Инициация запуска программ или выполнения команд
Правило: Сотрудник отдела информационных технологий – владелец привилегированной учетной записи – не имеет права выполнять команды или запускать программы по запросу лица, с которым не знаком лично.
Аргументация и примечания: Обычно, при внедрении в локальную сеть троянского коня или другой вредоносной программы, лазутчики пользуются таким методом: записывают свою программу под именем уже существующей и затем перезванивают в службу технической поддержки. Злоумышленник жалуется на то, что запуск программы приводит к ошибке и просит техника это проверить. Техник в результате запускает программу, которая автоматически получает привилегии запустившего ее пользователя. Это может привести к захвату корпоративных систем.
Приведенное правило –противодействие такой атаке. Техник должен знать лично человека, который просит запустить для него какую-либо программу.
Изменение глобальных прав доступа
Правило: Запрос на изменение глобальных прав доступа рабочего профайла пользователя должен быть одобрен группой, ответственной за управление правами доступа в рамках корпоративной сети.
Аргументация и примечания: Авторизированный персонал должен проанализировать запрос и определить, какие бреши в системе безопасности откроются в случае внесения изменений в профайл доступа. Если такие бреши возможны, то запрос должен расцениваться соответствующим образом и необходимо принимать отдельное решение о возможности внесения изменений в профайл.
Запрос на получение удаленного доступа
Правило: Удаленный компьютерный доступ должен предоставляться только тем сотрудникам, которые в данный момент имеют реальную потребность в таком соединении. Запрос на получение удаленного доступа должен подаваться начальником сотрудника в соответствии с процедурами авторизации.
Аргументация и примечания: Определение степени необходимости внешнего соединения с локальной сетью предприятия, равно как и политика ограничения удаленного доступа сильно уменьшают риск и упрощают само администрирование пользователями удаленного доступа. Чем меньше людей, имеющих удаленный доступ, тем меньше потенциальных целей для злоумышленника. Никогда не забывайте о возможности перехвата или подмены внешнего соединения.
Сброс пароля привилегированной учетной записи
Правило: Запрос на изменение или сброс пароля привилегированной учетной записи должен быть утвержден системным администратором компьютера, на котором расположена эта учетная запись. Новый пароль должен быть доставлен лично в руки или послан по корпоративной почте.
Аргументация и примечания: Пользователи привилегированных учетных записей имеют полный контроль над системой и файлами. Не удивительно, что эти записи нуждаются в особой защите.
Удаленный доступ для сотрудников внешних организаций
Правило: Сотрудники внешних организаций (производители программного обеспечения или обсуживающий персонал поставщиков оборудования) не имеют права удаленного доступа к ресурсам компании без проверки личности и удостоверения соответствующих привилегий. Если поставщик нуждается в административном доступе к локальной сети для обеспечения поддержки, то непосредственно после выполнения работ пароль должен быть изменен.
Аргументация и примечания: В целях получения доступа к корпоративной сети атакующий может выступать от лица поставщика. Именно поэтому сотрудник внешней организации всегда должен проходить процедуру верификации и подтверждения полномочий на работу с системами или сервисами компании. Более того, после выполнения работ, «дверь» должна быть закрыта с помощью изменения пароля, которым пользовался поставщик.
Ни один поставщик или сотрудник внешней службы поддержки не имеет права устанавливать свой пароль, пусть даже временный, на доступ к системам компании. Некоторые поставщики пользуются одинаковыми паролями при доступе к системам разных клиентов. Например, одна известная информационная компания устанавливает одинаковый пароль административного доступа ко всем своим клиентским системам и даже не блокирует Telnet-доступ!
Строгая аутентификация для удаленного доступа к внутренней сети
Правило: Все точки доступа внешних соединений к корпоративной сети должны защищаться с привлечением строгих методов аутентификации, таких как динамические пароли или биометрические устройства.
Аргументация и примечания: Во многих компаниях аутентификация удаленных пользователей не идет дальше использования обычных статических паролей. Такое отношение к проблеме не безопасно: взломщик обязательно попробует атаковать каждую точку доступа, а каждая такая точка может быть слабым звеном в безопасности корпоративной сети. Запомните: о том, что ваш пароль попал в руки злоумышленника, вы узнаете последним.
Итак, любая точка удаленного доступа должна защищаться с применением строгих методов аутентификации: временные жетоны, смарт-карты, биометрика – всем, что сделает невозможным использование перехваченного по сети пароля.
