Социальная инженерия

У него есть доступ в систему, определенные привилегии, и он может осуществлять различные операции.

Социальная инженерия — это методы психологической манипуляции человеком, направленные на то, чтобы заставить жертву выполнить определенные действия в пользу атакующего. На самом деле, пользователь является одним из наиболее актуальных элементов системы. У него есть доступ в систему, определенные привилегии, и он может осуществлять различные операции.

Елена КРОШЕВА, Дмитрий ОСТАПОВИЧ, CEO ABBIZ

Для атакующего не принципиален метод, благодаря которому он проникнет в сеть предприятия, важна только цель. Пользователь представляет собой первую линию защиты, и если она падет, то вся система рухнет. В материале мы рассмотрим некоторые техники, успешно применяемые для воздействия на пользователей, а также приведем различные примеры таких атак.

Мы уже достаточно много говорили о приемах и техниках, направленных на то, чтобы заставить информационную систему вести себя именно так, как нам надо. Как бы тонко системный администратор под чутким руководством специалиста по информационной безопасности ни настраивал свои приобретенные у самых именитых производителей системы, в его сети всегда будет присутствовать слабое звено — человек.

Поскольку социальная инженерия во многих случаях не требует особых навыков, круг людей, которые могут нанести вред организации, существенно увеличивается. Прежде всего, это, конечно, специалисты по информационной безопасности, системные администраторы и другие ИТ-специалисты, информацию о которых можно найти на одном из этапов проникновения в сеть. У этих людей обширные права доступа практически ко всем системам организации. Разочарованные работники представляют собой большую угрозу.

Чаще всего это люди, недовольные нынешним положением дел в компании, своей должностью, окладом или, на их взгляд, несправедливо уволенные. По статистике, в США 75% сотрудников крадут что-либо у своего работодателя, а около 60% после ухода с работы забирают с собой данные о компании и используют персональную почту для обмена конфиденциальной информацией предприятия о клиентах. Чаще всего данные выносят на бумаге, жестких дисках, флеш-картах. 38% сотрудников.

Информационные брокеры

Даже если организацию не взламывают в данный момент, это не значит, что она не находится под наблюдением. Существуют целые компании, основной задачей которых является сбор персональной информации с целью последующей перепродажи. Например, LexisNexis, Now, Master Files и другие. С одной стороны, их можно отнести к разряду специалистов, но мы выделили их в отдельную категорию, чтобы еще раз подчеркнуть важность сбора как можно большего количества информации о целевой организации.

Охотники за головами

Специальность появилась совсем недавно. Такие люди занимаются тем, что осуществляют подбор персонала для определенных организаций. У таких компаний есть целые сайты с вакансиями. Чем они могут быть полезны? Обычно такие люди достаточно хорошо знают структуру организации, для которой они ищут людей. Ничто не мешает нам создать профиль — предположим, на LinkedIn, — который будет на 120% отвечать требованиям одной из вакансий. А во время собеседования, которое будет вначале проходить именно с рекрутинговой организацией, узнать больше о целевой компании.

Фазы атаки

Для начала посмотрим на картину в целом. Чтобы удачно провести нацеленную на человека атаку, необходимо:

1. Собрать как можно больше информации о нем.
2. Установить доверительные отношения.
3. Получить информацию.
4. Действовать.

Сбор информации

Информацию можно собирать из различных источников — корпоративного сайта, социальных сетей, форумов, публикаций и даже из мусора. Что может быть прекраснее, чем копаться в мусорном баке вместе с лицами без определенного места жительства? Но на самом деле из, казалось бы, никому не нужного мусора можно собрать достаточное количество информации для проведения успешной атаки.

Люди склонны выбрасывать ненужные вещи — счета, старые рецепты, выписки из банков, фотографии, резюме и многое другое. Используя эти данные, можно определить, чем человек болен, у какого врача лечится, где живет, персональный номер телефона, финансовое состояние и многое другое, что потом можно использовать против него. Иногда можно неделями пытаться проникнуть в систему, потратив на это большое количество времени и средств, а потом за 10 минут найти в мешке с мусором листик, на котором записан логин и пароль.

Установление доверительных отношений. Для этого не обязательно общаться с человеком на протяжении нескольких лет. На самом деле все можно сделать в рамках одного телефонного звонка. Очень хорошо это демонстрирует пример с взломом AOL. Злоумышленник разговаривал с оператором службы технической поддержки более часа. Он установил доверительные отношения с сотрудником, а затем упомянул в разговоре о том, что продает свою машину. Сотрудник компании проявил к ней интерес и попросил прислать фотографии. Злоумышленник прислал троянского коня и таким образом получил доступ к внутренней сети организации.

Получение информации

Чем больше информации получит злоумышленник от сотрудника, тем успешнее будет атака. В одном из случаев хакер позвонил по общедоступному телефону компании и, представившись новым сотрудником, попросил телефон службы технической поддержки. Позвонив во внутреннюю службу, он, как новый сотрудник, узнал контакты директора ИТ-отдела якобы для согласования подключения к локальной сети. Эта история плавно переходит к следующей фазе-действию.

