Защита корпоративной информации, сетей и рабочих станций от постоянно меняющихся внешних и внутренних угроз — задача, похожая на стрельбу по движущейся мишени. А социальная инженерия превращает эту работу в практически невозможный подвиг. Деятельность, направленная на «взлом» человеческого сознания, как правило, незаметна и способна очень глубоко проникать в систему предприятия.

Что такое социальная инженерия?


В широком смысле под это понятие подпадают любые ситуации, в рамках которых преступники играют на особенностях человеческой психики и манипулируют индивидами так, чтобы они нарушили обычные процедуры и протоколы безопасности. Злоумышленники не пытаются проникнуть в корпоративную сеть через системные уязвимости. Их атаки направлены на людей. И те сами делятся конфиденциальной информацией, которая дает доступ в офисные помещения, системы или сети.

Даже если у организации лучшие системы киберзащиты, межсетевые экраны и процедуры, все равно в один прекрасный день может выясниться, что киберпреступникам удалось заполучить важные закрытые данные.

Структура атаки


Атака с использованием методов социальной инженерии всегда продумана и адаптирована под индивидуальные особенности объекта нападения, в отличие от обычных фишинговых атак с массовой случайной рассылкой электронных писем или звонками тысячам человек. На это требуется больше подготовки, но и шансы на успех повышаются в разы.

Сначала злоумышленники ищут конкретную информацию о целевой компании, ее организационной структуре и сотрудниках. Их действия могут быть направлены против работников определенных отделов или против любых людей с низким уровнем доступа в системы, через взаимодействие с которыми можно выйти на более высокие уровни. Идея состоит не в поиске слабого звена системы безопасности, а в обнаружении уязвимого человека. Играя на его страхах, жадности или любопытстве, злоумышленники вынуждают его нарушить протокол.

Для этого преступник ищет информацию в онлайн и офлайн-источниках и определяет потенциальных жертв. Интернет и социальные СМИ сильно упростили доступ к таким данным.

Так, хорошая начальная точка для непрямых действий — это схемы организаций. Социальные сети вроде LinkedIn и Facebook — это кладезь информации. Например, на LinkedIn очень легко найти список людей, работающих в том или ином подразделении компании. Далее можно понаблюдать за их поведением на Facebook, чтобы вычислить наиболее доверчивых индивидов. После этого остается раздобыть их контактную информацию (адрес электронной почты, телефонный номер).

Злоумышленники пытаются заслужить доверие жертвы или сыграть на чувствах страха и спешки, чтобы человек не успел как следует обдумать ситуацию.

Примеры сценариев атак:

  • С помощью поддельного адреса отправителя злоумышленники заставляют людей поверить, что письмо отправлено топ-менеджером (например, генеральным директором), сотрудником или деловым партнером. Далее запускается вредоносное ПО посредством клика на вложение или ссылку в теле письма. Или же в письме излагается просьба срочно предоставить закрытую информацию. Представьте, вы получаете письмо от директора компании или коллеги, где он просит вас поделиться своими мыслями по поводу прикрепленного документа. Первая ваша реакция — скачать файл. Другой пример: вы получили письмо от регулярного поставщика, в котором он пожаловался, что его данные для авторизации не сработали, и ему нужна ваша помощь, чтобы войти в определенный сегмент системы. В этой ситуации у вас также может возникнуть импульсивное желание помочь. Почему нет? В конце концов, у поставщика и правда есть доступ. И вряд ли вы хотите оказаться человеком, помешавшим срочной доставке.

  • Сотрудник может получить «обратный звонок» от «технической поддержки». Злоумышленник обзванивает группу работников организации и выражает желание собрать информацию по поводу некоего запроса, отправленного в службу поддержки ранее. Есть вероятность, что он действительно найдет человека, отправлявшего подобный запрос или просто желающего помочь. Когда доверчивая жертва найдена, преступники выманивают у нее данные для входа в систему или пытаются удаленно установить вредоносное ПО.

