рефераты по менеджменту

Социальная инженерия виды, принципы, защита

Страница
1

Введение

Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, – межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие – малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам – только тогда ваша система безопасности будет комплексной.

Социальная инженерия — совокупность подходов в прикладных социальных науках, ориентированных на:

* изменение поведения и установок людей;

* решение социальных проблем;

* адаптацию социальных институтов к изменяющимся условиям;

* сохранение социальной активности.

(Глоссарий.ру)

Собственно, подобные приемы не новы и известны еще со времен глубокой древности. Остается только удивляться тому, что за истекшие тысячелетия человечество так и не научилось противостоять мошенникам и отличать правду ото лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких принципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась. Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адреса том, имя которого стоит в заголовке. Атакующий может находиться и в соседней комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоумышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам. Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку.

Почему используют социальную инженерию?

Современные технические средства защиты информации достигли уровня, когда на взлом затрачивается много времени, либо цена защищаемой информации много меньше расходов на её добывание. Вся социальная инженерия основывается на:

· слабой безопасности (candy security) — термин, введенный Белловином и Чесвиком из Bell Labs для описания сценария безопасности, где внешняя граница, такая как брандмауэр, прочна, но инфраструктура, расположенная за ним, слаба;

· согласно отечественным и зарубежным источникам около 70% (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью инфор­мации, совершаются именно сотрудниками предприятия.

Рис.1 Угрозы информационной безопасности в процентах

Проанализировав диаграмму, непроизвольно возникает вопрос: «Почему сотрудник является наибольшим источником угроз?» Можно выделить 5 причин этого факта:

1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит ка­кие-либо действия по компрометации информации, связан­ные со злым умыслом;

2) бывает, что сотрудник предприятия ради само­утверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондиро­ванием системы;

3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенап­равленно преодолеть систему защиты для доступа к храни­мой, перерабатываемой и обрабатываемой на предприятии информации;

4) известна практика переманивания спе­циалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Та­ким образом, не обеспечив закрепление лиц, осведомлен­ных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской ад­министрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом мес­те, т. к. именно они воплощают технологию и в них в пер­вую очередь заключается конкурентоспособная сила фир­мы. То есть текучесть кадров четвертая причина;

5) специалист, работающий с конфиденциальной ин­формацией, испытывает отрицательное психическое воз­действие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информа­цией, сотрудник постоянно боится возможной угрозы утра­ты документов, содержащих секреты. Выполняя требова­ния режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести к стрессам и психологическим срывам.

Виды атак с использованием социальной инженерии

Все виды атак подразделяются на:

  1. Прямые:

a. введение в заблуждение;

b. спам;

c. шантаж;

  1. обратные:

Введение в заблуждение (обман)

Введение в заблуждение – основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. Конечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее популярные из них: отъем ПО, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.

Бесплатное приобретение программных продуктов.

Хищение денег – это достаточно рискованный способ мошенничества и, в случае неудачи, он может обернуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение. Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо-версию или атаковать локальную сеть фирмы разработчика? Чревато! Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек-операторов, обслуживающих рядовых клиентов.

Уход от ответственности.

Успешно выполнить атаку – означает решить лишь половину задачи. Злоумышленнику еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побежит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с сообщением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили.

Перейти на страницу номер:
 1  2  3  4 

© 2010-2024 рефераты по менеджменту