Злоумышленник звонит в службу технической поддержки и представляется новым сотрудником, которого только недавно приняли на работу и еще не успели сделать ему аккаунт и выдать компьютер. Однако уже сегодня, буквально через пару минут, ему необходимо выступить с презентацией перед начальниками отделов.

Проблема в том, что он не может войти в систему, чтобы ее запустить, но он только что разговаривал с начальником ИТ-отдела, и тот устно согласовал создание временной учетной записи. Сотрудник службы технической поддержки очень хотела помочь новому сотруднику.

К тому же это внутренняя служба и посторонние сюда не звонят, а кроме того, сам начальник ИТ-отдела дал согласие. В результате злоумышленник получил доступ во внутреннюю сеть, не прибегая к использованию технических навыков.

Манипулирование людьми

Поскольку социальная инженерия подразумевает контакт человека с человеком, необходимо рассмотреть методы, при помощи которых можно заставить человека выполнить нужное действие. Установление временных рамок. Для этого можно начать диалог с фразы «это займет буквально несколько секунд» или, при личном контакте, можно, например, смотреть на часы. Один из наиболее эффективных способов заставить человека сделать что-то — просто попросить его о помощи.

Поддержание эго

Люди любят быть правыми, и одна из техник как раз и заключается в том, чтобы заставить человека поверить в свою правоту. Такой человек будет относиться открыто к собеседнику, при этом не будет воспринимать его как угрозу.

Для этого надо просто не показывать свои знания в какой-либо области, а сказать, что вы в этом не разбираетесь, и попросить о помощи. Ценить собеседника. Еще один способ завоевать доверие собеседника — это сказать ему первым о том, что его помощь для вас неоценима, или подчеркнуть его глубокие знания о предмете обсуждения.

Правильные вопросы

Задавайте верные вопросы, которые помогут получить больше информации. Если на заданный вопрос можно ответить только «да» или «нет», это не очень хорошо. Информативными будут такие вопросы, как «как?», «когда?» и «почему?».

Моральные обязательства

Можно призывать человека сделать что-то потому, что он обязан это сделать ввиду, например, служебного положения.

Угрозы

Не всегда социальные инженеры ведут милые беседы, иногда угроза — достаточно действенный способ добиться желаемого.

Вознаграждение

Предложить собеседнику нечто за что-то. Не обязательно это будут деньги. В ходе одного из исследований случайным прохожим предлагали сувениры в подарок, если они просто напишут свой пароль на листочке. Что интересно, 90% сделали это.

Типы атак

Получения от собеседника необходимой информации. Найдя в мусорном баке квитанцию из банка, злоумышленник позвонил жертве, представившись сотрудником кредитного отдела, и сказал, что срок действия карты жертвы истекает и можно заказать новую. В ответ жертва сообщила, что это не так, и уточнила срок действия своей карты. Злоумышленник, сославшись на ошибку в системе, попросил уточнить еще и номер карты, после чего жертва сообщила и его.

Подделка принадлежности

Очень хорошо работает в крупных организациях. В наше время несложно достать форму сотрудника службы доставки. На Ebay фирменная куртка компании DHL свободно продается за 70 евро. Ни у кого не вызовет подозрения сотрудник службы доставки, который ходит по кабинетам и ищет нужного человека.

Хотя главной задачей для него будет найти не заблокированную рабочую станцию, оставленный без присмотра ноутбук или документы. Фишинг (phishing). Главная идея данного метода состоит в создании поддельных писем и сайтов организаций для получения доступа к приватной информации. Например, злоумышленник составляет письмо, в котором говорится о том, что аккаунт пользователя в системе заблокирован и для разблокировки необходимо перейти по указанной ниже ссылке. Такие письма могут рассылаться от имени банков, почтовых и игровых сервисов, а также социальных сетей.

Есть техники, которые позволяют скрыть от пользователя реального получателя письма — например, указав в поле «Replay-To» accounts@google.com, в то время как в поле «Sender» будет указан отправитель someuser@google.com. Однако пользователи не склонны анализировать такие письма, и увидят только то, что хочет составитель такого письма. Зачастую в такие письма добавляют вместо ссылок приложения, зараженные вирусом.

Еще один классический пример — «письма счастья». В этом случае пользователь получает письмо, в котором говорится, что отправитель стал наследником огромного состояния и для его получения необходим поручитель, которому причитается в качестве вознаграждения 40% от суммы наследства, что составит около 5 миллионов долларов США. Для того чтобы стать поручителем, необходимо выслать определенные данные. Зачастую такие письма не нацелены на какого-то конкретного человека. Отклик на них составляет около 0,1%, однако и этого будет достаточно.

И, конечно же, поддельные сайты. Даже если пользователь очень опытен, его все равно можно обмануть. В наше время можно зарегистрировать домен на подставного человека и получить SSL-сертификат на 60 дней, практически не проходя валидацию. Для примера возьмем банк с более-менее привычным названием, например Raiffeisen.

