Промышленные угрозы: как предприятию защититься от утечки информации

Социальная инженерия как явление

Наверное, мало кто сегодня не слышал о таком понятии, как социальная инженерия. И хотя сам термин появился сравнительно недавно, явление это сопровождает человечество, вероятно, на протяжении всей его истории. Человеческие слабости существовали всегда и вряд ли что-то изменится в этом вопросе в обозримом будущем, а значит, и социальная инженерия будет оставаться неизменной угрозой для безопасности любой системы, частью которой в той или иной степени является человек.

Существует множество определений социальной инженерии. Это явление описывают и как совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии и как метод несанкционированного доступа к информации или системам хранения информации без использования технических средств и даже называют наукой и искусством взлома человеческого сознания. Попросту говоря, социальная инженерия — это использование человеческих слабостей или несовершенства для достижения целей субъекта.

Человек заслуженно считается самым слабым звеном в любой цепи. Можно сколь угодно тщательно «закрывать» периметры техническими средствами, применять идеальные протоколы и политики безопасности, мощные криптографические инструменты, сертифицированное программное обеспечение и оборудование, однако, пресловутый «человеческий фактор» никто не отменял. Зачем использовать кинематографические хакерские приемы для получения чувствительной информации, если ту же самую информацию с легкостью и даже с удовольствием расскажет «новому неопытному сотруднику отдаленного филиала» какой-нибудь менеджер среднего звена, вовлеченный в интересующий бизнес-процесс. Здесь роль «хакера» играет социальный инженер, а объект его «разработки» (сотрудник интересующей компании) — уязвимость, брешь в системе безопасности.

Наверное, самым известным социальным инженером нашего времени, в классическом понимании этого слова, является Кевин Митник. Всемирно известный хакер, а впоследствии консультант по безопасности, Митник еще в 2001 году выпустил книгу «Искусство обмана», наиболее ярко описывающую реальные случаи применения социальной инженерии и остающуюся актуальной и по сей день, несмотря на дату выхода. Вся «трудовая деятельность» этого человека подчеркивает значимость социальной инженерии как угрозы, ее превосходство с точки зрения эффективности по сравнению с техническими методами воздействия.

Отраслевые особенности

«ТГК-16» является энергетической компанией, снабжающей теплом и энергией крупнейшие производственные предприятия Татарстана. Значимость бесперебойной работы и надежной системы безопасности ТГК-16 сложно переоценить. Энергетическая отрасль в этом смысле одна из самых чувствительных к сбоям и разного рода инцидентам. Если возникают проблемы в любом звене цепи энергетических поставок, то проблемы возникают и у потребителей, у бизнеса — это может привести к тяжелым экономическим последствиям. Поэтому компания уделяет самое серьезное внимание вопросам безопасности, в том числе вопросам предотвращения угроз реализации методов социальной инженерии. Повышенное внимание государства в этой области еще больше усиливает значимость противодействия методам социальной инженерии. Как ни парадоксально, но это так — чем лучше защищены технические каналы проникновения, тем привлекательней для злоумышленника становится альтернативный канал — человеческий фактор.

Автоматизированные системы управления технологическими процессами (АСУ ТП), входящие в состав предприятий ТЭК, как правило, объединены в промышленные сети и в большинстве своем связаны с офисными сетями, поэтому воздействие на энергетическое оборудование через офисного сотрудника — весьма вероятный сценарий, для предотвращения которого необходимо прикладывать максимум усилий.

Для того, чтобы успешно противостоять социальным инженерам, надо хорошо знать методы и приемы, которыми они пользуются. Давайте вспомним некоторые из них.

Фишинг

Без преувеличения, самой известной и популярной технологией социальной инженерии является фишинг.

Обычно в этом случае социальный инженер направляет жертве письмо, маскирующееся под официальное сообщение, отправленное с корпоративной почты серьезной организации, например, банка или платежной системы. В письме, как правило, присутствует ссылка, ведущая на сайт, в точности имитирующий официальный, со всеми присущими элементами — логотипами, текстами и т. п. Этот сайт содержит форму, требующую с самой благой целью ввести чувствительную информацию, например, pin-код банковской карты.

Фишинг имеет несколько разновидностей.

Несуществующие ссылки. В письме указывается соблазнительная причина посетить сайт сервиса, клиентом которого является жертва, и указана ссылка на него, которая лишь внешне похожа на оригинальную. Например, вместо ссылки PayPal.com указывается PayPai.com, где «i»указывается в виде заглавной — «I».