  • Имитация звонка из IT-отдела по поводу нарушения политики безопасности или утечки авторизационной информации. Жертву просят сообщить личные данные для «сброса пароля», установить некий файл, запустить команду или пройти по ссылке для проверки, нет ли данных в списке скомпрометированных паролей. В действительности же эти действия приведут к установке вредоносного ПО.

  • Звонок от «аудитора», «сотрудника правоохранительных органов» или других представителей власти, у которых «есть право» получить доступ к закрытой информации.

  • Чтобы убедить жертву, что звонят из определенной компании, преступники используют специфический профессиональный жаргон или телефонные музыкальные «отбивки».

  • Преступники оставляют USB-накопитель с привлекательной пометкой («зарплата» или «оценка стоимости») на видном месте в помещениях компании, например, на парковке, в лифте или других общедоступных местах. Сотрудник, нашедший флешку, может либо передать ее в службу безопасности, либо из любопытства подключить к своему офисному или домашнему компьютеру. Так или иначе встроенное вредоносное ПО найдёт дорогу в систему.

  • Злоумышленник может проникнуть в закрытое здание вместе с сотрудником, у которого есть ключ-карта. При этом преступник ведет себя так, будто у него на самом деле есть право доступа в помещение. Для этого он может надеть униформу компании или держать в руках карту, внешне схожую с настоящей.

  • Атакующие получают доступ путем заражения определенной группы веб-сайтов, которым доверяет сотрудник. В этом случае они подделывают ссылки, используя доменные имена, схожие на вид и звучание.

  • Злоумышленники выдают себя за работников технического персонала, уборщиков или охранников в попытках не привлекать к себе лишнего внимания во время кражи информации.

Почему атаки с помощью социальной инженерии более опасны?


Подход социальной инженерии всегда комплекснее по сравнению с другими кибератаками, и потому они представляют значительную угрозу. Вот некоторые причины, делающие социальную инженерию опаснее других атак:

  • Злоумышленники всегда пытаются создать на первый взгляд вполне естественную ситуацию. Их источники выглядят так, будто им можно доверять. Распознать подлог можно, только если постоянно быть начеку.

  • Преступники часто получают информацию от сотрудников компании за пределами их рабочего места, в более непринужденной и располагающей обстановке. Например, при встрече в баре, парке, фитнес-центре и других подобных местах.

  • Межсетевые экраны и меры кибербезопасности неэффективны, так как преступники не пытаются воспользоваться уязвимостью в ПО или системе компании. Вместо этого они провоцируют рядовых сотрудников на ошибку, и последующее проникновение в систему происходит под прикрытием учетных данных легальных пользователей.

  • Если преступникам удается получить доступ, то атака протекает постепенно, с обходом возможных функций распознавания аномальной активности. Злоумышленники прячутся на видном месте и сливаются с системой, изучая ее слабые места и точки доступа в течение некоторого времени. Они стремятся закрепиться, расширить свои возможности, проникнуть в другие сегменты, собрать и подготовить как можно больше данных для передачи наружу, в том числе под видом обычного сетевого трафика.

  • Атакующие иногда уничтожают свидетельства своего присутствия по мере продвижения по системе, удаляя вредоносное ПО из тех ее сегментов, где они уже заполучили важную информацию.

  • Атакующие могут оставить скрытую точку входа (так называемый бэкдор), позволяющую им в любой момент вернуться в систему.

  • Злоумышленники могут проникать в систему через сотрудников внешних организаций, обладающих определенным уровнем доступа. Это, например, деловые партнеры или поставщики услуг облачного хранения данных. Поскольку компания, на которую нацелена атака, не может контролировать процедуры безопасности партнеров или поставщиков услуг, то риск потери данных возрастает. Яркий пример — утечка данных в системе розничного гиганта Target.

