Методы социальной инженерии представляют серьезную угрозу информационной безопасности любой организации. Для предотвращения им необходимо создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов, компьютеров и т. д. При этом необходимо учитывать, что даже самые лучшие правила и инструкции могут не спасти, если будут использоваться ненадлежащим образом.
Предлагается несколько мер противодействия социальной инженерии.
1. Разработка четкого плана действий для сотрудников в случае обнаружения атаки социальной инженерии.
Для предотвращения атак с использованием методов социальной инженерии необходимо разработать четкие инструкции для всех категорий сотрудников, в которых будут пошагово расписаны их действия в случае обнаружения атак социальной инженерии, и эту информацию разместить в доступном месте. Кроме того, все сотрудники должны быть осведомлены о принимаемых мерах по предотвращению проникновения в информационные системы с помощью социальной инженерии и протестированы на знание инструкций и политик безопасности, принятых в данной организации.
|
|
2. Разработка для сотрудников правил, позволяющих определять, какая информация является важной для компании.
Общеизвестно, что в организации должны существовать правила доступа к конфиденциальной информации. Однако даже те сведения, которые в большинстве случаев не считаются особенно важными, могут быть полезными социальному инженеру, собирающему крупицы информации, внешне бесполезной, но вполне пригодной в профессиональных руках для создания атмосферы доверия и симпатии. Такой информацией может быть рабочее название проекта, место нахождения команды разработчиков, имя сервера, используемого сотрудниками и т. п. Кроме того, сотрудники должны знать правила уничтожения офисного мусора, который является для социальных инженеров неисчерпаемым источником информации.
3. Научить сотрудников говорить «Нет!».
Говорить «Нет!» достаточно сложно. Не многие владеют этим качеством, не испытывая чувства неловкости. Программа компании по противодействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости, а именно – разработку вежливого отклонения запроса о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации.
4. Разработать процедуры для проверки личности человека и его авторизации.
В любой организации должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких-либо действий от сотрудников компании. При этом не следует полагаться на личный номер сотрудника или иные похожие методы идентификации, так как такие номера часто используются и могут быть легко получены социальным инженером от самих сотрудников. С другой стороны, можно обязать сотрудников проверять личность звонившего, набрав его телефонный номер, который указан в телефонном справочнике компании. Этапроцедура не очень удобна в повседневной работе и не решает проблем с установлением личности, но может защитить от многих атак. Использование АОН также может пригодиться для этой цели.
|
|
5. Получить поддержку руководства компании.
Служба безопасности не сможет вводить меры по предотвращению атак без одобрения руководства. Однако часто само руководство нарушает принятые им самим политики безопасности. Поэтому сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности, и ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если получил от руководства указание его нарушить. Причем эти положения следует задокументировать и заверить подписями всех руководителей. Кроме того, действенными мерами противодействия социальной инженерии являются тесты на проникновение, которые могут проводиться регулярно. Тесты позволяют не только проверить политики безопасности и правильность их применения, но и обнаружить те недостатки защиты, которые не были учтены при их разработке.
6. Обучение и тренинг персонала.
Важным является обучение персонала навыкам противодействия методам социальной инженерии, разработка тренингов по установлению бдительности персонала и периодическая проверка знаний и навыков сотрудников путем проведения специальных проверок.
В программе обучения противодействия атакам методами социальной инженерии должны быть рассмотрены следующие вопросы:
– описание методов, используемых социальным инженером для достижения цели;
– используемые средства доступа социальным инженером к объекту своего воздействия;
– методы предупреждения возможных атак с использованием социальной инженерии;
– описание процедуры обработки подозрительных запросов;
– описание процедуры информирования о попытках или удачных атаках;
– необходимость проверки того, кто делает подозрительный запрос, не считаясь с его должностью или важностью;
– важность идентификации и проверка авторизации делающего запрос;
– описание процедуры защиты важной информации, включая любые данные о системе ее хранения;
– политики и процедуры безопасности компании и их важность в защите информации;
– важность следования политикам безопасности.
Следует отметить, что все атаки социальных инженеров основаны на обмане. Социальный инженер пытается заставить жертву думать, что он является начальником, коллегой-сотрудником или техническим специалистом. Однако большинство атак сорвется, если потенциальная жертва просто проведет процедуру идентификации личности, вступившей с ним в контакт, а также проверит наличие у него уровня доступа, соответствующего запрашиваемой информации.
Раздел 3 Методы и средства защиты информации