Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

08 февраля 2017
В результате тестирований подтверждена совместимость USB-токенов JaCarta WebPass и JaCarta U2F с облачной платформой …
06 февраля 2017
Вице-президент ПАО «Почта Банк» Андрей Фролов рассказывает о практическом опыте применения решений С‑Терра для …
19 января 2017
Acronis True Image 2017 New Generation - первое в отрасли решение, которое сочетает в себе защиту данных в реальном времени …
30 декабря 2016
В 2016 году пользователи ОС Android вновь столкнулись с большим числом угроз. На протяжении последних 12 месяцев …
29 декабря 2016
При проведении работ по выявлению и анализу уязвимостей программного обеспечения и среды функционирования средства защиты …
20 декабря 2016
Чего ждать на пороге 2017 года? Какие коварные действия попадут на страницы СМИ всего мира? Смотрите прогноз безопасности от …
08 декабря 2016
азмах и глубина кибератак возрастет, и они будут затрагивать все новые области
07 декабря 2016
В понедельник, 5 декабря, Президентом России утверждена новая Доктрина информационной безопасности, которую подготовил Совет …
Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Статья

Противодействие социальной инженерии — важный этап защиты от человеческих ошибок

Противодействие социальной инженерии — важный этап защиты от человеческих ошибок
Хищение личных данных стало преступлением десятилетия. Целью атак становится не только ваша конфиденциальная информация, но и данные ваших клиентов.

Когда дело заходит о защите сети,  ИТ-профессионалы  обычно прибегают к техническим средствам. Чем больше технологических уровней  мы  нагромождаем, тем больше разнообразие этих уровней, и следовательно, тем сильнее должна быть защита сетей. Однако компаниям не всегда удается избежать  неудач, потому что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент — человеческий фактор.

Успешные злоумышленники часто берут на себя роль социальных инженеров и атакуют защищенные сети опосредованно, манипулируя пользователями. По причине этой общей и постоянной угрозы для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности. 

Первый и наиболее важный момент, на который нужно указать относительно  подготовки пользователей – это то, что обучение есть циклический процесс без начала и конца. Социальные инженеры постоянно оттачивают свое мастерство, придумывая новые и оригинальные способы одурачить пользователей или целые организации.  И работа службы безопасности сети предприятия заключается в том, чтобы быть в курсе последних «достижений» социнженеров, и предупреждать пользователей о возможных методах, с помощью которых их могут обмануть. Тестирование сети также важно, чтобы обнаружить  как области уязвимости, так  и относительно защищенные зоны. Результаты тестирования позволяют провести общую системную оценку для улучшения методик противодействия и понимания, куда перенаправить усилия.

Противодействие социнженерам нужно начинать с создания команды, отвечающей за безопасность. Она должна отвечать за разработку политик и процедур, направленных на защиту отдельных пользователей и сети предприятия в целом. Эта команда должна включать в себя сотрудников из разных отделов организации.

В задачи этой команды должно входить  обеспечение поддержки всех политик и процедур в их сфере деятельности. Они также должны помогать в разработке учебно-методических материалов для сотрудников. К тому же тренинг по безопасности ИТ должен быть формализованным процессом для каждого вновь взятого на работу, необходимо уделить особое внимание проблемам защиты сети и обучению противодействия социальной инженерии. Это обучение должно сосредоточиться не только на том, как избежать воздействия социальной инженерии, но главное на том, как вести себя в ситуации, когда человек уже столкнулся с реальной атакой. Направления угроз, которые должны быть охвачены в этом процессе обучения, включают:

