Журнал "Information Security/ Информационная безопасность" #6, 2019

В первую очередь важно обучить пользователя, объ- яснить, что даже в его рутинной работе могут воз- никнуть ситуации, связан- ные с социальной инжене- рией. Мы замечаем, что на пользователей в качестве легенд для социотехниче- ской атаки всегда действуют темы, связанные с деньгами в той или иной форме, – обещание повышений, пре ференций, подарков, а также информация с якобы местными сплетня- ми и интригами. Понятно, что рассылка про- воцирующих электронных писем и размещение фото- графий котов на сайтах – не единственные способы соци- альной инженерии. На этих примерах мы пытались пока- зать разнообразие форм атаки и их последствий. Поми- мо писем, потенциальный ата- кующий может звонить с целью получения нужной информации, разбрасывать носители (например, флешки) с исполняемыми файлами в офисе целевой компании, устраиваться на работу как стажер, получать физический доступ к локальной сети под видом монтажника камер видеонаблюдения. Все это, кстати, примеры из наших успешно завершенных про- ектов. Часть 3. Учение – свет, а неученых – тьма Возникает резонный вопрос: ну хорошо, есть социальная инженерия, выглядит опасно, а что со всем этим делать ком- паниям? На помощь спешит Капитан Очевидность: нужно защищаться, причем комплекс- но. Некоторая часть защиты будет направлена на уже став- шие классическими меры без- опасности, такие как техниче- ские средства защиты инфор- мации, мониторинг, организа- ционно-правовое обеспечение процессов, но основная часть, на наш взгляд, должна направ- ляться на непосредственную работу с сотрудниками как самым слабым звеном. Ведь сколько ни укрепляй технику и ни пиши суровые регламенты, всегда найдется пользователь, который откроет новый способ все сломать. Причем ни регла- менты, ни техника не будут поспевать за полетом креа- тивности пользователя, осо- бенно если ему подсказывает квалифицированный злоумыш- ленник. В первую очередь важно обучить пользователя, объ- яснить, что даже в его рутин- ной работе могут возникнуть ситуации, связанные с соци- альной инженерией. Для наших клиентов мы часто про- водим курсы цифровой гигие- ны – мероприятие, обучающее базовым навыкам противодей- ствия атакам в целом. Могу добавить, что одной из лучших мер защиты будет вовсе не заучивание правил информа- ционной безопасности, а немного отстраненная оцен- ка ситуации: 1. Кто мой собеседник? 2. Откуда возникли его пред- ложение или просьба (никогда ведь такого не было и вот появилось)? 3. Что необычного в этом запросе? Даже необычный тип шриф- та письма или несвойственный отправителю стиль речи могут запустить цепочку сомнений, которая остановит атаку. Про- писанные инструкции тоже нужны, но они работают по- другому, при этом не могут конкретизировать все возмож- ные ситуации. Например, адми- нистраторы ИБ пишут в них, что нельзя вводить свой пароль на сторонних ресурсах. А если пароль просит "свой", "корпоративный" сетевой ресурс? Пользователь думает: "В нашей компании и так есть два десятка сервисов с единой учетной записью, почему бы не появиться еще одному?" Отсюда вытекает еще одно правило: хорошо выстроенный рабочий процесс также прямо влияет и на безопасность; если соседний отдел может запро- сить у вас информацию только письменно и только через вашего руководителя, человек "от доверенного партнера ком- пании" подавно не сможет ее запросить по телефону, для вас это будет нонсенс. Осо- бенно стоит насторожиться, если ваш собеседник все тре- бует все сделать прямо сейчас, или ASAP, как модно писать. Даже в обычной работе такая ситуация часто не является здоровой, а в условиях воз- можных атак – это сильный триггер. Нет времени объ- яснять, запускай мой файл! Мы замечаем, что на поль- зователей в качестве легенд для социотехнической атаки всегда действуют темы, свя- занные с деньгами в той или иной форме, – обещание повы- шений, преференций, подар- ков, а также информация с якобы местными сплетнями и интригами. Иначе говоря, работают банальные "смерт- ные грехи": жажда наживы, алчность и излишнее любо- пытство. Часть 4. Проверка на бдительность Хорошее обучение всегда должно включать практику. Здесь на помощь могут прийти специалисты по тестированию на проникновение. Следующий 34 • ТЕХНОЛОГИИ Рис. 3.