Искусство обмана - Митник Кевин
Тестирование
Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите.
Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих.
На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений — поступить, как просят, или как установлено политикой безопасности.
Поддержание бдительности
Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно.
Один из методов сохранять безопасность основой мышления работника заключается в том, чтобы сделать информационную безопасность своеобразной работой, обязанностью каждого на производстве. Это ободряет сотрудника, потому что он чувствует себя одной из частей слаженного механизма безопасности компании. С другой стороны здесь существует сильная тенденция «безопасность — не моя работа, мне за нее не платят».
Если основная ответственность за информационную программу безопасности, обычно лежит на сотруднике отдела безопасности или отдела информационных технологий, то разработку такой системы лучше вести совместно со специальным отделом проведения тренинга.
Программа по поддержанию бдительности должна быть как можно более интерактивной и использовать любые доступные каналы для передачи сообщений, помогающих сотрудникам постоянно помнить о хороших привычках безопасности. Методы должны использовать все доступные традиционные каналы + особенные способы, которые разработчики программ только смогут придумать. К примеру, реклама, юмор и вредные советы — традиционные способы. Использование различных слов и написаний одних и тех же сообщений-напоминаний предохраняет их от назойливости и последующего игнорирования.
Список возможных действий для выполнения этой программы может включать:
Предоставление копий этой книги всем сотрудникам.
Информационные статьи, рассылки, напоминания, календари и даже комиксы.
Публикацию наиболее надежного работника месяца.
Специальные плакаты в рабочих помещениях.
Доски объявлений.
Печатные вкладыши в конвертах с зарплатой.
Рассылки с напоминаниями по электронной почте.
Хранители экрана и экранные заставки с напоминаниями.
Вещание напоминаний через голосовую почту.
Специальные наклейки на телефонах. Например: «Звонящий действительно тот, за кого себя выдает?»
Системные сообщения в компьютерной сети. Пример: при входе в систему под своим логином пользователь видит сообщение: «Если Вы пересылаете конфиденциальную информация по Email, не забудьте зашифровать ее!»
Постановку вопроса безопасности одним из постоянных на собраниях, пятиминутках и т.д.
Использование локальной сети для напоминаний в картинках, анекдотах и в виде любой другой информации, которая сможет заинтересовать пользователя и прочитать текст.
Электронные табло в общественных местах, например, в кафетерии, с часто обновляемой информацией о положениях политик безопасности.
Распространение буклетов и брошюр.
Изобретение трюков, таких как печения с предсказаниями с напоминаниями о безопасности вместо загадочных слов о будущем.
Вывод: напоминания должны быть своевременными и постоянными.
«Зачем мне все это?»
Для расширения тренинга я рекомендую активную яркую программу вознаграждений. Вы должны объявлять сотрудникам, кто отличился, выявив и предотвратив атаку социнженера или добился большого успеха в освоении программы безопасности и осведомленности. Существование такой программы поощрения должно подчеркиваться на каждом мероприятии, посвященном тренингу, а взломы должны быть широко освещены и разобраны внутри компании.
Но есть и другая сторона монеты: люди должны понимать, что нарушение политик безопасности и установленных процедур, халатность наказуемы. Все мы делаем ошибки, но взломы не должны повторяться.
Краткое описание безопасности в организации
Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.
Определение атаки
Эти таблицы помогут вам обнаружить атаку социального инженера.
Действие
ОПИСАНИЕ
Исследование
Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.
Создание взаимопонимания и доверия
Использование внутренней информации, выдача себя за другую личность, называние имен людей, знакомых жертве, просьба о помощи, или начальство.
Эксплуатация доверия
Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.
Применение информации
Если полученная информация — лишь шаг к финальной цепи, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.
Типичные методы действий социальных инженеров
Представляться другом-сотрудником
Представляться сотрудником поставщика, партнерской компании, представителем закона
Представляться кем-либо из руководства
Представляться новым сотрудником, просящим о помощи
Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.
Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи
Отправлять бесплатное ПО или патч жертве для установки
Отправлять вирус или троянского коня в качестве приложения к письму
Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль
Записывание вводимых жертвой клавиш компьютером или программой
Оставлять диск или дискету на столе у жертвы с вредоносным ПО
Использование внутреннего сленга и терминологии для возникновения доверия
Предлагать приз за регистрацию на сайте с именем пользователя и паролем
Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки
Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании
Просить секретаршу принять, а потом отослать факс
Просить отослать документ в место, которое кажущееся локальным
Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник
Притворяться, что он из удаленного офиса и просит локального доступа к почте.
Предупреждающие знаки атаки
Отказ назвать номер
Необычная просьба
Утверждение, что звонящий — руководитель
Срочность
Угроза негативными последствиями в случае невыполнения
Испытывает дискомфорт при опросе
Называет знакомые имена