Понятие и цели социального инжиниринга, способы противодействия ему. Техники и виды атак. Выявление уязвимостей и оценка рисков в организациях. Создание тренировочной и образовательной программы. Структура и содержание методики обучения персонала.
При низкой оригинальности работы "Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО "ВДПО" и ООО "Служба Мониторинга-Уфа"", Вы можете повысить уникальность этой работы до 80-100%
2.3 Предпринятые меры Разработка методики противодействия социальному инжинирингуСамой простой причиной утечки информации является возможность физического доступа к компьютеру, на котором эта информация расположена [43, с. Но чаще всего для получения доступа к сети применяется метод, который называется социальный инжиниринг - и на него же зачастую обращают меньше всего внимания. Социальный инжиниринг (от англ. social engineering) основан на управлении личностью человека для достижения своей цели. Так исторически сложилось, что сегодня для общества термин «социальный инжиниринг» является синонимом набора прикладных психологических и аналитических приемов, которые, в свою очередь, злоумышленники применяют для скрытой мотивации пользователей публичной или же корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности. Вся информация в этом мире защищается людьми, и ее основными носителями являются тоже люди, которые имеют свой обычный набор комплексов, слабостей и предрассудков, с помощью которых и «играют» социальные инженеры.Поэтому все методы и техники социальных инженеров основаны на использовании слабостей человеческого фактора, что считается крайне опасным, так как злоумышленник получает информацию, к примеру, с помощью обычного телефона или путем проникновения в организацию под видом сотрудника или другого лица. Несмотря на то, что понятие «социальный инжиниринг» появилось относительно недавно, люди в той или иной мере пользовались этими техниками испокон веков, так как в основе лежит психология общения между людьми. Социальный инжиниринг появился в мире с первым образовавшимся обществом, так как само слово «социальность» - это общественность, или же гражданственность. Социальный инжиниринг - это вполне состоявшееся направление в хакинге, и взломы компьютерных систем можно осуществлять не только техническими методами, но и на уровне психологии. Социальный инжиниринг, как незаконный метод получения информации, обычно использует обман, влияние и убеждение, но его можно также использовать и в законных целях, к примеру, для совершения действий конкретным человеком.Определение точной цели (происходит конкретное определение, за какого рода информацией идет охота и где она находится, причем, в связи со знанием точного местоположения информации на диске или на другом носителе, «операция» проводится очень быстро, и в итоге, никто не определяет такой доступ как НСД). Сбор информации об объекте обработки (производится изучение жертвы - это позволяет понять характер человека, его уязвимые места, привычки и т.д., источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков). Получение конфиденциальной информации (для достижения данной цели при продолжительном общении с жертвой, социальный инженер входит в доверие и под удобными предлогами получает необходимую информацию). Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т.е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Для того чтобы обойти средства безопасности, социальный инженер находит способ обмана сотрудника, для раскрытия информации или получения доступа к информации.Эта степень зависит от уровня подготовленности социального инженера и того, кем является жертва. Но общей чертой всех этих методов является введение в заблуждение, целью которых является заставить человека совершить какое-либо действие, необходимое социальному инженеру. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, социальный инженер просит жертву сообщить ему пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. Самая распространенная стратегия при данной технике - использование в начале небольших запросов и упоминание имен реальных людей из организации, в дальнейшем, социальный инженер объясняет, что нуждаются в помощи (большинство людей могут выполнить задачи, которые не воспринимаются ими как подозрительные). После попадания на поддельную страницу, происходят попытки различными психологическими приемами побудить пользователя ввести свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам, банковским счетам и т.п.Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник является автором книг по компьютерной безопасности, посвященным, в основном, социальному инжинирингу и методам психологического воздействия на человека. Несмотря на то, что братья Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х годах, использовав социальный инжиниринг и подделку голоса.Стратегия управления обеспечением безопасности дает общее представление об угрозах социального инжиниринг
План
Содержание
Введение
1. Теоретические и методологические основы социального инжиниринга
1.1 Цели социального инжиниринга
1.2 Техники и виды атак
1.3 Известные социальные инженеры
2. Анализ состояния изучаемой проблемы в организациях
Введение
Использование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем. Одной из таких проблем является необходимость обеспечения эффективной защиты информации, которая обусловлена ростом правонарушений, связанных с кражами и неправомерным доступом к данным, хранящимся в памяти компьютерных систем и передаваемым по линиям связи.
Сегодня компьютерные преступления происходят во всем мире распространены во многих областях человеческой деятельности. Эти преступления характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел [26, с. 27].
