Главная угроза кибербезопасности – человек
Социальная инженерия (Social Engineering, SE), то есть манипулирование людьми, которые в данном случае являются важным производственным активом предприятия, с корыстными и подлыми целями, — это сложный предмет для обсуждения. По сути, в этом контексте социальную инженерию можно рассматривать как хакинг человека.
Человек часто становится первым слабым звеном при проведении кибератаки. Исполнитель такой атаки после проведения разведки и изучения своей цели использует полученную информацию для доступа к учетным данным или другим важным сведениям, которые проведут его к защищенным системам и ресурсам. Зачастую злоумышленнику везет, и при минимальных усилиях и еще меньшем риске с его стороны он может узнать учетные данные пользователя просто на основе предположений, что может быть реализовано даже в автоматическом режиме.
Тему социальной инженерии сложно обсуждать, потому что многие пользователи излишне уверены в своих способностях защитить учетные данные и не соблюдают надлежащую «кибергигиену». Это уже привело к нескольким громким нарушениям, о которых можно подробнее прочитать в Интернете.
Манипулирование. Поиск и добыча информации в социальных сетях
Цель, с которой используется социальная инженерия, в плоскости киберугроз определяется как манипулирование человеческим сознанием, направленное на получение идентификационной, финансовой и прочей ценной информации в ходе общения с человеком путем обмана или злоупотребления его доверием. Реализуется это манипулирование, главным образом, посредством использования человеческого интеллекта (здесь применим термин из разведывательной деятельности Human Intelligence, или HUMINT, — агентурное добывание разведывательной информации) и получения данных из открытых источников (термин разведывательной деятельности — Open-Source Intelligence, или OSINT). Эти же методы применяют спецслужбы для сбора разведывательных данных о явном или потенциальном противнике.
Примерно 80% всех кибератак начинаются с действий, основанных на социальной инженерии. Эти первые атаки принимают множество форм, наиболее распространенной из которых являются фишинговые рассылки. Данный метод очень сложный, но в то же время весьма эффективный. Не заходя слишком далеко, чтобы избежать риска, хакеры могут получить реальные результаты, так как люди с плохой кибергигиеной легко подвержены риску «взлома», причем неоднократного. Люди редко учатся на своих ошибках, а тем более на чужих.
Еще одно весьма плодородное поле для сбора самой разной информации — это социальные сети. Помимо того, что они влияют на мнение и поведение людей, было доказано, что пользовательские данные могут быть добыты и использованы для создания профилей, которые предоставляют злоумышленникам изобилие самой разной скрытой и открытой информации, которую можно использовать для получения учетных данных или для того, чтобы скомпрометировать человека как производственный актив, вынудив его выдать нужные сведения.
Когнитивное искажение
Когнитивные искажения и социальные предубеждения играют большую роль в успешном взломе человека. В качестве примера приведем хорошо работающий против предприятий когнитивный феномен, известный как эффект Даннинга — Крюгера. В его основе лежит метакогнитивное искажение, которое заключается в том, что люди, имеющие низкий уровень квалификации, делают ошибочные выводы, принимают неудачные решения и при этом неспособны осознать свои ошибки в силу низкого уровня своей квалификации и общего понимания происходящего. И поскольку некомпетентный персонал не знает, что он некомпетентен, это приводит к иллюзорному восприятию ими самих себя как компетентных, и в итоге такого члена команды легко скомпрометировать путем манипуляции.
Работники с когнитивным сдвигом, как правило, не следуют инструкциям и плохо воспринимают критику, что влечет за собой целый ряд побочных эффектов. Они легко поддаются лести или чувству зависти, так что воздействие на них с упором на эти болевые центры помогает дискредитировать их и получить нужную информацию. Найти такого «обиженного» и «открыть ему глаза», как правило, не проблема. Эти уязвимости предлагают хакерам очень плодотворную почву для атаки, особенно в социальных сетях. Социальные предрассудки дают «бездонные» возможности для компрометирования персонала с соответствующими склонностями. И хотя ни один из этих методов манипуляции не является чем-то новым (они веками использовались для получения и удержания власти), теперь, когда наградой манипулятора могут стать ценные активы и критическая инфраструктура предприятия, последствия могут быть просто катастрофическими.
Методы кибератак
Атаки, основанные на социальной инженерии, это одна из самых опасных угроз кибербезопасности. Исполнители таких атак используют социальную инженерию для нападения на системы, в которых они не могут найти каких-либо технических уязвимостей. Считается, что эти атаки можно обнаружить, но невозможно на 100% предотвратить. Есть несколько типов таких атак с использованием разных методов, но при этом они следуют общему сценарию и делятся на похожие фазы. Наиболее распространенная схема атаки через человека включает четыре этапа:
- Рекогносцировка (RECON): сбор информации (разведка).
- Ловушка (HOOK): развитие отношений с целью, жертву необходимо «поймать на крючок» (поэтому в английской терминологии используется слово hook).
- Эксплуатация уязвимости (EXPLOIT): использование информации и/или отношений.
- Выход (EXIT): отступление, при котором хакер пытается скрыть или оставить крайне мало признаков нападения.
Этапы кибератаки показаны на диаграмме (рисунок). В данном случае атака через представителя персонала предприятия происходит по принципу «убийственная цепочка» (kill chain) [1].
Атаки с использованием социальной инженерии могут строиться не только на человеке, но и на компьютере. В первом случае требуется, чтобы злоумышленник для получения информации взаимодействовал с жертвой напрямую, и поэтому в один и тот же момент не может быть атакована более чем одна жертва. При направленности на компьютер, а не конкретного человека, за очень короткое время могут быть атакованы тысячи жертв. В качестве примера таких компьютерных атак можно привести фишинговые электронные письма.
Технические, социальные и физические атаки
В зависимости от того, каким образом совершаются атаки, их можно разделить на три категории: технические, социальные и физические. Технические атаки обычно проводятся через социальные сети или веб-сайты, предназначенные для сбора информации. Социальные атаки основываются на отношениях с жертвой и используют ее предубеждения и воздействие на ее эмоции. Физические атаки включают такие действия, как dumpster diving (букв. «погружение в мусорное ведро», может действительно подразумевать исследование содержимого мусорных контейнеров), shoulder surfing (букв. «серфинг на плечах», подсматривание через плечо) или прямое воровство. Физические атаки, для того чтобы дезориентировать жертву и, сыграв на ее растерянности, украсть учетные данные или получить доступ к защищенным областям, часто реализуются в сочетании с социальными атаками.
Наконец, атаки могут быть определены как прямые или косвенные. В первом случае требуется, чтобы злоумышленник контактировал со своей жертвой, причем часто — физически (зрительный контакт, разговор и присутствие на работе или в личном (в том числе домашнем) пространстве жертвы). Такие атаки включают фактическую кражу документов или злоупотребление доверием. Причем обман жертвы может как быть разовым, так и продолжаться долгое время. Прямые атаки часто осуществляются через телефонные звонки: как, например, фальшивые звонки из налоговой службы или банка.
При косвенных атаках злоумышленнику необязательно вступать в контакт со своими жертвами. Примерами таких кибератак могут служить вредоносные программы, распределенная атака на отказ в обслуживании (distributed denial of service, DDoS), фишинг, программы-вымогатели, обратная социальная инженерия и т. д.
Пять наиболее распространенных типов атак
Средства и методы социальной инженерии используются во многих вариантах атак. Все они основаны на человеческих слабостях, среди которых любопытство, нужда, жадность, обида и т. д. Опытный злоумышленник способен провести исследование и подготовить атаку с учетом слабых сторон и уязвимостей предполагаемой жертвы. Рассмотрим пять наиболее распространенных типов атак.
Фишинг
Фишинг (phishing), считающийся самой распространенной атакой на основе социальной инженерии, получил свое название от практики телефонного мошенничества (phone phreaking), целью которого было использовать телефонную сеть для получения острых ощущений и бесплатных телефонных звонков. Злоумышленник как бы бросал наживку и смотрел, кто или что клюнет. Хотя термин «фишинг» до сих пор используется для описания мошеннических телефонных звонков, самым широким полем деятельности для таких хакеров стала электронная почта. По оценкам, более 80% успешных установок вредоносных программ происходит именно таким путем.
Можно выделить несколько форм фишинга:
- Точечный фишинг (англ. spear fishing — букв. «фишинг дротиком») — целевая атака на одного человека или объект.
- «Охота на китов» (англ. whaling) — фишинг-мошенничество против высокопоставленных должностных лиц, жертв с высокой ценностью. Направлено на получение банковских конфиденциальных данных клиентов, являющихся сотрудниками высшего звена управления (президент, вице-президент и т. п.), с целью хищения денег.
- «Вишинг» (англ. vishing). В отличие от фишинга, в сообщении содержится просьба не зайти на сайт, а позвонить на городской телефонный номер. Тем, кто позвонил на него, зачитывается речь с просьбой сообщить конфиденциальные данные.
- «Смишинг» (англ. SMShishing — от «SMS» и «фишинг») — вид фишинга с использованием SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее ее туда зайти. Как вариант, жертве предлагается отправить в ответном SMS-сообщении конфиденциальную информацию, касающуюся платежных реквизитов или персональных параметров доступа на информационно-платежные ресурсы в сети Интернет.
Этот список можно продолжить. Если злоумышленник провел тщательную разведку намеченной цели, то фишинг может быть очень эффективным, поскольку его трудно обнаружить и смягчить последствия.
Претекстинг
Претекстинг (англ. Pretexting) — это искусство создания поддельных убедительных сценариев, которые заставляют жертву доверять злоумышленнику и почти охотно предоставлять доступ к своей личной информации или к учетным данным. Злоумышленники используют разведданные с открытым исходным кодом (OSINT), то есть информацию, которую легко найти в опубликованных документах, в Интернете и, в частности, в социальных сетях. Предлог для обращения может принимать много форм: предложение работы, общения или секса, чего-то бесплатного за небольшую плату. Эти махинации стары как мир.
Наиболее известным претекстингом является так называемая «афера 419», названная так по разделу 419 нигерийского уголовного кодекса, который нарушают мошенники. Жертве якобы предоставляется возможность участвовать в получении наследства, в выигрыше в лотерею или какой-то другой ерунде; нужно только отправить деньги, чтобы помочь автору письма получить награду. Хотя этот вид жульничества возник в Нигерии, сейчас есть много его вариантов и в других странах, так что стоит их остерегаться.
Приманка
Атаки, называемые «приманкой» (baiting), используют жадность жертвы и ее любовь к «халяве»: ей предлагают что-то бесплатное, если она нажмет на ссылку на веб-сайте. В отличие от кликбейта, который направлен на повышение посещаемости страницы и увеличение количества просмотров рекламы, через «приманки» мошенники пытаются установить вредоносные программы на компьютер жертвы. Пример такого типа кибератаки — невинно выглядящие сайты, предлагающие бесплатную таблицу для финансового планирования. Поскольку электронная таблица загружает и программу обратной оболочки, она дает злоумышленнику доступ ко всему, что есть у жертвы. Бесплатные фильмы, музыка и порнография — все они могут использоваться в качестве носителей для доставки вредоносных программ.
Еще одним вариантом «приманки» является использование зараженных USB-накопителей, оставленных на столике в кафе или на автостоянке. Неопытные пользователи подбирают их из любопытства и подключают к своим компьютерам. Этот метод установки был использован для внедрения червя Stuxnet на секретный иранский ядерный объект, который не был подключен к внешней сетевой связи. Червь Stuxnet, пусть и на короткое время, но смог остановить иранскую ядерную программу.
Метод quid pro quo
Атака quid pro quo («услуга за услугу»), подобно «приманке», предлагает жертве выгоду за предоставление информации, например вознаграждение, подарок или бесплатное обслуживание. Этот метод особенно эффективен в социальных сетях. Одна из распространенных атак такого вида — мошенническое действие со стороны ИТ-персонала. Эти атаки не очень сложные и часто выполняются на лету, то есть жертвы выбираются случайным образом. Одно исследование, проведенное в Великобритании несколько лет назад, показало, что люди, наугад остановленные в метро, могут выдавать свои пароли за плитку шоколада, дешевую ручку или какую-нибудь другую безделушку.