Если же аутентификация с динамическим паролем неприемлема по каким-либо причинам, пользователям компьютеров остается следовать правилу выбора по-настоящему стойкого к подбору пароля.
Конфигурация операционной системы
Правило: Системные администраторы должны постоянно следить за тем, чтобы конфигурации операционных систем соответствовали политике и процедурам обеспечения безопасности.
Аргументация и примечания: Не смотря на то, что создание и публикация политики – большой шаг к уменьшению риска, следовать политике неизбежно приходится конечным пользователям – сотрудникам организации. На пользователя ложится большая ответственность, а он не застрахован от ошибок. Тем не менее, многие правила можно сделать аксиомами с помощью средств операционной системы, разнообразных настроек, например, установки минимальной длины пароля. Автоматизация правил безопасности посредством установок операционной системы – это эффективный способ исключения человеческого фактора и увеличения общей надежности защиты.
Время жизни для установок учетной записи
Правило: Любая компьютерная учетная запись должна автоматически блокироваться по истечении года.
Аргументация и примечания: Взломщики предпочитают нападать на «забытые» учетные записи и назначение этого правила – предотвратить появление учетных записей, которые долгое время не используются. Таким образом, забытые администратором учетные записи уволенных и временных сотрудников должны блокироваться автоматически.
Предусмотрительно требовать проведения тренингов по безопасности для персонала, а там где это необходимо, сотрудники, пересматривая правила безопасности, должны подписывать документ о согласии следовать этим правилам.
Общий адрес электронной почты
Правило: Отдел информационных технологий должен установить общий электронный адрес для каждого подразделения или отдела компании, имеющих внешние контакты.
Аргументация и примечания: Общий адрес электронной почты может быть размещен на страницах сайта компании и его может упоминать секретарь в приемной. Вместе с этим, свой личный адрес электронной почты сотрудник имеет право давать только людям, нуждающимся в этом в рамках деловых отношений.
На первом этапе социоинженерной атаки, злоумышленник собирает телефонные номера, имена и должности сотрудников компании. В большинстве случаев такого рода информация не прячется и может быть получена со страниц Web-сайта или по телефону. Создание общего ящика голосовой или электронной почты затрудняет задачу сопоставления имен служащих с отделами, в которых они работают и с обязанностями, которые они выполняют.
Контактная информация при регистрации домена
Правило: Контактная информация при регистрации в интернет-домене адресного пространства не должна содержать имен, идентифицирующих административный, технический или любой другой персонал компании. Вместо этого рекомендуется оставлять общие электронные адреса и общеизвестный корпоративный номер телефона.
Аргументация и примечания: Это правило предупреждает попадание контактной информации в руки взломщика. А взломщик всегда может воспользоваться такой информацией для связи с сотрудниками и получения более ценных данных, которые помогут в достижении целей атакующего. Кроме того, это дает возможность представиться от лица легитимного сотрудника при установлении контакта с компанией.
Контактная информация должна содержать ни к чему не обязывающий адрес типа administrator@company.com. Отдел телекоммуникаций, для большей защиты от утечек информации, может позаботиться об установке общих голосовых ящиков для технических и административных отделов.
Установка обновлений программ и операционной системы
Правило: Все обновления и «заплатки» должны устанавливаться как можно быстрее после их официального появления. Если такое правило не согласуется с работой критически важных производственных систем, то необходимо производить обновления по мере появления практической возможности.
Аргументация и примечания: Если обнаружилась уязвимость, производитель программного обеспечения должен быть немедленно поставлен в известность. Необходимо определить, имеется ли обновление или временная «заплатка», устраняющая такую уязвимость. «Незалатанная» система – это большой риск для компании. Когда администраторы откладывают работы по обновлению, для взломщиков открывается брешь, сквозь которую они вряд ли побрезгуют пробраться.
Каждую неделю обнаруживается множество уязвимостей, данные о которых публикуются в интернете. Несмотря на межсетевые экраны, безучастность к процессу обновлений программного обеспечения всегда несет риск подвергнуться сетевой атаке. Очень важно быть в курсе опубликованных уязвимостей той или иной системы.
Контактная информация на интернет-сайте
Правило: Корпоративный сайт ни при каких условиях не должен содержать описания или структуры предприятия, равно как и имен сотрудников.
Аргументация и примечания: Схема организационной структуры, схема подчинения, списки сотрудников или отделов, листы и схемы утверждений отчетности, имена, должности, внутренние номера, кадровые номера сотрудников и любая другая структурная информация, участвующая во внутренних процессах предприятия, не должна публиковаться на интернет-сайте сайте для всеобщего обозрения.