По данным зарубежных аналитиков, каждую неделю в мире регистрируется более 55 миллионов различных компьютерных взломов. Размер ущерба, причиненного пользователям в результате хакерских нападений, продолжает увеличиваться с каждым годом. К сожалению, даже столь угрожающая статистика не мешает огромному числу компаний и пользователей персональными компьютерами (ПК) игнорировать любые правила компьютерной безопасности. По оценкам экспертов, в мире лишь 1% офисных сотрудников следует корпоративным правилам пользования персональным компьютером. Данное обстоятельство приводит к возможности осуществления некоторых информационных угроз.
Первая угроза - это физические атаки. Самой простой причиной утечки информации является возможность физического доступа к компьютеру, на котором эта информация расположена [43, с. 14]. Физическая безопасность подразумевает под собой охрану компьютерного оборудования путем ограничения физического доступа к нему. Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2011 года и 46% - в первом полугодии [46, с. 109].
Вторая угроза - это социальные атаки. Одним из наиболее эффективных методов, компьютерными злоумышленниками для проникновения в защищенные паролем системы, является получение конфиденциальных данных от пользователей под видом службы технической поддержки, которая просит сообщить пароль.
Но чаще всего для получения доступа к сети применяется метод, который называется социальный инжиниринг - и на него же зачастую обращают меньше всего внимания. Социальный инжиниринг (от англ. social engineering) основан на управлении личностью человека для достижения своей цели.
В то время как службы безопасности ставят антивирусы, разрабатывают сложную систему допусков и паролей, злоумышленники проникают в сеть с помощью рядовых ничего не подозревающих пользователей.
На самом деле, примерно 70% взломов и проникновений в компьютерные системы не возможно без социального инжиниринга. Поэтому это направление очень важно, и люди должны уделять на его изучение не меньше времени, чем на изучение компьютерных систем.
Хотелось бы заострить внимание, что самым слабым звеном в любой структуре информационной безопасности является человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.
Так исторически сложилось, что сегодня для общества термин «социальный инжиниринг» является синонимом набора прикладных психологических и аналитических приемов, которые, в свою очередь, злоумышленники применяют для скрытой мотивации пользователей публичной или же корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности.
В основе данного подхода лежит системность, которая подкреплена методологией и анализом, что позволяет сочетать технологическую инновационность, инженерную точность расчетов с использованием социально-психологического моделирования. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном направлении для социальных инженеров [44, c. 73].
Социальный инжиниринг - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств [55]. Основной целью социальных инженеров является получение доступа к защищенным системам с целью кражи каких-либо данных. Основное отличие от простого взлома является то, что в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что может считаться крайне разрушительным, т.к. злоумышленник получает информацию, к примеру, с помощью телефонного разговора или путем проникновения в организацию под видом ее сотрудника. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, необходимо понимать, что на самом деле хотят социальные инженеры и своевременно организовывать подходящую политику безопасности. Вся информация в этом мире защищается людьми, и ее основными носителями являются тоже люди, которые имеют свой обычный набор комплексов, слабостей и предрассудков, с помощью которых и «играют» социальные инженеры. Тому, как это делают и как от этого защититься, и посвящена данная работа.
При анализировании причин и методов взлома программного обеспечения (ПО) или каналов утечки информации из различных структур, можно сделать очень интересный вывод о том, что примерно в 80% случаев, причина этого - человеческий фактор, или умелое манипулирование им.
Сейчас интерес к социальному инжинирингу во всем мире очень высок. Это можно заметить по очень многим признакам. К примеру, пару лет назад по запросу «социальный инжиниринг» в поисковых системах было только 2 ссылки. Теперь их сотни. Известный хакер Кевин Митник, использующий для взломов методы социального инжиниринга, сейчас выступает с лекциями для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций. По социальному инжинирингу стали устраивать конференции, а в ряде университетов собираются вводить курсы лекций на эту тему [24, с. 15].
Вышесказанным и обусловлена актуальность настоящей работы.
Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга - Уфа» (ООО «СМ - Уфа»).
Задачами дипломной работы являются: 1. Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.
2. Описание основных способов противодействия социальному инжинирингу.
3. Разработка методики противодействия социальному инжинирингу.
Поставленные задачи определили структуру выпускной дипломной работы, которая включает в себя введение, три главы, заключение, библиографический список, приложения.
Теоретической и методологической основой исследования являются труды отечественных и зарубежных авторов в области информационных технологий, таких как Митник К.Д. (NYC.: «Wiley Books»), Кузнецов М.В., Симдянов И.В. (СПБ.: «БХВ-Петербург»), в области управления персоналом: Скопылатов И.А., Ефремов О.Ю. (М.: «Издательство Смольного университета»), и в области психологии: Литвак М.Е. (Р.-н-Д.: Феникс), Варламов В.А., Варламов Г.В., Власова Н.М. (М.: «Русичи»), Оглобин С.И., Молчанов А.Ю. (издательство «Нюанс», г. Ярославль) и ряда других. В числе информационных источников работы использовались публикации в периодической печати.
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
