Žmogiškoji ugniasienė: gilus žvilgsnis į socialinės inžinerijos saugumo testavimą

Kibernetinio saugumo pasaulyje esame pastatę skaitmenines tvirtoves. Turime ugniasienes, įsilaužimų aptikimo sistemas ir pažangią galinių taškų apsaugą, kurios visos skirtos atremti technines atakas. Vis dėlto stulbinantis skaičius saugumo pažeidimų prasideda ne nuo atakos "brute-force" būdu ar nulinės dienos išnaudojimo. Jie prasideda nuo paprasto, apgaulingo el. laiško, įtikinamo telefono skambučio ar draugiškai atrodančios žinutės. Jie prasideda nuo socialinės inžinerijos.

Kibernetiniai nusikaltėliai jau seniai suprato pagrindinę tiesą: lengviausias būdas patekti į saugią sistemą dažnai yra ne per sudėtingą techninį trūkumą, o per žmones, kurie ja naudojasi. Žmogiškasis elementas, su jam būdingu pasitikėjimu, smalsumu ir noru būti naudingam, gali būti silpniausia grandis bet kurioje saugumo grandinėje. Štai kodėl šio žmogiškojo faktoriaus supratimas ir testavimas nebėra pasirinktinai – tai yra esminė bet kurios tvirtos, modernios saugumo strategijos dalis.

Šiame išsamiame vadove apžvelgsime žmogiškojo faktoriaus saugumo testavimo pasaulį. Išeisime už teorijos ribų ir pateiksime praktinę sistemą, skirtą įvertinti ir sustiprinti vertingiausią jūsų organizacijos turtą ir paskutinę gynybos liniją: jūsų žmones.

Kas yra socialinė inžinerija? Už Holivudo triukų ribų

Pamirškite kinematinį hakerių vaizdavimą, įnirtingai rašančių kodą, kad įsilaužtų į sistemą. Realaus pasaulio socialinė inžinerija yra mažiau apie techninę magiją ir daugiau apie psichologinį manipuliavimą. Iš esmės, socialinė inžinerija yra menas apgaule priversti asmenis atskleisti konfidencialią informaciją arba atlikti veiksmus, kurie pažeidžia saugumą. Užpuolikai išnaudoja pagrindinę žmogaus psichologiją – mūsų polinkį pasitikėti, reaguoti į autoritetą ir reaguoti į skubumą – kad apeitų techninę gynybą.

Šios atakos yra veiksmingos, nes jos nukreiptos ne į mašinas; jos nukreiptos į emocijas ir pažintinius šališkumus. Užpuolikas gali apsimesti vyresniuoju vadovu, kad sukurtų skubos jausmą, arba apsimesti IT palaikymo techniku, kad atrodytų naudingas. Jie užmezga ryšį, sukuria patikimą kontekstą (pretekstą) ir tada pateikia savo prašymą. Kadangi prašymas atrodo teisėtas, taikinys dažnai sutinka negalvodamas.

Pagrindiniai atakos vektoriai

Socialinės inžinerijos atakos būna įvairių formų, dažnai susimaišančios. Supratimas apie dažniausius vektorius yra pirmasis žingsnis kuriant gynybą.

• Sukčiavimas apsimetant: Labiausiai paplitusi socialinės inžinerijos forma. Tai yra apgaulingi el. laiškai, sukurti taip, kad atrodytų, jog jie yra iš teisėto šaltinio, pvz., banko, gerai žinomo programinės įrangos pardavėjo ar net kolegos. Tikslas yra apgauti gavėją, kad jis spustelėtų kenksmingą nuorodą, atsisiųstų užkrėstą priedą arba įvestų savo kredencialus į netikrą prisijungimo puslapį. Tikslinis sukčiavimas apsimetant yra labai tikslinė versija, kurioje naudojama asmeninė informacija apie gavėją (surinkta iš socialinės žiniasklaidos ar kitų šaltinių), kad el. laiškas būtų neįtikėtinai įtikinamas.
• Sukčiavimas balsu (Voice Phishing): Tai yra sukčiavimas apsimetant telefonu. Užpuolikai gali naudoti balso perdavimo interneto protokolu (VoIP) technologiją, kad suklastotų savo skambintojo ID, todėl atrodys, kad jie skambina iš patikimo numerio. Jie gali apsimesti finansų įstaigos atstovu, prašančiu „patvirtinti“ paskyros duomenis, arba techninės pagalbos agentu, siūlančiu išspręsti neegzistuojančią kompiuterio problemą. Žmogaus balsas gali labai efektyviai perteikti autoritetą ir skubumą, todėl sukčiavimas balsu yra didelė grėsmė.
• Sukčiavimas SMS žinutėmis (SMS Phishing): Kadangi komunikacija pereina prie mobiliųjų įrenginių, tai daro ir atakos. Sukčiavimas SMS žinutėmis apima apgaulingų tekstinių pranešimų siuntimą, kurie vilioja vartotoją spustelėti nuorodą arba paskambinti numeriu. Dažni sukčiavimo SMS žinutėmis pretekstai apima netikrus pranešimus apie siuntinių pristatymą, banko sukčiavimo įspėjimus arba pasiūlymus gauti nemokamų prizų.
• Pretekstas: Tai yra pagrindinis daugelio kitų atakų elementas. Pretekstas apima sugalvoto scenarijaus (preteksto) sukūrimą ir naudojimą, siekiant įtraukti taikinį. Užpuolikas gali ištirti įmonės organizacinę schemą ir tada paskambinti darbuotojui, apsimesdamas IT skyriaus darbuotoju, naudodamas teisingus vardus ir terminologiją, kad sukurtų patikimumą prieš prašydamas iš naujo nustatyti slaptažodį arba nuotolinę prieigą.
• Masalas: Ši ataka remiasi žmogaus smalsumu. Klasikinis pavyzdys yra kenkėjiška programa užkrėsto USB disko palikimas viešoje biuro vietoje, pažymėto kažkuo viliojančiu, pavyzdžiui, „Vadovų atlyginimai“ arba „Konfidencialūs ketvirtojo ketvirčio planai“. Darbuotojas, kuris jį randa ir smalsumo vedamas įjungia į savo kompiuterį, netyčia įdiegia kenkėjišką programą.
• Sekimas (arba prisijungimas): Fizinė socialinės inžinerijos ataka. Užpuolikas, neturėdamas tinkamos autentifikacijos, seka įgaliotą darbuotoją į apribotą zoną. Jie gali tai pasiekti nešdami sunkias dėžes ir paprašydami darbuotojo palaikyti duris arba tiesiog užtikrintai įeidami paskui juos.

Kodėl tradicinio saugumo nepakanka: žmogiškasis faktorius

Organizacijos investuoja didžiulius išteklius į technines saugumo kontrolės priemones. Nors tai yra būtina, šios kontrolės priemonės veikia remiantis pagrindine prielaida: kad perimetras tarp „patikimo“ ir „nepatikimo“ yra aiškus. Socialinė inžinerija sugriauna šią prielaidą. Kai darbuotojas noriai įveda savo kredencialus į sukčiavimo apsimetant svetainę, jis iš esmės atidaro pagrindinius vartus užpuolikui. Geriausia pasaulyje ugniasienė tampa nenaudinga, jei grėsmė jau yra viduje, autentifikuota su teisėtais kredencialais.

Pagalvokite apie savo saugumo programą kaip apie koncentrinių sienų seriją aplink pilį. Ugniasienės yra išorinė siena, antivirusinė programa yra vidinė siena, o prieigos kontrolės priemonės yra sargybiniai prie kiekvienų durų. Bet kas atsitinka, jei užpuolikas įtikina patikimą dvariškį tiesiog atiduoti karalystės raktus? Užpuolikas nesugriovė jokių sienų; jis buvo pakviestas į vidų. Štai kodėl „žmogiškosios ugniasienės“ koncepcija yra tokia svarbi. Jūsų darbuotojai turi būti apmokyti, aprūpinti ir įgalioti veikti kaip jaučiantis, protingas gynybos sluoksnis, kuris gali pastebėti ir pranešti apie atakas, kurių technologija gali nepastebėti.

