Sociálne inžinierstvo v kontexte informačnej bezpečnosti v organizácii
BARBORA NETOLICKÁ, CISA, CISSP, ČLÁNOK UVEREJNENÝ V ČASOPISE INFOWARE, MAREC 2012
Čo je sociálne inžinierstvo a prečo to funguje?
Sociálne inžinierstvo (sociotechnika) je spôsob manipulácie ľudí s cieľom získať od nich informácie dôverného charakteru alebo prinútiť ich k vykonaniu požadovanej akcie (činnosti). Sociotechnik (sociálny inžinier) je osoba používajúca metódy a praktiky sociálneho inžinierstva za účelom získania požadovaných informácií pre osobný prospech (svoj alebo niekoho iného).
Tento spôsob útokov na organizácie a získavania informácií býva veľmi úspešný. Aj napriek tomu, že si nevyžaduje takmer žiadne špeciálne technické znalosti a technologické prostriedky. Sociálne inžinierstvo sa svojimi metódami a praktikami snaží využiť hlavne faktory, ktoré ovplyvňujú ľudské správanie a rozhodovanie. Týmito faktormi, ktorými môže byť človek (objekt) ovplyvňovaný, sú: dôvera, rešpektovanie autorít, súcit, potreba vyhnutia sa konfliktu, potreba „mať pokoj“, sympatie, stres a ďalšie.
Sociálne inžinierstvo a informačná bezpečnosť v organizácii
Najzraniteľnejším objektom v organizácii v záujme sociotechnika, je spravidla zamestnanec organizácie. Vo všeobecnosti, veľkú časť bezpečnostných rizík identifikovaných v rámci organizácie reprezentuje ľudské správanie - chyba, nepozornosť, nedbalosť, nevedomosť. To podporuje i zistenie z prieskumu stavu informačnej bezpečnosti v organizáciách na Slovensku z roku 2011, organizovaného spoločnosťou ESET. V ňom 63% organizácií označilo za príčinu výskytu bezpečnostného incidentu správanie zamestnancov.
GRAF 1: DÔVODY VÝSKYTU BEZPEČNOSTNÉHO INCIDENTU V ORGANIZÁCIÁCH
GRAF 2: BUDOVANIE BEZPEČNOSTNÉHO POVEDOMIA PROSTREDNÍCTVOM ŠKOLENÍ O IB
Táto skutočnosť môže súvisieť s úrovňou vzdelávania a budovania bezpečnostného povedomia v organizácii. Z prieskumu tiež vyplýva, že len 25% organizácii organizuje pravidelné školenia v oblasti informačnej bezpečnosti. Ostatných 75% školí zamestnancov v oblasti bezpečnosti iba jednorázovo (pri nástupe do zamestnania alebo po výskyte bezpečnostného incidentu) alebo neškolí zamestnancov vôbec.
Ako eliminovať riziká spojené so správaním zamestnancov a prípadnými útokmi prostredníctvom sociálneho inžinierstva? Základným predpokladom je vytvorenie interných pravidiel bezpečnosti pre zamestnancov, vyžadovanie ich dodržiavania a zvyšovanie bezpečnostného povedomia. Najúčinnejším spôsobom na preverenie bezpečnostného povedomia u zamestnancov organizácie, znalosti interných predpisov a ich dodržiavania v bežnej prevádzke je práve simulácia potenciálneho útoku technikou sociálneho inžinierstva.
Prístupy k vykonaniu testu sociálnym inžinierstvom
Testovanie sociálnym inžinierstvom môže byť realizované s rôznymi úrovňami znalostí o internom prostredí organizácie. V závislosti od požiadaviek organizácie a úrovne znalostí o internom prostredí môže testovanie sociálnym inžinierstvom simulovať rôzne situácie z reálneho života – útok neznámeho útočníka (bez znalostí interného prostredia), útok bývalého zamestnanca alebo pracovníka dodávateľa (s čiastočnými poznatkami), až po simuláciu útoku súčasného zamestnanca (ktorý disponuje istou úrovňou fyzického a logického prístupu k aktívam organizácie).
Spôsoby vykonania testu sociálnym inžinierstvom
Samotné testovanie môže byť vykonané prostredníctvom nasledujúcich technických prostriedkov a komunikačných kanálov:
- Phishingový test
- Telefonický test
- Test s prenosnými médiami
- Fyzický prienik do priestoru organizácie
- Prehľadávanie odpadkov
- Preverenie zverejnených informácií
Jednotlivé spôsoby testovania môžu byť podporené kombináciou ďalších komunikačných kanálov. Napríklad pri zaslaní phishingového emailu môže byť vhodné preverenie jeho doručenia alebo zdôraznenie dôležitosti emailu prostredníctvom telefonátu. Takáto kombinácia napomáha vyššej dôveryhodnosti zaslaného emailu.
Ako pracovať s výstupmi z vykonaného testu
Na základe výstupov z realizovaných testov má organizácia jasnejšiu predstavu o tom, aká je úroveň bezpečnostného povedomia, ako fungujú zavedené opatrenia, čo jej v prípade reálneho útoku hrozí a aké dopady to môže mať.
Reakciou na výsledky z vykonaných testov by mala byť hlavne správna analýza a vyhodnotenie identifikovaných zistení. Cieľom realizovaných testov nie je poukázať na zlyhanie jednotlivcov, ale poukázanie na prípadnú nefunkčnosť častí systému riadenia informačnej bezpečnosti. Zároveň, reálna skúsenosť zamestnancov s testovaním ich môže naučiť správne reagovať v prípade ozajstného útoku.
Implementácia opatrení v reakcii na identifikované zistenia
Opatrenia zavedené v reakcii na zistenia z vykonaných testov by mali byť v organizácii implementované systematicky a komplexne. Mali by byť zakomponované do systému riadenia informačnej bezpečnosti a premietnuté do nasledujúcich oblastí:
- Riadenie rizík – riziká identifikované z výsledkov testovania by mali byť zapracované do systému riadenia rizík v organizácii.
- Definovanie a revízia interných bezpečnostných pravidiel – v reakcii na výsledky testu môžu byť definované bezpečnostné pravidlá vo forme smerníc alebo interných predpisov.
- Zvyšovanie bezpečnostného povedomia – opatrenia by mali byť zamerané na zvyšovanie povedomia v oblasti informačnej bezpečnosti prostredníctvom pravidelných školení alebo inou formou internej komunikácie.
- Implementácia opatrení fyzickej bezpečnosti
Záver
Testy sociálnym inžinierstvom v kontexte informačnej bezpečnosti hrajú významnú úlohu. Organizácia má možnosť vyskúšať si „nanečisto“, aká je zraniteľná voči tejto hrozbe a nakoľko je schopná s existujúcimi opatreniami a pravidlami tejto hrozbe odolať. Opatrenia tak môže organizácia priamo zacieliť na pokrytie rizík, ktoré sú reálne a môžu v bežnej prevádzke nastať.
Barbora Netolická, CISA, CISSP
Autorka pracuje ako konzultantka bezpečnosti IS spoločnosti ESET, spol. s r.o.