(Chapter 16 Recommended Corporate Information Security Policies)
Перевод выполнялся по частям:
1 - c0Un2_z3r0
2 - madpr
3 - Artem
4 - Daughter of the Night
5 - Artem
6 - madpr
7 - Artem
8 - Artem
9 - titov
10 - Vedmak
{1-я часть}
Девять из десяти крупных корпораций и государственных структур подвергались атакам со стороны взломщиков, если судить по результатам исследования, проведенного ФБР и размещенных результатах в апреле 2002 года. Любопытно, что, судя по полученной информации, только одна компания из трех сообщала о факте взлома общественности. Нежелание разоблачать собственную уязвимость вполне обоснованно. Чтобы избежать потери доверия клиентов и предотвратить возможные атаки от тех, кто узнал об уязвимости компании, большинство корпораций не публикуют сообщения о проблемах в компьютерной безопасности.
В принципе, не существует статистики по атакам вида социальной инженерии, но если бы была, цифры были бы ошибочными; в большинстве случаев в компании не узнают о краже информации, так что большое количество атак проходит незамеченными.
Против почти всех видов атак социальной инженерии существуют защитные меры. Однако давайте вернемся к реальности - пока все работники компании не поймут, что безопасность важна и не будут делать свой вклад в защиту безопасности, атаки всегда будут представлять риск.
Фактически, с совершенствованием уровня технической защиты против атак, использование людей с помощью социальной инженерии для получения корпорационной информации, либо взлома сети, почти всегда случается чаще и привлекает информационных воров. Индустриальный шпион достигнет своей цели с наименьшим для себя риском. В принципе, компания, защищающая свою сеть и системы от вторжения, путем интеграции новейших технологий может быть гораздо более уязвима к атакам с использованием различных стратегий и методов социальной инженерии.
Эта глава посвящена специальный правилам, призванным уменьшить риск компании перед атаками социальной инженерии. Правила разработаны для атак, не использующих технические уязвимости.
Правила являются четкими инструкциями, которые разграничивают поведение работника для защиты важной информации, и фундаментальным блоком в развитии системы предотвращения потенциальных брешей в безопасности. Вся прелесть данных правил становится очевидна, когда дело доходит до предотвращения и выявления атак.
Эффективный контроль безопасности включает в себя подготовку работников с помощью изучения специальных правил. Как бы то ни было, важно заметить, что такие правила, даже при полном соблюдении со стороны персонала, не гарантируют предотвращение каждой атаки. Более того, основная задача - понизить риск до приемлемого уровня.
Правила, размещенные в этой книге, включают меры, которые не сфокусированы именно на вопросах социальной инженирии, но не затрагивают технической части.
Пути к развитию программы
Наиболее всесторонняя программа по информационной безопасности начинается с изучения степени риска путем определения:
Первичная цель в определении риска заключается в определении, какая информация нуждается в сиюминутной защите и насколько эффективна будет защита с финансовой точки зрения. Просто посмотрите, что нужно защитить в первую очередь и сколько денег должно быть на это использовано.
Само собой, что высшее руководство компании должно поддерживать идею развития защитной системы. Как и в любой корпоративной программе, начальники должны показывать собственный пример своим подчиненным. Работники должны быть предупреждены, что их карьера зависит от успеха соблюдения установленных системой правил.
Человек, который будет заниматься составлением правил, должен понимать, что документ должен быть написан в стиле, свободном от технических терминов и быть понятен далеким от компьютеров работникам. Также необходимо, чтобы документ объяснял важность каждой меры, иначе работники могут посчитать какие-то методы пустой тратой времени. Документ должен состоять из списка норм и методик, потому что сам список номер будет меняться намного реже, чем методы работы.
Составитель должен иметь представление об специальных готовых программных решениях для обеспечения безопасности систем, ведь многие ограничения, внесенные в систему один раз, помогут устранить на некоторых этапов принятие решения работниками самостоятельно.
Работники должны быть предупреждены о наличии штрафных мер при нарушении норм и процедур. Свод специальных мер должен быть разработан и доведен до всех. В то же время, должна быть разработана программа поощрений для работников, неукоснительно соблюдающих информационную безопасность компании. Если работник награждается за помощь в обеспечении безопасности, об этом должны знать все остальные, например, хороший метод - статья в сводке корпоративных новостей.
Одна из целей предупреждения рабочих о программе - связка воедино понятий важности норм безопасности и урона, который может быть причинен компании при несоблюдении их. Будучи людьми, время от времени работники будут нарушать, либо игнорировать какие-то правила. Ответственность в том, что персонал понимает важность правил и мотивирован их соблюдать, лежит на менеджерах.
Следует заметить, что разработанные нормы не будут вечны. Все склонно к изменениям, в том числе и количество уязвимостей. Поэтому нормы постоянно должны быть пересматриваемы и обновляемы. Сделайте эти документы доступными во внутренней корпоративной сети, чтобы при малейшем затруднении, работники моги найти ответ.
И, наконец, необходимо устроить тестовые атаки на компанию, чтобы выявить наиболее слабые места. Разумеется, персонал об этом не должен быть предупрежден.
Как использовать эти правила
Детальное описание норм, представленное в этой главе, является лишь небольшой частью всех возможных, но именно такой, какая поможет смягчить риск для вашей компании. Само собой, указанный здесь список не должен рассматриваться как конечный, а является лишь некоторой наработкой, которую стоит менять для лучшей интеграции с условиями компании.
Авторы норм для корпораций должны выбрать лишь те, которые подходят компании. Каждая организация имеет разный микроклимат и специфику, в том числе и разные требования к безопасности.
В то же время необходимо решить, насколько строгими будут нормы в каждой категории. Более мелкие компании, в которых работники знают друг друга, не имеют нужды беспокоиться о звонках, когда атакующий попробует выдать себя за другого работника.
Нормы по классификации информации являются основными в защите информационных активов компании. Документ предоставляет схему для защиты, путем информирования всех рабочих об уровне важности каждого кусочка информации.
Нормальная ситуация в большинстве нынешних компаний - отсутствие классификации. Обычно работники принимают решения на основе субъективных факторов, а не на важности или ценности информации. Люди не отдают себе отчет в том, что могут дать нужную атакующему информацию прямо ему в руки.
Классификация позволяет разделить всю информацию на несколько уровней, в зависимости от ее ценности. Таким образом, зная, к какой группе принадлежит информация, работник может воспользоваться уже существующими процедурами, которые обеспечивают должную безопасность.
Каждый работник должен пройти специальную тренировку, даже тот, кто обычно не пользуется компьютерами или корпоративными средствами коммуникаций. Потому что каждый член рабочей команды, включая уборщиков и охранников, имеет доступ к различной информации, которая может стать целью атаки.
Управляющая верхушка должна учредить должность Информационного владельца, который будет ответственен за любую информацию, используемую в текущий момент в компании. Среди остальных вещей, такой человек ответственен и за ее защиту. Обычно он определяет, какой уровень классификации необходимо присвоить для защиты, периодически пересматривает уже существующие и меняет, в случае надобности.
Категории классификации и определения
Информация должна быть разделена на различные уровни, в зависимости от ее важности. Будучи однажды установленной системой, повторная классификация потребует финансовых и временных затрат. В нашем примере я выбрал четыре уровня классификации, которые подойдут большинству средних и крупных компаний. В зависимости от объема информации, существует возможность добавления новых категорий, чтобы контролировать какую-либо специфическую информацию. В более маленьких фирмах будет полезна трехуровневая схема. Помните - чем запутанней ваша схема, тем дороже будет обучение работников и ее реализация.
Конфиденциальная. Эта группа наиболее важна. Такая информация предназначается для использования лишь внутри организации. В большинстве случаев, она может быть доступна очень узкому кругу людей. Сущность такой информации заключается в том, что ее распространение сразу наносит ощутимый ущерб компании, держателям ее акций, деловым партнерам и клиентам. Составляющие конфиденциальной информации обычно подпадают под следующие категории:
Частная. К этой категории относятся данные личного рода, призванные к использованию лишь внутри организации. Любое несанкционированное раскрытие информации такого типа может пагубно повлиять на сотрудников. В категорию частной информации входят медицинская история работников, информация о банковских счетах, уровень зарплаты и другие данные, не предназначенные для всеобщего доступа.
Заметка
Категорию внутренней информации в мире компьютерной безопасности обычно называют чувствительной. Я вынужден использовать термин "внутренняя", так как он говорит сам за себя.
Внутренняя. Эта информация может предоставляться любому человеку, работающему в компании. Обычно, несанкционированный доступ к внутренней информации, не наносит серьезного вреда компании, держателям ее акций, бизнес партнерам, клиентам, либо рабочим. Как бы то ни было, человек, разбирающийся в социальной инженерии, может легко воспользоваться этими данными, чтобы выдать себя за доверенное лицо и заставить людей выдать ему еще более важную информацию, которая может привести к доступу к корпоративным компьютерным системам.
Соглашение о конфиденциальности должно быть подписано раньше, чем внутренняя информация может быть раскрыта третьим лицам, таким как работники торговых предприятий и другим. Внутренняя информация обычно включает что-то, используемое в рутинной работе и не предназначенное только для персонала компании, как, например, номера дозвона, внутренние номера систем и т. д.
Публичная. Информация, предназначенная для общества. Этот тип данных может свободно распространяться. Заметьте, что информация, не созданная специально для последующего распространения, должна относиться к чувствительной информации.
Терминология классификации данных
Базируясь на классификации, данные должны распределяться между определенными категориями людей. Некоторые нормы, приведенные в этой главе, относятся к непроверенным личностям. Непроверенная личность- это кто-либо, не являющийся текущим работником компании, либо не имеющий доступ к некоторой информации, либо не подтвержденный кем-либо из компании.
Доверенное лицо - это человек, которого вы встречали лично, кто является текущим работником/ клиентом/ консультантом компании с необходимым уровнем прав для доступа к определенной информации. Также доверенным лицом может быть работник компании, с которой имеются установленные отношения, как допустим, договор о сотрудничестве.
При поручительстве третьих лиц, доверенное лицо предоставляет подтверждение личности и статуса человека, а также его прав на доступ к информации. Заметьте, что в некоторых случаях, требуется проверить, что доверенное лицо является работником компании.
Привилегированный аккаунт - это компьютер, либо другой аккаунт, требующий разрешений на доступ сверх базового пользовательского аккаунта, например аккаунт администратора системы. Работники с такими правами доступа могут изменять уровень прав других пользователей.
Обычная голосовая почта в каждом департаменте с одинаковым сообщением поможет защитить номера и добавочные номера служащих, работающих в отделе.
Информационные воры обычно используют обманные методы получения информации, притворяясь работниками компании, торговцами или деловыми партнерами. Чтобы добиться хорошего уровня безопасности, работник, получающий запрос на предоставление внутренней информации, должен определить личность звонящего и проверить его статус на доступ к данным.
Процедуры, указанные в этой главе, призваны помочь работнику, получившему запрос по любому средстве коммуникации, например, по телефону, электронной почте или факсу, определить законность данного запроса.
Запросы от доверенного человека
Запрос информации или действия от доверенного лица может потребовать:
Запросы от непроверенного человека
Когда запрос совершается от непроверенного человека, процесс проверки должен привести к полной идентификации личности, особенно если запрос относится к информации, связанной с компьютерным оборудованием. Этот процесс является базовым в защите от атак. Если процедуры верификации выполнены, они резко снизят уровень успешных атак.
Это важно, чтобы процесс не был настолько громоздким, что стоил бы много денег, либо работники игнорировали его.
Как показано ниже, процесс проверки включает в себя три ступени:
Шаг первый: подтверждение личности
Рекомендуемые меры представлены по степени убывания их эффективности. Также описаны слабости каждого метода, и пути, которыми социальный инженер может обойти их.
1. Номер звонящего. Позволяет определить, откуда был совершен звонок (изнутри или за пределами компании) и сравнить имя и телефонный номер с информацией, предоставленной человеком.
Слабость: информация о внешнем звонке может быть подделана любым, кто имеет доступ к АТС или телефонному свитчу, присоединенному к цифровой линии.
2. Перезвонить. Найдите звонящего в директории компании и перезвоните ему на указанный добавочный номер, чтобы определить, он ли это.
Слабость: Атакующий с хорошим уровнем знаний может получить обратный звонок на свой номер.
3.Поручительство. Доверенное лицо поручается за личность человека.
Слабость: Атакующий может обмануть работника и уговорить поручиться за него.
4.Распространенный секрет. Используйте пароль или дневной код.
Слабость: если много людей знает секрет, то атакующему легко узнать его.
5. Начальник / менеджер работника. Позвоните начальнику и запросите подтверждения.
Слабость: если человек предоставил номер своего начальника, то работник вполне может позвонить не настоящему боссу.
6. Защищенная электронная почта. Запросите письмо с цифровой подписью.
Слабость: Если атакующий имеет доступ к компьютеру работника и установленный на нем кейлоггер, то может без проблем отправить такое письмо.
7.Распознавание голоса. Если работник получает запрос от человека, с которым встречался раньше, то может узнать его по голосу.
Слабость: Это очень хороший метод, но работает лишь в случае, если все рабочие знают друг друга.
8.Динамический пароль. Человек идентифицирует себя путем использования динамического пароля, как, например, Secure ID.
Слабость: Чтобы обойти этот метод, атакующий должен иметь доступ к одному из устройств динамических паролей, а также к ПИН номеру работника, которому принадлежит устройство, либо заставить работника сказать ПИН и пароль.
9. При встрече. Человек приходит лично и предоставляет документы для идентификации личности, желательно с фотографией.
Слабость: Атакующий может украсть, либо подделать необходимые документы. Как бы то ни было, атакующие опасаются таких методов, так как они ставят их под угрозу поимки.
Шаг два: подтверждение статуса человека
Самая большая опасность для информационной безопасности заключается не в профессиональном социальном инженере, не в талантливом взломщике, а в том, кто намного ближе: в только что уволенном сотруднике, жаждущем мести, либо пытающемся подняться за счет известной ему информации о компании.
Перед предоставлением чувствительной информации другому человеку или разрешения на действия с компьютерами, либо оборудованием, убедитесь, что человек все еще является работником компании. В этом вам могут помочь следующие методы:
Директория работников. Если у компании есть онлайн директория со списком текущих работников, проверьте статус звонящего.
Подтверждение у начальства. Позвоните менеджеру по телефону, указанному в файлах компании, а не тому, что указал человек.
Подтверждение из отдела. Позвоните в департамент, где работает человек, сделавший запрос и узнайте его статус.
Шаг третий: Проверка необходимости к знанию
Помимо проверки нынешнего статуса работника в компании, остается вопрос - а может ли человек получить доступ к какой-то конкретной информации, либо запросить действие, влияющее на компьютерные системы компании.
