Недавняя утечка данных в Target и Home Depot лишний раз напомнила руководителям о необходимости обезопасить компанию от внутренних взломов. Речь не всегда идет о преднамеренных нарушениях безопасности, поскольку сотрудники часто теряют гаджеты, устанавливают аналогичные пароли на разноплановых сайтах или загружают вредоносные программы на персональный компьютер. Проверка социальной инженерии направлена на обеспечение внутреннего контроля над информацией с позиции персонала компании.

Причины приоритетности

Социальная инженерия возглавляет топовый список задач безопасности для многих IT-директоров, поскольку внутренние нарушения происходят с большей регулярностью, нежели внешние атаки. Во время проверки аудитор знакомится с деятельностью различных бизнес-единиц внутри компании, оценивает их политики, а также проводит серию автоматических тестов для выяснения допущенных нарушений. Отрицательные итоги приводят к допросу сотрудника и его возможному увольнению. Рост активности аудита социальной инженерии объясняется несколькими факторами:

  • Многие регуляторы все больше фокусируют внимание на том, какие политики и практики применяют компании для контроля возможных нарушений безопасности со стороны сотрудников.
  • В результате экономического кризиса 2007-2008 гг. было обнаружено общее увеличение числа нарушений безопасности сотрудников, а также краж конфиденциальной информации и системного саботажа.
  • Многие мобильные устройства используются или специально теряются для получения доступа к корпоративной системе.

Аудит социальной инженерии делится на две категории:

1.  Внутренний аудит

В данном случае аудитор может симулировать атаки с позиции сотрудника любого структурного уровня. Ключевая цель социального инженера заключается в том, чтобы оценить успешность предложенных попыток и разрушительность их последствий для компании. Не следует путать представленную категорию с традиционным внутренним аудитом, который ориентируется на финансовые и технические показатели, с учетом существующих регуляторных норм. Внутренний социальный аудит направлен на усиление корпоративной культуры компании и установление правильных политик относительно сотрудников.

Частой является практика, когда уволенный сотрудник, располагая полным доступом к корпоративной системе, делает резервные копии разработок компании и продает их конкуренту, либо просто удаляет ценные документы с серверов предприятия. Аудит внутренних политик необходим для оценивания адекватности корпоративных правил и внесения требуемых изменений. Для получения общей картины стоит ответить на следующие вопросы:

  • Насколько легко сотруднику скопировать конфиденциальную информацию и забрать ее домой?
  • Может ли сотрудник принести личные гаджеты на рабочее место и использовать их для передачи файлов?
  • Имеет ли сотрудник возможность и разрешение для настройки общего доступа к файлам компании или доступа к системе извне?
  • Насколько уязвимо программное обеспечение, установленное на компьютерах сотрудников компании?
  • Используют ли сотрудники свои корпоративные учетные записи электронной почты для личных целей?

Приведенный перечень вопросов не является исчерпывающим. Предварительный список составляется социальным аудитором, обсуждается с членами правления и используется для проведения интервью.

2.  Внешний аудит

Указанный тип проверки предусматривает оценивание 3 структурных уровней, а именно:

  • Текстовый удаленный формат. Аудит такого типа фокусируется на электронной почте, веб-клонировании и фишинге. Аудитор выполняет сбор и систематизацию информационных пулов с целью выявления канала наибольшего влияния. Вне зависимости от направлений деятельности, аудитор будет работать над совершенствованием текста сообщений для максимизации потенциального эффекта.

Например, можно клонировать популярный среди сотрудников веб-сайт и отправить каждому из них электронное письмо с приглашением вступить в закрытый клуб или получить купон на скидку. Как правило, регистрация новых пользователей предусматривает введение логинов и паролей. Исследования показывают, что многие сотрудники склонны использовать одинаковые логины и пароли для своей почты, банковских счетов и других веб-сайтов (Статья «Why Attackers May Use Social Engineering» для Security, 2018). С помощью вируса iframe можно легко заполучить всю закодированную информацию сотрудников с последующим доступом к корпоративной системе.

  • Телефоны. Еще один распространенный инструмент для проведения афер. Представившись сотрудником IT-отдела при исполнении, социальный аудитор может заполучить пароль от Вашего гаджета. Цель ревизии мобильных устройств состоит в том, чтобы узнать, какую конфиденциальную информацию удастся заполучить с его помощью.
  • Аудит на местах. Этот тип аудита сочетает в себе все вышеперечисленные аспекты других видов, с учетом локации сотрудников. Такая проверка способна показать промахи в системе безопасности с позиции хакера. Дело в том, что многие компании тратят сотни тысяч долларов на межсетевые экраны, IDS, антивирусные системы и тому подобное, но затем защищают свои инвестиции посредством блокировки стоимостью в 20 долларов.

Все политики, касающиеся обработки мультимедиа, камер, посетителей и других подобных вопросов, проверяются для выявления уязвимых мест, благодаря которым злоумышленник может получить открытый доступ. Утечка конфиденциальной информации ежегодно оборачивается убытками в размере более 25 млрд. долларов. Поэтому аудит необходим тем компаниям, которые стремятся гарантировать своим клиентам защиту персональных данных.

Инструкция к применению

С каждым годом проблемы социальной инженерии становятся все более актуальными, а средняя стоимость взлома данных превышает 3,43 млн. долларов (Статья «Stealing Credentials via Social Engineering» для Security, 2010). Тест на проникновение в социальную инженерию поможет определить рисковые ситуации до того, как они возникнут в контролируемой среде. Тем не менее, финальные результаты во многом зависят от компетентности аудитора.

При выборе специалиста обязательно учитывайте его репутацию, опыт и знания. Подумайте, какие виды услуг вам нужны, чтобы действительно проверить свою компанию. Также следует иметь четкое представление о методологии и практиках предприятия в контексте социальной инженерии.

Некоторые компании, используя автоматизированные инструменты для отслеживания количества целевых кликов, совершаемых с фишинговой электронной почты или вредоносных веб-сайтов, утверждают, что проводят аудит социальной инженерии. Имейте в виду, настоящая проверка социальной инженерии должна симулировать действия коварного социального инженера. Помните, что целью аудита является оценка безопасности людей в вашей компании.

Таким образом, аудит социальной инженерии приобретает актуальность в связи с увеличением числа внутренних взломов данных компании. Помимо проведения регулярных проверок, следует обратить внимание на обучение сотрудников правилам корпоративной этики и использования технологий, обеспечения инструментов для определения местоположения или отключения мобильных устройств в полевых условиях, а также оставаться в курсе новых отраслевых подходов к безопасности и конфиденциальности для обеспечения внутренней безопасности компании.

 

Источники:

https://assets.kpmg/content/dam/kpmg/pdf/2016/06/hu-social-engineering-audit-and-security-awareness.pdf

https://www.social-engineer.org/general-blog/how-to-prevent-social-engineering-attacks-chosing-the-right-security-auditor/

https://www.techrepublic.com/article/social-engineering-audits-on-the-rise-what-this-means-for-cios-and-csos/

Читайте также: