CC BY
28
УДК 004.056
СПОСОБЫ ИНИЦИАЛИЗАЦИИ АТАК С ПРИМЕНЕНИЕМ МЕТОДОВ ИНЖЕНЕРИИ
Е. В. Титкова Научный руководитель - В. В. Золотарев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: titkova_katya@mail.ru
Атаки с использованием методов социальной инженерии приобретает особую популярность. Приводится меры, направленные на идентификацию таких атак на различных этапах реализации.
Ключевые слова: атака, социальная инженерия, противоправные действия, реагирование.
ATTACK INITIALIZATION WITH SOCIAL ENGINEERING TECHNIQUE
E. V. Titkova Scientific Supervisor - V. V. Zolotarev
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: titkova_katya@mail.ru
Attack with social engineering technique is becoming more popular. Article discuses methods of attack initialization, which is using social engineering technique.
Keywords: attack, social engineering, unlawful action, response.
Информация, которая способна принести обладателю определенную выгоду, уберечь его от неоправданных расходов и помогает сохранить положение на рынке товаров или услуг, требует защиты. Система обработки информации представляет совокупность персонала и технических средств, автоматизирующих его деятельность.
Наиболее незащищенным сегментов в системе обработки информации является персонал. По данным исследования компанией InfoWatch за 2016 г., в 66 % случаев виновниками утечки становились сотрудники организации. Данные собранные компанией Proofpoint, указывают на то, что для получения информации злоумышленник прибегает к использованию методов социальной инженерии (далее - СИ).
Для воздействия на компанию жертву злоумышленником могут применяться атаки различного рода. Условно можно выделить атаки, в которых ни для получения какой-либо информации ни для ее реализации персонал не будет задействован. Некоторые злоумышленники специализируются на том, что для совершения несанкционированных деяний или получения конфиденциальной информации прибегают к эксплуатации особенностей человеческого фактора. Как наиболее эффективный вариант со стороны злоумышленника, эксперты выделяют комбинированную атаку, которая сочетает свойства описанных выше техник.
В контексте стати рассмотрены этапы проведения атаки с применением методов СИ, выполняемой внешним злоумышленником с привлечением сотрудника-жертвы, этапы реализации атаки представлены на рис. 1.
На подготовительном этапе злоумышленнику необходимо получить как можно больше информации о предполагаемой жертве (организации, сотруднике). В качестве информационных источников могут выступать официальный сайт организации, страницы ее сотрудников в соци-
Секция «Методы и средства зашиты информации»
альных сетях, caП-цешры потенциальной организации-жертвы, которые могут предоставить информацию, не относящуюся к информации ограниченного распространения, но позволяющие злоумышленнику представить общую систему функционирования компании. Источником информации может выступать и корпоративная сеть организации, уровень защищенности которой не обеспечен должным образом.
Рис. 1. Основные этапы атаки с применением методов СИ
Отследить действия злоумышленника на этапе рекогносцировки весьма затруднительно, но выдвинуть предположения о подготовки атаки уже возможно. Для формирования одной из метрик возможно проведение анализа сетевого трафика. Если злоумышленником проводится обследование сети с применением сетевого сканера для определения используемых сетевых служб, ПО и т. д., в трафике увеличится число пакетов, на которых будет установлен флаг SYN, FIN либо RST (значение флага будет зависеть о метода применяемого сканирования).
Провести идентификацию противоправных действий на этапе проникновения несколько проще. Здесь злоумышленнику необходимо установить контакт выбранным сотрудником. «Общение» злоумышленника и сотрудника-жертвы может происходить как при личном контакте, так и с использованием технических средств: электронной почты, средств телефонии. Оценочный параметр будет строиться в зависимости от сценария, эксплуатируемого злоумышленником. Рассмотрим несколько из них.
Как сообщается в отчете «Лаборатории Касперского», только за первые три месяц 2016 г. их продукты зафиксировали и предотвратили около 35 тыс. фишинговых атак. Для минимизации последствий такой угрозы, политикой безопасности организации можно зафиксировать некоторые параметры, адекватно оценивая которые, сотрудник принимает решение о дальнейших действиях. В качестве таких параметров можно выделить адреса отправителя, наличие личного обращения в письме, грамотность и верность написания, психо-эмоциональную окраску содержимого. Внимание пользователя также должно привлечь имя домена второго уровня, разночтение и вариации написания которых не допускается.
Помимо фишинговых атак широкое распространение получил претестинг. Для проведения такой атаки злоумышленнику необходима основательная подготовка, чтобы в дальнейшем минимизировать сомнения, возникающие у сотрудника-жертвы. Как правило, для реализации пре-тестинга используются средства голосовой связи. Злоумышленник выстраивает линию общения таким образом, что сначала пытается получить информацию, распространение которой не ограничено, и только после того, как бдительность сотрудника была усыплена, задает интересующие его вопросы. Чтобы снизить риск такой атаки, необходимо поддерживать актуальность знаний сотрудников компании в области информационной безопасности и разъяснять, какая информация не подлежит разглашению в соответствии с установленной политикой. В качестве идентифи-
катора атаки выступает совокупность параметров: длительность разговора, чрезмерная осведомленность и любопытство звонившего.
Исследование, проведенное в рамках программы «Информационная безопасность», показало, что 68% респондентов готовы предоставить информацию либо совершить какое-то действие взамен на какую-либо услугу либо вознаграждение. Такая слабость человеческого фактора также эксплуатируется злоумышленником (метод - «кви про кво»). Особые усилия злоумышленник прикладывает для того, чтобы в момент, необходимы для него, у сотрудника возникли какие-либо проблемы, сложности и для решения проблемы сотрудник обратился именно к злоумышленнику. Решение проблемы и установление контакта с жертвой, располагают его для общения со злоумышленником, в ходе которого и может быть получена интересующая информация. Ввести унифицированный параметр для такого вида воздействия является весьма затруднительно, так как при должной квалификации злоумышленником разрабатывается индивидуальный сценарий, учитывающий все особенности жертвы.
Для проникновения могут злоумышленником могут быть использованы различные методологии, и если его действия были не установлены и не предприняты меры, для их устранения, то атака переходит на заключительный этап.
На заключающей стадии действия злоумышленника, как правило, становятся очевидными. Грамотные действия сотрудников безопасности направляются на локализацию и устранение последствий и причин случившегося инцидента. Также важна рефлексия произошедшего во избежание подобных ситуаций в дальнейшем.
Выстраивание политики противодействия злоумышленнику, который прибегает к использованию методам СИ можно подразделить на этапы, представленные на рисунке 2.
ИДЕНТИФИКАЦИЯ РИСКА АНАЛИЗ СВЯЗЕЙ ДЕТЕКТИРОВАНИЕ СИСТЕМЫ
Рис. 2. Этапы выстраивания политики противодействия
Грамотный подбор параметров системы, оценка которых способствует детектированию действий злоумышленника на ранних этапах, поможет сохранить репутацию на рынке товаров или услуг, и кроме того, избежать неоправданных расходов, связанных с раскрытием конфиденциальной информации и предотвращением последствий ее раскрытия.
Библиографические ссылки
1. Глобальное исследование утечек конфиденциальной информации в 2016 году [Электронный ресурс]. URL https://www.infowatch.ru/report2016_half (дата обращения: 13.03.2017).
2. The human factor 2016. How today's threats prey on human factor [Электронный ресурс]. URL: https://www.proofpoint.com/us/human-factor-2016 (дата обращения: 21.03.2017).
3. Исследование угроз социального инжиниринга [Электронный ресурс]. URL: http://www.securitylab.ru/news/407499.php (дата обращения: 22.03.2017).
© Титкова Е. В., 2017
