Социальная инженерия — это метод манипуляции людьми с целью получения конфиденциальной информации или доступа к системам. Этот метод основывается на психологии и человеческой доверчивости, что делает его особенно опасным, так как он не требует технических знаний и обхода сложных защитных систем.
Все работники компании должны знать:
Простейшие методы антропогенной защиты:
Недостатки антропогенных средств:
Средства технической защиты можно разделить на группы в зависимости от способа реализации:
Примеры:
Преимущества:
Основные методы защиты от социальной инженерии
Обучение сотрудников
Самый основной способ защиты от социальной инженерии — это обучение. Как говорится, "кто предупреждён — тот вооружён". Обучение помогает сотрудникам осознать опасность раскрытия информации и освоить методы её предотвращения.Все работники компании должны знать:
- Об опасности раскрытия информации.
- О способах предотвращения утечки информации.
- О методах аутентификации собеседника.
Защита пользователей от социальной инженерии
Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.Виды защиты
- Антропогенная защита.
- Техническая защита.
Антропогенная защита
Антропогенная защита включает методы, направленные на повышение осведомлённости и ответственности пользователей.Простейшие методы антропогенной защиты:
- Привлечение внимания к вопросам безопасности.
- Осознание пользователями серьёзности проблемы и принятие политики безопасности системы.
- Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.
Недостатки антропогенных средств:
- Пассивность: многие пользователи игнорируют предупреждения, даже написанные самым заметным шрифтом.
Техническая защита
Техническая защита включает средства, которые мешают заполучить информацию или воспользоваться ею.Средства технической защиты можно разделить на группы в зависимости от способа реализации:
Технические (аппаратные) средства
Аппаратные средства защиты включают различные устройства (механические, электромеханические, электронные и др.), которые препятствуют физическому проникновению или доступу к информации.Примеры:
- Замки.
- Решетки на окнах.
- Защитная сигнализация.
- Генераторы шума.
- Сетевые фильтры.
- Надежность.
- Независимость от субъективных факторов.
- Высокая устойчивость к модификации.
- Недостаточная гибкость.
- Большие объем и масса.
- Высокая стоимость.
Программные средства
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления временных файлов и тестового контроля системы защиты.Преимущества:
- Универсальность.
- Гибкость.
- Надежность.
- Простота установки.
- Способность к модификации и развитию.
- Ограниченная функциональность сети.
- Использование ресурсов файл-сервера и рабочих станций.
- Высокая чувствительность к изменениям.
- Возможная зависимость от типов компьютеров.
Смешанные аппаратно-программные средства
Эти средства реализуют функции как аппаратных, так и программных средств и имеют промежуточные свойства.Организационные средства
Организационные средства включают:- Организационно-технические (подготовка помещений с компьютерами, прокладка кабельной системы и др.).
- Организационно-правовые (национальные законодательства и правила работы, устанавливаемые руководством предприятия).
- Решение множества разнородных проблем.
- Простота в реализации.
- Быстрая реакция на нежелательные действия в сети.
- Неограниченные возможности модификации и развития.
- Высокая зависимость от субъективных факторов и организации работы в подразделении.
Практические советы
Вот некоторые правила, которые помогут защититься от социальной инженерии:- Пароли: Все пользовательские пароли являются собственностью компании. Сотрудникам следует разъяснить, что пароли, выданные им для работы, нельзя использовать для авторизации на интернет-сайтах. Это предотвратит использование одного и того же пароля для разных целей, что уменьшит риск компрометации.
- Посетители: Все сотрудники должны быть проинструктированы о правилах обращения с посетителями. Необходимо устанавливать личность посетителя и сопровождать его. При обнаружении незнакомца в здании, сотрудник должен выяснить цель его визита и сопроводить его.
- Разговоры и информация: Должны существовать правила по раскрытию информации по телефону и при личных разговорах. Сотрудники должны проверять, является ли тот, кто запрашивает информацию, действительным сотрудником компании.
Интересные факты
- Симулированные атаки: Многие компании проводят симулированные атаки социальной инженерии, чтобы проверить готовность сотрудников к таким угрозам. Это помогает выявить слабые места и улучшить обучение.
- Социальные сети: Социальные инженеры часто используют социальные сети для сбора информации о сотрудниках компании. Поэтому важно обучать сотрудников осторожному использованию социальных сетей и защите своей личной информации.
- Социальные инженеры часто используют так называемые "доводы доверия". Они могут представиться техническими специалистами, требующими срочной информации для устранения несуществующей проблемы.
- Фишинг остаётся одной из самых распространённых форм социальной инженерии. По данным Verizon, около 22% всех утечек данных связаны с фишингом.
- Социальные инженеры могут использовать различные уловки, включая поддельные сайты, звонки от имени банков и даже личные встречи. В одном из случаев мошенник, притворяясь сотрудником техподдержки, получил доступ к системе банка, подслушав телефонные разговоры сотрудников и запомнив их пароли.
- Мошенники часто пользуются человеческой добротой и готовностью помочь. Например, они могут попросить вас переслать "очень важный документ" от имени вашего коллеги, даже если вы не знаете этого коллегу лично.
- Все описанные меры достаточно просты, однако большинство сотрудников забывают о них и о той ответственности, которую они берут на себя при подписании обязательств о неразглашении коммерческой тайны. Компании тратят огромные средства на обеспечение информационной безопасности техническими методами, однако эти средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.