Компьютерные взломщики способны найти немало полезной информации на сайте атакуемой компании. Далее злоумышленник использует полученные данные для вхождения в роль компетентного сотрудника. Социоинженер знает, что, правильно используя информацию, можно расположить к себе кого-либо зиз сотрудников. Более того, анализ полученных данных помогает выбрать тех людей, которые имеют доступ к наиболее ценной служебной информации.
Создание привилегированных учетных записей
Правило: Никакие привилегированные учетные записи не могут быть созданы и никакие системные привилегии не могут быть ассоциированы с учетной записью без санкции системного администратора или управляющего.
Аргументация и примечания: Взломщики, для того чтобы технический персонал компании открыл для них административный доступ к системам, часто представляются сотрудниками компании-производителя программного или аппаратного обеспечения. Это правило необходимо для большего контроля над привилегированными пользователями. Системный администратор обязан подтверждать любой запрос на создание учетной записи с расширенными полномочиями.
Гостевой доступ
Правило: Гостевые учетные записи любой компьютерной техники или сетевой периферии должны быть удалены или заблокированы. Исключение возможно только для FTP-сервера.
Аргументация и примечания: Гостевые учетные записи предназначены, прежде всего, для предоставления временного доступа для пользователей, не имеющих своей собственной учетной записи, зарегистрированной в системе. Некоторые операционные системы имеют встроенные гостевые учетные записи и, как следствие, разрешенный по умолчанию гостевой доступ. Гостевой доступ необходимо блокировать в любом случае, так как он противоречит принципам администрирования пользователей. IT-персонал должен иметь возможность анализировать активность систем и ассоциировать события с тем или иным пользователем.
Социоинженер может получить преимущество от использования гостевой учетной записи. Кроме того, злоумышленник может ввести в заблуждение пользователя и спровоцировать его на использование гостевого доступа.
Шифрование резервных копий
Правило: Любая служебная информация, хранимая в резервных копиях, должна быть зашифрована.
Аргументация и примечания: Технический персонал должен быть уверен в том, что информация может быть восстановлена в любой момент. Для этого время от времени необходимо расшифровывать случайным образом выбранную часть резервной копии. Это позволяет увериться в сохранности фактора целостности данных. Кроме того, ключи, используемые для расшифровки данных необходимо депонировать доверенному менеджеру, чтобы избежать ситуации, когда ключи могут быть недоступны или потеряны.
Доступ посетителей к сетевым соединениям
Правило: Для предотвращения несанкционированного доступа к локальной сети предприятия, все точки доступа к Ethernet-сети должны находиться в выделенном сегменте.
Аргументация и примечания: Это правило ограничивает возможность входа в локальную сеть для посетителей компании. Трафик на соединениях с Ethernet-розетками в конференц-зале, кафе, лекционных залах и т.п. должен фильтроваться межсетевыми экранами.
Сетевой администратор или специалист по безопасности, для повышения контроля над такими соединениями, может установить виртуальную частную сеть (Virtual Private Network, VPN).
Dial-in модемы
Правило: Модемы, установленные на прием входящих соединений, должны отвечать не раньше четвертого звонка.
Аргументация и примечания: Для обнаружения телефонных линий с установленными модемами хакеры пользуются техникой боевого дозвона (war-dialing). Техника заключается в сканировании всех номеров, зарегистрированных в области нахождения атакуемой компании. Сканирующая программа для ускорения процесса ждет ответа лишь на протяжении одного или двух звонков, а далее переходит к следующему номеру из списка. Если модем будет отвечать на входящее соединение только после четвертого звонка, то dial-in сервер останется незамеченным для сканера.
Антивирусное программное обеспечение
Правило: Все компьютерные системы должны иметь последнюю версию установленной и работающей антивирусной программы.
Аргументация и примечания: Если на предприятии не установлена единая система обновления антивирусных баз данных на рабочих станциях, то пользователь сам отвечает за установку и поддержку антивирусного программного обеспечения. Это относится и к компьютерам, с которых осуществляется удаленный доступ к локальной сети компании.
По возможности антивирусная программа должна обновлять свой банк вирусов и троянских коней каждый день. Если нет единой системы обновления, то пользователи должны обновлять антивирусную программу как минимум раз в неделю.
