Intel Security исследовала методы социальной инженерии

Компания Intel Security опубликовала отчёт  об исследовании современных методов социальной инженерии, которая расценивается как один из главных способов проведения целенаправленных атак и шпионских операций.

В отчете дается такое определение социальной инженерии: «Преднамеренное использование технологий обмана, разработанных для управления людьми, разглашения информации или совершение действий, которые могут привести к обнародованию этой информации».

Intel Security выделяет два типа социальных атак – «охоту» и «собирательство». «Охота» предполагает однократное воровство информации на основе минимального взаимодействия с жертвой, а «собирательство» – длительные коммуникации с жертвой и постоянное получение от неё информации. При этом социальная атака имеет четыре этапа: исследование (необязательный этап), вербовка, получение информации и исчезновение. На этапе вербовки применяются самые разные каналы – веб-сайты, телефонные звонки, сообщения электронной и обычной почты, факсы, личное общение. Различными бывают и группы злоумышленников, пользующихся методами социальной инженерии: от начинающих (они, как правило, задействуют очень простые приёмы) до национальных спецслужб и террористических групп (у них их арсенал, понятно, – гораздо больший).

Специалисты Intel предлагают противодействовать злоумышленникам с помощью обучения, выстраивания четких процессов и обязательного использования технологий защиты. Нужно не только информировать сотрудников о методах, применяемых хакерами для обмана, но и проводить тренировочные атаки, а также записывать в рабочее время все телефонные разговоры для последующего анализа. Проверки и учебные тревоги должны быть включены в процессы обеспечения безопасности, построенные, например, в соответствии с ISO 27000. С технической точки зрения для защиты от методов социальной инженерии нужно контролировать все входящие каналы и использовать строгие методы аутентификации (для усложнения обмана жертв).

Аналогичные методы защиты предлагают и российские эксперты. В частности, вот как предлагает защищаться от мошенников Алексей Бабенко, ведущий менеджер по развитию компании «Информзащита»: «Разумное решение – использовать «встроенное качество» в текущих процессах. Речь идет о решениях, которые делают крайне сложными любые действия сотрудников, кроме верных. Например, процедуру приёмки электронных документов можно осуществлять и без участия сотрудника. Это позволит автоматически контролировать все поступающие файлы и затруднит заражение вредоносным ПО рабочего места оператора. Проверить, насколько сотрудники готовы противостоять методам социальной инженерии, и определить слабые звенья помогут учебные тревоги. Результаты оценки должны быть разобраны с сотрудниками, а процессы – скорректированы. Отдельного упоминания заслуживает процесс непрерывного тестирования, подразумевающий, что контроль осуществляется не единожды (в плановом режиме), а встроен в процессы. Например, система выявления подозрительных транзакций периодически выдает ложные, но не отличимые от реальных сообщения об инцидентах. Если оператор не реагирует на них, то велика вероятность, что он пропустит и реальные срабатывания».

Специалисты «Информзащиты» и сами регулярно проводят тесты на проникновения, в том числе с помощью методов социальной инженерии, которые  часто оказываются успешными. Так, при тестированиях в 2013 г. такие методы срабатывали в 62% случаев, а в 2012 г. – в 72% случаев. А вот в 2010 и 2011 гг. показатели были относительно невысокими – 36% и 56% соответственно. Именно поэтому специалисты компании разработали набор средств, рекомендуемых для защиты от нападений такого типа. «Можно порекомендовать следующие инструменты: средства контроля над полномочиями, средства разграничения доступа, средства контроля над трафиком, – советует Алексей Бабенко. – Отдельного внимания заслуживают средства предотвращения мошенничества, нацеленные на внутренних нарушителей. Контроль над действиями сотрудников помогает выявлять нелегитимные, пусть и непреднамеренные, действия. Средства социальной инженерии не воздействуют на «бездушное» ПО, поэтому тандем сотрудника и системы, отслеживающей его действия, позволяет свести вторжения к минимуму.»