Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники

Физические методы

Менее популярным, но более эффективным для злоумышленника способом подготовки к проведению атаки является установление непосредственного личного контакта с жертвой. Только самые недоверчивые сотрудники способны усомниться в искренности человека, лично просящего помощи в решении компьютерных проблем или предлагающего такую помощь. Хотя такие способы связаны для злоумышленника с гораздо большим риском, они обеспечивают ему ряд преимуществ. В случае успеха он получает свободный доступ к корпоративным системам изнутри компании, обойдя все технические средства защиты периметра.

Другой серьезной угрозой для компаний является распространение мобильных технологий, позволяющих пользователям подключаться к корпоративным сетям дома и в пути. Это делает возможными самые разные атаки: от совсем простых, основанных на наблюдении за тем, как пользователь вводит в ноутбук идентификатор и пароль, до довольно сложных, при которых злоумышленник, выдавая себя за услужливого сотрудника службы поддержки, приносит и устанавливает обновление для устройства чтения карт или маршрутизатора, попутно попросив у пользователя идентификатор и пароль для доступа к корпоративной сети (а иногда еще и чашечку кофе). Идущий до конца злоумышленник может даже попросить и получить от пользователя электронную подпись, используемую для проверки его полномочий. В качестве другого примера атак этого рода можно привести использование оплаченных компанией ресурсов для доступа в Интернет через незащищенную беспроводную сеть.

Хотя в большинстве крупных компаний имеется развитая инфраструктура ограничения доступа на корпоративные объекты, в компаниях малого и среднего размера этим часто пренебрегают. Это обеспечивает возможность проведения очень простых социотехнических атак, основанных на несанкционированном проникновении в офисное здание вместе с сотрудником компании, имеющим пропуск. Злоумышленник придерживает дверь перед законным пользователем, заводит с ним разговор на какую-нибудь банальную тему и проходит вместе с ним через пропускной пункт, не вызывая подозрения у контролеров. Для атак на крупные компании, сотрудники которых могут пройти в здание только через турникеты, считывающие данные с электронных карт, и малые организации, где все друг друга знают, этот подход не годится. Однако для атак на компании, насчитывающие около тысячи сотрудников, далеко не всегда знакомых друг с другом, он подходит как нельзя лучше. Если злоумышленнику ранее удалось получить корпоративную информацию, например названия подразделений, фамилии сотрудников или данные из внутренних служебных записок, ему будет проще завязать разговор.

Обеспечение безопасности систем сотрудников, работающих дома, обычно ограничивается техническими средствами. Политика безопасности должна требовать, чтобы домашние системы этих сотрудников были защищены брандмауэрами, блокирующими попытки злоумышленников получить доступ к сети извне. Других требований к обеспечению безопасности и даже резервному копированию данных, выполняемому сотрудниками дома, в большинстве компаний среднего размера нет.

Таблица 7. Атаки, основанные на физическом доступе, и возможный ущерб от них

Защита от этих угроз во многом сводится к реализации оптимальных методик работы на основе эффективной корпоративной политики безопасности, которая должна охватывать три области:

• здание компании;
• домашние системы;
• мобильные системы, используемые для работы.

Возможность проникновения в здание или на объект компании без прохождения авторизации должна быть исключена. Взаимодействуя с работниками компании, подрядчиками и посетителями, служащие приемной должны быть вежливыми, но непреклонными. Включив в корпоративную политику безопасности несколько простых принципов, вероятность проведения социотехнических атак в здании можно свести практически к нулю. Эти принципы могут определять перечисленные ниже требования.

• Использование идентификационных карт с фотографиями, демонстрируемых каждый раз при входе в здание компании и выходе из него.
• Ведение книги учета посетителей, в которой посетитель и сотрудник, к которому он явился, должны поставить свои подписи при прибытии посетителя и его уходе.
• Применение датированных пропусков посетителей, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.
• Ведение книги учета подрядчиков, в которой подрядчик и сотрудник компании, утвердивший его рабочее задание, должны поставить свои подписи при прибытии подрядчика и его уходе.
• Применение датированных пропусков подрядчиков, прикрепляемых на одежду в видном месте и возвращаемых служащему приемной при выходе из здания.

Чтобы гарантировать, что все посетители будут представляться служащему приемной, нужно организовать барьеры, не позволяющие проникнуть в здание компании без его ведома и без выполнения регистрационных процедур. Использовать для этого турникеты или что-либо подобное необязательно.