Определение может происходить при использовании одного из этих методов:
Посоветуйтесь с ответственными людьми. Компания может предоставить готовый доступ к информации путем публикации листов, где будут указаны права работников к данным. Это списки могут быть составлены в зависимости от статуса, отдела или уровня ответственности. Такие списки должны храниться в онлайне, чтобы была возможность быстро просмотреть их.
Заметка
Важно заметить, что такие списки являются своеобразным приглашением атакующему. Если человек понимает, что компания предпринимает попытке к защите своей информации, его мотивация в получении копии такого списка огромна. Заполучив его однажды, социальный инженер откроет себе множество дверей и подвергнет компанию серьезному риску.
Получение разрешения от менеджера. Работник связывается со своим менеджером или менеджером звонящего и получает разрешение на исполнение запроса.
Получение разрешения от информационного владельца, либо назначенного должностного лица. Первый решает, получит ли человек доступ. Если решение затрагивает получение доступа к компьютерным системам, то работник тотчас связывается со своим менеджером для подтверждения информации о текущем статусе человека. Если статус неизвестен, то это ответственность менеджера - запросить подтверждения у информационного владельца. Такая система позволит не беспокоить последних лишний раз и по пустякам.
Для большой компании в условиях рыночной конкуренции может быть полезна разработка специального пакета, предоставляющего проверку на необходимость знания. Такая база данных хранит имена работников и уровень доступа к каждой категории информации. Пользователи не смогут проверить уровень доступа отдельного индивидуума, кроме как введя его имя и уникальный идентификатор. Затем программа выдает ответ, может ли работник получить доступ к информации. Такой шаг поможет избежать поможет избежать опасности.
Политика руководства
Политики руководства и управления можно разделить на политику Организации информации, политику Раскрытия информации, политику Управления телефонными узлами, и Прочие политики. Обратите внимание, что каждая из этих категорий использует уникальную нумерацию для того, чтобы было проще найти отдельные правила и решения.
Правила организации информации
Правила организации информации определяют то, как ваша компания классифицирует информацию по степени важности и секретности, а также лиц, имеющих доступ к этой информации.
1-1 Организация информации в классы
Политика: Вся ценная, чувствительная или критически-важная деловая информация должна организовываться в классы непосредственным Владельцем или уполномоченным лицом.
Пояснения/заметки: Непосредственный владелец (или уполномоченное лицо) распределяет в классы любую информацию, широко использующуюся для достижения главных деловых целей компании.
Владелец также контролирует список тех, кто может получить доступ к этой информации и как она может быть использована. Он также может переназначить класс ее важности или установить период времени, по истечению которого она будет автоматически отнесена к другому классу.
Любая информация, если иное явно не указано, должна быть классифицирована как чувствительная.
1-2 Процедуры контроля публикации и распространения
Политика: Компания должна разработать процедуры управления выдачей информации любой категории.
Пояснения/заметки: После того, как вся информация распределена в классы, должны быть разработаны процедуры выдачи ее сотрудникам и третьим лицам, как описано в разделе Процедуры проверки и идентификации ранее в этой главе.
1-3 Нанести пометки на каждый документ
Политика: Отчетливо отмечать как печатные материалы, так и цифровые носители, содержащие Конфиденциальную, Личную, или Внутреннюю информацию.
Пояснения/заметки: Печатные документы должны иметь титульный лист, с отчетливой отметкой о принадлежности к тому или иному классу. Кроме того, похожая отметка должна присутствовать на каждой оставшейся странице.
Все электронные документы, файлы и т. д, которые невозможно просто пометить (базы данных или двоичные файлы данных), должны быть защищены системой контроля доступа, гарантирующей, что информация в них не подвергается ошибочному/умышленному разглашению, и не может быть изменена, уничтожена или сделала недоступной.
Все компьютерные носители, такие как дискеты, диски и магнитные ленты должны быть помечены в соответствии с высочайшей категорией важности для находящейся на них информации.
Публикация информации
Публикация информации подразумевает выдачу ее различным сторонам, с учетом степени полезности этой информации для них, и их личности (положения в компании).
2-1 Процедура проверки служащих
Политика: Компания должна разработать всеобъемлющие процедуры для проверки личности, статуса занятости, и разрешения на получение информации каждого, кто захочет получить доступ к Конфиденциальной или Чувствительной информации или выполнить задание, подразумевающее использование любого компьютерного оборудования/ПО.
Пояснения/заметки: Где это оправдано размерами компании и требованиями к безопасности, следует использовать продвинутые технологии для подтверждения личности. Лучшим практическим решением было бы введение различных элементов контроля доступа в комбинации с общим ключом (shared secret) для надежной идентификации человека, запрашивающего информацию. Однако, не смотря на то что такая технология может резко уменьшить риск, ее стоимость может оказаться слишком высокой для некоторых предприятий. В такой ситуации компании следует использовать периодический общий ключ, такой как ежедневный пароль или код.
2-2 Раскрытие информации третьим лицам
Политика: Набор рекомендуемых процедур раскрытия информации третьим лицам должен быть доступен для всех сотрудников, которые должны быть обучены их проведению.
Пояснения/заметки: В основном, подобные процедуры распространения должны использоваться для:
2-3 Распространение Конфиденциальной информации
Политика: Конфиденциальная информация, т.е. информация, способная нанести существенный ущерб, если она получена несанкционированным лицом, может быть доставлена только Доверенному лицу, которое имеет разрешение на получение этой информации.
Пояснения/заметки: Конфиденциальная информация в материальной форме (например, печатная копия или сменный носитель информации) может быть доставлена:
Конфиденциальная информация в электронной форме (компьютерные файлы, файлы баз данных, электронная почта) может быть доставлена:
Конфиденциальная информация подлежит обсуждению лично; по внутреннему телефону; по внешнему телефону, в случае если соединение зашифровано; с использованием защищенного спутникового сеанса связи; зашифрованного канала видеоконференции; по зашифрованному протоколу VoIP.
При пересылке по факсу рекомендуется использовать такой метод: отправитель передает титульную страницу факса; затем получатель передает страницу в ответ, подтверждая тем самым свое присутствие у аппарата. После этого отправитель передает оставшуюся часть факса.
Следующие способы пересылки или распространения Конфиденциальной информации являются неприемлемыми: незашифрованная электронная почта, сообщение голосовой почты, обычное почтовое отправление, любой способ беспроводной связи (сотовая связь, SMS, Wi-Fi, и т. д..).
2-4 Распространение личной информации
Политика: Личная информация, т.е. информация о работнике (работниках), которая, будучи получена несанкционированным лицом, может быть использована для нанесения вреда работникам или компании в целом, может быть передана только Доверенному лицу, имеющему разрешение на ее получение.
Пояснения/заметки: Личная информация
в материальной форме (например, печатная
копия или сменный носитель информации)
может быть передана:
Лично.
По внутренней почте, в конверте, помеченным
словом "Private"
По обычной почте
Личная информация в электронной форме (компьютерные
файлы, файлы баз данных, электронной почты)
могут быть переданы:
По внутренней почте.
Защищенной пересылкой на внутренней сервер
компании.
По факсу, в случае если доверенное лицо
ожидает приема факса у аппарата, или
используется зашифрованное телефонное
соединение с защищенным паролем факс-сервером
Личная информация подлежит обсуждению
лично; по телефону; с использованием сеанса
спутниковой связи; видеоконференции; по
зашифрованному протоколу VoIP.
Следующие способы пересылки или
распространения Личной информации
являются неприемлемыми: незашифрованная
электронная почта, сообщение голосовой
почты, обычное почтовое отправление, любой
способ беспроводной связи (сотовая связь, SMS,
Wi-Fi, и.т.д.).
2-5 Распространение личной информации
Политика: Внутренняя информация, т.е. информация, подлежащая распространению только в пределах компании или другим лицам подписавшим Договор о неразглашении информации. Вы должны разработать инструкцию по распространению внутренней информации.
Объяснение/Заметки: Внутренняя информация может передаваться в любой форме, включая внутреннюю электронную почту, но не может быть передана за пределы компании в незашифрованном виде.
2-6 Обсуждение Чувствительной информации
по телефону
Политика: Перед раскрытием любой
информации, не помеченной как Публичная, по
телефону, раскрывающий сотрудник должен
знать собеседника по голосу, или телефонная
система компании должна идентифицировать
звонок, как исходящей с внутреннего
телефонного номера, присвоенного
собеседнику.
Пояснения/заметки: Если голос собеседника вам не знаком, вызовите его по внутреннему телефонному номеру для проверки его валидности с помощью записанного сообщения голосовой почты, или обратитесь к непосредственному начальнику запрашивающего сотрудника для проведения всех необходимых проверок.
2-7 Процедуры обмена информацией для сотрудников приемных.
Политика: Работники приемной должны осуществить проверку подлинности любого запрашивающего информацию/ пакет/ посылку лица по фотографии, если это лицо не является известным сотрудником. Имя получателя, а также номер водительского удостоверения, дата рождения, полученные предметы и время их получения должны быть занесены в журнал.
Пояснения/заметки: Данное правило также распространяется на всю исходящую корреспонденцию и почтовые отправления в любой сервис доставки (FedEx, UPS, или Airborne Express). Эти компании используют идентификационные карточки, которые могут быть использованы для подтверждения личности курьера.
2-8 Передача программного обеспечения третьим лицам.
Политика: Перед передачей любого программного обеспечения, или инструкции (документации) к программному обеспечению, личность запрашивающего лица должна быть установлена и осуществлена проверка соответствия такой передачи установленному классу для передаваемой информации. Обычно программное обеспечение, разработанное внутри компании и передаваемое в виде исходных текстов относят к классу Конфиденциальной информации.
Пояснения/заметки: Выдача программного обеспечения может производиться на основании выводов о том, является ли оно необходимым для работы запрашивающего сотрудника.
2-9 Процедуры обмена информацией для сотрудников отделов Маркетинга и Продаж.
Политика: Работники отделов продаж и маркетинга должны оценить реальную необходимость в сообщении потенциальным клиентам номеров внутренних телефонов сотрудников, планов компании относительно продуктов, или другой чувствительной информации.
Пояснения/заметки: Довольно широко применяется тактика, используемая многими промышленными шпионами: связаться с представителем отдела маркетинга (продаж) и заставить его поверить, что в ближайшем будущем может быть сделан большой заказ. Предвкушая благоприятную возможность получить большую прибыль, представители компании часто раскрывают информацию, которая может быть использована атакующим как ключ для получения доступа к Чувствительной информации.
2-10 Передача файлов (данных).
Политика: Файлы не должны копироваться на любые сменные носители, за исключением случая, когда запрашивающее лицо является доверенным, и его личность была установлена в соответствии со всеми процедурами идентификации.
Пояснения/заметки: Социальный инженер
может с легкостью одурачить сотрудника
убедительной просьбой скопировать
Чувствительную информацию на диск,
магнитную ленту или другой сменный
носитель, и отправить ее в приемную, где он
ожидает ее получения.
{3-я часть}
Телефонное администрирование
Политика управления телефонными разговорами гарантирует, что служащие могут проверить личность звонящего и защитить свою контактную информацию от тех людей, которые звонят в компанию.
3-1 Переадресация коммутируемых линий и факсов
Политика: Службы перенаправления, которые позволяют переадресовать звонки на внешние телефонные номера, не следует включать на телефонных линиях модемов или факсов компании.
Пояснения/заметки: Опытные атакующие
могут обманным путем заставить персонал
телефонной компании или штатных связистов
компании переадресовать внутренние номера
на внешнюю телефонную линию,
контролируемую атакующим. Такая атака
позволяет взломщику перехватывать факсы,
запрашивать конфиденциальную информацию
по факсу (служащие полагают, что отправка
факсов внутри организации безопасна) или
перехватывать пароли удаленных
пользователей, перенаправляя
коммутируемые линии на компьютер-ловушку,
симулирующий процесс входа в систему.
В зависимости от типа телефонной связи,
используемой в компании, услуга
переадресации может контролироваться
внешним поставщиком, а не подразделением
телекоммуникаций. В таких случаях нужно
потребовать от поставщика услуг связи,
чтобы с телефонных номеров, выделенных для
коммутируемых линий и факсов, не
выполнялась переадресация звонков.
3-2 Caller ID
Политика: Корпоративная телефонная система должна отображать caller ID на внутренних телефонах компании, и по возможности, использовать другой звонок (мелодию) в случае звонков извне.
Пояснения/заметки: Если служащие могут проверить подлинность внешних телефонных звонков, это поможет им предотвратить атаку или опознать (установить личность) атакующего и сообщить о нем в службу безопасности.
3-3 Визитные телефоны
Политика: Чтобы посетители (гости) не могли выдать себя за работников компании, каждый телефон должен понятно отображать местонахождение звонящего (например, «приемная»).
Пояснения/заметки: Если для внутренних звонков отображается только номер, то для звонков из приемной (вестибюля) и любых общедоступных мест должно отображаться место, откуда звонят. Нельзя позволять атакующему позвонить с этих номеров и обмануть служащего, заставив его поверить в то, что звонок сделан другим служащим.
3-4 Пароли телефонных станций (офисных АТС) по умолчанию
Политика: Администратор голосовой почты перед использованием телефонной системы должен сменить все пароли, заданные производителем по умолчанию.
Пояснения/заметки: Социальные инженеры могут получить от производителей списки паролей по умолчанию и получить доступ с правами администратора.
3-5 Голосовая почта подразделений
Политика: Создайте публичный голосовой ящик для каждого подразделения
Пояснения/заметки: Первый шаг социальной инженерии включает в себя сбор информации о компании и ее персонале. Ограничив доступность имен и телефонов служащих, компания усложняет для социального инженера выбор жертвы, а также использование имен служащих с целью обмана других работников.
3-6 Проверка поставщика телефонной системы
Политика: Специалисты, не сертифицированные (рекомендованные) производителем, не получат удаленный доступ к телефонной системе компании без проверки и права производить работы.
Пояснения/заметки: Компьютерные взломщики, у которых есть доступ к корпоративной телефонной системе, получают возможность создавать голосовые почтовые ящики, перехватывать сообщения для других пользователей или делать телефонные звонки за счет компании.
3-7 Конфигурация телефонной системы
Политика: Администратор голосовой почты выполнит требования безопасности, настроив соответствующие параметры безопасности телефонной системы.
Пояснения/заметки: Телефонные системы могут быть настроены с той или иной степенью безопасности для голосовых сообщений. Администратор должен быть осведомлен о политике безопасности компании и настроить совместно со службой безопасности телефонную систему для защиты конфиденциальных данных.
3-8 Отслеживание звонков
Политика: В зависимости от ограничений поставщика услуг связи, может быть доступна возможность выявления вызывающего абонента, когда есть подозрение на атаку.
