По статистике 55% от общего объема убытков, связанных с нарушениями информационной безопасности, наносят сотрудники, совершающие те или иные ошибки. Далеко не последнее место в списке причин подобных ошибок занимает использование в отношении сотрудников методов социальной инженерии. В некоторых случаях ущерб от них может быть даже измерен количественно, а не качественно – в потерянных компанией деньгах.
Для снижения или устранения рисков, связанных с использованием ИТ, субъекты такого использования должны нести ответственность. Это в полной мере относится и к руководству, и к бизнес-подразделениям, и даже к уборщицам (которые, как известно из анекдотов, способны обесточить даже ядерный объект). С этой целью должна быть развернута система обеспечения ИБ, позволяющая реализовать, контролировать и поддерживать защитные меры как на техническом уровне, так и на уровне организационных процессов.
Частью жизненного цикла любой грамотно выстроенной системы является анализ эффективности ее работы. В части процессов защиты информации наиболее оптимальным анализом является моделирование действий потенциальных злоумышленников – проведение тестирования на проникновение. Это помогает понять, какие последствия может повлечь за собой реальная атака и как их смягчить. При этом только комплексный – на всех уровнях существования информации – анализ дает адекватную оценку ситуации. И проверка человеческого фактора является очень важным параметром общей оценки.
Наш Центр информационной безопасности уже на протяжении 4 лет работает над вопросами применения социальной инженерии в ИБ. Используя как готовые решения, так и собственные наработки, мы помогаем компаниям не просто оценить грамотность их сотрудников в области информационной безопасности, но и проверить их навыки в реальных, боевых условиях, имитируя атаку.
Давление, манипуляции сознанием, заблуждение, отговорка или предлог, язык тела, эмоциональный захват, взаимопонимание/связь – всё это термины, встречающиеся в работе социального инженера. Его работа – это смесь науки и искусства. Это и просто, и сложно.
Железо и логика против человеческого фактора
Любая информация, независимо от ее формата и состояния – обрабатывается ли она процессором, передается ли по каналам связи, хранится ли на диске/ленте – должна входить в область контроля системы обеспечения ИБ. Но технические средства, помимо основного функционала, имеют интерфейсы взаимодействия с человеком, поэтому важным элементом защиты информации является сам сотрудник компании. Если в отношении технических средств всегда можно описать возможные ситуации, определить и оценить риски, найти способы защититься (ограничить доступ, зашифровать и т.п.), то в случае действий человека возникает проблема. До сих пор не существует четкой, всеобъемлющей математической модели, описывающей поведение людей в различных ситуациях, реакцию на то или иное воздействие или сложившиеся условия, возможные ошибки. Есть некоторые частные шаблоны поведения, но они, к сожалению, не охватывают все возможные ситуации. Естественно, этот фактор играет на руку злоумышленникам.
Как это работает
В атаках, использующих методы социальной инженерии, можно выделить 3 основных этапа: сбор, профилирование и реализация.
Сбор данных о цели атаки (человеке), по нашему мнению, является наиболее важной стадией. Работы заключаются в определении характеристик объектов атаки, в том числе путем внешнего воздействия. Источником данных могут быть социальные сети, публично доступная информация (статьи, новости, заметки в СМИ) и др. В ходу также общение с членами семьи, друзьями и коллегами, наблюдение за деятельностью цели и даже взаимодействие с ней.
На этапе профилирования выполняется анализ собранной информации для построения модели атаки. Выделяются характеристики, свойственные цели, а также ее слабости, на основании чего выбираются каналы взаимодействия (почта, телефонные звонки, личное общение и т.п.), методы реализации (вербовка, неформальное общение, давление и т.п.) и возможные векторы атаки, которые могут быть эффективными против конкретной цели. Далее производится подготовка рабочей среды и инструментов для «нападения».
На этапе выполнения атаки реализуется ее модель, выработанная на стадии профилирования. Здесь вступают в полную силу психология, НЛП (body language, facial expressions и т.п.) и технические средства (delivery, fishing, backdoors и т.д.). В случае удачной реализации первой волны атаки можно вернуться к этапу сбора информации с новыми входными данными и итеративно повторять выполнение этапов до тех пор, пока продолжает выявляться новая информация, либо пока атака не достигнет желаемой глубины.
Залог успеха
Существование жизни в интернете, помимо плюсов, имеет ряд значительных минусов. Это и дополнительные каналы коммуникации с жертвой, и оставленные жертвой «следы», изучив которые, можно составить портрет потенциальной цели атаки. Интернет дает злоумышленникам возможность автоматизировать свою работу, что значительно сокращает «трудозатраты» на выполнение атаки.
Стоит отметить, что поговорка «Скажи мне, кто твои друзья, и я скажу, кто ты» очень хорошо вписывается в процесс атаки с применением методов социальной инженерии. Можно получить гораздо больше информации из общения не с самим атакуемым, а с членами его семьи, друзьями, начальником и коллегами. Иногда этих данных так много, что взаимодействие с самой целью (объектом) атаки и вовсе не требуется.
Людей часто делят, и небезосновательно, на гуманитариев и технарей. Взлом ИТ-инфраструктуры, системы или даже банально одного компьютера/персонального устройства требует глубоких знаний, опыта и времени. Под силу это далеко не каждому мошеннику. Другое дело – врожденное умение «болтать». Разговорил объект атаки или людей из его окружения – половина дела уже сделана. Существует огромное множество готовых отлаженных сценариев и инструментов, обеспечивающих достижение нужного злоумышленнику результата с меньшими усилиями по сравнению с технической атакой.