Например, для организации потока посетителей через приемную можно использовать диван (см. рис. 5).

Рис. 5. Два плана приемной

План, показанный слева, облегчает несанкционированное проникновение на территорию компании, позволяя злоумышленнику скрыться за подлинным сотрудником компании. Если же доступ в компанию организован по изображенной справа схеме, никакой посетитель не сможет пройти мимо стола служащего приемной незамеченным. Кроме того, в этом случае компьютер не ограничивает имеющийся у служащего приемной обзор. Проход на территорию компании нужно сделать достаточно широким, чтобы посетители, в том числе люди в инвалидных колясках, не испытывали никаких неудобств. Встречая и регистрируя каждого посетителя, служащие приемной должны вести себя профессионально и последовательно. Каждый вход в здание компании нужно привести в соответствие этим стандартам, запретив сотрудникам использование других входов и выходов — любые черные ходы должны отсутствовать.

При установке каких-либо барьеров или пропускных систем необходимо убедиться, что соблюдены все санитарные нормы, правила техники безопасности и права инвалидов.

Что касается домашних систем, то реализовать в них средства авторизации всех гостей и коммивояжеров невозможно. Однако на самом деле большинство людей при визите посетителей к ним домой ведут себя гораздо более осмотрительно, чем в такой же ситуации на работе. Таким образом, важнее гарантировать, что злоумышленник не сможет получить доступ к корпоративным ресурсам. Протокол оказания ИТ-услуг вне территории компании должен включать следующие правила.

• Все услуги технической поддержки, в том числе восстановление работоспособности систем и обновление их конфигурации на местах, должны планироваться и утверждаться службой поддержки.
• Подрядчики и штатные сотрудники, устанавливающие или обслуживающие системы на местах, должны иметь удостоверения, желательно с фотографией.
• Пользователи должны сообщать в службу поддержки время прибытия и отъезда ее представителя.
• На каждое задание должен выдаваться наряд на работу, подписываемый пользователем.
• Пользователи никогда не должны сообщать специалисту службы поддержки свои учетные данные или регистрироваться в системе ради того, чтобы он мог получить доступ к тем или иным ресурсам.

Последний пункт заслуживает особого внимания. Предоставлять специалистам по поддержке систем информацию, достаточную для выполнения работы, должен отдел обслуживания ИТ-систем. Если у инженера, прибывшего к пользователю, нет нужных прав доступа, он должен обратиться в службу поддержки. Это требование очень важно, потому что скромная должность сотрудника компании, занимающейся обслуживанием компьютеров, как нельзя лучше подходит для проведения атак. Она позволяет злоумышленнику демонстрировать свою принадлежность к официальным техническим службам и в то же время предлагать помощь.

Мобильные сотрудники часто используют свои компьютеры в поездах, аэропортах, ресторанах и других людных местах. Ясно, что исключить возможность наблюдения за сотрудником в таких условиях нельзя, но в корпоративную политику безопасности все равно нужно включить рекомендации по уменьшению риска кражи личной и корпоративной информации таким способом. Если сотрудники компании используют карманные ПК, в политике безопасности следует определить принципы управления защитой этих систем и синхронизации данных.

Обратная социотехника

Об обратной социотехнике говорят тогда, когда жертва или жертвы сами предлагают злоумышленнику нужную ему информацию. Это может показаться маловероятным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом. Тем не менее, социотехнические атаки в большинстве случаев инициируются злоумышленником.

Обычно злоумышленник, использующий методы социотехники, создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Рассмотрим следующий простой сценарий.

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Он даже может сказать, что корпоративная политика запрещает это. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Не все атаки, основанные на обратной социотехнике, требуют, чтобы злоумышленник был знаком с жертвой или хотя бы встретился с ней. Добиться своего злоумышленник может, имитируя проблемы с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.

Таблица 8. Атаки, основанные на методах обратной социотехники, и возможный ущерб от них

Защититься от атак, основанных на обратной социотехнике, наверное, сложнее всего. У жертвы нет оснований подозревать злоумышленника в чем-либо, так как при таких атаках создается впечатление, что ситуация находится под ее контролем. Главным способом защиты от атак, основанных на обратной социотехнике, является включение в политику безопасности принципа, требующего, чтобы все проблемы разрешались только через службу поддержки. Если специалисты службы поддержки будут компетентны, вежливы и терпимы, у сотрудников компании не будет повода обращаться за помощью к кому-либо другому.