Пояснения/заметки: Следует обучить служащих, как и в каких случаях отслеживать звонок. Отслеживание звонка должно использоваться, когда налицо присутствует попытка несанкционированного доступа к компьютерным системам компании или запрос конфиденциальной информации. Всякий раз, когда служащий активирует возможность отслеживания звонка, должно быть отправлено немедленное уведомление группе отчетов об инцидентах.
3-9 Автоматизированные телефонные системы (АТС)
Политика: Если компания использует автоответчик, то система должна быть запрограммирована так, чтобы телефонные номера не назывались в случае передачи звонка служащему или подразделению.
Пояснения/заметки: Атакующие могут использовать АТС компании для определения телефонных номеров служащих. Зная телефонные номера, атакующие могут убедить собеседников в том, что они являются служащими, и у них есть право на внутренюю информацию.
3-10 Блокировка голосовых ящиков после
попыток несанкционированного доступа
Политика: Запрограммируйте
корпоративную телефонную систему на
блокировку любого голосового ящика после
заданного количества попыток
несанкционированного доступа.
Пояснения/заметки: Администратор голосовой почты должен блокировать голосовой ящик после пяти неудачных попыток входа. Снятие блокировки голосовых ящиков должна выполняться администратором вручную.
3-11 Запрещенные номера
Политика: Все внутренние номера подразделений, которым обычно не звонят извне (help desk, машинный зал, техподдержка служащих), должны быть запрограммированы на прием исключительно внутренних звонков. Другой вариант: требовать от служащих и других авторизованных лиц, звонящих извне, вводить пароль.
Пояснения/заметки: Хотя такая политика блокирует большинство попыток социальных инженеров, следует заметить, что опытный атакующий может уговорить служащего позвонить на запрещенный номер, попросить перезвонить ему (атакующему) или просто сделать конференцию с запрещенным номером. Во время обучения по безопасности необходимо обсудить такой метод обмана, чтобы улучшить осведомленность служащих.
Разное
4-1 Дизайн значка (бэджика) служащего
Политика: Значок служащего должен включать в себя крупную фотографию, которую можно разглядеть на расстоянии.
Пояснения/заметки: Фотография на обычных корпоративных значках, с точки зрения безопасности, только немного лучше, чем ничего. Расстояние между человеком, проходящим в здание, и охранником обычно достаточно велико для того, чтобы узнать на маленькой фотографии проходящего мимо человека. Необходимо пересмотреть дизайн значка служащего, чтобы фотография была полезной в этой ситуации.
4-2 Пересмотр прав доступа после смены должности или ответственности
Политика: Всякий раз, когда меняется должность или мера ответственности служащего компании, его руководитель должен известить об этом IT-отдел для внесения соответствующих изменений в профиль безопасности.
Пояснения/заметки: Управление правами доступа персонала необходимо для ограничения доступа к защищенной информации. Правило наименьшей привилегии гласит: права, назначенные пользователям, должны быть минимально необходимыми для выполнения их работы. Любые запросы на предоставление дополнительных прав доступа не должны противоречить политике изменения прав доступа. Ответственность за извещение IT-отдела об изменении прав доступа накладывается на руководителя работника или отдел кадров.
4-3 Особая идентификация для сторонних лиц
Политика: Ваша компания предусмотреть специальный значок для курьеров и тех людей, которые не являются служащими, но кому нужен регулярный доступ в компанию.
Пояснения/заметки: Те, кто регулярно входит в здание (например, чтобы доставить еду или напитки в кафетерий, или отремонтировать копировальный аппарат, или установить телефон), могут представлять угрозу вашей компании. Кроме рассмотрения вопроса идентификации таких посетителей, обучите ваших служащих, как заметить (обращать внимание на) посетителя без значка и что делать в подобной ситуации.
4-4 Отключение (блокирование) учетных записей временных служащих
Политика: Всякий раз, когда временный служащий, для которого была создана учетная запись, выполнил свое задание, или когда срок действия контракта закончился, ответственный руководитель должен немедленно известить об этом IT-отдел, чтобы отключить учетную запись, включая любые учетные записи, используемые для доступа к базам данных, для соединения по коммутируемым линиям или через Интернет из удаленных мест.
Пояснения/заметки: Когда работа служащего прекращается, существует опасность, что он или она использует свои знания систем и порядков компании для получения доступа к данным. Все учетные записи, использовавшиеся работником, должны быть сразу отключены. Это относится ко всем учетным записям, предоставляющим доступ к производственной базе данных (продукции), коммутируемым линиям и устройствам, связанными с компьютерами.
4-5 Структура, работающая с отчетами об инцидентах
Политика: Для работы с отчетами об инцидентах должна быть выделена структура, а в маленьких компаниях – отдельный человек, которые будут получать и распределять предупреждения, касающиеся возможных инцидентов безопасности.
Пояснения/заметки: Централизованные отчеты об ожидаемых инцидентах безопасности помогут обнаружить атаку, которая могла бы остаться незамеченной. В случае систематически обнаруживаемых атак структура, работающая с отчетами об инцидентах, может определить цель атаки с тем, чтобы организовать защиту этих активов. Служащие, назначенные для получения отчетов об инцидентах, должны быть знакомы с методами и тактиками социальной инженерии, чтобы дать оценку отчету и опознать начавшуюся атаку
4-6 Горячая линия инцидентов
Политика: Для структуры или человека, которые работают с инцидентами безопасности, должна быть выделена горячая линия с легко запоминающимся телефонным номером.
Пояснения/заметки: Когда служащие подозревают, что они являются целью атаки социальной инженерии, у них должна быть возможность немедленно известить об этом структуру по работе с инцидентами безопасности. Для своевременного извещения у всех номер горячей лини должен быть записан телефонных операторов и администраторов. Система своевременного оповещения может существенно помочь организации в обнаружении начавшейся атаки и реагировании на нее. Следует обучить всех служащих немедленно звонить на горячую линию инцидентов в случае, если он или она является объектом атаки социальной инженерии. В соответствии с утвержденным распорядком, персонал по работе с инцидентами известит исполнительные группы о возможном вторжении. Для своевременного извещения телефон горячей линии инцидентов должен быть известен во всей компании.
4-7 Секретные области должны быть защищены
Политика: Охранник должен наблюдать за секретными участками и требовать две формы аутентификации.
Пояснения/заметки: Одна форма аутентификации использует электронный замок, который требует, чтобы служащий приложил свой значок и набрал код доступа. Лучший метод защиты секретных областей – поместить охранника, наблюдающего за всеми контролируемыми входами. В организациях, для которых цена такого способа велика, следует использовать две формы аутентификации для подтверждения личности. Исходя из риска и стоимости, рекомендуется доступ с биометрическим контролем.
4-8 Шкафы с сетевым и телефонным оборудованием
Политика: Шкафы или комнаты с сетевыми и телефонными кабелями, точки доступа к сети должны защищаться всегда.
Пояснения/заметки: Только авторизованный персонал должен иметь доступ к телефонным и сетевым шкафам. Любой внешний обслуживающий персонал должен пройти идентификацию согласно правилам, опубликованным подразделением, ответственным за информационную безопасность. Доступ к телефонным линиям, сетевым хабам, коммутаторам и другому оборудованию может использоваться атакующим для того, чтобы подвергнуть опасности компьютерную и сетевую безопасность.
4-9 Ящики внутренней почты
Политика: Ящики внутренней почты не
должны находиться в общедоступных местах.
Пояснения/заметки: Промышленные шпионы
или компьютерные взломщики, у которых есть
доступ к любым точкам сбора почты внутри
компании, могут отправить подделанные
письма или внутренние формы авторизации,
чтобы получить конфиденциальную
информацию или выполнить действие, которое
поможет атакующему. Кроме того, атакующий
может отправить по почте дискету или другой
носитель с инструкциями по установке
обновления программы или открытию файла с
макросами, работающими для взломщика.
Обычно любой запрос, полученный по
внутренней почте компании кажется
достоверным для получателя.
4-10 Доски объявлений компании
Политика: Доски объявлений работников компании не должны находиться в общедоступных местах.
Пояснения/заметки: Во многих компаниях есть доски объявлений где размещается конфиденциальная информация, доступная всем. Объявления о найме, списки служащих, внутренние приказы, домашние телефоны служащих и другая информация размещается на доске. Доски объявлений могут находиться около кафетериев компании или вблизи мест для курения, где имеется свободный доступ для посетителей. Такая информация не должна быть общедоступной.
4-11 Вход в компьютерный центр
Политика: Машинный зал или хранилище данных должно быть всегда закрыто, и персонал должен проходить проверку личности перед входом.
Пояснения/заметки: Корпоративная безопасность должна предусматривать применение электронных жетонов или устройств считывания карт доступа, так чтобы все входы фиксировались и проверялись.
4-12 Учетные записи пользователей у поставщиков услуг
Политика: Персонал компании, размещающий заказы у поставщиков критичных сервисов, должен иметь учетные записи с паролями, чтобы предотвратить размещение заказов на стороне компании от неавторизованных личностей.
Пояснения/заметки: Многие поставщики разрешают пользователям задавать пароль по требованию; компания должна задать пароли для всех поставщиков критичных сервисов. Эта политика особенна критична для провайдеров телекоммуникационных и Интернет-услуг. Для всех критичных сервисов необходимо убедиться, что звонящий имеет право размещать такие заказы. Обратите внимание на то, что для идентификации не следует использовать номер социальной защиты, корпоративный номер налогоплательщика, девичью фамилию матери и т.п. Социальный инженер может, например, позвонить в телефонную компанию и заказать такие услуги как переадресация звонков коммутируемых линий, или попросить Интернет-провайдера изменить трансляцию адресов, чтобы выдать фальшивый IP-адрес, когда пользователи выполняют поиск имени хоста.
4-13 Контактное лицо подразделения
Политика: Ваша компания может ввести программу, по которой каждое подразделение или рабочая группа назначит контактным лицом служащего, таким образом, любой работник может легко проверить личность неизвестного человека, утверждающего, что он из этого подразделения. Например, отдел технической поддержки может связаться с контактным лицом, чтобы проверить личность служащего, запросившего поддержку.
Пояснения/заметки: Этот метод проверки личности уменьшает число служащих, авторизованных ручаться за работников их подразделения, когда такие служащие делают запрос в службу поддержки по поводу сброса пароля или по другому вопросу, связанному с учетными записями. Атаки социальной инженерии отчасти успешны, потому что персонал техподдержки работает в условиях дефицита времени и не проверяет соответствующим образом личность людей, сделавших запрос.
4-14 Пароли пользователей
Политика: У представителей сервисной службы не должно быть возможности узнать пароли пользователей.
Пояснения/заметки: Социальные инженеры часто звонят в сервисную службу и под благовидным предлогом пытаются получить сведения об аутентификации пользователя, такие как пароль или номер социальной защиты. Располагая этими сведениями, социальный инженер может затем позвонить другому представителю сервисной службы, представиться пользователем и получить информацию или разместить обманные заказы. Во избежание таких попыток программное обеспечение сервисной службы должно допускать только ввод регистрационной информации, предоставленной звонящим, и получать ответ о правильности пароля.
4-15 Поиск уязвимостей
Политика: Во время обучения по безопасности требуется предупреждать о том, что компания использует тактики социальной инженерии для поиска уязвимостей.
Пояснения/заметки: Без предупреждения о попытках вторжения методами социальной инженерии персонал компании может испытывать неудобство, гнев или другие эмоциональные травмы от применения к ним обманных тактик другими служащими или наемными (временными, сезонными) работниками. Вы предотвратите подобные конфликты, предупредив новых работников о том, что в процессе адаптации они могут быть объектом проверки.
4-16 Отображение конфиденциальной информации компании
Политика: Информация компании, не предназначенная для огласки, не должна отображаться в общедоступных местах.
Пояснения/заметки: Не только конфиденциальная информация о продукте или распорядке, но и внутренняя контактная информация, такая как внутренние телефоны, списки служащих или , которая содержит список управляющего персонала каждого подразделения компании, должна храниться втайне.
4-17 Обучение безопасности
Политика: Все работники, нанятые компанией, должны пройти курс по безопасности во время периода адаптации (освоения). Кроме того, каждый служащий должен периодически проходить дополнительный курс, не реже, чем раз в год, в соответствии с требованиями подразделения, отвечающего за обучение по безопасности.
Пояснения/заметки: Многие организации пренебрегают обучением конечных пользователей. только 30% обследованных организаций потратили деньги на обучение пользователей. Обучение – необходимое требования для закрытия брешей безопасности, используемых социальными инженерами.
4-18 Курс безопасности для получения доступа к компьютерам
Политика: Персонал должен посещать и успешно сдавать курс по защите информации перед получением доступа к любой корпоративной компьютерной системе.
Пояснения/заметки: Социальные инженеры часто охотятся за новыми служащими, зная, что обычно это люди, наименее осведомленные о политиках безопасности компании и процедурах классификации и обработки секретной информации. При обучении у служащих должна быть возможность задавать вопросы о политиках безопасности. После обучения обладатель (владелец) учетной записи должен подписать документ, подтверждающий его понимание политик безопасности и согласие действовать в соответствии с этими политиками.
4-19 Значок служащего должен быть закодирован цветом (использовать цветовое обозначение)
Политика: Идентификационные знаки должны быть обозначены цветом, чтобы показать, что их обладатель является служащим, временным работником, поставщиком, консультантом, посетителем или студентом.
Пояснения/заметки: Цвет значка –
отличный способ для определения статуса
человека на расстоянии. Альтернативой
может быть использование больших букв для
указания статуса владельца значка, но
применение цветовой схемы исключает ошибки
и легче для восприятия. Распространенная
тактика социальной инженерии для получения
физического доступа в здание – нарядиться
курьером или специалистом по ремонту.
атакующий оденется как другой служащий или
солжет про свой статус, чтобы получить
поддержку от служащих, не вызывающих
подозрений. Цель данной политики –
предотвратить законный вход в здание людей
и последующее проникновение на территорию,
к которой у них нет доступа. Например,
человек, входящий в здание как специалист
по ремонту телефонии, не сможет
представиться служащим: цвет значка
подведет его.
{4-я часть}
Политика информационной безопасности
В любой фирме, отдел IT особо нуждается в правилах, которые помогут защитить данные фирмы. Чтобы отразить типичную структуру операций, связанных с информационными технологиями, я разделил их на "Основные", "Техническая поддержка", "Администрирование компьютеров" и "Компьютерные операции".
Основные
5-1 Контактные данные сотрудников отдела IT
Политика: Телефонные номера и адреса e-mail сотрудников отдела IT не должны быть сообщены тем, кого их не надо знать.
Пояснения/заметки: Это правило
предотвращает эксплуатацию контактных
данных социальным инженером. Запретив
доступ к контактным телефонам или e-mail'ам
сотрудников IT, посторонние не смогут
напрямую обратиться к персоналу отдела.