Это правило распространяется на все переносные и стационарные компьютеры, с которых производится соединение с корпоративной сетью, независимо от того, в чьей собственности – фирмы или сотрудника – находится компьютер.
Вложенные файлы входящей электронной почты (высокое требование к безопасности)
Правило: На предприятиях с повышенными требованиями к безопасности межсетевые экраны должны быть настроены на фильтрацию вложенных файлов (attachments) электронной почты.
Аргументация и примечания: Это правило должно применяться только на фирмах с повышенными требованиями к информационной безопасности или там, где получение вложенных файлов не обусловлено деловыми нуждами.
Аутентификация программного обеспечения
Правило: Все новое программное обеспечение на физических носителях или полученное через интернет, перед установкой должно пройти проверку на подлинность. Больше всего это относится к программам, которые при установке требуют расширенных системных привилегий.
Аргументация и примечания: В рамках этого правила под программным обеспечением понимаются компоненты операционной системы, прикладное обеспечение, «заплатки», программные обновления и т.п. Многие производители ПО позволяют проверить подлинность программы и ее целостность с помощью цифровой подписи. В любом случае там, где целостность не может быть проверена, в подлинности программы необходимо удостовериться. Для этого бывает достаточно связаться с производителем.
Компьютерные взломщики давно научились маскироваться под производителей ПО, заставляя вас думать, что вы устанавливаете подлинную программу, которая произведена и доставлена вам компанией, которой можно доверять. Крайне необходимо проверять на подлинность все программы, которые устанавливаются в локальной сети.
Опытный взломщик может узнать, что ваша организация заказала некое программное обеспечение. Такой информации бывает достаточно, чтобы аннулировать ваш заказ и доставить вам подделку, напичканную зловредным кодом, помогающим взломщику проникнуть в локальную сеть. А подделка вряд ли внешне будет отличаться от оригинала.
Пароли по умолчанию
Правило: Все установленные по умолчанию пароли должны заменяться в соответствии с корпоративной парольной политикой.
Аргументация и примечания: Многие операционные системы и компьютерное оборудование поставляется с установленными по умолчанию паролями. Это означает, что любая система или устройство после покупки имеет один и тот же пароль. Такие пароли известны взломщикам и несоблюдение этого правила влечет за собой большой риск компрометации.
Помните о том, что при подборе пароля взломщик прежде всего задействует стандартные фразы и пароли от производителя.
Блокировка серии неудачных попыток доступа (требование среднего уровня)
Правило: После нескольких неудачных попыток доступа (ввода неправильного имени или пароля пользователя) потенциально атакуемая учетная запись должна временно блокироваться. Это особенно относится к компаниям со средними требованиями к информационной безопасности.
Аргументация и примечания: Все рабочие станции и сервера должны быть настроены в соответствии с этим правилом. Таким образом предотвращаются попытки прямого подбора и атаки по словарю.
Системный администратор должен настроить все системы с парольным доступом так, чтобы учетные записи блокировались на некоторое время при достижении определенного уровня неудачных попыток входа. Рекомендуется блокировать запись не менее чем на 30 минут после семи неудачных попыток.
Отключение учетной записи
Правило: После нескольких неудачных попыток доступа (ввода неправильного имени или пароля пользователя) потенциально атакуемая учетная запись должна отключаться. Это правило относится к компаниям с высокими требованиями к информационной безопасности. Восстановление учетной записи возлагается на группу, ответственную за администрирование пользователей.
Аргументация и примечания: Все рабочие станции и сервера должны быть настроены в соответствии с этим правилом. Таким образом предотвращаются попытки прямого подбора и атаки по словарю. Системный администратор должен настроить все системы с парольным доступом так, чтобы атакуемые учетные записи отключались после пяти неудачных попыток входа. Владелец атакуемой учетной записи должен обратиться в группу, ответственную за администрирование пользователей. Перед восстановлением учетной записи представитель рабочей группы пользователя должен подтвердить личность владельца учетной записи в соответствии с процедурами авторизации и удостоверения.
Периодическая смена паролей привилегированных учетных записей
Правило: Все владельцы учетных записей с административными привилегиями должны менять пароль как минимум один раз в 30 дней.
Аргументация и примечания: Системные администраторы должны настроить параметры операционных систем в соответствии с этим правилом. Возможность такой настройки зависит от ограничений той или иной операционной системы.
Периодическая смена пользовательских паролей
Правило: Все владельцы учетных записей должны менять пароль как минимум раз в 60 дней.
