Similar presentations:
Социальная инженерия
1.
Социальная инженерияВыполнила: Студентка группы ПС-305 Серебрянка Лиссана
2.
В контексте информационной безопасности -Что такое
социальная
инженерия?
психологическое манипулирование людьми с целью
совершения определенных действий или разглашения
конфиденциальной информации. Следует отличать от
понятия социальной инженерии в социальных науках
- которое не касается разглашения конфиденциальной
информации. Совокупность уловок с целью сбора
информации, подделки или несанкционированного
доступа, от традиционного «мошенничества»
отличается тем, что часто является одним из многих
шагов в более сложной схеме мошенничества.
3.
Методов социальной инженерии, как особых способовКакие есть
методы и
техники
социальной
инженерии?
воздействия на человека, очень много, при этом, очевидно,
не может существовать никаких универсальных средств
ввиду уникальности присущих каждой личности моральнопсихологических, волевых установок, жизненной позиции
и отношения к исполнению обязанностей.
наиболее часто применяемые и наиболее эффективные для
получения необходимой информации методы социальной
инженерии:
метод прямого воздействия;
введение в заблуждение;
метод обратной инженерии;
сбор и анализ информации из открытых источников [4].
4.
Метод прямого воздействия является самым примитивным, но, несмотряна это, одним из самых действенных способов получения
конфиденциальной информации.
В основе данного метода лежит естественное желание каждого человека
Метод
прямого
воздействия
доверять коллегам по работе и оказывать им при необходимости
всестороннюю помощь. Для успешного применения метода прямого
воздействия злоумышленнику необходимо изучить и свободно
ориентироваться в терминологии и проблемах, связанных с
производственной деятельностью организации. Социальный инженер при
проведении атаки не стесняется звонить должностным лицам организации
и задавать вопросы относительно запланированных или выполняемых в
настоящий момент мероприятий. В момент постановки вопроса
социальный инженер вводит "атакуемого" сотрудника в режим принятия
экстренного решения.
Методы прямого воздействия чаще всего используются в отношении
сотрудников, имеющих большой оборот входящей и исходящей
информации (сотрудники call-центра, секретари, офисные служащие).
После успешного проведения атаки методом прямого воздействия такой
сотрудник вряд ли вспомнит о звонившем лице и о характере информации,
которая ему была передана.
5.
Метод введения в заблуждение широко используется втелекоммуникационной сети общего пользования Интернет.
Хорошо известно его другое название - фишинг (от англ. fishing
- рыбачить).
В основе метода лежит особенность человека доверять
Фишинг
используемым на протяжении определенного интервала
времени вещам, предметам, ресурсам. В эпоху
информационных технологий значительную часть информации
человек обрабатывает, получает, анализирует, отправляет с
помощью ресурсов, размещенных в сети Интернет. Часть
ресурсов носит информационный характер и не представляет
определенной угрозы информационной безопасности,
остальные являются интерактивными, требующими от
пользователя ввода определенных данных. В качестве вводимой
информации может выступать как безобидная информация,
например количество заказываемых товаров и услуг, так и
конфиденциальная информация: платежные реквизиты
банковских карт, персональные данные и тому подобное.
6.
Метод обратной инженерии - это метод получения информациизлоумышленником, при котором атакуемый самостоятельно, без
всякого принуждения, предоставляет требуемую информацию
[6].
Для проведения атаки методом обратной инженерии
Метод
обратной
инженерии
злоумышленнику требуется собрать полную информацию об
объекте нападения: личная жизнь, увлечения, моральнопсихологические особенности поведения, жизненные позиции и
т.д.
Социальный инженер для достижения поставленной цели
становится другом семьи, напарником в спортивных
состязаниях, ярым болельщиком любимой команды атакуемого
и т.п. Совместные мероприятия, проводимые в неформальной
обстановке, заставляют атакуемого потерять бдительность,
расслабиться, забыть о должностных обязанностях,
необходимости сохранения в тайне сведений, ставших
известными по работе.
7.
Как ни парадоксально, но данный метод является самымМетод сбора и
анализа из
открытых источн
иков
эффективным среди методов, рассмотренных в настоящей статье.