Адреса администраторов сайта и технической
поддержки должны состоять из стандартных
имен, вроде admin@companyname.com;
опубликованные номера телефонов должны
соединять звонящих с голосовой почтой, а не
индивидуальными сотрудниками.
Когда доступна прямая контактная
информация, взломщику становится проще
связаться с определенными сотрудниками
отдела IT, и обманом заставить их дать
информацию, которая может быть
использована для атаки, или для выдачи себя
за сотрудника, используя их имена и
контактную информацию
5-2 Просьбы о технической поддержке
Политика: Все просьбы о технической поддержке должны быть переданы отделу, который занимается такими просьбами.
Пояснения/заметки: Социальные инженеры могут попробовать атаковать сотрудников IT, которые обычно не занимаются технической поддержкой, и могут не знать о требованиях к безопасности, отвечая на подобные просьбы. Следовательно, сотрудники отдела IT должны быть обучены отклонять подобные просьбы, и направлять звонящего в отдел, ответственный за техническую поддержку.
Техническая поддержка
6-1 Процедуры удаленного доступа
Политика: Персонал технической поддержки не должен раскрывать подробности или инструкции удаленного доступа, включая точки доступа в локальную сеть и номера модемного пула, если:
Звонящий не подтвержден как человек, имеющий право получать внутрикорпоративные данные, и
Звонящим не разрешено подключаться к корпоративной сети как внешнему пользователю. Если звонящий не знаком лично, его личность надо подтвердить в соответствии в процедурами верификации, описанных в начале этой главы.
Пояснения/заметки: Корпоративная техническая поддержка нередко является главной целью социального инженера из-за того, что по природе своей работы они помогают людям, у которых проблемы с компьютерами и имеют системные привилегии. Весь персонал технической поддержки должен быть обучен действовать как "человеческий фаэрвол", чтобы предотвратить неавторизованное разглашение информации, которая поможет злоумышленникам получить доступ к данным компании. Это простое правило - никогда не разглашать процедуры удаленного доступа, не получив подтверждение личности.
6-2 Смена пароля
Политика: Пароль к пользовательскому аккаунту может быть изменен только по просьбе владельца аккаунта.
Пояснения/заметки: Один из наиболее часто используемых социальными инженерами сценариев - заставить кого-либо сменить пароль другого пользователя. Атакующий выдает себя за сотрудника, и говорит, что забыл или потерял пароль. Чтобы уменьшить возможность успешной атаки, сотрудник, получивший просьбу о смене пароля должен перезвонить сотруднику перед тем, как что-либо сделать; звонок должен быть совершен не на номер, оставленный просящим, а на номер, указанный в корпоративном телефонном справочнике. Смотрите процедуры верификации для более подробной информации.
6-3 Изменение прав доступа
Политика: Все просьбы по увеличению привилегий пользователя или прав доступа должны быть подтверждены в письменной форме менеджером владельца аккаунта. После произведения изменения, менеджеру по внутрикорпоративной почте должно быть послано подтверждение. Кроме того, такие запросы должны быть проверены в соответствии с процедурами проверки и верификации.
Пояснения/заметки: Как только взломщик
получил стандартный пользовательский
аккаунт, следующим шагом будет увеличение
привилегий, и атакующий получит полный
контроль над системой. Атакующий,
обладающий знаниями о процессе авторизации
может подделать
6-4 Добавление нового аккаунта
Политика: Просьба, касающаяся создания нового аккаунта для сотрудника или другого авторизованного человека должна быть сделана в письменной форме и подписана менеджером сотрудника, или отправлена по электронной почте с цифровой подписью. Такие просьбы должны быть подтверждены - рекомендуется отправить запрос по внутрикорпоративной почте.
Пояснения/заметки: Поскольку пароли и другая информация, необходимая для взлома является мишенью для воров, желающих получить доступ, необходимы некоторые предосторожности. Цель этого правила - предотвратить взломщика выдать себя за сотрудника или создавать запросы на новые аккаунты. Поэтому эти просьбы должны быть проверены с помощью процедур верификации и авторизации.
6-5 Получение новых паролей
Политика: К новым паролям следует обращаться как к конфиденциальной информации компании, и должны быть доставлены безопасными методами, к примеру лично, или службой доставки вроде UPS или FedEx. Смотрите правила передачи конфиденциальной информации.
Пояснения/заметки: Можно также использовать внутрикорпоративную почту, но рекомендуется отправлять пароли в конвертах, через которые не просвечивается содержимое. Предлагается также в каждом отделе назначить человека, который будет отвечать за получение новых аккаунтов и подтверждения личности тех, кто забыл пароль. В таких условиях, персонал технической поддержки всегда будет работать с меньшим количеством сотрудников, которые им известны.
6-6 Блокирование аккаунта
Политика: Прежде чем отключить аккаунт пользователя нужно удостовериться, что просьба была сделана авторизованным персоналом.
Пояснения/заметки: Цель этого правила - предотвратить подделку атакующим просьбу на блокирование аккаунта, а затем позвонить пользователю и попытаться устранить неисправность. Выдавая себя за техника, знавшего заранее о том, что пользователь не может подключиться, жертва поддается просьбе назвать свой пароль в процессе устранения неисправности.
6-7 Отключение сетевых портов или устройств
Политика: Ни один сотрудник не должен отключать сетевое устройство или порт по просьбе неверифицированного сотрудника технической поддержки.
Пояснения/заметки: цель этого правила - предотвращение подделки атакующим просьбы отключить сетевой порт, а затем позвонить сотруднику с целью установить неисправность в подключении к сети. Когда социальный инженер, выдавая себя за любезного техника, звонит, заранее зная о проблеме пользователя, жертва поддается просьбе назвать свой пароль в процессе устранения неисправности.
6-8 Разглашение процедур беспроводного доступа
Политика: Никто не должен разглашать процедуры доступа к корпоративной информации с помощью компьютерных сетей лицам, которым не разрешено подключаться к беспроводной сети.
Пояснения/заметки: Всегда проверяйте, разрешено ли звонящему подключаться к корпоративной сети , прежде чем предоставить ему информацию. Смотрите процедуры верификации и авторизации.
6-9 Сведения о неисправностях пользователей
Политика: Имена сотрудников, сообщивших о проблемах, связанных с компьютерами, не должны быть разглашены за пределами IT-отдела.
Пояснения/заметки: Используя типичный метод атаки, социальный инженер позвонит в отдел технической поддержки и попросит список имен людей, которые сообщали о проблемах с компьютером. Звонящий может выдать себя за сотрудника, поставщика, или сотрудника телефонной компании. Получив списки имен людей с проблемами, социальный инженер, выдав себя за сотрудника технической поддержки, свяжется с жертвой и скажет, что звонит, чтобы найти неисправность. В ходе разговора, атакующий заставит жертву сообщить ему нужную информацию или выполнить действия, ведущие к цели атакующего.
6-10 Выполнение команд или запуск программ
Политика: Персонал IT-отдела, имеющий привилегированные аккаунты, не должен выполнять команды или запускать приложения по просьбе любого человека, не знакомого лично.
Пояснения/заметки: Типичный метод установки трояна или вредоносного ПО - изменить имя файла на имя существующей программы, и позвонить в техническую поддержку, жалуясь на сообщение об ошибке при запуске программы. Атакующий убеждает сотрудника отдела технической поддержки запустить программу. Когда техник соглашается, вредоносная программа получает привилегии пользователя, выполняющего программу и выполняет операции, дающие атакующему те же привилегии, что и сотруднику технической поддержки. Это позволит атакующему получить контроль над сетью корпорации.
Это правило противодействует этой тактике, требуя от персонала проверять, является ли звонящий сотрудником прежде чем выполнить его просьбу.
{5-я часть}
7-1 Изменение глобальных прав доступа
Политика: Запрос на изменение глобальных прав доступа должен быть одобрен группой, ответственной за управление правами доступа в корпоративной сети.
Пояснения/заметки: Авторизованный персонал проанализирует каждый такой запрос, чтобы определить, не повлечет ли изменение за собой угрозу информационной безопасности. Если угроза существует, ответственный служащий сообщит о полученных выводах просителю, и они совместно примут решение о необходимых изменениях.
7-2 Запросы на удаленный доступ
Политика: Удаленный доступ должен предоставляться только тому персоналу, у которого есть доказанная необходимость в доступе к корпоративной сети извне. Запрос должен быть сделан руководителем служащего и подтвержден, как описано в разделе «Процедуры проверки и авторизации».
Пояснения/заметки: Определение необходимости доступа в корпоративную сеть извне авторизованным персоналом и предоставление доступа только тем, кому это необходимо, может существенно уменьшить риск и усилия по управлению удаленными пользователями. Чем меньше имеется людей с правом внешнего доступа, тем меньше возможных целей будет для атакующего. Не забывайте, что атакующий может выбрать в качестве цели удаленных пользователей, чтобы завладеть их соединением с корпоративной сетью, или позвонить от их имени.
7-3 Сброс паролей привилегированных учетных записей
Политика: Просьба сбросить пароль привилегированной учетной записи должна быть одобрена системным администратором, ответственным за компьютер, на котором существует эта учетная запись. Новый пароль должен быть отправлен по внутренней почте или передан лично.
Пояснения/заметки: Привилегированные учетные записи имеют доступ ко всем системным ресурсам и файлам, хранимым в компьютерной системе. Естественно, эти учетные записи должны быть наиболее защищенными.
7-4 Удаленный доступ персонала внешней поддержки
Политика: Не следует предоставлять информацию, относящуюся к удаленному доступу, или право удаленного доступа к компьютерным системам работникам внешней службы поддержки (например, персоналу поставщиков программного или аппаратного обеспечения) без проверки личности и авторизации. Если поставщику требуется привилегированный доступ для оказания поддержки, следует немедленно сменить пароль после окончания предоставления услуг.
Пояснения/заметки: Компьютерные взломщики могут представиться поставщиками, чтобы получить доступ к корпоративной сети. Следовательно, в дополнение к наличию права на проведение работ в системе надо проверить личность поставщика. Более того, как только работа сделана, необходимо закрыть вход в систему путем смены пароля ученой записи, использовавшейся поставщиком.
7-5 Сложная аутентификация для удаленного доступа к корпоративным системам
Политика: Все точки входа в корпоративную сеть извне должны быть защищены с использованием сложной аутентификации, такой как динамические пароли или биометрические характеристики.
Пояснения/заметки: Многие организации используют статические пароли как средство аутентификации удаленных пользователей. Эта практика опасна, так как компьютерные взломщики выбирают точку удаленного доступа, которая может оказаться слабым звеном в сети жертвы. Помните, что вы не знаете, когда ваш пароль станет известен еще кому-либо.
Таким образом, любая точка удаленного доступа должна быть защищена с использование сложной аутентификации, такой как синхронизируемые жетоны, смарт-карты, биометрические устройства, чтобы перехваченные пароли не представляли никакой ценности для атакующего. Когда аутентификация, основанная на динамических паролях, неудобна, пользователи должны точно придерживаться политики выбора сложных паролей.
7-6 Конфигурация операционной системы
Политика: Системные администраторы должны обеспечить конфигурацию операционной системы в соответствии с политикой безопасности.
Пояснения/заметки: Основной шаг к снижению риска – разработка и распространение политик безопасности, но в большинстве случаев необходимо их соответствие особенностям отдельного служащего. Тем не менее, некоторые политики, связанные с компьютерами, могут быть сделаны обязательными посредством настроек операционной системы, таких как длина пароля. Автоматизация политик безопасности с помощью параметров операционной системы дает независимое от человеческого фактора решение, улучшая безопасность организации в целом.
7-7 Обязательное окончание срока действия учетных записей
Политика: Все учетные записи должны иметь срок действия один год.
Пояснения/заметки: Цель данной политики – уменьшить количество неиспользуемых учетных записей, поскольку компьютерные взломщики обычно используют бездействующие учетные записи. Данный прием гарантирует, что учетные записи бывших или наемных работников автоматически блокируются. На усмотрение руководства, вы можете потребовать, чтобы служащие периодически проходили повторный курс обучения или пересматривали политики безопасности и письменно подтверждали свое согласие следовать им.
7-8 Общие адреса электронной почты
Политика: IT-отдел должен каждому подразделению организации выделить общий адрес электронной почты для связи с общественностью.
Пояснения/заметки: Общий адрес электронной почты может быть сообщен общественности секретарем по телефону или указан на веб-сайте компании. В противном случае каждый служащий будет сообщать свой адрес электронной почты людям, которым это действительно необходимо. На первой стадии атаки социальной инженерии атакующий часто пытается узнать телефонные номера, имена, должности служащих. В большинстве случаев эта информация находится в публичном доступе на веб-сайте компании или может быть получена по телефону. Создание общего голосового ящика и/или адреса электронной почты делает сложным сопоставление имен служащих и конкретных подразделений или должностных обязанностей.
7-9 Контактная информация для регистрации домена
Политика: При регистрации диапазона адресов или имен контактная информация не должна содержать данные конкретного служащего. Вместо этого следует указать общий адрес электронной почты и основной телефонный номер компании.
Пояснения/заметки: Цель данной политики – предотвратить злоупотребление контактной информацией со стороны компьютерных взломщиков. Когда указаны имена и телефонные номера конкретных людей, взломщик может использовать эту информацию, чтобы связаться с этими людьми и заставить их обманным путем выдать информацию о системе или выполнить действие, которое поможет достижению цели атакующего. А социальный инженер может представиться указанным человеком при попытке обмануть персонал другой компании. Вместо адреса электронной почты конкретного служащего следует указывать контактную информацию в виде administrator@company.com. Персонал отдела телекоммуникаций может создать общий голосовой ящик для административных или технических контактов, чтобы ограничить оглашение информации, которую можно использовать в атаке социальной инженерии.
7-10 Установка обновлений безопасности и обновлений операционной системы
Политика: Все обновления безопасности операционной системы и приложений следует устанавливать сразу после их появления. Если эта политика конфликтует с ответственными системами, такие обновления надо устанавливать, исходя из реальных возможностей.
Пояснения/заметки: Как только была обнаружена уязвимость, следует немедленно связаться с разработчиком программного обеспечения, чтобы выяснить, существует ли обновление или временное решение, которое устраняет уязвимость. Компьютерная система с наличием уязвимости представляет собой одну из самых серьезных угроз предприятию. Когда системные администраторы откладывают установку обновлений, у атакующего есть возможность овладеть системой.
Множество уязвимостей безопасности обнаруживаются, и сведения о них еженедельно публикуются в Интернете. До тех пор, пока IT-персонал не будет своевременно устанавливать все обновления безопасности, в корпоративной сети, даже если она находится за межсетевым экраном, может возникнуть инцидент безопасности. Чрезвычайно важно знать обо всех опубликованных уязвимостях безопасности операционной системы или приложений, используемых бизнесом.
7-11 Контактная информация на веб-сайтах
Политика: Внешний веб-сайт компании не должен открывать детали корпоративной структуры или содержать имена служащих.