Tailgating
Tailgating (букв. «проход за авторизованным пользователем системы контроля доступа») — очень распространенная физическая атака, при которой злоумышленник, выдавая себя за другого сотрудника или курьера из службы доставки, получает доступ к защищенной области, проникая в систему под прикрытием законного пользователя или с использованием его ID-карты. Наиболее распространенный метод — попросить кого-нибудь впустить злоумышленника, потому что он «забыл свою идентификационную карту». Такая атака используется, чтобы получить доступ к защищенным областям, и требует, чтобы злоумышленник также использовал претекстинг для убеждения жертвы в своей искренности и законности своих действий. Один из вариантов подготовки злоумышленника — заставить сотрудника, имеющего допуск в закрытую зону, одолжить ему «буквально на минуточку» свою ID-карту, чтобы он мог подойти к своей машине и что-то забрать. Результат — скопированная или скомпрометированная идентификационная карточка. Большинство людей хотят доверять друг другу. Злоумышленники об этом прекрасно знают и в полной мере этим пользуются.
Пять методов профилактики кибератак
Снизить риски человеческих ошибок, которые угрожают кибербезопасности, помогут следующие пять методов.
Уменьшение поля для атаки
Необходим тщательный анализ всей ИТ-инфраструктуры объекта, на которую нужно посмотреть глазами злоумышленника. Следует закрыть открытые порты и защитить сеть брандмауэром, а также ограничить доступ к критически важным системам, предоставив его как можно меньшему количеству сотрудников.
Тщательная проверка критически важного персонала
Поскольку самым слабым звеном в области безопасности является человек, логичный шаг — максимально возможное устранение человеческого фактора, а именно систематическое устранение взаимодействия людей друг с другом. Это может звучать как ересь, но мы можем столкнуться с кризисом, вызванным небрежностью и неспособностью некоторых людей распознать угрозу.
Создание команды по обеспечению безопасности сети
Хотя обучение может смягчить некоторые угрозы, рекомендуется выделить персонал, который после обучения сможет осуществлять мониторинг угроз и выполнять другие функции специалистов по безопасности сети, т. е. регулярно проверять процедуры безопасности и кибергигиену других сотрудников. Эти люди должны обладать полномочиями по устранению уязвимостей и способностью исправлять поведение сотрудника-нарушителя. «Ударная группа», как команда быстрого реагирования, состоящая из сетевых администраторов, сотрудников службы безопасности и старших сотрудников, может быстро обнаружить нарушение и справиться с ним, а затем выполнить его «вскрытие», чтобы определить, как это произошло, и принять необходимые превентивные меры для недопущения таких эксцессов в будущем.
Организация и использование ролевого доступа
Ничто не помешает сотруднику писать пароли на бумажках или смотреть на кибербезопасность как на бесполезное занятие. С данным типом менталитета сложно бороться, при этом приходится позволять такому сотруднику иметь доступ к сети и ресурсам в процессе выполнения работы. Компартментализация (распределение информации по категориям пользователей или по объектам) — один из способов решения этой проблемы. Доступ на основе ролей (role-based access, RBAC) — эффективный метод разделения. Еще один действенный способ — требование формального запроса на доступ и последующий мониторинг работника при доступе к критически важным данным или системам. Многофакторная аутентификация тоже может быть полезной, но не в том случае, если сотрудник не воспринимает это всерьез и неосторожно обращается со своим телефоном или другими вторичными средствами аутентификации.
Выбор надежных паролей
Принудительное внедрение политики обязательной регулярной смены паролей (а лучше их генерации) эффективно предотвращает использование персоналом легко угадываемых паролей, таких как «1234567» или не менее популярный «пароль».
Заключение
Конечно, можно обучить персонал правильной «кибергигиене», как и личной гигиене, но, как мы все знаем, это не всегда практикуется и поддерживается. Если поначалу предупреждение типа «Болтун — находка для шпиона!» срабатывает, то потом персонал расслабляется и все возвращается на свои места, постоянно держать работников в тонусе сложно и непродуктивно. К сожалению, компания может потратить миллионы долларов на автоматизацию, обучение персонала, активное обнаружение вторжений, смягчение рисков киберугроз и предотвращение последствий кибератак, а также активные контрмеры, но все это будет сорвано одним неосторожным или некомпетентным сотрудником. Наиболее эффективно снизить риск кибератаки поможет устранение, где это только возможно, человеческого фактора.
- Capano D. E. Understand the cyber-attack lifecycle // Control Engineering. June 11. 2019.
Регулярное обновление паролей — ключ к успеху.