14 августа 2014

Можно ли справиться с социальной инженерией?

Бизнес

Вопрос в заголовке может показаться простым (и несколько риторическим, вероятно), но после недолгого размышления он становится не таким уж прозрачным, потому что порождает еще больше вопросов: Как давно существует социальная инженерия? Почему ее не победили, если все о ней знают?

Если посмотреть на последние APT-кампании, то видно, что большинство из них связаны так или иначе с социальной инженерией. Это один из основных методов подсадки вредоносных программ на устройства жертвы и/или добычи паролей и других важных данных.

А история у нее давняя.

Нет, мы не собираемся пересказывать ее всю, на самом деле это тема для многотомной монографии, но вкратце «социальная инженерия» — это красивое название для плутовства, обмана и психологических манипуляций.

Например, именно социальная инженерия, среди прочего, сделала Кевина Митника одним из самых успешных компьютерных преступников еще в 1990-е годы. Его так боялись, что органы убедили судью, будто Кевин может «начать ядерную войну, свистнув в телефон» (полузабытый трюк с насвистыванием правильного тона модему на другом конце линии для установления соединения). Но в своей книге 2002 года «Искусство обмана» Митник заявил, что компрометировал компьютеры исключительно посредством паролей и кодов, добытых с помощью социальной инженерии, без использования программ или хакерских утилит для взлома и прочих видом нарушения компьютерной и телефонной безопасности. Другими словами, он «взламывал» людей, а не машины.

И как мы знаем, Митник теперь консультант по безопасности, весь в белом, руководит собственной компанией.

Фишинг является самым популярным и проблемным методом нарушения безопасности с использованием различных видов обмана. Скромные затраты и высокая эффективность делают его очень привлекательным для преступников, так что это уже своего рода коммерческий сервис. Как пишут авторы исследования «Лаборатории Касперского», посвящённого фишинговым атакам в 2011-2013 гг., «природа фишинг-атак такова, что простейшие типы могут быть запущены без серьезных инвестиций в инфраструктуру или сложных технологических изысканий. Данная ситуация привела к отличительной форме «коммерциализации» этих видов атак, и фишинг теперь осуществляется почти в промышленных масштабах и матерыми киберпреступниками с техническими навыками, и дилетантами ИТ.

wide

В целом, эффективность фишинга в сочетании с его рентабельностью для преступников и простотой процесса привела к стабильно растущему числу инцидентов этого типа.

Инциденты следует называть «успешными атаками». Самый опасный тип – спиэр-фишинг, узконаправленная атака, которой предшествует сбор личных и рабочих данных о потенциальных жертвах (сотрудниках компании-мишени и т.п.). Эти данные используются для повышения достоверности фишинговых сообщений (отправленных по электронной почте или на сайтах социальных сетей) таким образом, чтобы люди не заподозрили подвох. Используя кое-какие личные данные, злоумышленник может заманить жертву на поддельный и/или зараженный веб-сайт и там вынудить его ввести свою комбинацию логина и пароля. Последствия очевидны.

Так можно ли справиться с социальной инженерией, победить фишеров и заставить мошенников бежать в ужасе и без оглядки?

Короткий ответ: скорее всего, нет.

По крайней мере, окончательно и бесповоротно – нет, не получится. Социальная инженерия – это атака человека, а не машины. Можно прихлопнуть баг в программном пакете, обновить прошивку устройства, чтобы решить возникшую в нем проблему. Но фишеры и прочие социальные инженеры паразитируют на проблемах «человеческой аппаратуры». Есть ли способ с ними справиться?

Очевидно, единственный путь — это ИТ-обучение. Причём постоянное. Сотрудники компании должны придерживаться основ доверительности при работе с конфиденциальной информацией, чтобы они всегда знали, кто, где, когда, почему и как должен обращаться с критическими данными.

Должны быть установлены четкие и понятные политики и протоколы безопасности, и сотрудников следует регулярно учить пресекать любые посторонние попытки злоупотребления.

Есть еще технические средства противодействия социальной инженерии. Во-первых, антифишинговые и антимошеннические инструменты (вроде тех, что присутствуют в решениях «Лаборатории Касперского»).

Это поможет снизить риски и смягчить возможные последствия атак с использованием социальной инженерии.

Тем не менее, пока основы ИТ-безопасности, человеческой психологии и, самое главное, Ее Величество Логику не станут зазубривать еще в начальной школе, нет никаких шансов окончательно сладить социальной инженерией.

Так же в рубрике «Можно ли победить»: