конфиденциальной информации Трата ресурсов Урон репутации компании

Сотрудники компании должны понимать все последствия, к которым может привести выбрасывание бумажных документов или электронных носителей информации в мусорную корзину. Как только мусор покидает территорию компании, ее права могут больше на него не распространяться. Само по себе «ныряние в мусоре» не всегда является чем-то незаконным, поэтому сотрудники компании должны знать, что нужно делать с мусором. Бумажный мусор всегда следует измельчать в бумагорезательных машинах, а электронный — уничтожать или стирать записанные на нем данные. Если какие-либо документы (например телефонный справочник) из-за размеров или жесткости невозможно измельчить в бумагорезательной машине либо у пользователя нет технической возможности это сделать, нужно определить специальную процедуру избавления от них. Мусорные контейнеры следует размещать в защищенной области, недоступной посторонним лицам.

При разработке политики утилизации мусора важно убедиться в том, что соблюдены все местные санитарные нормы и нормы безопасности. По мере возможности следует выбирать экологически чистые способы утилизации мусора.

Кроме внешнего мусора — бумажных или электронных отходов, доступных посторонним лицам, — есть еще и внутренний, который тоже нужно контролировать. При определении политик безопасности это часто упускают из виду, предполагая, что любому, кто имеет доступ на объекты компании, можно доверять. Ясно, что это не всегда так. Одной из самых эффективных мер по управлению бумажным мусором является классификация данных. Для этого следует определить разные категории бумажных документов и способы их утилизации. Ниже перечислены примеры таких категорий.

• Конфиденциальная корпоративная информация. Прежде чем выбросить какие-либо документы с конфиденциальной корпоративной информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
• Закрытая информация. Прежде чем выбросить какие-либо документы с закрытой информацией в какую угодно мусорную корзину, их необходимо измельчить в бумагорезательной машине.
• Информация отделения. Прежде чем выбросить какие-либо документы с информацией отделений компании в общедоступный мусорный контейнер, их необходимо измельчить в бумагорезательной машине.
• Открытая информация. Документы с открытой информацией можно выбрасывать в любые мусорные корзины и контейнеры или сдавать на переработку как макулатуру.

Для получения дополнительных сведений о классификации данных обратитесь к статье «Техническое руководство по организации системы безопасности» в журнале Microsoft® TechNet, по адресу http://go.microsoft.com/fwlink/?linkid=37696 (данная ссылка может указывать на содержимое полностью или частично на английском языке).

Персональные подходы

Самый простой и дешевый для злоумышленника способ получить нужную ему информацию — непосредственно запросить ее. Каким бы грубым и банальным этот способ ни казался, он неизменно остается главным в арсенале злоумышленников, использующих методы социотехники. Для получения информации с помощью этого способа злоумышленники используют четыре стратегии.

• Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.
• Убеждение. Самые популярные формы убеждения — лесть и ссылки на известных людей.
• Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации.
• Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.

В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Безоговорочное доверие — одна из целей злоумышленника, использующего методы социотехники.

Защитить пользователей от атак, основанных на описанных персональных подходах, очень сложно. Некоторые пользователи в силу своего характера имеют больше шансов стать жертвами атак, основанных на каком-либо из четырех этих подходов. Защититься от атак, основанных на запугивании, можно, способствуя формированию корпоративной культуры, исключающей страх. Если сотрудники компании всегда ведут себя вежливо и учтиво, запугивание не позволит злоумышленнику добиться желаемого, потому что подвергшийся атаке сотрудник скорее всего сообщит об этом начальству. Благожелательное отношение к сотрудникам со стороны руководства и надзор за процедурой решения проблем и принятия решений — худшее, с чем может столкнуться злоумышленник, использующий методы социотехники. Ему нужно, чтобы жертвы атак принимали решения быстро. Если в компании принято докладывать о проблемах руководителям, злоумышленник этого не добьется.