Пояснения/заметки: Информация о корпоративной структуре, как то организационные диаграммы, иерархические диаграммы, списки служащих или подразделений, отчетная структура, имена, должности, внутренние номера телефонов, и т.п., не должна содержаться на публично доступных веб-сайтах. Компьютерные взломщики часто получают полезную информацию на целевом веб-сайте. Атакующий использует эту информацию, чтобы представиться служащим. Социальный инженер заслуживает больше доверия, располагая такой информацией. Более того, атакующий может проанализировать эти сведения, чтобы найти жертвы, имеющие доступ к конфиденциальной информации.
7-12 Создание привилегированных учетных записей
Политика: Не следует создавать привилегированные учетные записи или давать системные привилегии учетным записям без санкции системного администратора.
Пояснения/заметки: Компьютерные взломщики часто представляются поставщиками аппаратного или программного обеспечения, обманным путем заставляя IT-персонал создать несанкционированные учетные записи. Цель данной политики – блокировать подобные атаки, контролируя создание привилегированных учетных записей. Системный администратор должен одобрить запрос на создание учетных записей с повышенными привилегиями.
7-13 Гостевые учетные записи
Политика: Гостевые учетные записи следует заблокировать или удалить на всех компьютерах и сетевых устройствах, за исключением FTP-серверов, на которых разрешен анонимный доступ.
Пояснения/заметки: Гостевые учетные записи служат для предоставления временного доступа людям, которым не нужны собственные учетные записи. В некоторых операционных системах гостевая учетная запись разрешена по умолчанию. Гостевые учетные записи следует блокировать, поскольку их существование нарушает принцип идентификации пользователей. У IT-персонала должна быть возможность аудита любой компьютерной активности конкретных пользователей. Социальные инженеры легко могут использовать гостевые учетные записи для получения несанкционированного доступа самостоятельно или посредством обмана авторизованного персонала.
7-14 Шифрование резервных копий
Политика: Любые данные компании, которые хранятся на стороне, должны быть зашифрованы, чтобы предотвратить несанкционированный доступ.
Пояснения/заметки: Оперативный персонал должен убедиться в том, что все данные могут быть восстановлены в случае необходимости. Это требует регулярной проверки возможности расшифровки выборочного набора файлов. Кроме того, ключи, используемые для шифрования, должны храниться у доверенного менеджера на случай потери ключей.
7-15 Доступ посетителей к сетевым соединениям
Политика: Все публичные точки доступа Ethernet должны находиться в сегментированной сети для предотвращения несанкционированного доступа во внутреннюю сеть.
Пояснения/заметки: Цель данной политики – предотвратить подключение посторонних лиц к внутренней сети. Трафик от розеток Ethernet, установленных в конференц-залах, кафетериях, учебных центрах или других местах, доступных посетителям, следует фильтровать, чтобы предотвратить несанкционированный доступ в корпоративную сеть. Сетевой администратор или администратор безопасности может построить виртуальную сеть на коммутаторе для контроля доступа из этих мест.
7-16 Модемы для входящих соединений
Политика: Модемы, используемые для входящих соединений, следует настроить на ответ не ранее, чем после четвертого звонка.
Пояснения/заметки: Как показано в фильме «Военные игры», хакеры используют способ, называемый «war dialing», чтобы обнаружить телефонные линии, к которым подключены модемы. Процесс начинается с определения префиксов, используемых на территории, где размещается целевая компания. Затем используется сканирующая программа для обнаружения телефонных номеров, на которых отвечает модем. Для ускорения процесса программы конфигурируются на ожидание одного или двух звонков для ответа модема, прежде чем перейти на следующий номер. Когда компания устанавливает автоматический ответ модема не ранее, чем после четырех звонков, программа-сканер не обнаружит модем на линии.
7-17 Антивирусные программы
Политика: На каждом компьютере должна быть установлена и задействована современная версия антивируса.
Пояснения/заметки: На предприятиях, где антивирус на рабочих станциях не обновляется автоматически, отдельные пользователи должны отвечать за установку и эксплуатацию антивирусной программы, включая компьютеры, используемые для удаленного доступа в корпоративную сеть. По возможности, программа должна быть настроена на обновление антивирусных баз каждой ночью. Если антивирусные базы не распространяются на рабочие станции, пользователи обязаны обновлять их по крайней мере каждую неделю. Данные условия относятся ко всем настольным и портативным компьютерам компании, служебным и личным.
7-18 Вложения входящей почты (высокие требования безопасности)
Политика: В организации с высокими требованиями безопасности корпоративный межсетевой экран должен фильтровать все вложения электронной почты.
Пояснения/заметки: Данная политика относится только к организациям с высокими требованиями безопасности или к тем компаниям, которым не требуется получение вложений электронной почты.
7-19 Проверка программного обеспечения
Политика: Все новые программы или обновления программ, на физических носителях или полученные через Интернет, должны пройти проверку подлинности перед установкой. Данная политика особенно важна для IT-отдела, когда установка программного обеспечения требует системных привилегий.
Пояснения/заметки: Программное обеспечение, упоминаемое в данной политике, включает в себя компоненты операционной системы, прикладные программы или любые обновления. Многие разработчики программного обеспечения предоставляют методы, посредством которых пользователи могут проверить целостность дистрибутива, обычно с помощью цифровой подписи. Во всех случаях, когда целостность не может быть проверена, следует убедиться у разработчика в подлинности программного обеспечения. Известно, что компьютерные взломщики отправляют программу жертве в том виде, как это делает производитель. Важно убедиться перед установкой в подлинности любой полученной программы, особенно если она поступила без запроса.
Обратите внимание на то, что опытный атакующий может узнать, что ваша организация заказала программное обеспечение у разработчика. Располагая такой информацией, атакующий может отменить заказ у разработчика и заказать его самостоятельно. Затем программа изменяется так, чтобы выполнить некоторую вредоносную функцию, и доставляется в вашу компанию в оригинальной упаковке. После установки продукта атакующий владеет ситуацией.
7-20 Пароли по умолчанию
Политика: У всех операционных систем и устройств пароль по умолчанию должен быть сброшен в соответствии с политикой паролей компании.
Пояснения/заметки: Некоторые операционные системы и компьютерные устройства поставляются с паролями по умолчанию, то есть такой же пароль установлен на каждом проданном экземпляре. Во время атаки взломщик в первую очередь использует пароль по умолчанию.
7-21 Блокировка неудачных попыток доступа (с уровень безопасности от низкого до среднего)
Политика: В организациях с уровнем безопасности от низкого до среднего учетная запись должна блокироваться на некоторое время после заданного числа неудачных попыток входа.
Пояснения/заметки: Все рабочие станции и серверы компании должны ограничивать число неудачных попыток входа. Данная политика необходима для предотвращения попыток отгадать пароль, атаки по словарю или методом перебора. Системные администраторы должны настроить параметры безопасности на блокировку учетной записи, если было достигнуто заданное число попыток неудачного входа. Рекомендуется блокировать учетную запись по крайней мере на тридцать минут после семи попыток входа.
7-22 Отключение учетной записи после неудачных попыток входа (высокий уровень безопасности)
Политика: В организации с высоким уровнем безопасности учетная запись должна отключаться после заданного числа неудачных попыток входа до ее восстановления группой, ответственной за работу с учетными записями.
Пояснения/заметки: Все рабочие станции и серверы компании должны ограничивать число неудачных попыток входа. Данная политика необходима для предотвращения попыток отгадать пароль, атаки по словарю или методом перебора. Системные администраторы должны настроить параметры безопасности на отключение учетной записи после пяти попыток неудачного входа. После такой атаки владелец учетной записи вынужден будет позвонить в службу технической поддержки или в группу, ответственную за работу с учетными записями. Перед восстановлением ответственное подразделение должно убедиться в подлинности владельца учетной записи, используя процедуры проверки и аутентификации.
7-23 Периодическая смена паролей привилегированных учетных записей
Политика: Все владельцы привилегированных учетных записей должны менять свои пароли по крайней мере через каждые тридцать дней.
Пояснения/заметки: В зависимости от ограничений операционной системы, системный администратор должен осуществить данную политику настройкой параметров безопасности.
7-24 Периодическая смена паролей пользователей
Политика: Все владельцы учетных записей должны менять свои пароли по крайней мере через каждые шестьдесят дней.
Пояснения/заметки: Системные администраторы должны осуществить данную политику настройкой параметров безопасности операционных систем, имеющих такую возможность.
7-25 Установка паролей новых учетных записей
Политика: Для новых учетных записей следует задавать начальный пароль, который требуется сменить при первом входе в систему.
Пояснения/заметки: Данное требование гарантирует, что только владелец учетной записи будет знать свой пароль.
7-26 Загрузочные пароли
Политика: Все компьютерные системы должны быть настроены так, чтобы требовать пароль при загрузке.
Пояснения/заметки: Компьютеры должны быть настроены так, чтобы требовать пароль после включения, до загрузки операционной системы. Это предотвращает несанкционированное использование компьютеров посторонними лицами. Данная политика применяется ко всем компьютерам компании.
7-27 Требования к паролям привилегированных учетных записей
Политика: Привилегированные учетные записи М1 должны иметь сложные пароли:
пароль не
должен быть словом, которое можно найти в
словаре на каком-либо языке;
пароль должен быть комбинацией верхнего и нижнего регистра, по крайней мере, одна буква, один символ, одна цифра;
пароль не должен иметь никакого отношения к компании или человеку.
Пояснения/заметки: В большинстве случаев компьютерные взломщики выбирают учетные записи с системными привилегиями. Иногда атакующий использует другие уязвимости для получения полного контроля над системой. Первые пароли, которые попробует взломщик, представляют собой простые, широко используемые слова из словаря. Применение сильных паролей уменьшает шансы атакующего отгадать пароль атакой по словарю или методом перебора.
7-28 Беспроводные точки доступа
Политика: Все пользователи беспроводной сети должны использовать технологию VPN (Virtual Private Network – виртуальная частная сеть) для защиты корпоративной сети.
Пояснения/заметки: Беспроводные сети атакуются с помощью новой технологии «war driving». Данная технология заключается в том, что беспроводная сеть ищется с помощью ноутбука, имеющего сетевую карту 802.11b, во время обычной езды на машине или прогулки пешком. Многие компании разворачивают беспроводные сети без использования протокола WEP (wireless equivalency protocol), используемого для защиты беспроводного соединения посредством шифрования. Но даже текущая версия WEP (середина 2002 г.) неэффективна: она была взломана, и некоторые веб-сайты предлагают средства обнаружения открытых беспроводных систем и взлома беспроводных точек доступа, использующих WEP. Следовательно, протокол 802.11b важно дополнить еще одним уровнем защиты, развернув технологию VPN.
7-29 Обновление антивирусных баз
Политика: На каждом компьютере антивирусные базы должны обновляться автоматически.
Пояснения/заметки: Такие обновления должны выполняться, по крайней мере, еженедельно. В организациях, где служащие оставляют свои компьютеры включенными, рекомендуется обновлять антивирусные базы ночью. Антивирусные программы неэффективны, если не обновляются. Важно, чтобы антивирусные программы своевременно обновлялись, иначе существенно возрастает угроза{6-я часть}
Операции с компьютером
8-1 Ввод команд и запуск программ
Политика: Сотрудники, работающие с
компьютером не должны запускать программы
или вводить команды по просьбе неизвестных
людей. В случае если неизвестное лицо имеет
вескую причину для выполнения подобных
действий, необходимо предварительно
получить разрешение руководителя.
Пояснения/заметки: Персонал, работающий с компьютером – излюбленная мишень социальных инженеров, поскольку для их работы обычно требуются определенные привилегии в системе, и, скорее всего, они менее осведомлены о процедурах компании, чем другие работники отдела ИТ. Назначение данной политики – ввод дополнительных проверок, позволяющих остановить злоумышленников, обманывающих операторов ПК.
8-2 Сотрудники, имеющие привилегированное положение
Политика: Сотрудники, имеющие привилегированный аккаунт не должны давать справок и выполнять просьбы неизвестных лиц. В частности это относится к оказании помощи при работе с компьютером, обращении к любой базе данных компании или раскрытию сотрудников, обладающих правом удаленного доступа.
Пояснения/заметки: Социальные инженеры часто используют сотрудников с привилегированным доступом. Назначение данного правила - научить таких сотрудников правильно реагировать на вызовы, которые могут являться социнженерными атаками.
8-3 Информация о внутренней системе
Политика: Персонал, работающий с компьютером не должен разглашать информацию, связанную с используемым в компании оборудованием, топологию сети и т. д. без предварительной проверки личности запрашивающего лица.
Пояснения/заметки: Взломщики часто обращаются к системным администраторам чтобы получить ценную информацию, такую как процедуры входа в систему, точки удаленного доступа и телефонные номера для модемной связи.
Запросы к персоналу компании о внутреннем устройстве корпоративной информационной системы и связанных устройствах должны восприниматься как подозрительные. Необходимо определить, в соответствии с корпоративной политикой классификации данных, может ли запрашивающее лицо получить подобную информацию. Если класс, к которому принадлежит необходимая информация не может быть установлен, она должна считаться конфиденциальной.
В некоторых случаях сотрудники внешних компаний-поставщиков могут обращаться к персоналу, имеющему доступ к корпоративной информационной системе. Поставщики должны иметь специальных контактных лиц в IT-отделе, для обеспечения дополнительной надежности проверки личности.
8-4 Предоставление
паролей
Политика: Сотрудники не должны сообщать кому-либо свои пароли, или другие пароли, доверенные им, без соответствующего разрешения управляющего.
Пояснения/заметки: Другими словами, передача паролей кому-либо строго запрещена (за исключением чрезвычайных ситуаций, когда это необходимо)
Для большей безопасности,
ответственность за разглашение учетной
информации закрепляется за небольшой
группой людей, прошедших специальную
подготовку по защите от социнженерных атак.
Политика: Все электронные носители, содержащие информацию, не предназначенную для публичного доступа, должны находиться в физически защищенном помещении.
Пояснения/заметки: Цель этой политики – предотвратить физическое хищение носителей с ценной информацией.
8-6 Резервные
копии
Политика: Резервные носители должны храниться в сейфе компании или другом защищенном месте.
Пояснения/заметки: Резервные копии – еще одна основная цель компьютерных взломщиков. Атакующий не будет тратить время на анализ уязвимой компьютерной системы или сети если слабое звено цепи – плохо защищенные резервные носители – уже присутствует. Атакующий может воспользоваться любой частью украденной информации, если она не является зашифрованной. Поэтому обеспечение физической недоступности резервных носителей для непроверенных людей является одной из важнейших задач компании.
В независимости от подразделения компании, в котором работает тот или иной сотрудник, он должен быть ознакомлен с рядом правил. Эти правила подразделяются на Общие, По пользованию компьютером, Электронной почтой, правила для телеоператоров, правила пользования телефоном, факсом, голосовой почтой и паролями.
Общие правила
9-1 Сообщения о подозрительных вызовах
Политика: Сотрудники, подозревающие факт нарушения политики безопасности, включая любые подозрительные просьбы о предоставлении информации или выполнении действий на компьютере, должны немедленно сообщить об этом группе реагирования на чрезвычайные ситуации.
9-2 Документирование
подозрительных вызовов
Политика: В процессе телефонного разговора, который, по мнению сотрудника является подозрительным, он может попытаться разговорить собеседника так что тот раскроет информацию, позволяющую сделать выводы о целях, которые он пытается достигнуть, и сделать соответствующие пометки в журнале.
Пояснения/заметки: Собранные таким образом сведения могут помочь группе оперативного реагирования установить мотив взлома или личность атакующего.
9-3 Предоставление
номеров телефонов
модемного пула
Политика: Персонал компании не должен сообщать номера модемных пулов удаленного доступа, но должен всегда направлять такие запросы в центр технической поддержки.
Пояснения/заметки: Номера телефонов
модемного доступа должны расцениваться как
Внутренняя информация, которая может быть
доступна только сотрудникам, нуждающимся в
ней для выполнения своих должностных
обязанностей.
Социальные инженеры часто нацеливаются
на наименее защищенных сотрудников и
подразделения, в отношении необходимой
информации. Например,
атакующий может позвонить в бухгалтерию,
притворяясь сотрудником телефонной
компании, который пытается решить проблему
со связью. Затем атакующий запрашивает
известный номер факса или модемного пула
для разрешения проблемы. Для этого часто
выбираются сотрудники, которые плохо
представляют себе опасность разглашения
подобной информации.
9-4 Корпоративные
идентификаторы
(badges)
Политика: Кроме случаев, когда сотрудники находятся непосредственно в зоне своего рабочего места, они должны иметь при себе корпоративные идентификаторы.
Пояснения/заметки: Все сотрудники, включая управляющий персонал и директоров, должны понимать, что ношение идентификационных бейджев обязательно везде, кроме общественных мест и зоны работы сотрудника.
9-5 Отслеживание нарушений, связанных с ношением идентификаторов
Политика: Все сотрудники должны немедленно сообщать о незнакомых людях, находящихся на территории компании без корпоративного идентификатора или карточки посетителя.
Пояснения/заметки: Вряд ли какая-либо компания желает создать такую корпоративную культуру, когда каждый сотрудник ищет любой способ уличить своего коллегу в том, что последний вышел в коридор без своего бейджа, тем не менее всякая компания, озадаченная проблемой защиты информации должна серьезно воспринимать риск появления социального инженера. Мотивацией для сотрудников, помогающих ввести политику постоянного ношения идентификаторов может быть размещение в корпоративной газете или доске почета; сокращенный рабочий день с доплатой и др.
9-6 Проникновение
через защитные
системы
Политика: Сотрудники, проходящие в защищенное помещение не должны позволять неизвестным людям проходить следом за ними, в случае если для проникновения в помещение используется ключ.
Пояснения/заметки: Сотрудники компании должны понимать, что не является грубостью требовать от неизвестных людей удостоверения их личности перед тем, как помочь им пройти в здание или защищенную зону.
Социальные инженеры часто пользуются техникой, известной как piggybacking, когда они сначала ожидают какого-либо сотрудника, проходящего в защищенную зону, и затем просто проходят следом. Большинство людей чувствуют себя неловко, предполагая что вошедший является законным сотрудником, и не требуют от него подтверждения личности. Другая подобная техника заключается в том, что социальный инженер берет несколько коробок, в то время как ничего не подозревающий сотрудник открывает дверь чтобы помочь.
9-7 Уничтожение
важных документов
Политика: Важная документация, утратившая необходимость должна быть измельчена в уничтожителе; другие носители информации, включая жесткие диски, когда либо содержащие важную информацию должны быть уничтожены в соответствии с процедурами, установленными ответственной группой.
Пояснения/заметки: Обычные уничтожители некачественно выполняют свою работу, в то время как перекрестные (cross-shredders) превращают документы в пыль. Представьте, как ваши главные конкуренты могли бы копаться в выброшенных материалах, пытаясь найти что либо выгодное для себя.
9-8 Персональные
идентификаторы
Политика: Персональные данные, такие как табельный номер, номер социального страхования, номер водительского удостоверения сотрудника, дата и место его рождения и даже девичья фамилия матери никогда не должны использоваться как данные для проверки доступа. Эти данные не являются секретными и могут быть получены множеством способов.
Пояснения/заметки: Социальный инженер
может добыть персональную информацию за
деньги. На самом деле, несмотря на всеобщее
мнение, любой человек с кредитной картой и
доступом в Интернет может получить
некоторые личные данные.
Но не смотря на опасность, банки и сервисные
компании часто используют эти
идентификаторы. И это - одна из причин, из-за
которых похищение личности - самое
быстро растущее преступление десятилетия.
9-9 Схема
предприятия
Политика: Детали, показанные на схеме внутреннего устройства компании не должны предоставляться никому, кроме сотрудников.
Пояснения/заметки: Информация о корпоративной структуре включает схемы предприятия, иерархические диаграммы, списки сотрудников, отчетные структуры, внутренние телефонные номера, номера сотрудников, и др.
На первом этапе социнженерной атаки целью является собрать информацию о структуре атакуемой компании. Эта информация затем используется для составления плана и стратегии атаки. Атакующий может также проанализировать эту информацию чтобы определить кто из сотрудников с наибольшей вероятностью владеет необходимой ему информацией. В процессе проведения атаки подобная информация позволяет атакующему выдать себя за действительного сотрудника, повышая свои шансы на успех.
9-10 Частная
информация о сотрудниках
Политика: Любая просьба касающаяся
личной информации сотрудника должна быть
перенаправлена в отдел кадров
Пояснения/заметки: Исключением может
быть только номер телефона сотрудника, с
которым надо немедленно связаться по делу.
Но предпочтительнее узнать номер звонящего,
и попросить сотрудника ему перезвонить.
{7-я часть}
Использование компьютера
10-1 Ввод команд
Политика: Персонал компании не должен вводить команды в компьютер или компьютерное оборудование по просьбе другого человека, если проситель не подтвердил, что он является служащим IT-отдела.
Пояснения/заметки: Один из распространенных способов социальных инженеров – просьба ввести команду, которая меняет конфигурацию системы, позволяет атакующему получить доступ к компьютеру жертвы без аутентификации или позволяет атакующему получить информацию, которая может облегчить техническую атаку.
10-2 Соглашения о внутренних наименованиях
Политика: Служащие не должны раскрывать внутренние имена компьютеров или баз данных, не проверив, что проситель работает на компанию.
Пояснения/заметки: Социальные инженеры иногда пытаются узнать имена компьютеров компании; как только имена станут известны, атакующий звонит в компанию и представляется законным служащим, у которого возникла проблема с доступом к одной из систем. Зная внутреннее имя, присвоенное конкретной системе, социальный инженер заслуживает доверие.
10-3 Просьбы запустить программы
Политика: Персонал компании не должен запускать никакие компьютерные приложения или программы по просьбе другого человека, если проситель не подтвердил, что он является служащим IT-отдела.
Пояснения/заметки: Любой просьбе запустить программы, приложения или выполнить любое действие на компьютере следует отказать, если проситель не доказал, что он является служащим IT-отдела. Если запрос связан с раскрытием конфиденциальной информации из любого файла или электронного письма, ответ на запрос должен выполняться в соответствии с порядком оглашения конфиденциальной информации. См. политику разглашения информации.
Компьютерные взломщики обманом заставляют людей запускать программы, дающие возможность взломщику управлять системой. Когда ничего не подозревающий пользователь запускает программу, полученную от атакующего, взломщик может получить доступ к компьютеру жертвы. Другие программы записывают действия пользователя и передают информацию атакующему. В то время как социальный инженер может обманом заставить человека выполнить разрушительные команды, технически обоснованная атака заставляет операционную систему компьютера выполнить команды с таким же эффектом.
10-4 Загрузка или установка программ
Политика: Персонал компании не должен загружать или устанавливать программы по запросу другого человека, если проситель не подтвердил, что он является служащим IT-отдела.
Пояснения/заметки: Служащих должна насторожить необычная просьба, связанная с любым видом компьютерных действий. Социальные инженеры часто обманным путем заставляют жертву загрузить и установить программу, которая помогает атакующему скомпрометировать компьютер или сеть. В некоторых случаях программа может незаметно следить за пользователем или позволить атакующему управлять компьютером удаленно с использованием скрытого приложения.
10-5 Пароли в текстовом виде и электронная почта
Политика: По электронной почте следует отправлять пароли только в зашифрованном виде.
Пояснения/заметки: Хотя это не рекомендуется, данная политика может не использоваться сайтами электронной коммерции в определенных случаях: при отправке паролей пользователям, зарегистрировавшимся на сайте; при отправке паролей пользователям, которые потеряли или забыли свои пароли.
10-6 Защитные программы
Политика: Персоналу компании не следует удалять или отключать антивирусы, сетевые экраны или другие защитные программы без одобрения IT-отдела.
Пояснения/заметки: Пользователи иногда отключают защитные программы без веских оснований, считая, что это повысит производительность компьютера. Социальный инженер может попытаться обманным путем заставить служащего отключить или удалить программу, необходимую для защиты.
10-7 Установка модемов
Политика: Не следует подключать модем к компьютеру без одобрения IT-отдела.
Пояснения/заметки: Важно осознать, что модемы на рабочем месте представляют серьезную угрозу безопасности, особенно в корпоративной сети. Следовательно, эта политика управляет процедурой подключения модема.
Хакеры используют способ, называемый «war dialing», чтобы обнаружить активные модемные линии среди диапазона телефонных номеров. Подобный способ может применяться для обнаружения телефонных номеров с модемами на предприятии. Атакующий может легко скомпрометировать корпоративную сеть, если он или она обнаружит компьютер с модемом и уязвимой программой удаленного доступа, в которой пароль легко отгадывается или отсутствует.
10-8 Настройки автоответчика модема
Политика: На компьютерах с модемами, подключенными с согласия IT-отдела, должна быть отключена возможность автоответчика для предотвращения наборного доступа к компьютеру.
Пояснения/заметки: По возможности, IT-отдел должен развернуть модемный пул для служащих, которым нужно звонить во внешние компьютерные системы с помощью модема.
10-9 Средства взлома
Политика: Служащим не следует загружать или использовать средства для взлома защиты программного обеспечения.
Пояснения/заметки: В Интернете множество сайтов со средствами для взлома условно-бесплатных и коммерческих программных продуктов. Использование этих средств не только нарушает право собственности, но и очень опасно. Поскольку эти программы появляются из неизвестных источников, они могут содержать скрытый вредоносный код, который причинит ущерб компьютеру или содержать троянского коня, дающего создателю программы доступ к компьютеру пользователя.
10-10 Размещение информации компании онлайн
Политика: Служащим не следует размещать в телеконференциях, на форумах, досках объявлений подробности, касающиеся аппаратного или программного обеспечения компании, а также публиковать контактную информацию, запрещенную данной политикой.
Пояснения/заметки: Любое сообщение, размещенное в Usenet, на форумах, досках объявлений или в рассылках, можно найти, собирая информацию о целевой компании или человеке. На исследовательской стадии атаки социального инженера атакующий может искать в Интернете любые сообщения, содержащие полезные сведения о компании, ее продуктах или ее людях. Некоторые сообщения содержат очень ценную информацию, которую может использовать атакующий. Например, администратор сети может задать вопрос о конфигурировании сетевого экрана конкретной модели определенного производителя. Атакующий, который обнаружит это сообщение, приобретет ценные знания о типе и конфигурации сетевого экрана компании; это позволит ему обойти защиту при получении доступа к сети предприятия.
Этой проблемы можно избежать внедрением политики, которая разрешает служащим размещать сообщения в телеконференциях анонимно, не указывая на компанию. Естественно, политика должна запрещать размещение контактной информации, указывающей на компанию.
10-11 Дискеты и другие электронные носители
Политика: Не следует вставлять в любую компьютерную систему электронные носители, дискеты или компакт-диски, которые оставлены на рабочем месте или на столе служащего, а их источник неизвестен.
Пояснения/заметки: Один из методов, применяемых атакующими для установки вредоносного кода, – поместить программы на дискету или компакт-диск и пометить его привлекательной надписью (например, «Данные по зарплате персонала – Конфиденциально»). Затем несколько копий оставляют на местах нахождения служащих. Если одна из копий вставлена в компьютер и открыты файлы, выполняется вредоносный код атакующего. Это может создать черный ход, используемый для компрометации системы или нанесения другого вреда сети.
10-12 Уничтожение электронных носителей
Политика: Перед выбросом любого электронного носителя, содержавшего секретную информацию компании, его следует размагнитить или повредить без возможности восстановления, даже если информация была удалена.
Пояснения/заметки: Хотя сегодня наиболее распространено уничтожение твердых копий документов, работники компании могут не придавать значения угрозе выброшенных электронных носителей, содержавших секретные данные. Компьютерные взломщики пытаются восстановить любые данные, хранящиеся на выброшенных электронных носителях. Работники могут полагать, что после обычного удаления файлов восстановить их невозможно. Это предположение абсолютно неверно – конфиденциальная бизнес-информация может попасть в нечистые руки. Следовательно, все электронные носители, содержащие или содержавшие секретную информацию, должны быть очищены или разрушены согласно порядку, утвержденному ответственной группой.
10-13 Хранители экрана, защищенные паролем
Политика: Все пользователи должны установить пароль хранителя экрана и время бездействия по истечении которого компьютер блокируется.
Пояснения/заметки: Все служащие обязаны установить пароль хранителя экрана время бездействия не более 10 минут. Цель данной политики – не допустить использование компьютера неавторизованным лицом. Кроме того, данная политика защищает компьютерные системы компании доступа посторонних людей, проникших в здание.
10-14 Положение о неразглашении паролей
Политика: Перед созданием новой учетной записи служащий или наемный работник должен письменно подтвердить, что он или она не будет сообщать пароль кому-либо и что он или она согласен следовать этой политике.
Пояснения/заметки: Соглашение также должно содержать предупреждение о том, что нарушение соглашения может привести к дисциплинарному взысканию, вплоть до увольнения.
Использование электронной почты
11-1 Вложения электронной почты
Политика: Вложения электронной почты не следует открывать, если они не требовались для работы или не были посланы доверенным лицом.
Пояснения/заметки: Все вложения должны быть досконально изучены. Вы можете потребовать от доверенного лица уведомления об отправке, прежде чем получатель откроет вложение. Это уменьшит риск применения атакущими тактик социальной инженерии, с помощью которых людей заставляют открыть вложения.