Мошенничество с использованием брендов известных корпораций. В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В письме может быть сообщение о каком-либо опросе, проводимом компанией, о выигрыше в конкурсе, что срочно требует изменения учетных данных или пароля.

Подложные лотереи. Пользователь получает сообщение о выигрыше в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены авторитетным должностным лицом компании.

Ложные антивирусы и программы для обеспечения безопасности. Подобное мошенническое ПО, также известное под названием scareware, упирает на чувство страха пользователя, пугает его. Программа может выглядеть как антивирус, который находит на компьютере жертвы опасный вирус, грозящий полным уничтожением данных, если жертва не произведет определенные манипуляции. Пользователь может столкнуться с таким ПО в почте, онлайн-объявлениях, в социальных сетях, в результатах поиска и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.

Телефонный фишинг — вишинг назван так по аналогии с фишингом. Данная техника старается воссоздать «официальные звонки» банковских и других IVR систем. Обычно жертве предлагается (например, через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода pin-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать необходимую информацию. Например, пользователь слышит типичную команду: «Нажмите «1», чтобы сменить пароль, выполняет ее, а затем последующие команды по вводу пароля.

Претекстинг

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию (претексту) выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, то есть получение заранее некой первоначальной информации для разговора с жертвой, чтобы не вызвать подозрений и обеспечить доверие в разговоре. Обычно реализуется через телефон или электронную почту.

Квид про кво

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Злоумышленник звонит в компанию по корпоративному телефону или пишет по электронной почте. Часто мошенник представляется сотрудником технической поддержки, который спрашивает, есть ли у жертвы технические проблемы на рабочем месте и, в случае положительного ответа, предлагает их устранить. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.

Троянский конь

Эта техника эксплуатирует любопытство либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении якобы важное обновление ПО, непристойный контент или даже компромат на сотрудника или его коллег. Такая тактика весьма эффективна, поскольку любопытство — одно из самых сильных свойств человеческой личности.

Дорожное яблоко

Это разновидность троянского коня, когда для передачи зловредного программного обеспечения используется физический носитель. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены — туалеты, парковки, столовые, рабочие места атакуемых сотрудников. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, способной вызвать любопытство. Например, социальный инженер может подбросить флешку с наклеенным стикером с надписью «Заработная плата руководящего состава». Флешка может быть оставлена на полу лифта или в вестибюле.

Сбор информации из открытых источников

Технологии социальной инженерии требуют от исполнителей не только знания психологии, но и умения собирать о человеке необходимую информацию. Лучше всего для этого подходят социальные сети. К примеру, Facebook, «ВКонтакте», «Одноклассники», Instagram содержат огромное количество чувствительной информации, которую люди не то что не пытаются скрыть, а размещают ее с гордостью и удовольствием.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из ее окружения — ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7 с половиной часов исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Обратная социальная инженерия

В данном случае жертва сама обращается к злоумышленнику с просьбой о помощи в решении тех или иных проблем и с готовностью сообщает необходимую информацию. Для этого социальный инженер проводит необходимую подготовку, например, инициирует неисправность на компьютере жертвы и каким-либо образом рекламирует себя в качестве человека, который может решить проблему.

Главное, что стоит отметить, сегодня большинство успешных атак на бизнес задействуют социальную инженерию, в той или иной степени. Если говорить об энергетической отрасли, то, пожалуй, самым масштабным вторжением в этой отрасли остается классический случай внедрения вируса Stuxnet в Иране в 2010 году, когда были сорваны сроки запуска ядерной АЭС в Бушере за счет того, что были успешно поражены 1 368 из 5 000 центрифуг на заводе по обогащению урана в Натанзе. В этой истории много неизвестных, поскольку ни одна из заинтересованных сторон не торопилась делиться подробностями. Но очевидно, что без социальной инженерии здесь не обошлось. Считается, что вирус непредумышленно «занес» сотрудник компании Siemens, которая была подрядчиком в этом проекте, воспользовавшись обычной флешкой (помните «дорожное яблоко»?).

Сотрудники компании Positive Technologies, проведя исследование в феврале текущего года, выяснили, что социальная инженерия используется в каждой третьей атаке. «Фишинг в адрес сотрудников компании-жертвы стал уже отработанной схемой злоумышленников в рамках целенаправленных атак, — отмечает директор Экспертного центра безопасности Positive Technologies Алексей Новиков. — Так, в ноябре 2018 года наши специалисты обнаружили вредоносное вложение в электронных письмах, которое позволяло злоумышленнику захватывать изображение с веб-камер, записывать звук, делать скриншоты экрана, копировать файлы с медиаустройств. Преступники ловко привлекали внимание адресатов броской темой письма и размытым изображением открывающегося файла, на котором проглядывал герб — так, что документ должен был вызывать доверие и желание с ним ознакомиться, включив необходимый скрипт. Пока жертва видела на экране документ-заглушку, на компьютере незаметно для пользователя устанавливалось ВПО для удаленного управления Treasure Hunter, которое собирало информацию о системе, отправляло ее на удаленный командный сервер и принимало команды с него».