  • Социальная инженерия особенно опасна в сочетании с кроссплатформенной атакой. Отследить такие случаи еще сложнее. Домашний компьютер или личное устройство жертвы, как правило, гораздо менее защищены по сравнению с офисными сетями. Через их взлом вредоносное ПО может попасть и на более защищенный рабочий компьютер, а через него — в другие части корпоративной системы.

  • Обычные средства защиты от вредоносного ПО могут оказаться неэффективными, поскольку злоумышленники получают доступ к разрешенному в системе программному обеспечению и пользуются им для дальнейшего проникновения.

Меры предосторожности


Атаки с использованием методов социальной инженерии довольно изощренные, и непросто их остановить или хотя бы обнаружить. Как отмечалось ранее, системы обнаружения взломов в этом отношении могут оказаться недостаточно эффективны. Однако есть некоторые практики, полезные для предотвращения атак:

  • Компании следует регулярно обучать сотрудников, информируя их о распространенных техниках социальной инженерии. Эффективным может оказаться моделирование ситуаций с делением сотрудников на команды злоумышленников и защиты. По возможности следует включать в этот процесс сотрудников компаний-партнеров.

  • Полезно установить безопасные почтовые и веб-шлюзы, фильтрующие вредоносные ссылки.

  • Следует проводить мониторинг писем и отмечать поступающие из внешней, не корпоративной сети.

  • Можно настроить систему оповещения на обнаружение доменных имен, похожих на имя компании.

  • Корпоративная сеть должна быть разделена на отдельные элементы. Контроль за доступом к ним необходимо ужесточить, а полномочия предоставлять только по степени должностных потребностей сотрудника. При управлении правами доступа следует отталкиваться от принципа нулевого доверия.

  • Ключевые системы с важной информацией и аккаунты сотрудников, работающих с конфиденциальными данными, нужно защищать с помощью двух- или многофакторной аутентификации.

  • Важно свести к минимуму широкий доступ и избыточность полномочий.

  • Необходимо настроить мониторинг доступа в системы, анализ полученных данных и определение аномальной активности.

  • Нужно регулярно проверять внутренний трафик на предмет аномальных тенденций, чтобы выявить медленное копирование данных из системы. Следует замечать и расследовать ситуации, когда сотрудник с допуском к тем или иным данным регулярно копирует их в нерабочее время. Или же такие, когда копирование данных происходит из офиса, а сотрудник уже покинул помещение. Следует также наблюдать и отслеживать попытки сбора внутренней информации.

  • Списки пользователей нужно регулярно подвергать ревизии и помечать учетные записи с наиболее широким доступом, особенно административные. Отдельное внимание следует уделять проверке Active Directory, так как многие действия злоумышленников оставляют следы в этой системе.

  • Нужно проводить мониторинг аномальных или избыточных LDAP-запросов. Разведка с их помощью — важная часть атак, так как структуры сетей разных предприятий отличаются, и злоумышленники отдельно изучают каждую. Подобное поведение сильно отличается от схем поведения обычных пользователей и легко распознается.

  • Полезно будет ограничить круг доверенных программ для немногозадачных серверов.

  • Важно проводить установку свежих патчей на всех рабочих станциях.

  • Следует регулярно проводить оценку рисков.

  • В компании должны быть разработаны и внедрены процедуры авторизованного внесения внеочередных изменений для обработки срочных запросов руководства. Все сотрудники, обладающие доступом к конфиденциальной информации, должны быть хорошо знакомы с ними и их последними версиями.

  • В случае обнаружения атаки следует найти и устранить бэкдоры.

Злоумышленникам приходится прилагать серьезные усилия для координации атаки. Однако в интернете есть множество веб-сайтов и специализированных онлайн-форумов, помогающих малоопытным преступникам улучшить свои навыки социальной инженерии за счет готового ПО и подробных теоретических сведений. Поэтому защита организации от такой противозаконной деятельности потребует усиленной активности и внимания. Но все старания окупятся сполна, ведь это способ избежать инцидентов, подобных тому, что произошел в Target.

image

Комментарии (0)