Убеждение всегда было важным способом достижения личных целей. Полностью исключить вероятность успешного проведения атак, основанных на убеждении, нельзя, но сотрудникам можно дать четкие указания по поводу того, что им следует делать, а что не следует. Пытаясь получить конфиденциальную информацию методом убеждения, злоумышленники всегда представляют тот или иной сценарий, предполагающий, что пользователь сообщит ее добровольно. Регулярное проведение информационных кампаний и определение базовых принципов использования паролей и других средств обеспечения безопасности — лучшая защита от подобных атак.

Чтобы войти в доверие к сотрудникам компании, злоумышленнику нужно время. Злоумышленник должен регулярно общаться с сотрудниками, что значительно легче, если он работает вместе с ними. В большинстве компаний среднего размера основным источником таких угроз являются работники, регулярно оказывающие компании какие-либо услуги или работающие по контракту. Поэтому отдел кадров должен уделять подбору сотрудников, работающих по контракту, не меньше внимания, чем найму постоянных сотрудников. Основную часть этой работы можно делегировать кадровому агентству. Для гарантии того, что агентство справится с этой задачей, можно потребовать, чтобы им были соблюдены принятые в компании политики подбора постоянных сотрудников. Если есть подозрение, что на постоянную работу в компанию устроился злоумышленник, использующий методы социотехники, лучшими способами защиты от него являются информирование сотрудников и соблюдение ими политики информационной безопасности.

Наконец, вероятность успешного проведения атак, основанных на злоупотреблении взаимопомощью, можно свести к минимуму, обеспечив высокую эффективность работы службы поддержки. Зачастую сотрудники обращаются за помощью к коллегам из-за неудовлетворенности услугами имеющейся службы поддержки. Чтобы гарантировать, что в случае проблем сотрудники будут обращаться в службу поддержки, а не к коллегам или, хуже того, к внешним специалистам, необходимо выполнить два условия.

• Укажите в политике безопасности, что при возникновении проблем пользователи могут запрашивать помощь только у специалистов службы поддержки и ни у кого больше.
• Убедитесь в том, что для службы поддержки определена процедура реагирования на проблемы, отраженная в принятом для отделения компании соглашении об уровне обслуживания. Регулярно проводите аудит эффективности работы службы поддержки, проверяя, чтобы пользователи получали всю необходимую помощь.

Служба поддержки — важный механизм защиты от социотехнических атак, который не стоит недооценивать.

Виртуальные методы

Для проведения атаки, основанной на социотехнике, злоумышленнику нужно установить контакт с жертвой. Как правило, для этого он использует электронные способы взаимодействия, такие как электронная почта или всплывающие окна. Из-за увеличения числа нежелательных писем, получаемых большинством пользователей, эффективность этого метода атак снизилась, так как пользователи стали более скептически относиться к письмам, присланным по цепочке, и предложениям принять участие в «законных» прибыльных финансовых операциях. И все же, несмотря на сравнительную неэффективность этого метода, объем нежелательной корреспонденции и многочисленные попытки проведения атак с помощью троянских почтовых программ говорят о том, что некоторые злоумышленники не спешат отказываться от старых методик. В большинстве случаев эти атаки направлены на конкретных людей и проводятся с целью получения идентификационных данных жертвы. Однако из-за частого использования корпоративных компьютеров, средств доступа в Интернет и других бизнес-систем в личных целях такие атаки представляют угрозу и для компаний.

Телефонные технологии позволяют злоумышленникам устанавливать более личные, но менее массовые контакты с жертвами. Из-за низкой вероятности ареста некоторые злоумышленники рассматривают телефон как одно из главных средств социотехнических атак, но область применения этого метода во многом ограничена атаками на корпоративную телефонную станцию и службу поддержки. Это объясняется тем, что большинство пользователей с подозрением относятся к звонкам с запросами информации, исходящим от незнакомцев.