По правилам Всемирной паутины, зарегистрировать домен raiffаisen. com нам никто не запретит. А большинство конечных пользователей не заметят подмены. Как мы уже писали, для получения тестового SSL-сертификата нет необходимости проходить проверку на подлинность. Они проверят только то, что у человека есть доступ к почтовому ящику, находящемуся в этом домене. Дальше — дело техники. Например, можно разослать пользователям письмо с просьбой ознакомиться с новыми правилами банка, которые находятся по указанному адресу.

Телефонный фишинг

В наше время автоматические АТС стали неотъемлемой частью сферы обслуживания. Для ускорения и упрощения идентификации многие банки просят своих клиентов идентифицироваться по телефону, а именно ввести номер клиента и пароль во время ожидания оператора. Атака при таком типе аутентификации достаточно проста. Конфигурируется АТС, которая фиксирует все действия пользователя.

Далее всем пользователям рассылается письмо с просьбой связаться с банком по заранее подготовленному номеру. Пользователь будет звонить и вводить свои данные, после чего звонок будет сбрасываться. Конечно, после определенного количества раз это ему надоест, но к тому времени у атакующего уже скопится несколько паролей с его карты и номер пользователя.

Приманка

При помощи этого приема была остановлена работа целого предприятия, внутренняя сеть которого не имела связи с внешним миром. Злоумышленник оставил красивую, крупную и привлекающую внимание флеш-карту на парковке для сотрудников, один из которых заметил и подобрал ее. Естественно, это было утром, перед началом рабочего дня. Любопытство взяло верх, и сотрудник решил проверить ее содержимое прямо на рабочем месте. Как вы понимаете, на ней был вирус, который очень быстро распространился по внутренней сети.

Подглядывание

Узнать пароль можно, просто подглядев его, по-английски это называется «shoulder serfing». Подглядеть пароль можно любым способом — через окно при наличии хорошей оптики, получив доступ к камерам наблюдения или просто заглянув через плечо. Проход «паровозиком» (tailgating). Используется для проникновения на защищенные объекты. Предположим, что на предприятии стоят турникеты и доступ осуществляется по электронным картам.

Но если убедить одного из сотрудников в том, что вы потеряли свою карту, а вам необходимо срочно попасть на совещание, то электронная система пропустит двоих человек сразу, если они будут проходить через турникет вплотную друг к другу. Зачастую после проведения успешной атаки на целевую систему появляется необходимость загрузить в нее один или несколько файлов. Это может быть все что угодно, например вирус, сниффер, клавиатурный шпион или шелл-код для эксплуатации очередной уязвимости.

Однако это не всегда бывает просто, и в этой главе мы рассмотрим несколько вариантов достижения данной цели. Прежде чем мы начнем, следует упомянуть одно серьезное препятствие, которое вы можете встретить на своем пути, — антивирус. В любой более-менее серьезной организации он по умолчанию устанавливается на все компьютеры и серверы.

Основной принцип их работы — сравнение цифровой подписи файла с той, что содержится в их базе данных, и если совпадение будет найдено, то файл автоматически удаляется. Но это лишь полбеды, хуже, если антивирусы управляются централизованно, тогда администратор сети сразу же получит уведомление о происходящей атаке на систему. Есть два варианта обхода такого вида защиты.

Первый способ: если вы решили загрузить, например, вирус, то лучше ему быть уникальным, а не созданным одним из бесчисленных генераторов.

Второй способ — использовать легальные инструменты, которые не вызовут подозрений у антивируса. Но остановимся на передаче файлов.

После того как вы получили доступ к командной строке атакованной системы, первое, с чем вы столкнетесь, — это нехватка необходимых инструментов для управления и продолжения атаки. С UNIX-подобными системами проще, так как для скачивания вы всегда найдете такие утилиты, как wget, curl и netcat, а вот с Windows все немного сложнее.

В PETS выделяют три уровня данного этапа

Первый уровень — самый простой, можно использовать автоматические системы сбора информации, а также самые популярные интернет-ресурсы.

Второй уровень отличается от первого тем, что больше времени тратится на ручной сбор данных. На данном этапе необходимо более детально анализировать информацию для того, чтобы лучше узнать свою цель.

Третий уровень — самый затратный по количеству времени и сил, на данном этапе атакующий находит самые уязвимые места системы. Прежде чем приступить к сбору данных, необходимо провести подготовительную работу.

Определитесь с целью. Хорошо, если перед вами поставлена конкретная задача, однако чаще всего информация о цели несколько размыта, и в этом случае необходимо определить, что конкретно вы должны искать. В случае, если вы проводите поиск цели для сторонней организации, необходимо определить рамки, за которые вы не можете выходить на данном этапе. Подумайте, сколько времени займет выполнение работ на данном этапе. Четко обозначьте цель. Вы должны понимать, какой информацией вы хотели бы обладать по окончании работ на данном этапе.

В идеале в завершении работы вы должны иметь структурированную информацию из следующих источников:

Публичная информация — все то, что доступно широкому кругу пользователей, в основном из официальных источников. Информация из открытых источников — любая информация, доступная широкому кругу пользователей из любых доступных источников. Специфичная информация — касается особенностей сферы работы предприятия, например специфичного оборудования и программного обеспечения. Сетевая информация — все, что можно узнать о сетевых сервисах: IP-адреса, DNS-записи, сети. Уязвимости — потенциальные бреши в системе безопасности, которые могут быть проэксплуатированы на последующих этапах. Социальная инженерия — все то, что вы смогли выведать у сотрудников данной организации.

Анализ уязвимостей

На этом этапе вы, используя всю имеющуюся информацию и определившись с методами и инструментами, начнете непосредственное взаимодействие со своей целью. Вы должны определить и классифицировать любые возможные уязвимости, будь то некорректная конфигурация сервиса или ошибки, появившиеся по вине разработчиков конкретной программы. Проводя такой анализ, вы должны четко представлять себе, какие тесты будете проводить, какой инструментарий использовать и что именно хотите найти. Без выполнения данного условия вы можете потратить большое количество времени, все больше углубляясь в анализ какой-либо составляющей сети.

Однако без четкого осознания цели это может оказаться контрпродуктивным. Во время этого этапа вы, прежде всего, будете выполнять такие действия, как сканирование портов, получение информации об установленных программах, сканирование на наличие уязвимостей и другие, описанные ранее шаги. Как бы это ни было привлекательно, старайтесь избегать преждевременных попыток эксплуатации найденных уязвимостей. Помните, что вы еще только собираете полезную информацию.

Моделирование

Основная задача на этом этапе — построение тестовой среды, в которой вы сможете опробовать все планируемые варианты атаки на целевую систему. Изучение методик психологического манипулирования в виртуальной среде поможет вам избежать ошибок при работе с реальной целью, а также привлечь к себе меньше внимания. Ведь при работе с настоящей целью вы будете использовать лишь проверенные методы.

В процессе моделирования выделяют четыре основных этапа:

1. Изучение необходимой документации.
2. Определение первичных и вторичных методов атак.
3. Нахождение основных и второстепенных уязвимостей.
4. Определение методов атак для каждой из найденных уязвимостей.

По сути, этот процесс можно отнести к этапу сбора информации, но только более углубленному. В идеале вы должны графически отобразить всю полученную на предыдущем шаге информацию — бизнес-процессы, физическое расположение, карту сети, иерархию сотрудников. К счастью, для этого существует множество инструментов, о которых мы уже упоминали ранее.

Эксплуатация уязвимостей. После того как вы собрали всю необходимую информацию, определились с уязвимостями, подготовили необходимые инструменты и выбрали нужные цели, можно приступать к следующему шагу. На данном этапе вы будете использовать найденные уязвимости для компрометации целевой системы и получения доступа к ней. Вы должны использовать полученную информацию для определения подходящей цели.

Помните, что, отыскав множество уязвимых систем, необходимо выбрать среди них ту, взлом которой предоставит в дальнейшем наибольшие преимущества. Найдя, например, множество уязвимых рабочих станций и несколько серверов, лучше сосредоточить свое внимание на последних, так как их взлом поможет развивать дальнейшую атаку более эффективно.

После определения цели вы должны использовать все свои практические навыки и знания для того, чтобы скомпрометировать ее. Вполне возможно, что с первого раза у вас ничего не выйдет и вам придется перепробовать множество методов, прежде чем вы достигнете желаемого результата.

На данном этапе самыми популярными атаками являются:

1. Взлом пароля;
2. Перехват данных;
3. Перехват сессии;
4. Переполнение буфера.

Все эти атаки, и не только их, мы уже рассматривали ранее, но помните, что они могут включать в себя как технический, так и человеческий фактор.

Постэксплуатационный этап

После того как ваша атака завершилась успехом, необходимо закрепиться в системе. Это нужно для того, чтобы эксплуатация атакованной цели была более удобной. Вам не придется каждый раз заново взламывать систему, чтобы выполнить нужные действия, тем более что удачная эксплуатация одной и той же уязвимости может стать невозможной буквально сразу после взлома.

Для начала вам необходимо определить уровень своих прав в системе и набор доступных действий. Вполне возможно, что выполнение некоторых операций будет недоступно, тогда стоит задуматься о возможностях повышения своих привилегий. Что же можно сделать на данном этапе?

Вы можете запустить клавиатурного шпиона, который вышлет вам пароль администратора после того, как тот зайдет в систему. Можете скопировать информацию о паролях для последующего анализа или установить ПО, которое обеспечит вам дальнейший доступ к системе и возможность ее удаленного контроля. Также можно ликвидировать следы вашего пребывания в системе, обычно это достигается путем удаления нужных записей из журналов аудита.

Отчет

После того как все описанные выше этапы пройдены, необходимо создать отчет. Отчеты могут иметь различный вид, поэтому то, каким он будет в каждом конкретном случае, необходимо обсудить перед началом теста, об этом мы уже упоминали. Все же, несмотря на разнообразие возможных форм отчетов, существуют определенные пункты, которые необходимо в него включить.

Каждый отчет должен начинаться с краткого обзора процесса тестирования. Нет необходимости описывать здесь технические детали каждого шага, обзор должен отражать ключевые моменты теста. Далее необходимо привести список найденных уязвимостей и их анализ, при этом лучше всего сгруппировать их по степени важности — например, критические, важные, незначительные.

Отчет должен включать в себя следующую информацию:

1. Сценарии и описание всех успешных атак.
2. Детальную информацию о полученных в ходе теста данных.
3. Детальную информацию обо всех найденных уязвимостях.
4. Описание всех найденных уязвимостей.
5. Предложения и технические решения для устранения найденных уязвимостей.

В ходе проведения теста для последующего создания хорошего отчета необходимо записывать все свои действия в любой удобной для вас форме.

Зачистка

После удачного завершения теста необходимо по возможности удалить все следы ваших действий. В данном случае мы имеем в виду установленные программы, созданных пользователей, изменения конфигурации и все остальное, что вы успели сделать в ходе теста. Любые оставленные вами лазейки могут быть использованы кем угодно для получения несанкционированного доступа к уже скомпрометированной вами системе.

Следовательно, себя вы должны обезопасить в первую очередь.

Вторая причина — личный пример. Традиционно и до сих пор специалист по ИБ является элитным сотрудником любой компании. Если провести аналогию с армией, вы как матерый боец отряда «Альфа» по сравнению с только что призванным новобранцем-срочником. Пользователям и коллегам не понравится, если вы будете запрещать им устанавливать игры на рабочие станции, а сами станете играть в Dota, CS или проводить время в социальных сетях. Начнем с основ.

Ни один компьютер не сможет работать без операционной системы. Сразу же оговоримся, что мы не будем подливать масла в огонь и рассуждать о том, что лучше — Linux, Windows или продукция Apple. Подойдем к выбору более рационально. Если в вашей сети все пользователи работают под Windows, то вполне логично, что вы тоже должны использовать ее в качестве своей основной рабочей ОС.

Это позволит вам оперативно реагировать на различные проблемы и понимать то, как чувствует себя в вашей сети рядовой пользователь. Очень важно понимать, что не пользователи работают на нас, а мы работаем для пользователя. Ему всегда должно быть уютно и безопасно в наших владениях.

Если же вы — администратор гетерогенной сети, то вполне логично установить первой ОС ту, в которой вы лучше разбираетесь. Это поможет сделать вашу работу комфортной, эффективной и безопасной. Наверное, вы уже заметили, что мы говорим о первой ОС. На самом деле хорошо иметь под рукой тестовую машину, никак не связанную с вашей сетью и имеющую отдельный выход в Интернет. Вот тут у вас и появляется простор для творчества. Вы можете тестировать различные обновления и операционные системы, исследовать подозрительные файлы и проверять, как выглядит ваша инфраструктура извне.

Еще один пункт, который надо иметь в виду, — приватность. Весьма заманчиво, получив должность специалиста по ИБ в компании из списка Fortune 500, сразу же рассказать об этом на своей страничке в социальной сети, однако это будет плохой идеей, и из-за этого вас могут даже уволить. Обязательно уделите пристальное внимание вопросам сохранения приватности. Предъявляйте к себе более высокие требования, чем к рядовым сотрудникам.

Поскольку изолировать себя от общества нереально — мы, люди, являемся социальными существами, — будет хорошей идеей завести себе виртуального двойника в сети. Создайте себе новый профиль в социальной сети, заведите еще один адрес электронной почты на одном из бесплатных сервисов. А затем уже смело используйте эти данные для регистрации на различных сайтах и тематических форумах. Главное — чтобы указываемая вами при создании «нового» человека информация никоим образом не была связана с вами.

А это значит, что нельзя указывать при регистрации свой настоящий e-mail, даже если он будет использоваться только для восстановления пароля, то же самое касается номера телефона. Нельзя заходить в социальную сеть, используя новый профиль, со своего смартфона. Нельзя использовать одни и те же вопросы для восстановления пароля или же другие, но при этом указывая для ответа настоящие данные.

Этот список можно продолжать очень долго — следите за собой и не ленитесь придумать по-настоящему нового человека. Предположим, что вы создали нового человека, но что же дальше, ведь на этом все не заканчивается. Отвлечемся на мгновение от фантазий на тему «каким бы я хотел видеть свое второе я» и зададимся одним простым вопросом: когда у вас что-то не получается или вы не знаете ответа, куда вы прежде всего обращаетесь за помощью?

Мы уверены, что большая часть наших читателей ищет ответы в Google или Яндекс. Вы никогда не замечали одну особенность? Если вы, предположим, искали новую летнюю резину для своей любимой машины или хорошую видеокарту для домашнего компьютера, то даже если вы приобрели заветную вещь, еще очень долго самые разные сайты будут показывать вам релевантную рекламу в надежде на то, что вы сделаете эту покупку еще раз и именно у них.

Есть несколько способов избежать этого и сохранить свои предпочтения в тайне. Самый простой способ — использовать поисковые системы, не собирающие персональные данные. Подобные поисковые системы обычно работают с более крупными поисковиками, такими как Google, Yahoo!, Bing, что, в свою очередь, гарантирует качество и релевантность результатов поиска на должном уровне. Однако, в отличие от крупных поисковиков, они заботятся о вашей приватности, в частности они не раскрывают ваш адрес, данные о вашей системе, программном обеспечении, местонахождении и многом другом.

Раз уж зашел разговор о ПО, созданном для защиты вашей приватности, было бы огромным упущением с нашей стороны не рассказать об ОС, созданных с той же целью. Большая часть из них представляет собой модификации Debian или Ubuntu. Операционные системы данного класса можно запускать с внешних носителей, таких как DVD.

Преимущество данного подхода в том, что даже если во время работы на вашу рабочую станцию проникло вредоносное ПО, после перезагрузки вы опять получите чистую и нетронутую ОС. К тому же такие ОС уже сконфигурированы для использования сети TOR, что, безусловно, помогает вам обеспечить свою приватность и даже посещать закрытые сайты. Как правило, такие ОС не ограничиваются одним лишь использованием TOR, они поставляются с большим количеством предустановленного и настроенного ПО, в том числе для:

1. Шифрования и дешифровки носителей, электронной почты и другой информации.
2. Безопасного пользования Интернетом (про браузеры такого типа мы говорили чуть выше).
3. Использования генераторов и менеджеров паролей.
4. Обеспечения удобной и безопасной работы с сетью.

На наш взгляд, среди огромного множества таких систем наибольшего внимания заслуживают:

1. Tails — одна из самых бурно развивающихся.
2. Whonix — предназначена для использования в качестве гостевой изолированной ОС, работающей в VirtualBox и использующей сеть TOR;
3. IprediaOS — в отличие от других проектов, вместо TOR использует I2P и построена на основе Fedora Linux;
4. Discreete Linux — обеспечивает высокий уровень защиты и предназначена для людей, не имеющих глубоких знаний в области ИТ.

Безусловно, мы не рассмотрели множество прочих аспектов обеспечения личной безопасности, но мы надеемся, что наш читатель и так не забывает о регулярном обновлении ПО, установке антивируса, шифровании диска, использовании шифрования и блокировки телефона, создании безопасных паролей и о многом другом, что составляет основу личной информационной безопасности.

Бумажная работа

В наше время достаточно сложно найти специалиста в области ИТ, который любил бы бумажную работу, однако, как говорится, порядок должен быть. Начнем с того, что когда вам доведется проводить аудит ИС согласно модели «белого ящика», вы будете просто обязаны попросить документацию. Хороший специалист всегда попросит документацию к системе, но только лучший ознакомится со всей документацией предприятия, имеющей отношение к данной ИС и не выходящей за рамки его компетенции.

Тут мы имеем в виду, что требовать документы из бухгалтерии вряд ли будет хорошей идеей. Для этого есть другие аудиторы, не будем отбирать у них хлеб. Рассмотрим основные причины не пренебрегать столь важным, хотя и, на наш взгляд, несколько скучным занятием.

Любой документ, будь то внутреннее распоряжение, предписание, правило пользования в случае, если он не противоречит текущему законодательству, является обязательным для исполнения. В нашем случае это значит, что любой пользователь может игнорировать ваши устные предупреждения и советы, однако за игнорирование инструкций он может понести наказание. Кроме того, это оптимизация работы.

Особенно это касается больших предприятий. Согласитесь, что проще потратить день и написать грамотную инструкцию, чем доносить информацию о новой системе каждому пользователю индивидуально или устраивая бесконечные собрания и совещания. В случае же, когда с течением времени в работе системы произойдут какие-либо изменения, вы сможете попросту разослать всем пользователям новый вариант инструкции, и на этом — всё. Во второй и последующие разы вы потратите на подготовку таких документов существенно меньше времени.

Третья причина касается вашего взаимодействия с коллегами. Обычно работники ИТ-сферы — люди умные и привыкли делить между собой ответственность за различные ИС. В этом есть огромный плюс — когда человек не распыляется на множество систем, он начинает работать лучше и эффективнее.

Однако есть и существенный минус, поскольку, как и всем остальным людям, работникам ИТ-сферы свойственно болеть, уходить в отпуска или не подходить к телефону. В таком случае вся ответственность за системы отсутствующего коллеги ложится на плечи оставшихся сотрудников. И будет большой удачей, если их больше одного. В этом случае одного часа, потраченного на изучение документации, достаточно для решения множества проблем или выполнения каких-либо административных задач.

В качестве примера можно привести DDoS-атаку. Представьте себе, что она началась, а вы мало знакомы с панелью управления брандмауэром, однако решение необходимо принять срочно. Сколько вы потратите времени на поиск решения данной проблемы, например, в сети Интернет? А в хорошей документации по брандмауэру этот пункт должен быть выделен полужирным шрифтом.

Четвертая причина касается больше работы самого предприятия. Хотя специалистами по ИБ и не разбрасываются, однако текучесть кадров никто не отменял. Для предприятия будет большим риском передавать системы в управление новому сотруднику без наличия должной документации. Всегда следует помнить о том, что управление документацией — это процесс. Современные реалии, особенно в мире ИБ, меняются очень стремительно, что требует постоянного пересмотра и корректировки различных пунктов нормативных документов. Теперь, ощутив важность наличия документации как таковой, рассмотрим основные типы документов и коротко коснемся их содержания.

Политика безопасности

Некоторые источники определяют политику безопасности как совокупность документов, описывающих административные и технические меры, направленные на защиту информации и связанных с ней ресурсов. С данным определением нельзя не согласиться, однако на практике политикой безопасности принято называть один лишь документ самого верхнего уровня, описывающий общие принципы ИБ организации.

Если сравнивать политику безопасности с другими юридическими документами, то, пожалуй, лучшим образцом будет конституция. Она является основным документом, которому должны соответствовать все остальные документы в организации. В ней будет не так уж много конкретики, как, например, в описании стандартных процедур, зато она охватывает достаточно широкий спектр вопросов. Мы не будем приводить здесь примеры или шаблоны стандартной политики безопасности.

Во-первых, это связано с тем, что лучше писать свою политику под каждое предприятие с учетом его особенностей, возможных рисков и доступной стратегии защиты. А во-вторых, шаблоны очень легко найти в Интернете. Теперь коснемся содержания данного документа. Следует понимать, что политика безопасности создается, прежде всего, для пользователей и руководства компании и только потом для ИТ-сотрудников. Это, в свою очередь, означает, что она должна быть как можно более краткой и понятной.

Следует избегать упоминания конкретных технологий или ПО, сложных для понимания непрофессионалами формулировок и перегрузки терминологией. Однако в случаях, когда без технических терминов не обойтись, обязательно нужно их разъяснить. Если политика не будет соответствовать этим критериям, ее попросту никто не будет читать. А ведь мы хотим создать настоящую работающую безопасность, а не формально соответствующую заданным критериям.

Итак, документ начинается с общих положений. В них необходимо обосновать значимость данного документа, чтобы рядовой сотрудник понял, для чего нужна политика безопасности. Также если в дальнейшем будут использоваться специальные термины, то лучшего места для объяснения, чем начало документа, и быть не может.

Можно также указать документы, на основании которых подготавливалась данная политика. Далее необходимо описать цели и задачи обеспечения информационной безопасности организации. Также нужно определить основные риски и объекты защиты. Следует рассмотреть различные виды угроз безопасности, определить их источники и описать меры защиты от них. Необходимо учесть, что политика должна быть реальной и исполняемой. А это значит, что придется соблюдать баланс между удобством использования ИС и их безопасностью.

В конце документа необходимо коснуться вопроса ответственности служб и каждого сотрудника за возникновение связанных с ИБ инцидентов, а также определить, каким образом будет осуществляться контроль исполнения изложенных положений. Каждый сотрудник, имеющий доступ к ИС организации, должен ознакомиться с данным документом. Стандарт в широком смысле слова — это образец, эталон, модель, принимаемые за исходные для сопоставления с ними других подобных объектов.

Стандарты являются документами более низкого уровня по отношению к политике безопасности и предназначены для более узкой аудитории, в основном для ИТ-специалистов. Стандартизация позволит вам достичь необходимого уровня унификации, упорядочения и взаимосвязи ИС.

Стандартизировать можно все что угодно — методы оценки рисков ИБ, свойства совместимости, принципы шифрования, процесс управления ИС, вопросы физической безопасности, — перечислять можно еще очень долго. Разумеется, если вы единственный ИТ-специалист на предприятии, необходимость в их создании минимальна, однако в рамках больших организаций их значение трудно переоценить.

Да, описывать необходимо многое, но не стоит этого пугаться. Международное сообщество уже пришло к нам на помощь и разработало стандарты, которыми можно пользоваться. Однако всегда надо помнить о принципе реальности исполнения. Нельзя просто взять и скопировать, ведь часто бывает так, что на текущий момент у предприятия недостаточно ресурсов для исполнения всего, что описывают международные стандарты.

Вам придется временно изменить некоторые положения для того, чтобы документ соответствовал реальной ситуации. В противном случае вы столкнетесь с тем, что хотя документ и принят, но по факту никем не исполняется.

В контексте данного раздела рекомендуем ознакомиться с такими стандартами, как:

1. ISO/IEC 17799:2002 — один из самых известных стандартов, он создан на основе BSI и рассматривает практические вопросы по управлению информационной безопасностью;
2. BSI — стандарт разработан в Германии и посвящен, в отличие от предыдущего, подробному освещению более частных вопросов;
3. ISO 15408 — стандарт создан на основе опыта коллег из США и Канады, описывает общие критерии безопасности информационных технологий.

Безусловно, это не полный список, а всего лишь отправная точка для дальнейших исследований.

Процедуры

Процедуры находятся на самой низкой ступени иерархии документов. Но это не значит, что написанное в них можно смело и безнаказанно игнорировать. Обычно процедуры описывают порядок выполнения каких-либо действий, связанных с ИС. В качестве примера можно привести процедуру создания нового пользователя в системе. В документе должны описываться: достаточные обоснования для заявки на создание пользователя, должность сотрудника, имеющего право на создание таких заявок, должность специалиста, обрабатывающего заявку, последовательность создания пользователя, а также стандартные привилегии доступа.

В случае, если пользователю требуются расширенные права доступа, для их присвоения необходима отдельная процедура. Наличие процедур позволит упорядочить происходящие в организации процессы и повысить ее безопасность. ИТ-специалисты не должны выполнять никаких действий в обход процедур, но, напротив, пресекать таковые. Процедуры являются тем документом, на который можно сослаться в случае невыполнения каких-либо действий по объективным причинам. Конечно же, не все можно описать конечным набором документов.

Будут и такие ситуации, которые не укладываются в список описанных процедур. И в случае форс-мажорных обстоятельств вам не следует садиться за написание документа, потом согласовывать его и только после этого что-то делать. Вначале необходимо устранить опасность, проанализировать, предотвратить ее повторение и только потом приниматься за исправление документации. Следует учесть, что документация никогда не сможет отхватить все, однако ее отсутствие представляет серьезные риски для организации.

Хорошая документация должна содержать в себе следующие пункты:

1. Аннотацию — краткое описание предназначения данного документа, функции ИС и ее компонентов;
2. Список сокращений — облегчит понимание сути документа коллегами, а вам позволит быстрее справиться с его написанием;
3. Схемы — логическая и сетевая, для облегчения понимания обязательно представленные графически;
4. Инструкция для администратора — описание установки и конфигурации ИС, выполнение основных административных действий;
5. Обновление ИС — процедуры обновления ИС, проверки ее работоспособности и устранения возможных проблем;
6. Тестирование работоспособности, — какие шаги следует принять для всесторонней проверки ИС, критерии удачного прохождения тестов;
7. Аварийные ситуации — рассматриваются возможные нештатные ситуации работы ИС, алгоритмы поиска и устранения проблем, а также способы восстановления работоспособности.

Обучение и тренировки

Необходимо четко усвоить, что ИБ не является конечным набором конкретных мер, приняв которые администратор может ощутить себя в полной безопасности и более не уделять внимания этому вопросу на протяжении следующих 3–5 лет.

Безопасность — это непрерывный процесс.

ИТ, в принципе, являются очень бурно развивающейся отраслью, и необходимо постоянно следить за происходящими в ней изменениями. Для этого вовсе не обязательно еженедельно прочитывать по огромному талмуду, посвященному какому-либо аспекту ИБ.

Для начала подпишитесь на новостные рассылки специализированных ресурсов, например SecurityLab, Dark Reading и Security Week. Также будет хорошей идеей подписаться на новостную рассылку, организованную производителем ПО вашей организации. Это поможет вам из первых рук узнавать про новые бреши в защите, патчи и обновления. И если новости с агрегаторов можно читать пару раз в неделю, то информации из узких специализированных источников, коими и являются сообщения от производителей ПО, необходимо уделять первостепенное внимание.

Очень часто бывает так, что информация об уязвимостях приходит к разработчикам с опозданием даже не в несколько дней, а в несколько месяцев, и кто знает, быть может, злоумышленник уже воспользовался этим и провел атаку на вашу сеть?

Следующее, чему стоит уделить внимание, — образование. Даже если вы окончили университет с соответствующей специализацией, смиритесь с тем, что полученные за несколько лет знания устарели уже на момент получения вами диплома. Организации обычно оплачивают своим сотрудникам специализированные курсы. Однако, как мы уже писали, знания устаревают.

Поэтому один и тот же курс можно и нужно проходить раз в 3–5 лет. Сразу оговоримся, что приведенная цифра является среднестатистической. Некоторые курсы, например привязанные к определенной версии ПО, вообще не требуют переаттестации. Также мы рекомендуем не забывать и о специализированных форумах. На самом деле одним из лучших способов самообразования является обучение других людей.

Помогая своим коллегам, вы столкнетесь с нетривиальными и интересными задачами, для решения которых вам может потребоваться ознакомление с большим количеством информации, что сразу же повысит ваш профессиональный уровень. Не бойтесь браться за то, чего не знаете, ведь только так можно расширить границы непознанного. Не стоит оставлять без внимания и онлайн-курсы.

Мы хотим обратить ваше внимание именно на веб-сайты, предоставляющие бесплатный доступ к различным образовательным программам, такие как edX и Coursera. Безусловно, они не смогут заменить полноценное образование, однако такие курсы обычно составляются преподавателями из очень хороших университетов и из них можно почерпнуть достаточно интересную информацию и свежие идеи.