
Причины приоритетности
Социальная инженерия возглавляет топовый список задач безопасности для многих IT-директоров, поскольку внутренние нарушения происходят с большей регулярностью, нежели внешние атаки. Во время проверки аудитор знакомится с деятельностью различных бизнес-единиц внутри компании, оценивает их политики, а также проводит серию автоматических тестов для выяснения допущенных нарушений. Отрицательные итоги приводят к допросу сотрудника и его возможному увольнению. Рост активности аудита социальной инженерии объясняется несколькими факторами:
- Многие регуляторы все больше фокусируют внимание на том, какие политики и практики применяют компании для контроля возможных нарушений безопасности со стороны сотрудников.
- В результате экономического кризиса 2007-2008 гг. было обнаружено общее увеличение числа нарушений безопасности сотрудников, а также краж конфиденциальной информации и системного саботажа.
- Многие мобильные устройства используются или специально теряются для получения доступа к корпоративной системе.
Аудит социальной инженерии делится на две категории:
1. Внутренний аудит
В данном случае аудитор может симулировать атаки с позиции сотрудника любого структурного уровня. Ключевая цель социального инженера заключается в том, чтобы оценить успешность предложенных попыток и разрушительность их последствий для компании. Не следует путать представленную категорию с традиционным внутренним аудитом, который ориентируется на финансовые и технические показатели, с учетом существующих регуляторных норм. Внутренний социальный аудит направлен на усиление корпоративной культуры компании и установление правильных политик относительно сотрудников.
Частой является практика, когда уволенный сотрудник, располагая полным доступом к корпоративной системе, делает резервные копии разработок компании и продает их конкуренту, либо просто удаляет ценные документы с серверов предприятия. Аудит внутренних политик необходим для оценивания адекватности корпоративных правил и внесения требуемых изменений. Для получения общей картины стоит ответить на следующие вопросы:
- Насколько легко сотруднику скопировать конфиденциальную информацию и забрать ее домой?
- Может ли сотрудник принести личные гаджеты на рабочее место и использовать их для передачи файлов?
- Имеет ли сотрудник возможность и разрешение для настройки общего доступа к файлам компании или доступа к системе извне?
- Насколько уязвимо программное обеспечение, установленное на компьютерах сотрудников компании?
- Используют ли сотрудники свои корпоративные учетные записи электронной почты для личных целей?
Приведенный перечень вопросов не является исчерпывающим. Предварительный список составляется социальным аудитором, обсуждается с членами правления и используется для проведения интервью.
2. Внешний аудит
Указанный тип проверки предусматривает оценивание 3 структурных уровней, а именно:
- Текстовый удаленный формат. Аудит такого типа фокусируется на электронной почте, веб-клонировании и фишинге. Аудитор выполняет сбор и систематизацию информационных пулов с целью выявления канала наибольшего влияния. Вне зависимости от направлений деятельности, аудитор будет работать над совершенствованием текста сообщений для максимизации потенциального эффекта.
Например, можно клонировать популярный среди сотрудников веб-сайт и отправить каждому из них электронное письмо с приглашением вступить в закрытый клуб или получить купон на скидку. Как правило, регистрация новых пользователей предусматривает введение логинов и паролей. Исследования показывают, что многие сотрудники склонны использовать одинаковые логины и пароли для своей почты, банковских счетов и других веб-сайтов (Статья «Why Attackers May Use Social Engineering» для Security, 2018). С помощью вируса iframe можно легко заполучить всю закодированную информацию сотрудников с последующим доступом к корпоративной системе.
- Телефоны. Еще один распространенный инструмент для проведения афер. Представившись сотрудником IT-отдела при исполнении, социальный аудитор может заполучить пароль от Вашего гаджета. Цель ревизии мобильных устройств состоит в том, чтобы узнать, какую конфиденциальную информацию удастся заполучить с его помощью.
- Аудит на местах. Этот тип аудита сочетает в себе все вышеперечисленные аспекты других видов, с учетом локации сотрудников. Такая проверка способна показать промахи в системе безопасности с позиции хакера. Дело в том, что многие компании тратят сотни тысяч долларов на межсетевые экраны, IDS, антивирусные системы и тому подобное, но затем защищают свои инвестиции посредством блокировки стоимостью в 20 долларов.
Все политики, касающиеся обработки мультимедиа, камер, посетителей и других подобных вопросов, проверяются для выявления уязвимых мест, благодаря которым злоумышленник может получить открытый доступ. Утечка конфиденциальной информации ежегодно оборачивается убытками в размере более 25 млрд. долларов. Поэтому аудит необходим тем компаниям, которые стремятся гарантировать своим клиентам защиту персональных данных.
Инструкция к применению
С каждым годом проблемы социальной инженерии становятся все более актуальными, а средняя стоимость взлома данных превышает 3,43 млн. долларов (Статья «Stealing Credentials via Social Engineering» для Security, 2010). Тест на проникновение в социальную инженерию поможет определить рисковые ситуации до того, как они возникнут в контролируемой среде. Тем не менее, финальные результаты во многом зависят от компетентности аудитора.
При выборе специалиста обязательно учитывайте его репутацию, опыт и знания. Подумайте, какие виды услуг вам нужны, чтобы действительно проверить свою компанию. Также следует иметь четкое представление о методологии и практиках предприятия в контексте социальной инженерии.
Некоторые компании, используя автоматизированные инструменты для отслеживания количества целевых кликов, совершаемых с фишинговой электронной почты или вредоносных веб-сайтов, утверждают, что проводят аудит социальной инженерии. Имейте в виду, настоящая проверка социальной инженерии должна симулировать действия коварного социального инженера. Помните, что целью аудита является оценка безопасности людей в вашей компании.
Таким образом, аудит социальной инженерии приобретает актуальность в связи с увеличением числа внутренних взломов данных компании. Помимо проведения регулярных проверок, следует обратить внимание на обучение сотрудников правилам корпоративной этики и использования технологий, обеспечения инструментов для определения местоположения или отключения мобильных устройств в полевых условиях, а также оставаться в курсе новых отраслевых подходов к безопасности и конфиденциальности для обеспечения внутренней безопасности компании.
Источники:
https://www.techrepublic.com/article/social-engineering-audits-on-the-rise-what-this-means-for-cios-and-csos/