Аргументация и примечания: Системные администраторы должны настроить параметры операционных систем в соответствии с этим правилом. Возможность такой настройки зависит от ограничений той или иной операционной системы.
Установка пароля новой учетной записи
Правило: Новые учетные записи пользователей должны устанавливаться с паролем, который изменяется при первом же входе в систему. Таким образом пользователь сам выбирает себе пароль при первом входе в систему.
Аргументация и примечания: Это правило утверждает, что пароль известен только владельцу учетной записи.
Пароль на загрузку компьютера
Правило: Все компьютерные системы должны требовать от пользователя пароль при загрузке или включении.
Аргументация и примечания: Компьютеры должны быть настроены таким образом, чтобы при включении запрашивался пароль. Это предотвращает несанкционированное использование техники. Правило распространяется на все компьютеры, размещенные на территории компании.
Требования к паролям привилегированных учетных записей
Правило: Все привилегированные учетные записи должны иметь сильные пароли. Такие пароли должны удовлетворять следующим условиям:
·
Пароль не должен повторять слово из словаря на любом языке
· Пароль должен содержать прописные и печатные символы, как минимум один символ и одну цифру
· Пароль должен иметь не менее 12 знаков
· Пароль не должен ассоциироваться с пользователем или фирмой
Аргументация и примечания: В большинстве случаев компьютерные взломщики прежде всего атакуют административные учетные записи, имеющие системные привилегии. Вряд ли для взломщика найдется более короткий путь к получению контроля над сетью компании, чем подобранный пароль системного администратора.
Трудно поддающиеся подбору пароли сильно затрудняют попытки прямого подбора и атаки по словарю.
Точки доступа к беспроводной сети
Правило: Все пользователи беспроводной сети, в целях повышения безопасности, должны задействовать технологию VPN (Virtual Private Network).
Аргументация и примечания: Беспроводные офисные сети атакуются с использованием техники поиска беспроводных локальных сетей, получившей название war driving. За этим названием кроются поездки на машине или прогулки вокруг офисных зданий с переносным компьютером. Такой компьютер оснащен стандартной 802.11b NIC-картой и программой обнаружения беспроводных сетей.
Многие предприятия устанавливают на своих площадях точки доступа к беспроводной сети, даже не заботясь о включении протокола WEP
(протокол эквивалентности беспроводной связи). WEP позволяет несколько упрочить защиту благодаря шифрованию. Но даже при работающем WEP, стандарт 802.11b остается крайне неустойчивым к взлому. Методы и программы взлома широко известны и «подручные средства» можно без труда найти в интернете.
Итак, крайне необходимо воспользоваться VPN-туннелированием и, таким образом, обойти проблему защиты протокола 802.11b.
Обновление баз данных антивирусных программ
Правило: Все компьютерные системы должны оснащаться программами автоматического обновления банков данных, содержащих последние данные вирусах и троянских конях.
Аргументация и примечания: Как минимум, обновления должны происходить не реже одного раза в неделю. На фирмах, где не принято выключать компьютер, рекомендуется обновлять антивирусное ПО каждую ночь.
Антивирусная система считается неэффективной, если ее банк данных вирусов не обновляется и она не способна распознать новые формы ранее известных злокачественных программ. Без обновленной информации риск заражения возрастает многократно.
Ввод команд или запуск программ
Правило: Персонал, чья работа связана с компьютерной техникой, не имеет права запускать программы или выполнять команды по запросу неустановленных лиц. В ситуации, когда кажется, что неустановленное лицо имеет все основания к своему запросу, тем не менее, прежде чем исполнить команду, необходимо получить заверение начальника.
Аргументация и примечания: «Компьютерщики», операционисты, обычно имеющие расширенные права доступа к технике и сети, были и остаются излюбленной мишенью социоинженера. Кроме того, нападающий обычно исходит из предположения, что операционисты меньше, чем другие IT-специалисты, знакомы с бизнес процедурами.
Пользователи привилегированных учетных записей
Правило: Служащие, имеющие административные привилегии своей учетной записи, не имеют права предоставлять информацию неустановленным лицам. В частности, это правило запрещает предоставление компьютерной помощи (например, помощи в использовании программ), помощь в осуществлении доступа к базам данных, загрузке программ по сети. Служащие с административными привилегиями не имеют права разглашать имена сотрудников, имеющих полномочия на удаленный доступ к локальной сети.
Аргументация и примечания: Социоинженеры обычно «работают» с пользователями привилегированных учетных записей. Сотрудники IT-подразделений должны отрабатывать поступающие запросы в соответствии с этим правилом. Таким образом можно избежать атаки.
Информация о внутренних системах
Правило: Операционисты, работающие с компьютером, не имеют права раскрывать служебную информацию, касающуюся корпоративных сетей, оборудования и систем без предварительной процедуры удостоверения личности запрашивающего информацию.
Аргументация и примечания: Системные процедуры установки соединения, местоположение или адреса точек доступа к беспроводной сети, телефонные номера dial-in
модемов – все это представляет реальную ценность для взломщика, который наверняка попытается выяснить параметры корпоративных систем через операционистов, пользующихся этими системами.
В компаниях, в которых имеется собственная техническая служба поддержки (справочная службу), все запросы, поступающие к операционистам, должны расцениваться, по меньшей мере, как исключительные. Все запросы на получение информации должны тщательным образом рассматриваться с точки зрения классификатора данных. Необходимо установить, имеет ли инициатор запроса право на получение информации того или иного типа. Если запрашиваемая информация не попадает ни под один из определенных в классификаторе типов, то с такой информацией необходимо обращаться как с внутренней или служебной.
В некоторых случаях в информации нуждается технический персонал внешних компаний-производителей или поставщиков (дилеров). Поставщики должны заблаговременно связаться с отделом информационных технологий; конкретный сотрудник компании-поставщика должен представиться своему «куратору» в отделе информационных технологий, который впоследствии сможет подтвердить личность инициатора запроса.
Разглашение пароля
Правило: Операционисты компьютерной техники не имеют права разглашать свой или доверенный пароль третьим лицам без распоряжения менеджера из отдела информационных технологий.
Аргументация и примечания: В общем случае, разглашать какой-либо пароль кому бы то ни было строго запрещается. Это правило подразумевает, что возможна ситуация, когда операционисту просто необходимо «поделиться» паролем. Такая исключительная ситуация требует санкции менеджера из отдела информационных технологий, который возьмет ответственность на себя. Во избежание недоразумений, круг лиц, способных распространять аутентификационную информацию и имеющих опыт в процедурах удостоверения, должен быть заранее ограничен.
Электронные носители
Правило: Все электронные носители, содержащие служебную информацию, должны быть заперты в помещении с физической охраной.
Аргументация и примечания: Правило предотвращает кражу ценной информации на электронных носителях.
Носители резервных копий
Правило: Операционисты обязаны хранить резервные копии в сейфе.
Аргументация и примечания: Резервные копии – еще одна излюбленная цель компьютерного взломщика. Злоумышленнику вовсе не обязательно тратить время на атаку сетей и компьютеров, когда слабое звено в цепи безопасности – это незащищенные от кражи резервные копии. Украденный носитель (если он не зашифрован) ведет к потере конфиденциальности хранимой на нем информации. Таким образом, физическая защита носителей резервных копий – логическое продолжение необходимого процесса обеспечения конфиденциальности корпоративной информации.
Сообщения о подозрительных звонках
Правило: Служащие должны немедленно сообщать обо всех подозрительных событиях группе чрезвычайного реагирования.
Аргументация и примечания: Если злоумышленник не добьется своей цели через одного сотрудника, он будет продолжать попытки, атакуя других. Но если после первого же подозрительного звонка или действия будет оповещена группа реагирования, то атака социоинженера попадет под контроль и последующие попытки можно будет вовремя предупредить. Бдительность служащих – это первая линия обороны компании.
Описание подозрительных звонков
Правило: Хорошей практикой является документирование подозрительных звонков, смахивающих на звонки атакующего. Описание действий нападающего позволит выявить цели и задачи социоинженера.
Аргументация и примечания: Такое описание поможет группе чрезвычайного реагирования остановить атакующего.
Разглашение номеров dial-up
Правило: Персонал компании не имеет права давать по телефону какую-либо информацию о корпоративных модемных номерах. Вместо этого, любые запросы на получение такой информации должны переадресовываться службе технической поддержки.
Аргументация и примечания: Номера модемов – это сугубо внутренняя информация, к которой имеют доступ только сотрудники с привилегиями удаленного доступа в рамках исполнения своих служебных обязанностей.
Социоинженеры часто нацеливаются на отделы или конкретных служащих, наименее защищенных с точки зрения запрашиваемой информации. Например, если злоумышленнику необходимо получить список модемных линий, то он обратится в отдел, занимающийся оплатой счетов. Представляясь служащим телефонной компании, нападающий предложит решить возникшую проблему с оплатой счетов. Социоинженер обычно нападает на сотрудников, которые не имеют представления о реальной ценности информации.
Корпоративные бэджи
Правило: Сотрудники компании, включая всех менеджеров и администрацию, должны постоянно носить бэджи, находясь на территории предприятия. Исключением может являться непосредственное рабочее место сотрудника.
Аргументация и примечания: Персонал компании должен отчетливо понимать значение идентификационных бэджей, которые необходимо носить везде на территории компании, кроме общедоступных помещений и собственного рабочего места.
Требование о ношении бэджа
Правило: Сотрудники должны реагировать на случаи обнаружения незнакомых лиц без корпоративных бэджей.
Аргументация и примечания: Это правило очень важно, если компания обеспокоена проблемами безопасности. Более того, сотрудники, которые не остаются «равнодушными» к посторонним, разгуливающим по территории фирмы, должны поощряться оплаченными часами отгула или занесением благодарности в личное дело.
Теневое проникновение
Правило: При входе в здание компании или отдельно охраняемые помещения предприятия, служащие не должны позволять посторонним проходить рядом с ними.
Аргументация и примечания: Сотрудники должны понимать, что требование документов от незнакомых лиц, пытающихся войти в здание компании, не бестактность, а необходимость.
Социоинженеры часто используют способ проникновения, при котором можно въехать на спине или плечах кого-нибудь (piggybacking). Метод заключается в следующем. Сначала злоумышленник говорит охраннику, что ждет вас, и что он должен с вами войти в здание. А когда вы проходите, он проходит вместе с вами. Многие люди стесняются спросить незнакомого человека и узнать, имеет ли тот право на вход в помещение. Другая разновидность незаметного проникновения: у злоумышленника в руках множество коробок и сумок, и вы сами, из желания помочь, открываете ему дверь.
Уничтожение служебных документов
Правило: Уничтожаемая служебная документация должна разрезаться крест-накрест. Электронные носители, включая жесткие диски, должны уничтожаться в соответствии с процедурами, установленными отделом информационной безопасности.
Аргументация и примечания: Стандартные бумагорезательные аппараты неправильно уничтожают документы. Здесь необходимы устройства, разрезающие материал в нескольких направлениях и превращающие документы в бумажное крошево. С точки зрения безопасности вы должны учитывать, что ничто не мешает конкурентам копаться в мусоре, который может содержать полезную для них информацию.
Промышленные шпионы и компьютерные взломщики не брезгуют изучением офисного мусора. Это часть их работы. В некоторых случаях конкуренты даже подкупают людей, вывозящих мусор с территории вашего предприятия.
Персональная идентификационная информация
Правило: Личная идентификационная информация, такая как номер паспорта или водительского удостоверения, дата и место рождения, не должна использоваться в качестве пароля или средства удостоверения. Такая информация, в общем случае, не является секретной и может быть получена множеством способов.
Аргументация и примечания: За деньги можно получить любую идентификационную информацию на другого человека. Фактически и вопреки расхожему мнению, любой, имеющий кредитную карточку и доступ в Интернет, может купить такого рода информацию. И несмотря на явную угрозу, банки, предприятия коммунального обслуживания, поставщики средств электронной оплаты и т.п. продолжают активно использовать личную идентификационную информацию своих клиентов. Это один из факторов, благодаря которым кражи идентификационных данных – один из самых прогрессирующих видов мошенничества.
Схемы организационной структуры
Правило: Данные, отраженные на схемах организационной структуры, должны быть доступны только служащим компании.
Аргументация и примечания: Информация о корпоративной структуре – это всевозможные схемы подчинения, списки сотрудников по отделам, имена и контактная информация служащих, должности и т.д.
На первой стадии атаки, социоинженер собирает информацию о компании и ее структуре. Эти данные необходимы для дальнейшего планирования атаки. Кроме того, злоумышленник, изучивший корпоративную структуру, может без труда найти сотрудника, имеющего доступ к нужной ему информации. Во время атаки подготовленный социоинженер может замаскироваться под компетентного (имеющего необходимое представление о компании и ее структуре) сотрудника, что значительно упростит задачу и позволит расположить к себе персонал фирмы.
Частная информация и анкетные данные сотрудников
Правило: Все запросы на получение частной информации сотрудников должны переадресовываться в отдел кадров.
