ИТ-портал компании «Инфосистемы Джет»

Самое слабое звено

Самое слабое звено

Об атаках с использованием социальной инженерии говорят и пишут давно. Казалось бы, находящиеся «под прицелом» компании должны были бы давно все усвоить и научиться эффективно противодействовать им. Однако ни для кого не секрет, что люди – те самые сотрудники, которым организации не могут не доверять, – по-прежнему считаются самым слабым звеном в цепи. Об этом говорят в новостях, посвященных громким инцидентам. Об этом на своем опыте знают многие компании. И об этом, конечно, знают организации, занимающиеся практической оценкой информационной безопасности.

При проведении такой оценки при помощи тестирования на проникновение найти эксплуатируемую уязвимость в информационных системах становится все сложнее и сложнее. Поэтому эксплуатация человеческого фактора является заведомо более выигрышной стратегией для проникновения внутрь организации. Известная фраза Брюса Шнайера «Only amateurs attack machines; professionals target people» («Только любители атакуют машины, профессионалы же сосредоточены на людях») нисколько не теряет актуальности.

Мошенники, проводящие атаки с использованием социальной инженерии, обычно полагаются либо на получение информации от человека, либо на совершение действий его руками. Целью атаки может быть все, что угодно: получение конфиденциальных данных, проникновение в закрытые помещения (или вынос ценностей), контроль над информационными системами. В ее ходе могут применяться различные способы воздействия. Например, можно воспользоваться врожденной доверчивостью людей или же нежеланием обидеть кого-то отказом. Для некоторых сотрудников как нельзя лучше подходит воззвание к гордости: опыт показывает, что технарей обычно гораздо легче «взять на слабо», таким образом, они, доказывая свою компетенцию, сами выдадут корпоративные секреты. Суть всех атак одна – манипуляция с использованием известных человеческих слабостей.

Современный мир также благоволит «социальным инженерам». Значительная часть социальной жизни уже протекает в сети, а значит, использование современных средств коммуникации не только эффективно, но и позволяет автоматизировать атаки, охватывать большее количество вариантов манипуляции по сравнению с традиционными векторами нападения, предполагающими личный контакт. В то же время при тестировании на проникновение нельзя забывать о морально-этических и правовых аспектах. Пентестер не вправе покушаться на частую жизнь или здоровье людей, которым выпало стать жертвами. Никакие условия договора на проведение теста не отменяют фундаментальных прав человека. Это означает, что даже если заказчик просит использовать «все возможные средства», нельзя пытаться достичь цели любой ценой. К счастью, в нашем арсенале достаточно средств для проведения атак с использованием социальной инженерии – простых, не требующих нарушения морально-этических норм и в то же время весьма действенных. То, что простые методики работают, мы покажем на примерах из нашей практики.

«Пожалуйста, помогите нам с тестированием сервиса»

Сотрудники часто готовы помочь, особенно если речь идет о важном для компании проекте. О таких проектах, а также о компаниях, которые будут заниматься их реализацией, можно узнать из открытых источников. Например, из пресс-релизов. В нашей практике был случай, когда мы успешно использовали эту информацию для полной компрометации ИТ-инфраструктуры заказчика.

В интернете была найдена информация о проектах, реализуемых в организации. Интерес вызвал проект по модернизации системы электронной почты. Узнав из пресс-релиза название компании-интегратора, мы приступили к сбору сведений о сотрудниках как нашей целевой компании, так и исполнителя проекта. Социальные сети в наше время позволяют собрать невероятное количество информации о человеке, не вставая из-за компьютера.

Подготовка к атаке велась не только на социальном, но и на техническом фронте. Мы подготовили точную копию веб-интерфейса системы корпоративной электронной почты и зарегистрировали домены с именами, похожими на те, которые принадлежат нашей цели и контрагенту. Они понадобятся для рассылки целевых фишинговых сообщений.

Следующим нашим шагом было завоевание доверия людей. Мы звонили им от имени сотрудников компании-интегратора и просили помочь с тестированием новой почтовой системы. После звонка пользователю приходило письмо со ссылкой на нашу поддельную страницу, где он должен был ввести логин и пароль для доступа к почте. Это сделали примерно 85% сотрудников, которых мы просили «помочь». В конечном итоге это позволило нам беспрепятственно получить доступ к корпоративной сети (для удаленного доступа у многих был тот же пароль, что и для почты) и полностью ее скомпрометировать.Казалось бы, простой сценарий, давно известная уловка. Любой знающий ИТ-специалист или безопасник раскрыл бы наш план в мгновение ока! Но увы, о нашем присутствии в своей сети они узнали только от нас (и мы еще какое-то время получали сообщения об ошибках от пользователей). Просто мы старались привлекать к нашему «тестированию» сотрудников, далеких от ИТ, поэтому подозрений наша просьба не вызвала. Как потом выяснилось, никто в компании даже не попытался узнать, проводятся ли такие работы или нет. Таким образом, при помощи, по сути, только компьютера и телефона нам удалось обойти системы безопасности, в которые были инвестированы значительные средства.

«Неприступные крепости»

Встречаются и компании, зрелые с точки зрения осведомленности сотрудников в вопросах безопасности. Там откажутся обсуждать детали по телефону, фишинговые письма будут игнорировать, а поддельную страницу раскусит любой пользователь.

Но и в таких случаях можно найти лазейку. К примеру, можно прийти на собеседование и незаметно подключить мини-компьютер с 3G-модемом в свободный сетевой порт. Если расположение офиса позволяет, можно попытаться пройти за спиной сотрудников (придерживаете ли вы двери, если видите в полуметре за спиной незнакомого, но прилично одетого человека?).

Даже для зрелых организаций можно подобрать комбинацию слабостей технических контролей и человеческой невнимательности. Но в этом случае подготовительная работа займет намного больше времени. Необходимо будет хорошо изучить потенциальные цели, узнать больше подробностей о применяемых технологиях и средствах защиты.

Чтобы повысить шансы на успех, нужно готовить несколько различных сценариев атаки. Как правило, это предполагает активное общение с сотрудниками компании, в том числе и неформальное, например, через социальные сети. В любом случае при наличии достаточного запаса времени и финансовых ресурсов можно склонить человека вольно или невольно, но приоткрыть дверь, ведущую внутрь компании.

«Есть ли польза от этих работ?»

Необходимо понимать, что те, кто проводят оценку защищенности по вашему заказу, и преступники, преследующие свои цели, находятся в разных условиях. Как уже было сказано, пентестеры ограничены и морально-этическими нормами, и законодательством. К примеру, мы не можем (и не хотим) взламывать личную почту сотрудников для получения информации, применять подкуп, шантаж и насилие. Само собой, преступник для достижения своих целей использует любые средства.

Возникает вопрос: тестирование на проникновение не дает полной и объективной картины защищенности? Возможно, это так, поскольку экстремальные меры воздействия на сотрудников исключены. В то же время такое тестирование показывает, насколько сотрудники, руководство компании готовы к нестандартным ситуациям и способны выявлять попытки манипуляции.

Пентест позволяет оценить, насколько эффективен тандем технических контролей, осведомленности сотрудников в вопросах безопасности и просто человеческой способности к выявлению обмана. Можно трезво взвесить свои силы относительно выявления инцидентов и реагирования на них. Ведь те действия, которые злоумышленник совершает руками пользователя, могут быть зафиксированы теми же средствами мониторинга, что в идеале приведет к своевременному выявлению инцидента.

«Можно ли защититься?»

Известно, что достижение 100%-ного уровня безопасности – цель недостижимая. Эта аксиома в равной степени верна как для технических мер, так и для мер, направленных на защиту от социальной инженерии. Можно снизить часть рисков, но устранить их полностью не удастся, людей нельзя перепрограммировать. Что же можно предпринять, чтобы снизить риски от самых простых атак?

  1. Обучение сотрудников. Об этом говорят много и постоянно, эти требования содержат все стандарты по безопасности. Но чаще всего такое обучение проводится лишь формально: сотрудники, не читая сотни страниц канцелярита, подписывают лист ознакомления. Неудивительно, что после этого они не в состоянии отличить фишинговую страничку от настоящей.
    Для того чтобы люди могли хоть как-то противостоять реальным атакам, обучение должно быть регулярным, простым, понятным, основанным на повседневном опыте и по возможности интерактивным. Прекрасным примером, иллюстрирующим подобный подход, является руководство по безопасности Facebook.
    Для ключевых сотрудников (обычно это администраторы, руководство и приближенные к ним люди), атаки на которых представляют повышенный риск, целесообразно проводить целевые атаки с использованием социальной инженерии. При достаточной регулярности это позволит им быть в тонусе в случае действий реальных злоумышленников.
  2. Точное исполнение повседневных процедур, устранение слабых мест в них. Предполагает ли у вас процедура смены забытого пароля аутентификацию пользователя, который обращается в техподдержку?
    Можно ли пройти мимо охраны, назвавшись сотрудником компании и просто сказав, что сегодня забыл пропуск? Может ли администратор внести произвольное изменение в конфигурацию системы без согласования?
  3. Проработка технических мер с учетом рисков социальной инженерии. Не хотите, чтобы пользователи выдавали пароли? Используйте двухфакторную аутентификацию. Хотите предотвратить запуск троянов, написанных под вас? Не полагайтесь только на антивирус, используйте белые списки разрешенного ПО.

Опасаетесь, что у сотрудника в аэропорту украдут планшет с документами? Используйте шифрование устройств с централизованным управлением.

Эти мероприятия, конечно, не претендуют на полноту и законченность. Они, скорее, служат иллюстрацией того, что подход к построению информационной безопасности должен быть комплексным – технические меры могут помочь предотвратить атаки с применением методов социальной инженерии. А обучение сотрудников, в свою очередь, может снизить риски компрометации систем без внедрения дорогостоящих, сложных и снижающих удобство работы средств защиты.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su