В то же время самыми эффективными атаками остаются те, что основаны на совокупности применения технических средств и организационных методик. Вот некоторые примеры проведенных атак из нашей практики.
- Вам приходит уведомление с почтового адреса банка (или интернет-магазина), клиентом которого вы являетесь, о необходимости обновить информацию о себе на официальном сайте. Для этого предлагается перейти по ссылке, размещенной в письме. В результате вся информация, которую вы вводили на странице, ушла в руки мошенников, а сайт оказался поддельным (хотя выглядел как настоящий).
Фишинг – создание подложных страниц (копий ресурсов), дальнейшая рассылка писем или обзвон пользователей – это классика, которая работает всегда. Примерно в 80% случаях мы имели успешный результат. Почему? Во-первых, доверие – одно из фундаментальных свойств людей и основа существования любого общества. Эксплуатировать его – низкий прием, но в интернете, как известно, нет джентльменов. Вторым фактором можно назвать лень: людям проще, выражаясь профессиональным языком, принять риск, чем что-то проверять, куда-то звонить и вообще сомневаться. Третьей причиной можно назвать простодушие и невнимательность: «авось, небось, да как-нибудь» работают и тут. - На собеседовании кандидат просит вас распечатать резюме с флэш-накопителя. В этом файле находится код, который эксплуатирует известную уязвимость в офисном ПО и устанавливает вредоносную программу в системе (backdoor). Она, в свою очередь, организует реверсивное соединение с сервером в сети Интернет, контролируемым злоумышленником.
Социотехнические методы тоже весьма успешны, например, внедрение закладки, причем не только программной, как в описанном примере, но и аппаратной. Это может быть мобильный компьютер с двумя сетевыми интерфейсами, который подключается между корпоративной сетью и сетевым принтером, находящимся в коридоре офиса компании. - Кредитный инспектор ушел с рабочего места по срочному делу, при этом забыв заблокировать рабочую сессию и оставив свой ключ ЭЦП на столе. Пользуясь его отсутствием, кто-то из коллег оформил повторную выдачу денежных средств по документам на один кредит. Вскрылось это только во время закрытия финансового месяца.
«Выманить» сотрудника с рабочего места – очень действенная мера при условии, что он находится в комнате один. В этом случае он попадает под влияние иллюзии контроля: никого нет рядом, посетители почти не заходят – прикроем дверь, и все в порядке. Тот фактор, что большинство сотрудников не имеют привычки блокировать свою рабочую станцию при выходе из помещения, создает благоприятнейшие условия для кражи нужной информации, внедрения программных или аппаратных закладок или даже совершения мошенничеств и краж, как в описанном примере. - Утром девушке-секретарю позвонил новый директор регионального офиса, который не смог присутствовать на собрании. Говоря уверенно и быстро, он попросил срочно (!) прислать ему протокол собрания для подготовки отчета Председателю правления, фамилию которого он назвал. Правда, корпоративная почта со вчерашнего дня не работает, но протокол нужен срочно, поэтому он продиктовал адрес на бесплатном почтовом сервере. Секретарь отправила протокол. Стоит ли говорить, что никакого нового директора в том региональном офисе нет.
Давление на сотрудника, особенно от имени коллеги, занимающего более высокую должность, – также очень распространенная практика. Работник, пытаясь угодить руководителю, не всегда осмелится задавать «лишние» вопросы. Если ему при этом дать какую-то дополнительную достоверную информацию, от сомнений не останется и следа, будет только порыв выполнить поставленную задачу. В таких условиях можно добиться значительных успехов.
Проблемы
В то же время многие компании и боятся, и не понимают, зачем им нужна оценка своего персонала, основанная на применении методов социальной инженерии. Боятся обычно вследствие того, что такой процесс не регламентирован законодательством или международными стандартами. Он в большей степени экспертный, часто его результативность зависит от навыков конкретного исполнителя. Помимо этого, такая оценка всегда отличается от действий реального мошенника: у последнего всегда есть возможность покушения на права и свободы личности.
Защищаемся?
Помимо применения технических мер защиты информации (разграничения доступа, минимизации полномочий, мониторинга событий и трафика и т.п.), противодействующих известным шаблонам атак, основной мерой защиты от использования приемов социальной инженерии является метод «Безопасность через обучение». Обучение должно быть регулярным, простым и понятным. Часто в организациях к процессу обучения требованиям и практикам ИБ подходят формально. Поэтому возникает ситуация, когда работники компаний обладают низким уровнем осведомленности и грамотности по вопросам информационной безопасности. Это влечет за собой их халатное, невнимательное отношение к входящим информационным потокам. Помимо обучения, также стоит повышать бдительность сотрудников путем их периодического тестирования.
В завершении необходимо отметить, что гуманитарную проблему нельзя решить исключительно техническими методами. Только комплексный подход может защитить от атак с применением методов социальной инженерии. А для этого требуются проведение серьезной работы по инвентаризации и категорированию информации и процессов, формализация требований к обеспечению ИБ, реализация защиты техническими средствами, постоянный мониторинг и анализ событий, а также постоянная работа с сотрудниками как с субъектами защиты информации.