2004 г.
Социальная инженерия:
защита от умного, который использует дурака
Елена Полонская, Издательский Дом "КОМИЗДАТ"
У потенциальных злоумышленников есть множество способов проникнуть
в сеть, скомпрометировать данные или программы. При этом часто используют знакомство с
пользователями, легально подключенными к сети, эксплуатируя их доверчивость и желание
по-человечески помочь хорошему человеку
Пожалуй, чаще всего для получения доступа к сети применяется метод,
именуемый социальной инженерией - и на него же зачастую обращают меньше всего внимания.
Тем временем, пока администраторы по безопасности ставят брандмауэры и антивирусы, разрабатывают
сложную систему допусков и паролей, злоумышленники проникают в сеть с помощью рядовых
ничего не подозревающих пользователей.
|
Если вам кажется, что важная информация надежно защищена, попросите
кого-нибудь позвонить по телефону, представиться специалистом службы техподдержки и сказать,
что ему нужен пароль пользователя |
|
Для того чтобы меры по обеспечению безопасности имели смысл - как для
администратора, так и для пользователей сетевых ресурсов - необходимо определить сетевую
политику, в которой следует четко описать, что можно и чего нельзя делать в сети. Хорошая
политика обеспечения безопасности вынуждает - иногда с применением технических средств
- держать наивных пользователей подальше от информации, раскрытие которой может нанести
ущерб сети.
Одновременно следует разработать процедуры выполнения таких обязательных
задач, как резервное копирование, восстановление, создание пользовательских учетных записей
и т.п. Если задача описана в виде четкой последовательности действий, то вероятность
того, что будет сделано нечто необычное и это нарушит защиту системы, значительно уменьшается.
Для ознакомления пользователей с политиками обеспечения безопасности
компьютеров и сети можно использовать следующие документы:
- правила пользования компьютером;
- политику сетевых соединений;
- процедуры по устранению последствий вторжения.
Подобно тому, как это происходит при инструктаже по технике безопасности, ознакомление
с этими документами должно подтверждаться подписью пользователя.
Рассмотрим эти документы подробнее.
Политика сетевых соединений
Документы этого типа содержат перечень устройств, которые разрешается
подключать к сети, а также свод требований по обеспечению безопасности - какие функции
операционной системы используются, кто утверждает подключение к сети новых устройств.
Должны быть предусмотрены прямые инструкции на случай настройки нового компьютера, коммутатора
и даже маршрутизатора - что разрешено делать, а что запрещено.
Отдельно составляется политика сетевых подключений для брандмауэров
- с описанием того, какой тип сетевого трафика пропускается через брандмауэр в сеть и
из сети.
Если пользователям разрешено соединение через виртуальную частную сеть
(Virtual Private Network, VPN), необходимо разработать специальные документы с подробным
описанием настройки портативных и настольных компьютеров.
В документации следует также описать все процедуры получения учетной
записи компьютера, а также права и привилегии всех типов, которые могут быть предоставлены
учетной записи, сетевые адреса, которые могут быть использованы, и способы их контроля.
Наконец, необходимо явно оговорить, что никакие соединения, идущие вразрез с описанными
процедурами и происходящие без ведома ответственных лиц, не допускаются.
Если пользователям предоставлено право коммутируемого доступа, они
должны четко понимать, что ни в коем случае нельзя сообщать информацию, необходимую для
такого доступа, кому бы то ни было - как внутри, так и вне компании. Сколько раз хакеры
проникали в сеть не посредством подбора пароля, а просто потому, что пользователь оставляет
бумажку с паролем где попало или выбирает слишком очевидный пароль!
Пожалуй, наихудшее из возможных решений - позволить кому-либо из пользователей
работать дома с собственного компьютера. Используя компьютер и для работы, и для личных
нужд, он открывает доступ в сеть компании для вирусов и троянов всех сортов. Если же руководство
компании все-таки сочтет такой шаг необходимым, следует разработать политику, которая
требовала бы наличия отдельного компьютера (например, портативного) и запрещала бы пользователю
заниматься на этом компьютере личными делами, а также изменять конфигурацию. Только так
можно обеспечить некоторую безопасность сети.
И все равно любой, без исключений, доступ к сети должен осуществляться
через VPN или коммутируемый канал с использованием брандмауэра. Даже если сетевые политики
будут строго запрещать сотрудникам использовать компьютеры компании и мобильные компьютеры
для посторонних вещей, обеспечить соблюдение такой политики наверняка не удастся - такова
природа человеческая. Пользователи все равно будут проверять личные почтовые ящики, заходить
на любимые сайты и, что еще хуже, загружать невинные на вид программы, MP3-плееры например.
В защищенной сетевой среде такие вещи недопустимы - и единственным средством оградить
от них сеть является брандмауэр.
Невозможно переоценить важность строгих инструкций по настойке компьютеров
и необходимости письменных заявлений пользователей, желающих получить разрешение на любое
послабление установленной политики. Если программа не поддерживается ИТ-отделом компании,
нельзя давать разрешение на ее установку - разве что по причине острой производственной
необходимости. В последнем случае программу необходимо внести в политику сетевых соединений
и обучить ИТ-персонал ее использованию. Ни при каких обстоятельствах нельзя разрешать
пользователям загружать и устанавливать программы из интернета.
Отдельное внимание следует обратить на попытки доступа к данным, не
имеющим отношения к служебным обязанностям пользователя. Такие действия называют "прощупыванием" сети
и рассматриваются как причина для увольнения. Если пользователь желает знать, где хранятся
данные или приложения, он может обсудить этот вопрос с руководством или ИТ-службой.
Инструкции по использованию компьютера
Компьютер - настраиваемое устройство. Его можно использовать для многих
вещей, выходящих за рамки обычных задач, которые сотрудник выполняет в рабочее время.
И хотя потери времени из-за использования компьютера не по назначению -обстоятельство
весьма прискорбное, существуют и гораздо более серьезные вещи.
В инструкции по использованию компьютера должно быть ясно сказано,
что все компьютерные программы должны предоставляться исключительно компанией; использование
на компьютере, принадлежащем компании, или в корпоративной сети посторонних программ,
например принесенных из дома, запрещается. Как известно, компьютерное пиратство чревато
крупными неприятностями самого разного свойства, одно другого хуже. Важно убедиться, что
все пользователи понимают это и что компания таким образом защищена от возможных судебных
разбирательств.
И все же пиратство - это только полбеды. Компьютерные вирусы свободно
передаются с одного компьютера на другой через дискеты и интернет. К сожалению, к тому
времени, когда вирус проявляется или когда его обнаруживают, он успевает заразить несколько
систем. Если все программное обеспечение, используемое в сети, тщательно проверено и утверждено,
если оно распространяется из единого источника, эту проблему проще контролировать.
Разумеется, в документации следует запретить пользователям копировать
принадлежащее компании программное обеспечение и данные, уносить их домой или использовать
другим неразрешенным образом. Впрочем, иногда компания сама заинтересована в установке
пользователем на своем домашнем компьютере некоторых программных средств, таких как антивирусы
и программные брандмауэры. Конечно, это дополнительные затраты, но они вполне окупаются,
если предотвращают подключение к сети зараженной системы и распространение вируса в сети
компании.
Необходимо обязать пользователей сообщать о любых подозрительных действиях
или неправомочном использовании компьютерных ресурсов. На пользователей также должна возлагаться
ответственность за принятие необходимых мер по защите данных и программ в пределах их
полномочий - в частности, они не должны оставлять рабочую станцию, зарегистрированную
для работы в сети, без присмотра на длительное время, (для этого следует пользоваться
защищенным паролем хранителем экрана); не должны оставлять на видном месте отчеты и другую
конфиденциальную информацию и т.п. Скажем, уверены ли вы, что никто не заглянет в
оставленную без присмотра распечатку ведомости по заработной плате? Если не внести в политику
соответствующего правила, пользователям может и в голову не прийти, что они поступают
опрометчиво.
Инструкции по использованию компьютера могут включать много нюансов.
При ее составлении необходимо учесть следующие моменты.
- Недовольство пользователей. Не переборщите. В лучшем случае пользователи
не станут выполнять слишком строгую инструкцию, создающую серьезные неудобства,- особенно
если им непонятно, насколько эти меры оправданы. В худшем же случае возможно нарастание
скрытой агрессии и открытый конфликт. Будьте внимательны: некоторые выходки, которые на
первый взгляд представляются невинной, хотя и грубой шуткой, часто являются средством
выплеснуть недовольство.
- Наказания. Если правило подразумевает принятие некоторых болезненных
мер, то оно всегда должно выполняться с максимальной значительностью и строгостью - "чтобы
другим не повадно было". В идеале такие меры должны приниматься один раз.
Сотрудники
В любом документе, содержащем инструкции по использованию сети, должно
подчеркиваться, что сотрудники, находясь в сети, обязаны вести себя этично. Например,
сотрудникам ИТ-службы часто приходится обращаться к данным, которые являются собственностью
других людей, чтобы помочь последним решить их проблему. Разглашать третьей стороне информацию,
полученную в ходе таких работ, неэтично. Администраторы и операторы часто имеют расширенные
права и привилегии доступа к рабочим станциям и серверам, разбросанным по всей сети. Эти
сотрудники обязаны понимать, что такие привилегии подразумевают ответственность за профессиональное
выполнение работы и отсутствие проблем.
Внешние соединения
Еще одной областью, которой часто уделяется недостаточно внимания,
являются люди, которые приходят в компанию и получают временный доступ к сети. Для персонала,
нанятого по контракту для выполнения определенных работ, обязательно должны быть разработаны
правила использования компьютера - такие сотрудники должны прочесть эти правила и подписью
подтвердить факт ознакомления с ними.
В инструкции должно быть сказано, что работник не имеет права обсуждать
с кем-либо не только информацию, к которой он имеет доступ, но даже и тип этой информации.
Порой единственное неосторожное слово проходит длинный путь - и в конце концов достигает
тех ушей, для которых оно не предназначено.
Иногда для ремонта оборудования обращаются к независимой организации
или к производителю. Диагностика некоторых проблем требует доступа специалиста по ремонту
к регистрационным данным учетной записи. Если для этих целей заведена специальная пользовательская
учетная запись, ее следует включать только при необходимости, а в остальное время держать
отключенной.
Устранение последствий вторжения
Всегда хорошо иметь план действий на случай того или иного события.
В компании должен быть специальный сотрудник или сотрудники, которые отвечали бы за исследование
вопросов, имеющих отношение к обеспечению безопасности. Кроме того, наличие документа,
в котором расписаны процедуры на случай тех или иных нарушений системы защиты, покажет
пользователям, насколько важна безопасность сети и насколько тщательно нужно выполнять
меры по ее соблюдению.
В документе, содержащем описание процедур по устранению последствий
вторжения, следует дать определение того, что считается брешью в защите. Это может быть
следующее:
- кража аппаратных средств или программного обеспечения;
- подбор или разглашение пароля;
- недопустимая передача кому-либо носителей информации, в том числе магнитных лент,
дискет и распечаток;
- совместное использование одной учетной записи либо разглашение имени пользователя
и пароля;
- просмотр сети без соответствующих полномочий;
- вмешательство в данные или учетную запись другого пользователя;
- подозрительное проникновение в сеть извне;
- компьютерные вирусы;
- нарушение физического доступа.
Некоторые из этих ситуаций кажутся вполне очевидными. Однако было бы
наивным рассчитывать справиться с подобными проблемами без заранее написанных инструкций.
Например, пользователи часто разрешают другим использовать свою учетную запись. Ведь гораздо
проще пустить другого сотрудника за свой компьютер, если его машина не работает, чем получать
соответствующие полномочия у руководства. Однако при этом не следует забывать, что пароль,
сообщенный кому-то однажды, нередко становится всеобщим достоянием.
Что делать, если возникло подозрение, что в сеть проник кто-то извне?
Отключить маршрутизаторы? Сменить все пароли? Это следует продумать заранее и составить
документ, где будет описана последовательность действий. В эту последовательность должны
входить методы определения источника вторжения, а также процедуры по наказанию злоумышленника
и восстановлению собственности на всю похищенную информацию. Например, какие меры вы предпримете
в случае утечки конфиденциальной информации, чтобы уведомить того, кого она касается?
Существуют ли юридические аспекты, которые определяют, кому принадлежат данные в сети,
и которые вам следует знать?
Наверное, одним из самых сложных моментов для менеджера является увольнение
сотрудника. Хорошо еще, если сотрудник покидает компанию добровольно и сохраняет дружеские
отношения с руководством. Тогда достаточно отключить его учетную запись и убедиться, что
все двери доступа закрыты. Но если отношения испорчены, необходимо принять все меры, чтобы
гарантированно заблокировать уволенному работнику все способы доступа к сети, которые
он имел прежде. Если работник был уволен за намеренное причинение ущерба сети, не оставил
ли он после себя "мину замедленного действия"? Какие меры нужно предпринять, чтобы изолировать
ресурсы, которые были доступны этому работнику, пока будет идти дальнейшее расследование?
Нужно ли менять пароли и учетные записи других пользователей - например, тестовые учетные
записи или локальные учетные записи компьютеров, к которым работник мог иметь доступ?
Как видим, нарушение безопасности компьютерной сети имеет далеко идущие
последствия. Знание того, что именно следует делать в каждой конкретной ситуации, в случае
нарушения системы защиты значительно упростит жизнь.