Методы противодействия

О методах противодействия социальной инженерии, применяющихся в ТГК-16, рассказал специалист отдела по экономической безопасности, охране и режиму Айрат Шагиев:

— Мы в ТГК-16 осознаем всю важность угроз социальной инженерии для бизнеса, поэтому нами выработана и применяется система противодействия этим технологиям.

Поскольку ключевым фактором успеха применения методик социальной инженерии является человек, необходимо повышать осведомленность сотрудников. Для этого мы периодически проводим беседы и тренинги с персоналом.

Для того, чтобы сотрудники поняли важность бережного обращения с ключевой информацией, стоит объяснить им, в чем заключается опасность ее предоставления посторонним лицам, какие последствия может повлечь за собой вторжение социального инженера.

Должностная инструкция должна быть лаконичной и понятной, действия сотрудников должны быть расписаны без «воды», предельно конкретно. Через руководителей мы доносим до подразделений порядок действий по проверке личности контакта, если он представляется сотрудником.

Прежде всего мы работаем с группами персонала, имеющими непосредственный контакт с «внешним миром», — секретарями, специалистами профильных отделов, охранниками. Причем, если первые три группы общаются с посторонними через средства связи (телефон, интернет), то охранники имеют непосредственный контакт с социальными инженерами. В этом смысле об охране часто забывают, не воспринимают эту группу как рискованную для осуществления атак. Между тем, в непринужденном разговоре с охранником социальный инженер может получить такие сведения, которые вряд ли выдаст ему, например, секретарь.

Еще одна не очевидная, но важная группа — сотрудники финансового блока. Их телефоны или электронные адреса обычно не фигурируют в открытых источниках, однако они напрямую взаимодействуют с контрагентами и последствия воздействия на них социального инженера, представляющегося контрагентом, могут быть самыми тяжелыми, в том числе в финансовом плане.

Наверное, самый важный момент в работе с кадрами по этой теме — формирование грамотных должностных инструкций и контроль их выполнения. Прежде всего, инструкция должна предотвращать именно те угрозы, которые могут быть осуществлены в отношении конкретных сотрудников. Здесь мы не полагаемся полностью на свои знания, а работаем в тесной связке с руководителями ключевых подразделений: опрашиваем их и выявляем наиболее уязвимые места, потенциальные цели для социальных инженеров применительно к той или иной группе персонала.

Должностная инструкция должна быть лаконичной и понятной, действия сотрудников должны быть расписаны без «воды», предельно конкретно. Через руководителей мы доносим до подразделений порядок действий по проверке личности контакта, если он представляется сотрудником.

Помимо регулярного мониторинга выполнения инструкций, время от времени мы проводим тестовые попытки проникновения, например, по телефону. Это одна из наиболее эффективных мер противодействия социальной инженерии, поскольку позволяет не только проверить уровень подготовки сотрудника, но и получить дополнительную информацию о «болевых точках» общения сотрудника с внешним миром.

При регулярном осуществлении подобных мероприятий у работников формируется определенная подозрительность к любым ситуациям, касающимся персональных данных, коммерческой тайны. Сотрудник хорошо подумает, прежде чем поделится информацией с собеседником.

Еще один нюанс, важный сточки зрения противодействия методам социальной инженерии, — необходимо внимательно относиться к информации, размещаемой в открытых, официальных источниках. Рекомендуется тщательно следить, чтобы контактная информация на сайте, визитках, в СМИ не была избыточной.

Например, к телефонным справочникам часто относятся небрежно, никому не приходит в голову их защищать, хотя это просто кладезь информации для мошенников. Телефонный справочник позволяет не только отыскать номера, по которым можно связаться с сотрудниками, но и получить представление о структуре организации. Поэтому телефонные справочники в нашей организации входят в перечень защищаемых информационных ресурсов.

В заключение хочется сказать, что хотя социальная инженерия и может представляться чем-то неуловимым, угрозой, которую трудно идентифицировать, а, значит, бороться с ней, не стоит бояться «ввязываться» в эту тему. Более того, в сегодняшней ситуации это делать просто необходимо. И уже само по себе осознание проблемы и постановка правильных вопросов — залог успешного противостояния этой угрозе.