Один из методов компрометации компьютерной системы заставляет служащего запустить вредоносную программу, которая создает уязвимость, предоставляющую доступ к системе. С помощью вложений, содержащих исполняемый код или макрос, атакующий может получить доступ к компьютеру пользователя. Социальный инженер может отправить вредоносное вложение, позвонить и попытаться убедить получателя открыть вложение.
11-2 Автоматическая переадресация на внешние адреса
Политика: Автоматическая переадресация входящей почты на внешние электронные адреса запрещается.
Пояснения/заметки: Цель данной политики – предотвратить получение посторонним лицом электронной почты, отправленной на внутренний адрес. Служащие обычно устанавливают переадресацию своей входящей почты на внешний электронный адрес, когда они находятся вне офиса. Или атакующий может обманным путем заставить служащего установить переадресацию на внешний адрес. Затем атакующий может выдавать себя за настоящего служащего, имеющего внутренний почтовый адрес, и просить людей отправить секретную информацию на внутренний адрес.
11-3 Пересылка электронной почты
Политика: Любая просьба от неизвестного человека переслать электронное сообщение другому неизвестному человеку требует подтверждения личности просителя.
11-4 Проверка электронной почты
Политика: Электронное сообщение, появившееся от доверенного лица и содержащее просьбу предоставить конфиденциальную информацию или выполнить действие на любом компьютерном оборудовании, требует дополнительной формы аутентификации. См. процедуры проверки и аутентификации.
Пояснения/заметки: Атакующий легко может подделать электронное письмо и его заголовок, чтобы оно появилось как письмо, отправленное с другого адреса. Атакующий также может отправить электронное сообщение из скомпрометированной компьютерной системы, предоставляя поддельную авторизацию для раскрытия информации или выполнения действия. Вы не сможете выявить электронные сообщения из скомпрометированной компьютерной системы, даже изучив заголовок письма.
{8-я часть}
Использование телефонов
12-1. Участие в телефонных опросах
Политика: Служащие не должны участвовать в телефонных опросах, отвечая на вопросы сторонней организации или человека.Подобные запросы следует направлять в отдел по связям с общественностью или назначенному человеку.
Пояснения/заметки: Социальные инженеры для получения ценной информации звонят служащим под предлогом телефонного опроса. Удивительно, как много людей рады предоставить информацию о компании и о себе постороннему человеку, когда верят, что участвуют в настоящем опросе. Среди невинных вопросов могут встретиться несколько вопросов, на которые нужен ответ атакующему. В итоге такая информация может использоваться для компрометации корпоративной сети.
12-2. Разглашение внутренних телефонов
Политика: Если неизвестный человек спрашивает у служащего его телефонный номер, то служащий может принять разумное решение, нужно ли это для бизнеса компании.
Пояснения/заметки: Цель данной политики – потребовать от служащих принятия обоснованных решений о необходимости сообщать свой телефонный номер. Когда дело связано с людьми, у которых нет реальной необходимости знать номер, безопаснее всего сообщить главный телефон компании, с которого переведут звонок.
12-3. Пароли голосовых почтовых ящиков
Политика: Запрещается оставлять в голосовых ящиках сообщения со сведениями о пароле.
Пояснения/заметки: Социальный инженер часто может получить доступ к голосовому ящику служащего, потому что тот защищен легко угадываемым кодом доступа. Один из типов атаки позволяет опытному взломщику создать собственный ящик и уговорить служащего оставить сообщение со сведениями о пароле. Данная политика исключает такой обман.
Использование факсов
13-1. Перенаправление факсов
Политика: Никакой полученный факс не может быть перенаправлен сторонним лицам без проверки личности просителя.
Пояснения/заметки: Похитители информации могут обманным путем заставить доверенных служащих отправить конфиденциальную информацию на факс, расположенный в помещении компании. Перед тем, как дать номер факса жертве, мошенник звонит ничего не подозревающему служащему, например, секретарю, и спрашивает, можно ли отправить им факс для последующего перенаправления. После получения служащим факса атакующий звонит ему и просит отправить факс в другое место, утверждая, что он нужен для срочного заседания. Человек, которого просят переслать факс, выполняет просьбу, поскольку не догадывается о ценности информации.
13-2. Проверка авторизации факса
Политика: Прежде чем выполнять какие-либо инструкции, полученные по факсу, следует убедиться, что отправитель является служащим или другим доверенным лицом. Обычно достаточно звонка отправителю, чтобы подтвердить запрос.
Пояснения/заметки: Служащие должны проявлять бдительность, когда поступают необычные запросы по факсу, такие как просьба ввести компьютерные команды или раскрыть некоторую информацию. Данные в заголовке факса могут быть подделаны с помощью настроек факса на стороне отправителя. Следовательно, заголовок факса не должен рассматриваться как средство проверки подлинности.
13-3. Отправка конфиденциальной информации факсом
Политика: Перед отправкой конфиденциальной информации факсом в место нахождения другого персонала, отправитель должен отправить обложку. Получатель отправляет страницу в ответ, показывая свое физическое присутствие на приемной стороне. Отправитель затем передает факс.
Пояснения/заметки: Этот процесс квитирования показывает отправителю, что физическое присутствие получателя на приемной стороне. Более того, данный процесс подтверждает, что факс не был перенаправлен в другое место.
13-4. Передача паролей факсом запрещается
Политика: Пароли не должны отправляться факсом ни при каких обстоятельствах.
Пояснения/заметки: Отправка сведений об аутентификации факсом небезопасна. Большинство факсов доступны многим служащим. Кроме того, они подключены к телефонной сети общего пользования, в которой можно выполнить переадресацию, так что на самом деле факс будет отправлен на другой номер атакующему.
Использование голосовой почты
14-1. Пароли голосовой почты
Политика: Пароли голосовой почты не следует сообщать никому ни под каким предлогом. Кроме того, пароли должны меняться не реже, чем каждые девяносто дней.
Пояснения/заметки: В сообщениях голосовой почты может содержаться конфиденциальная информация. Служащие должны регулярно менять свои пароли и не разглашать их, чтобы защитить эту информацию. Кроме того, пользователи голосовой почты не должны использовать одинаковые пароли в течение года.
14-2. Пароли в различных системах
Политика: Пользователи голосовой почты не должны использовать такие же пароли для другой телефонной или компьютерной системы, как внутренней, так и внешней.
Пояснения/заметки: Использование одинаковых или похожих паролей для различных устройств, таких как голосовая почта и компьютер, позволяет социальному инженеру узнать все пароли после того, как станет известен один из них.
14-3. Задание паролей голосовой почты
Политика: Пользователи и администраторы голосовой почты должны задать сложные пароли. Они не должны иметь никакого отношения к человеку или компании и не должны содержать предсказуемый шаблон, который легко отгадать.
Пояснения/заметки: Пароли не должны содержать последовательные или повторяющиеся цифры (например, 1111, 1234, 1010), не должны быть такими же как номер телефона или основанными на нем, и не должны быть связаны с адресами, почтовым индексом, днем рождения, номером автомобиля, весом и другими предсказуемыми персональными сведениями.
14-4. Голосовые сообщения, помеченные как старые
Политика: Следует уведомить администратора голосовой почты о возможном нарушении безопасности и немедленно сменить пароль, если есть непрослушанные сообщения, которые не отмечены как новые.
Пояснения/заметки: Социальные инженеры могут получить доступ к голосовому ящику множеством способов. Служащий, узнавший о непрослушанных сообщениях, которые не отмечены как новые, должен предположить, что кто-то получил несанкционированный доступ к голосовому ящику и прослушал сообщения.
14-5. Внешние приветствия голосовой почты
Политика: Работники компании должны ограничить оглашение информации в своем внешнем приветствии голосовой почты. Не следует раскрывать обычные сведения, связанные с распорядком рабочего дня или графиком поездки.
Пояснения/заметки: Внешнее приветствие (проигрываемое для внешних звонков) не должно содержать фамилию, номер телефона или причину отсутствия (поездка, отпуск). Атакующий может использовать эту информацию при попытке обмана других служащих.
14-6. Шаблоны паролей голосовой почты
Политика: Пользователи голосовой почты не должны задавать пароль с фиксированной частью, когда другая часть меняется по предсказуемому шаблону.
Пояснения/заметки: Например, не используйте такие пароли как 743501, 743502, 743503 и т.д., где две последние цифры соответствуют текущему месяцу .
14-7. Конфиденциальная или частная информация
Политика: В сообщении голосовой почты не должно быть конфиденциальной или частной информации.
Пояснения/заметки: Корпоративная телефонная система обычно более уязвима по сравнению с компьютерной системой. Пароли обычно представляют собой набор цифр, что существенно уменьшает число попыток, которое требуется взломщику, чтобы угадать пароль. Кроме того, в некоторых организациях пароли голосовой почты могут быть известны секретарям или другому персоналу, ответственному за получение сообщений для руководителей. Вывод: не следует передавать конфиденциальную информацию голосовой почтой.
{9-я часть}
15-1 Телефонная безопасность
Политика: Пароли никогда не должны передаваться по телефону.
Пояснения/Заметки: Атакующие могут найти способ подслушивать телефонные переговоры, лично или при помощи специального устройства.
15-2 Раскрытие компьютерных паролей
Политика: Ни при каких обстоятельствах пользователи не должны сообщать свой пароль кому-либо ни для каких целей без письменного согласия ответственного IT-менеджера.
Пояснения/Заметки: Цель многих атак в социальной инженерии включает в себя получение обманным путем имен пользователей и паролей. Эта политика – ключевой шаг в снижении риска успешных атак против предприятия. Соответственно, этому правилу должны религиозно следовать во всей компании
15-3 Пароли в интернете
Политика: Сотрудники никогда не должны использовать на интернет-сайтах пароли похожие на используемые в корпоративных системах, или совпадающие с ними.
Пояснения/Заметки: Злоумышленники могут создать веб-сайт, на котором предлагается какая-либо ценность или возможность выиграть приз. Для регистрации на сайте пользователь должен ввести e-mail, имя пользователя и пароль. Поскольку многие используют одинаковые или похожие данные, злоумышленник попытается использовать выбранный и похожие пароли для проведения атаки на рабочий или домашний компьютер. В некоторых случаях возможно определение рабочего компьютера, используя введенный адрес e-mail.
15-4 Пароли на разных системах
Политика: Сотрудники компании никогда не должны использовать одинаковые или похожие пароли на разных системах. Эта политика относится к различным типам устройств (компьютеры, голосовая почта), дома и на работе; и к разным типам систем, устройств (машрутизаторов или межсетевых экранов), или программ (баз данных и приложений).
Пояснения/Заметки: Атакующие полагаются на человеческую природу для взлома вычислительных систем и сетей. Они знают, что для избежания трудностей, связанных с запоминанием нескольких паролей многие люди используют одинаковые или похожие пароли на всех системах, к которым у них есть доступ. Таким образом, взломщик попытается узнать пароль к одной из систем, к которым у жертвы есть права доступа. После их получения очень вероятно, что этот пароль или похожий на него даст доступ к другим системам и устройствам, используемым сотрудником.
15-5 Повторное использование паролей
Политика: Ни один пользователь не должен использовать одинаковые или похожие пароли в течение восемнадцатимесячного периода.
Пояснение/заметки: Если атакующий узнает пользовательский пароль, частая смена пароля позволяет минимизировать возможный ущерб. Создание нового пароля отличным от предыдущего создает атакующему сложности для его угадывания.
15-6 Шаблоны паролей
Политика: Сотрудники не должны использовать пароли, в которых одна часть остается постоянной, а другая изменяется предсказуемым образом.
Пояснения/Заметки: Например, нельзя использовать пароли Kevin01, Kevin02, Kevin03, и т.д.
15-7 Выбор паролей
Политика: Пользователи должны выбирать пароли, которые соответствуют следующим требованиям:
Быть как минимум восемь символов в длину для пользовательских учетных записей и как минимум двенадцать символов в длину для привилегированных учетных записей.
Содержать минимум одну цифру, минимум один специальный символ (как $, -, |, &), минимум одну большую и одну маленькую букву.
Не быть словом в каком-либо языке; словом, имеющим отношение к семье сотрудника, хобби, автомобилю, работе, номерному знаку, номеру паспорта (в ориг. – social security number), адресу, телефону, кличке домашнего животного, имени, дате рождения или фразам, содержащим эти слова.
Не быть измененным вариантом старого пароля, таким как kevin, kevin 1, kevin2; или kevinjan, kevinfeb.
Пояснения/Заметки: Вышеуказанные параметры создадут пароль, который будет трудно угадать социальному инженеру. Другой способ – использование метода согласных-гласных, который позволяет создавать легко запоминаемые произносимые пароли. Для создания такого пароля замените все буквы «С» на согласные, а «Г» на гласные, используя шаблон "СГСГСГСГ." Примеры: MIXOCASO; CUSOJENA.
15-8 Записывание паролей
Политика: Сотрудники должны записывать пароли только если они хранятся в защищенном месте вдали от компьютера или другого защищенного паролем устройства.
Пояснения/Заметки: Не рекомендуется вообще записывать пароли. При некоторых обстоятельствах это может быть необходимо, например, когда сотрудник имеет доступ к различным системам. Ни при каких обстоятельствах пароль не может быть записан под клавиатурой или прикреплен к монитору.
15-9 Пароли в файлах
Политика: Пароли не могут сохраняться в каких-либо компьютерных файлах. Кода требуется, пароли могут быть сохранены при помощи шифровальной программы, утвержденной техническим директором или руководителем IT-отдела во избежании несанкционированного раскрытия паролей.
Пояснения/Заметки: Пароли могут быть восстановлены атакующим, если они хранятся в незашифрованном виде в компьютерных файлах или различных программах.
Надомные работники находятся вне корпоративной и сети и таким образом более уязвимы для атаки. Эти политики помогут вам предотвратить использование надомников социальными инженерами в качестве средства доступа к вашим данным.
16-1 Тонкие клиенты
Политика: Весь персонал, который может соединяться с корпоративной сетью удаленно должен использовать тонкие клиенты.
Пояснения/Заметки: Когда атакующий выбирает стратегию атаки, он или она попытаются идентифицировать пользователей, которые имеют доступ к корпоративной сети извне. По существу, надомники становятся основной целью. Их компьютеры вряд ли хорошо защищены и могут быть слабым звеном для компрометации корпоративной сети.
Любой компьютер, который соединяется с доверенной сетью может быть оснащен программами, записывающими все нажатия клавиш или же соединение может быть перехвачено. Стратегия тонких клиентов может быть использована для избежания таких проблем. Тонкий клиент аналогичен бездисковой рабочей станции или терминалу; удаленный компьютер не имеет возможности хранения данных, операционная система, приложения и данные хранятся в корпоративной сети. Доступ к сети через тонкий клиент снижает риск использования устаревших уязвимых систем, операционных систем и программ злоумышленников. Соответственно, управление безопасностью надомных работников делается более эффективным и простым за счет централизации управления безопасностью. Вместо того, чтобы рассчитывать на неопытных надомников, безопасность могут обеспечивать сетевые администраторы.