  • Взаимодействие лицом-к-лицу: это упражнение обычно называется «как определить ложного поставщика». Ролевая игра представляет собой прекрасный инструмент, демонстрирующий, как самые простые вопросы или настойчивость разгневанного поставщика могут являться стратегическим маневром злоумышленника, который пытается собрать информацию или получить доступ к вашему сайту. Надо разработать  политики в отношении совместного использования компьютерных ресурсов вендорами и работниками организации.
  • E-mail:  примеры почтовых атак на каждом шагу. Как правило, люди видят несколько подобных входящих писем в неделю; они должны быть сохранены в качестве обучающих, помеченные как подставные email адреса.  Также персонал должен быть обучен проверке доменных имен (fdic.com против fdic.gov), т.к. это типичная тактика злоумышленников с которой можно столкнуться. Примерами могут служить электронные письма, содержащие  предложение,  слишком хорошее, чтобы быть правдой или призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас» «осталось только 20 мест» и т.д. и т.п.  Персонал должен уметь разглядеть признаки несоответствия – письмо получено от сотрудника компании, но оно не соответствует корпоративной политике. В таких письмах может отсутствовать блок подписи или шрифты могут не соответствовать корпоративным стандартам.
  • Вэб-сайты: Безопасность вэб-сайтов идет рука об руку с безопасностью электронной почты. Необходимо научить сотрудников просматривать ссылку, указанную в письме не нажимая на нее. Многие фишинговые письма содержат ссылки на сайт злоумышленника. Во многих случаях отображенная ссылка не соответствует основному адресу, с которого получено письмо. Например, письмо, присланное  из FDIC  (Federal Deposit Insurance Corporation, USA) вряд ли должно направлять вас на FDIC.com.jp, т.к. этот фиктивный домен находится в Японии.  
  • Телефон: Должен быть выработан процесс, указывающий как действовать в случае атак по телефону. Персонал должен быть проинструктирован, чтобы слепо не следовать  директивам абонента. Учите их правильно и эффективно использовать имеющиеся под рукой ресурсы, такие как определитель номера и внутренние инструкции.
  • Информация на бумажном носителе:  целенаправленные поиски в мусорном контейнере — общий практикуемый метод для злоумышленников, чтобы получить информацию, компрометирующую предприятия и отдельных потребителей.  Должна быть выработана строгая политика для уменьшения вероятности этой угрозы. Предложения по защите от данных видов угроз включают в себя использование запирающихся ящиков и шкафов для хранения папок, а также использования шредеров для уничтожения бумаг.

Рекомендации, описанные выше, могут быть использованы в качестве базисной программы для обучения  конечных пользователей основам безопасности. Причем обучение должно периодически повторяться и усложняться. А что действительно необходимо для успеха обучающей программы, так это оценка ее компетентной в этой области фирмой - она поможет оценить обучающие программы путем проведения реальных испытаний вашей команды методами социнженеров.  За три дня такого "представления" компания сможет оценить успешность вашей программы обучения, выявить недостатки данной программы, а также поможет выявить конкретных лиц, которым может потребоваться корректировка знаний и дополнительное обучение.

После подобного теста, который следует проводить регулярно, необходимо оценить результаты и определить потребности подготовки/переподготовки. Это включает в себя обзор всех соответствующих политик и процедур.

Нарушения правил информационной безопасности может дорого обойтись. Каждый год компании тратят миллиарды долларов в попытке оправиться от подобных инцидентов. Один только ущерб репутации компании может быть достаточным поводом  для беспокойства о такого рода проблемах. И хотя ИТ-специалисты могут применять многоуровневые технологии для физической защиты их сетей, крайне важно учитывать человеческий фактор. Отсутствие мер по предотвращению  человеческих ошибок внесет ощутимые пробелы в общую систему безопасности компании, неизбежно остающийся след  из "хлебных крошек" (специально встраиваемые в программу отладочные операторы) приведут к важной информации клиентов, утечка которой может привести к весьма прискорбным последствиям.

Усилия, прилагаемые организацией для обучения персонала противодействию социальной инженерии,  позволяют организации контролировать эти риски и не допускать неприятных инцидентов. 

Автор: Джефри Катальфамо
Источник: SearchSecurity

Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс