20080925 Социален инженеринг

Адекватни техники за превенция и ролята на

човешкия фактор в постигането на ефективна

защита на информацията

7ма Национална конференция

Информационна сигурност и системи за съхранение на данните

София, 25 септември 2008 г.

Николай Димитров, CISA, CIA , CCSA

Гл. специалист Вътрешен и ИТ одит

Петрол Холдинг АД

За какво ще говорим...

(ІТ) Риск?

Уязвимости на “Осмия слой”

Социално инженерство

Превантивни мерки срещу социалното инженерство

25 септември 2008 COPYRIGHT (C) PETROL HOLDING 2008 2

CSI/FBI 2007

Ежегодно съвместно

проучване на Computer

Security Institute и FBI


(ІТ) Риск?

“Вероятността дадена заплаха да експлоатира съществуваща

уязвимост в актив или група активи и да причини щети. Ефектът

на риска е пропорционален на стойността на щетата и на

очакваната честота на поява на заплахите.”*

* ISO/IEC 13335-1 Concepts and models for information and communications technology security management


Елементи на ІТ риска

Собственици – хората, отговорни за управлението и опазването на активите

Активи – ценни за организацията ресурси (служители, оборудване, информация), които си струва да бъдат опазвани

Заплахи – събития или дейности, които могат да се възползват от съществуващи слабости и да причинят щети на организацията

Уязвимости – слабости в (ІТ) системите, както и вероятността и честотата, с която в даден момент те могат да бъдат експлоатирани от конкретни заплахи

Ефект – щети (загуби, пропуснати ползи, стойност на погубени или увредени активи) за организацията в краткосрочен и/или дългосрочен план в резултат от експлоатиране на уязвимостите

Злонамерени лица – агенти, начини и средства, правещи възможно изпълнението на дадена заплаха

Остатъчен риск – рискът от събитие, което може да настъпи даже и при наличието на контролни мерки за неговото редуциране


Връзка между елементите на риска


(Не)Видима заплаха...

“Най-голямата заплаха за една организация не са компютърните

вируси, непачнатите операционни системи или приложения, или

пък неправилно конфигурираните мрежови устройства. На

практика, най-голямата заплаха (може да) сте вие.

През годините се убедих, че е далеч по-лесно да манипулираш

хората, отколкото технологиите. В повечето случаи организациите

пренебрегват човешкият фактор.”

Кевин Митник,

“How to Hack People”, BBC NewsOnline, 14 октомври 2002 г.


Проблемът

Харчим значителни суми за технологии, но все още оставаме

податливи на елементарни манипулации

Няма информационна технология на земята, която да не зависи от

човека

Социалното инженерство напълно заобикаля технологичните

контроли и “удря” директно най-слабото място в защитата –

човекът

– Най-честият и лесен начин да влезеш в дадена система е чрез валидни

потребителско име и парола

– Най-лесният начин да се сдобиеш с тях е просто да попиташ някой, който

притежава такива


“Осмият слой”

Човешкият фактор като

допълнение към седемте слоя на

OSI модела

Технологичните атаки са

насочени към съществуващи

слабости на отделните слоеве и

съответните протоколи

Правилно конфигурирани,

устройствата се държат по един и

същи начин

Хората рядко са последователни

и педантични в работата си


Социално инженерство?

Чрез убедително и въздействащо поведение подлъгвате хората да

ви предоставят информация, която иначе не биха ви разкрили

– В личния живот: Гаранция за фалшив роднина, блъснал човек; Фалшив

банков служител подменя “проблемни” банкноти

– На работа: Мним администратор ви иска паролата за достъп

Компаниите със сложни процеси за автентикация, периметърни

защитни стени, VPN и системи за мониторинг са все така уязвими

за този тип атаки

Служителите несъзнателно споделят информация при разговор с

непознат, или обсъждайки проектите си с колегите в близката

бирария след работа


... Или с други думи

Начин да накарате хората да направят това, което искате

Не е форма на “мозъчен контрол” ;)

Изисква доста предварително проучване и планиране

– Избор на мишена(и)

– Събиране на информация за мишената (създаване на чувство за

автентичност)

– Няколко неангажиращи разговора за изграждане на доверие

– Предвиждане на реакциите и съставяне на план за измъкване

– Ако се наложи, използвайте екип

– Включете жена в екипа


Защо хората са податливи на социално инженерство?