Его эффективность связана с таким технико-социальным явлением
XXI века, как социальные сети. Социальная сеть представляет
собой интернет-ресурс, предназначенный для обмена текстовыми
сообщениями, медиаресурсами (фото-, аудио-, видеоинформация) и
другими видами информации. Желание поделиться своей радостью
(знаменательные даты, события), успехами, а зачастую и обычное
хвастовство заставляет человека отключить разумную часть своего
сознания и не контролировать содержание выдаваемой им
собственноручно информации при общении в социальных сетях.
Анализ представленной человеком информации в социальных сетях
позволяет злоумышленнику часто без особого труда составить его
морально-психологический портрет, узнать об увлечениях,
семейном положении, обычаях, запланированных мероприятиях.
Полученная в результате сбора и обработки информация из
социальных сетей является исходной в проведении атак
рассмотренными в статье методами.
8.
Для обеспечения безопасности информационных ресурсов ворганизации применяются следующие программно-технические
решения:
оснащение компьютеров сотрудников средствами антивирусной
защиты, обеспечивающими защиту от вредоносного программного
обеспечения, содержащегося в интернет-ресурсах и вложениях
электронной почты;
Типовые
решения защиты
от утечки
информации
межсетевое экранирование с целью ограничения
несанкционированного доступа к компьютерам организации через
сеть;
DLP (Data Leakage Prevention) - системы, обеспечивающие защиту
информации от копирования на съемные носители,
незарегистрированные ресурсы во внешней сети и тому подобное;
применение программно-технических решений для обеспечения
контроля доступа на охраняемую территорию, контроль
вноса/выноса технических средств.
9.
Установка, настройка и эксплуатация средств защиты информацииосуществляются либо сторонними организациями по отдельному
договору за дополнительные деньги, либо администратором
организации. В крупных организациях установкой и настройкой
средств защиты информации занимаются сотрудники специально
созданных для этих целей подразделений.
При этом стоит отметить, что программно-технические решения,
Установка
средств защиты
информации
даже при условии их правильной реализации, сами по себе не
являются достаточными для обеспечения необходимого уровня
защиты информации организации. Обусловлено это тем, что при
построении системы безопасности организации акцент делается на
применение современных и часто дорогих программно-технических
средств безопасности. При этом создается ложное впечатление
защищенности и не учитывается тот факт, что любая система
безопасности не может работать в автоматическом режиме, без
управления человеком. А практика показывает, что методам
социальной инженерии в современных условиях деятельности
организации подвергается весь персонал, включая руководителей
различного уровня
10.
Противодействие методам социальной инженерии - это комплексорганизационно-режимных мероприятий, включающий:
проведение проверочных мероприятий при приеме сотрудников на работу,
включающих всестороннее изучение личностных качеств кандидата, его
окружения, области интересов и информации о прошлой трудовой деятельности;
контроль входящей корреспонденции, поступающей в электронном виде в
почтовые ящики сотрудников, независимо от уровня полномочий и
привилегированности;
Противодействи
е методам
социальной
инженерии
проверки наличия служебной информации конфиденциального характера в
открытых информационных сетях;
регулярное проведение занятий с сотрудниками организации по правилам
работы с информацией конфиденциального характера и обучение навыкам
противодействия методам социальной инженерии;
контроль соблюдения технологии обработки информации на технических
средствах организации;
запись и последующий анализ телефонных переговоров сотрудников с
использованием служебных средств связи;
проведение воспитательной работы с целью повышения мотивации сотрудников,
привития преданности порученному делу;
проведение периодических проверок профессиональной пригодности
сотрудников организации в части обеспечения информационной безопасности.
11.
Рассмотренные в настоящей статье методы получения информацииВыводы
за счет воздействия на персонал организаций и методы
противодействия являются актуальными. Степень угрозы
информации не может быть в общем случае адекватно и
всесторонне оценена и ранжирована в зависимости от тяжести
нанесенного ущерба. Человеческое мышление не всегда поддается
логическому анализу, и вследствие этого невозможно сформировать
четкий алгоритм его работы. Можно только определить перечень
целей и требовать от сотрудника строгого его соблюдения.
Обеспечение деятельности персонала организации в рамках
утвержденных инструкций и правил работы является одной из
главных задач руководителя организации. Если руководитель
организации с такой задачей справится, то методы социальной
инженерии не будут представлять в целом значимой угрозы.