Аргументация и примечания: Исключением может являться запрос на получение (домашнего) телефонного номера служащего, которого необходимо найти по рабочему вопросу или который сейчас ждет звонка. Тем не менее, предпочтительно спросить телефон инициатора запроса и перезвонить ему по этому номеру.
Ввод команд
Правило: Ни один сотрудник не имеет права вводить команды в компьютер или другую электронную технику по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Хитрость заключается в том, что злоумышленник может вынудить вас ввести команду, которая позволит ему несанкционированно получить доступ к корпоративным системам или некоторым данным, необходимым для инициирования атаки.
Внутренняя адресация и имена компьютеров
Правило: Служащие не имеют права упоминать в разговорах с неустановленными лицами внутренние адреса и имена баз данных.
Аргументация и примечания: Социоинженер, знающий внутреннее название какой-либо системы, имеет прекрасную возможность подтвердить свою принадлежность к компании.
Запросы на запуск программ
Правило: Ни один сотрудник не имеет права запускать программы по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Все запросы на запуск программ или приложений, и вообще на выполнение любых действий с компьютером должны отвергаться, если запрашивающий не подтвердил, что является сотрудником информационного отдела. Если запрос касается получения конфиденциальных данных, то обращаться с таким запросом надо в соответствии с процедурами работы с конфиденциальной информацией. См. «Правила распространения информации».
Компьютерные взломщики могут вынудить пользователя на запуск программы, которая впоследствии позволяет атакующему получить контроль над системой. Некоторые зловредные программы захватывают операционную систему компьютера, на котором работает пользователь-жертва, другие – записывают все действия пользователя и передают эту информацию взломщику. В то время как социоинженерная часть атаки способна заставить пользователя выполнить программу, техническая часть заставляет операционную систему исполнять команды злоумышленника.
Загрузка и установка программ
Правило: Ни один сотрудник не имеет права загружать из сети и устанавливать программное обеспечение по запросу лица, чья принадлежность к департаменту информационных технологий не установлена.
Аргументация и примечания: Прежде всего, персонал компании должен с особым вниманием относиться ко всем просьбам и запросам, касающимся работы с компьютерным оборудованием.
Обычно компьютерные взломщики пытаются заставить ничего не подозревающего пользователя установить программу, способную помочь злоумышленнику во взломе средств сетевой защиты. В некоторых случаях, такая программа может «шпионить» за пользователем или выступать в роли приемника команд с удаленного компьютера социоинженера.
Электронная почта и пароли в открытом виде
Правило: Пароли не должны передаваться по электронной почте в открытом (незашифрованном) виде.
Аргументация и примечания: Сайты электронной коммерции могут пренебрегать этим правилом при некоторых обстоятельствах:
·
Посылка пароля только что зарегистрированному пользователю.
· Посылка пароля пользователю, который потерял или забыл свой пароль.
Программы, обеспечивающие защиту
Правило: Сотрудники не имеют права отключать или удалять программы обнаружения вирусов, детекторы троянских систем и локальные межсетевые экраны (брандмауэры) без специального разрешения администрации информационного отдела.
Аргументация и примечания: Пользователи иногда отключают локальные защитные средства без всякого участия взломщиков, предполагая что это увеличит скорость работы компьютера.
Социоинженер может попытаться вынудить сотрудника отключить программные средства безопасности.
Установка модема
Правило: Модемы не должны подключаться к компьютерам в локальной сети без специального разрешения из информационного отдела.
Аргументация и примечания: Необходимо учитывать, что модемы, подключенные к станциям на рабочем месте служащего представляют собой серьезную угрозу безопасности. Особенно это относится к станциям, входящим в локальную сеть предприятия.
Хакеры используют тактику «боевого дозвона» телефонных номеров компании для обнаружения активных модемных линий. Таким же образом можно определить городские номера, с которыми соединены модемы внутри компании. Нападающий может с легкостью взломать вашу сеть, если обнаружит компьютер, подключенный к ненадежной системе контроля удаленного доступа (например, с угадываемым паролем или вообще без пароля на вход).
Модемы и установки режима автоответа на входящие вызовы
Правило: Все рабочие станции с подключенными (с санкции отдела информационных технологий) модемами должны иметь установки, запрещающие режим автоматического ответа на входящие соединения.
Аргументация и примечания: Если это возможно, то информационный отдел должен позаботиться об установлении модемного пула, которым сотрудники могли бы пользоваться для модемных соединений с внешними системами.