Склонни са да предоставят информация на висшестоящи

Пазят се да не се забъркат в неприятности или да причинят такива

С удоволствие помагат на симпатични хора

Желаят да върнат услуга или да се реваншират за подарък

Страхуват се да не пропуснат крайни срокове

Желание да се “впишат в картинката”

– Споделят информация, защото всички други правят същото

Доверчиви са (по принцип)


Какво допълнително улеснява нещата?

Социалното инженерство се счита за атака срещу

интелигентността

– Никой няма да си признае, че са го преметнали

Техническите хора са по-склонни да споделят информация

– Причини: споделяне и обмяна на опит, хвалба и търсене на признание

Небрежността и склонността да не се следват политиките са нещо

естествено, а не изключение


Видове атаки

Телефонно базирани

– Най-популярен вектор за атака

– Нисък риск от залавяне и висока степен на анонимност

E-mail базирани

– Фишинг за кражба на лични данни (профили и пароли, кредитни карти)

На място

– Ровене из боклука (dumpster diving)

– Надничане в мониторите (shoulder surfing)

– Инсталиране на кийлогери

– Подслушване на разговори

– Дегизиране като поддържащ персонал, доставчик или клиент


Ако прилагате социално инженерство... (1/3)

Ровейки в боклука намирате...

– Телефонни указатели с данни за служителите и йерархията в компанията

– Организационни структури

– Ръководства с политики и процедури

– Календари с мероприятия

– Брандирани бланки, формуляри и пликове за писма

– Информационни носители

– Разпечатки



При надничане в мониторите или подслушване

– Наблюдавайте и следете за профили, пароли и PIN-номера при

въвеждането им...

– ... или за съответните клавишни комбинации, ако нямате видимост към

монитора

– Оглеждайте се за важна информация, записана на post-it бележки,...

– ... както и в разпечатки на бюрото

– Надавайте ухо за поверителна информация, споделяна в (телефонни)

разговори



При посещение на място:

– Изглеждайте добре

– Запазете спокойствие

– Взехте ли си баджа с фиктивното име?

– Наблюдавайте какво се случва на влизане/излизане от сградата

– Движете се уверено, все едно сте част от заобикалящата ви среда

– Оглеждайте се за незаключени компютри, розетки за достъп до LAN

мрежата


Арсенал от защитни мерки (1/2)

Политика за ползване на комплексни пароли

– Как се формират, опазват и ползват?

Политика за “чисти бюра”

– Какво да НЕ оставяте на бюрата без надзор?

Обучения за повишаване на запознатостта на служителите с

рисковете и мерките по отношение на информационната сигурност

– Колко често и за кои служители да е?

– Как ще се гарантира, че има резултат от обучението?

– Как ще се разпредели отговорността за неговата подготовка и провеждане?

Периодични опресняващи семинари на тема “Сигурност”


Арсенал от защитни мерки (2/2)

Санкции за нарушаване на правилата

– Как ще се следят и регистрират отклоненията от правилата?

Детайлни процедури за справяне с проблеми

– Срокове и отговорни служители за реакция

– Документираност и последващ анализ на данните за инцидентите

Физическа сигурност и контрол на достъпа

– Ще се придружават ли външните посетители от служител?

Одит на мерките, покриващи рисковете от социално инженерство

– Доколко те са адекватни и ефективни?


Какво е полезно да знаете?

Отказвайте да предоставяте контактна информация

Отбелязвайте настойчивостта

Отбелязвайте ползването на имена на висшестоящи

Отбелязвайте заплахите

Внимавайте за странни молби

Създайте си навик да разпитвате за допълнителна информация при молби от непознати

Знайте кое е ценно

Приятелите не винаги са приятели

Никога не се пита за пароли

Униформите са евтини

Баджовете могат да бъдат фалшифицирани

Внимавайте при неангажиращите разговори

Правилно съхранявайте или унищожавайте фирмената информация


Заключение

Социалното инженерство съществува и не е за подценяване.

Все още е сериозна заплаха дори в съвременното информирано

общество.

Организациите трябва първо да установят адекватни и надеждни

политики за информационна сигурност, адресиращи и рисковете,

свързани с човешкия фактор.

Тези политики трябва да бъдат оповестени към всички служители

и да бъдат част от ефективна програма за периодично обучение.


COPYRIGHT (C) PETROL HOLDING 2008

Николай Димитров, CISA, CIA, CCSA

Гл. специалист Вътрешен и ИТ одит

Петрол Холдинг АД

Тел.: 02 4960 361

Моб.: 088 9690 361

E-mail: [email protected]

Благодаря за вниманието!

20080925 Социален инженеринг

Technology