16-2 Безопасность программного обеспечения надомных работников
Политика: Любая внешняя вычислительная система, используемая для подключения к корпоративной сети должна иметь антивирусное программное обеспечение и персональный межсетевой экран. Антивирусные базы должны обновляться как минимум еженедельно.
Пояснения/Заметки: Обычно надомные работники не имеют опыта в вопросах безопасности и могут непреднамеренно или халатно оставить их компьютерную систему и корпоративную сеть открытой для атаки. Таким образом, надомные работники могут представлять серьезную угрозу безопасности, если они не обучены должным образом. Помимо установки антивируса для защиты от вредоносных программ необходимо использование межсетевого экрана для недопущения проникновения пользователей-злоумышленников к сервисам на системе надомного работника.
{10-я часть}
Правила для сотрудников отдела кадров
Кадровые подразделения несут особую ответственность за защиту сотрудников от попыток кражи их персональной информации через рабочие места. Профессиональные кадровики также несут ответственность за защиту компании от возможных злонамеренных действий бывших сотрудников, недовольных своим увольнением.
17-1 Увольнение сотрудников
Политика: Всякий раз, когда сотрудник уходит или его увольняют, кадровое подразделение должно немедленно сделать следующее:
Удалить данные о сотруднике из актуального телефонного справочника компании и заблокировать его голосовую почту,
Уведомить об увольнении дежурных у входа в здание компании,
Добавить ФИО сотрудника в увольнительный лист, который необходимо рассылать всем сотрудникам компании не реже одного раза в неделю.
Пояснения/Заметки: Служащие компании, контролирующие вход в здание, должны быть своевременно уведомлены об увольнении, чтобы не допустить уволенного сотрудника в помещения. Далее, уведомление остальных сотрудников не позволит бывшему работнику прикинуться действующим и обманом заставить их нанести ущерб компании. В определенных обстоятельствах может потребоваться также сменить свои пароли всем сотрудникам отдела, из которого уволился человек. (Когда меня уволили из GTE, в основном из-за моей репутации хакера, компания обязала ВСЕХ сотрудников сменить пароли).
17-2 Уведомление IT подразделений
Политика: Всякий раз, когда сотрудник уходит или его увольняют, кадровое подразделение должно немедленно уведомить отдел информационных технологий заблокировать учетные записи бывшего работника, включая учетные записи для доступа к базам данных, а также заблокировать возможности удаленного доступа к корпоративным информационным системам.
Пояснения/Заметки: Весьма важно исключить любую возможность доступа бывших сотрудников к компьютерным системам, сетевым устройствам, базам данных и к любым другим компьютерным устройствам сразу после увольнения. В противном случае в компьютерной системе компании образуется опасная лазейка, через которую недовольный сотрудник может нанести существенный ущерб.
17-3 Использование конфиденциальной информации при приеме на работу
Политика: Объявления о приеме на работу и другие формы привлечения новых сотрудников не должны, по возможности, содержать названий используемого в компании аппаратного и программного обеспечения.
Пояснения/Заметки: Количество разглашаемой менеджерами информации о корпоративном аппаратном и программном обеспечении должно быть продиктовано разумной необходимостью получить резюме от квалифицированных кандидатов.
Злоумышленники читают газеты и пресс-релизы компаний, посещают Интернет-сайты в поисках списков открытых вакансий. Часто, компании разглашают слишком много информации о типах используемого аппаратного и программного обеспечения, чтобы привлечь перспективных специалистов. Обладая подобной информацией, взломщик уже готов к следующему шагу. Например, зная, что компания использует операционную систему VMS, злоумышленник может под каким-нибудь предлогом выяснить версию системы и затем прислать липовое обновление так, как будто оно отправлено разработчиком ОС. После установки обновления, взломщик получит доступ к системе.
17-4 Персональные данные сотрудников
Политика: Персонал отдела кадров никогда не должны разглашать персональные данные о любом работающем или бывшем служащем, подрядчике, консультанте, временном работнике или стажере, за исключением наличия заблаговременного письменного согласия сотрудника или ответственного менеджера.
Пояснения/Заметки: Хед-хантеры, частные детективы и похитители чужих «личностей» охотятся за частной информацией сотрудников компании, такой как идентификаторы служащих, номера социального страхования, даты рождения, история доходов, финансовые данные, включая информацию о счетах, а также информацию о состоянии здоровья. Социальный инженер, владея подобной информацией, может успешно выдавать себя за другого человека. Плюс ко всему, разглашение имен недавно принятых сотрудников может быть весьма ценно для похитителей информации. Новые неопытные сотрудники с большей вероятностью выполнят любую просьбу авторитетных людей, обладающих властью или кого-либо утверждающего, что он из службы безопасности компании.
17-5 Проверки послужного списка сотрудников
Политика: Проверка послужного списка необходима в отношении всех новых служащих, подрядчиков, консультантов, временных работников и стажеров ДО предложения им работы или заключения контракта.
Пояснения/Заметки: Из стоимостных соображений требование детальной проверки послужного списка может быть ограничено рядом ответственных постов. Тем не менее, необходимо иметь ввиду, что любой человек, имеющий доступ в офисы компании может быть потенциальной угрозой. Например, бригады уборщиков могут входить в кабинеты служащих, что дает им доступ к любой находящейся там компьютерной системе. Взломщик имеющих физический доступ к компьютеру может установить на нем аппаратный кей-логгер для сбора паролей меньше чем за минуту.
Компьютерные взломщики иногда даже пытаются устроиться на работу в компанию, чтобы получить доступ к ее компьютерным системам и сетям. Злоумышленник легко может раздобыть название подрядчика, выполняющего для данной компании уборку помещений. Для этого он может позвонить ответственному сотруднику и представиться, например, служащим компании, предоставляющей аналогичные услуги.
Политики для службы безопасности
Несмотря на то, что социальные инженеры, как правило, избегают показываться лично в помещениях компаний-мишеней, бывают ситуации, когда они прибегают к таким методам. Эти политики помогут Вам уберечь свое физическое имущество от подобных угроз.
18-1 Идентификация людей, не являющихся сотрудниками
Политика: Почтальоны и другие лица, не являющиеся служащими, которым регулярно необходимо входить в служебные помещения должны носить специальный значок или другой элемент идентификации в соответствии с принятой политикой корпоративной безопасности.
Пояснения/Заметки: Лица, не являющиеся постоянными сотрудниками, которым необходимо регулярно входить в здание (например, привозить еду и напитки в кафетерий или обслуживать копировальные аппараты) должны быть снабжены специальным идентификационным знаком, предназначенным для этой категории людей. Те, кому доступ необходим лишь иногда, должны рассматриваться как посетители и, соответственно, все время сопровождаться.
18-2 Идентификация посетителей
Политика: Все посетители при входе в здание должны предъявлять удостоверение личности с фотографией.
Пояснения/Заметки: Сотруднику службы безопасности или секретарю следует сделать копию удостоверения личности перед тем, как выдать посетителю пропуск. Копию следует приложить к журналу учета посетителей. Можно также вручную записывать информацию в журнал учета посещений. Но это должен делать либо секретарь, либо сотрудник охраны, посетителям нельзя разрешать самостоятельно вносить записи в журнал.
Социальный инженер, пытаясь проникнуть в здание, всегда запишет фальшивую информацию в журнал. Несмотря на то, что не так уж и сложно сделать фальшивое удостоверение или узнать имя посетителя, которого ждут, требование вести журнал учета посетителей добавляет еще один уровень безопасности.
18-3 Сопровождение посетителей
Политика: Посетители, находясь на территории компании, всегда должны сопровождаться кем-то из сотрудников.
Пояснения/Заметки: Популярная уловка социальных инженеров состоит в том, чтобы договориться о встречи со служащим компании (например, представиться сотрудником партнерской компании). После того, как его проводят на встречу, он заверяет собеседника, что сможет сам найти выход. Таким способом он получает возможность бродить по зданию и, потенциально, доступ с важной информации.
18-4 Временные пропуска
Политика: Сотрудники компании из других офисов, не имеющие с собой пропусков, должны предъявить удостоверение личности с фотографией для получения временного пропуска.
Пояснения/Заметки: Злоумышленники часто представляются служащими других офисов или подразделений компании для входа в здание.
18-5 Аварийная эвакуация
Политика: При возникновении реальной аварийной ситуации или при тренировках персонал службы безопасности должен убедиться в отсутствии людей во всех помещениях компании.
Пояснения/Заметки: Служба безопасности должна проверить все рабочие помещения и комнаты отдыха на предмет наличия там отставших или не оповещенных сотрудников. По указанию пожарных или лица, ответственного за помещения, персонал службы безопасности должен внимательно относиться к людям, выходящим из здания после эвакуации.
Промышленные шпионы и изощренные компьютерные взломщики могут организовать диверсию для проникновения в здание или в охраняемую зону. Как вариант можно распылить безвредный химикат – бутилмеркаптан – в воздух. Создается впечатление, что произошла утечка газа. И пока служащие производят эвакуацию, наглый мошенник использует эту диверсию для кражи информации или доступа к корпоративным компьютерным системам. Другая тактика состоит в том, чтобы спрятаться где-либо в комнате отдыха или в туалете во время плановой тренировки эвакуации или спровоцировав аварийную эвакуацию самостоятельно.
18-6 Посторонние в почтовом отделе
Политика: Посетителям нельзя находиться одним в почтовом отделе.
Пояснения/Заметки: Цель этой политики – предотвратить возможность подмены, отправки или кражи внутрикорпоративной почты посторонними лицами.
18-7 Номера транспортных средств
Политика: Если у компании есть охраняемая автостоянка, служба безопасности должна вести журнал учета номеров всех транспортных средств, въезжающих на стоянку.
18-8 Свалки мусора
Политика: Свалки мусора должны располагаться на территории компании и быть недоступны извне.
Пояснения/Заметки: Компьютерные злоумышленники и промышленные шпионы могут добыть ценную информацию в мусорном баке. По закону, свалки мусора являются ничейной собственностью, и рыться в мусоре – это совершенно законно, до тех пор, пока мусорные контейнеры доступны широкой общественности. По этой причине весьма важно располагать контейнеры с мусором на территории компании, чтобы иметь законную возможность защищать их содержимое.
Политики для секретарей
Секретари часто оказываются на переднем крае обороны от атак социальных инженеров, в то же время они редко обладают достаточной подготовкой, чтобы распознать и остановить захватчика. Используйте приведенные ниже рекомендации, чтобы помочь секретарям лучше защищать вашу компанию и ее информацию.
19-1 Внутренний телефонный справочник
Политика: Сообщение информации из внутреннего телефонного справочника возможно только сотрудникам компании.
Пояснения/Заметки: Все названия должностей, имена, телефонные номера и почтовые адреса, содержащиеся в телефонном справочнике компании должны рассматриваться как информация для внутреннего пользования, и должна сообщаться в соответствии с принятой политикой в отношении внутренней информации.
Кроме того, каждый звонящий должен знать имя или внутренний телефон абонента, с которым он хочет связаться. Даже несмотря на то, что оператор может переключить звонок на нужного абонента и в том случае, если звонящий не знает внутренний номер, сообщать это номер ему нельзя (Любопытным рекомендую попробовать позвонить в любое американское правительственное агентство и попросить оператора дать внутренний номер).
19-2 Телефонные номера специальных отделов
Политика: Служащие не должны давать телефонные номера службы тех. поддержки, отдела телекоммуникаций, системных администраторов и т.д. не убедившись, что звонящий имеет право контактироваться с этими подразделениями. Оператор, перенаправляя вызов, должен называть имя звонящего.
Пояснения/Заметки: Хотя некоторые организации сочтут эти меры слишком жесткими, такая политика затруднит для социального инженера возможность представиться сотрудником компании обманом заставив других служащих перенаправить его звонок через свой внутренний номер (что в некоторых телефонных системах выглядит как звонок внутри офиса). Также знание внутренних телефонов таких отделов может помочь инженеру убедить жертву в достоверности своих слов.
19-3 Передача информации
Политика: Телефонные операторы и секретари не должны принимать сообщения или передавать информацию никаким людям кроме тех, которых они ЛИЧНО знают как действующих сотрудников компании.
Пояснения/Заметки: Социальному инженеру ничего не стоит обманом заставить служащих непреднамеренно подтвердить личность злоумышленника. Вот, например, такой трюк. Социальный инженер узнает номер телефона оператора и под каким-то предлогом просит его принимать сообщения, которые адресованы ему. Потом, во время разговора с жертвой, злоумышленник притворяется сотрудником, просит какую-либо конфиденциальную информацию и оставляет в качестве обратного телефон коммутатора. Позже, взломщик звонить оператору и получает сообщения, оставленные для него ничего не подозревающей жертвой.
19-4 Предметы на вынос
Политика: Перед выдачей любого предмета курьеру или другому неустановленному лицу секретарь или сотрудник охраны должны получить удостоверение личности с фотографией и записать данные оттуда в журнал учета посылок в соответствии с установленным порядком.
Пояснения/Заметки: Одна из тактик социально инженера заключается в том, чтобы обманом заставить одного сотрудника передать конфиденциальную информацию другому, предположительно авторизованному сотруднику, оставив ее на ресепшне. Естественно, секретарь или сотрудник службы безопасности считают, что посылка разрешена к выносу. Соц. инженер либо сам забирает пакет, либо пользуется услугами курьерской службы.
Политики для группы оповещения о внештатных ситуациях
Каждая компания должна сформировать централизованную группу, которая должна быть в курсе при любой попытке проведения в отношении компании хакерской атаки. Ниже приведен ряд рекомендаций по созданию и функционированию подобной группы.
20-1 Группа оповещения о внештатных ситуациях
Политика: Должен быть назначен человек или группа людей и сотрудники должны быть проинструктированы сообщать им обо всех подобных ситуациях. Все служащие компании должны быть обеспечены контактной информацией подобного группы.
Пояснения/Заметки: Работники должны понимать, как распознать угрозу безопасности и должны быть обучены сообщать группе оповещения об любой угрозе. Не менее важно определить специальные полномочия для данной группы, а также сценарии ее действий при получении сигнала о потенциальной угрозе.
20-2 В время атаки
Политика: Всякий раз, когда группа оповещения о внештатных ситуациях получает сигнал об атаке, она должна немедленно начать процедуры оповещения всех сотрудников атакованного подразделения.
Пояснения/Заметки: Группе оповещения или ответственному представителю следует также принять решение о том, чтобы поднять в компании общую тревогу. Как только ответственное лицо или группа четко понимают, что происходит атака, ее возможный ущерб можно уменьшить, если предупредить всех сотрудников держать ухо востро.