Žmogiškojo faktoriaus saugumo testavimas: silpniausios grandies tyrimas

Jei jūsų darbuotojai yra jūsų žmogiškoji ugniasienė, negalite tiesiog manyti, kad ji veikia. Jūs turite ją išbandyti. Žmogiškojo faktoriaus saugumo testavimas (arba socialinės inžinerijos įsilaužimo testavimas) yra kontroliuojamas, etiškas ir įgaliotas socialinės inžinerijos atakų modeliavimo procesas prieš organizaciją, siekiant įvertinti jos atsparumą.

Pagrindinis tikslas yra ne apgauti ir sugėdinti darbuotojus. Vietoj to tai yra diagnostikos įrankis. Jis suteikia realaus pasaulio bazinę liniją, kaip organizacija yra jautri šioms atakoms. Surinkti duomenys yra neįkainojami norint suprasti, kur slypi tikrosios silpnybės ir kaip jas ištaisyti. Jis atsako į svarbius klausimus: ar mūsų informuotumo apie saugumą mokymo programos yra veiksmingos? Ar darbuotojai žino, kaip pranešti apie įtartiną el. laišką? Kurie skyriai yra labiausiai rizikuojami? Kaip greitai reaguoja mūsų incidentų reagavimo komanda?

Pagrindiniai socialinės inžinerijos testo tikslai

• Įvertinti informuotumą: Išmatuoti procentą darbuotojų, kurie spustelėja kenksmingas nuorodas, pateikia kredencialus ar kitaip patenka į modeliuojamas atakas.
• Patvirtinti mokymo veiksmingumą: Nustatyti, ar informuotumas apie saugumą mokymai peraugo į realaus pasaulio elgesio pokyčius. Testas, atliktas prieš ir po mokymo kampanijos, pateikia aiškius jos poveikio rodiklius.
• Nustatyti pažeidžiamumus: Nustatyti konkrečius skyrius, vaidmenis ar geografines vietas, kurios yra labiau jautrios, leidžiant nukreipti atkūrimo pastangas.
• Išbandyti reagavimą į incidentus: Svarbu, išmatuoti, kiek darbuotojų praneša apie modeliuojamą ataką ir kaip reaguoja saugumo/IT komanda. Didelis pranešimų dažnis yra sveikos saugumo kultūros ženklas.
• Skatinti kultūrinius pokyčius: Naudoti (anonimizuotus) rezultatus, kad pateisintumėte tolesnes investicijas į saugumo mokymus ir puoselėtumėte visos organizacijos saugumo sąmoningumo kultūrą.

Socialinės inžinerijos testavimo gyvavimo ciklas: žingsnis po žingsnio vadovas

Sėkmingas socialinės inžinerijos įsitraukimas yra struktūruotas projektas, o ne ad-hoc veikla. Jam reikia kruopštaus planavimo, vykdymo ir tolesnių veiksmų, kad jis būtų veiksmingas ir etiškas. Gyvavimo ciklą galima suskirstyti į penkis skirtingus etapus.

1 etapas: planavimas ir apimties nustatymas (projektas)

Tai yra svarbiausias etapas. Be aiškių tikslų ir taisyklių, testas gali padaryti daugiau žalos nei naudos. Pagrindinės veiklos apima:

• Tikslų nustatymas: Ko norite išmokti? Ar testuojate kredencialų kompromisą, kenkėjiškos programos vykdymą ar fizinę prieigą? Sėkmės rodikliai turi būti apibrėžti iš anksto. Pavyzdžiai: spustelėjimų dažnis, kredencialų pateikimo dažnis ir svarbiausias pranešimų dažnis.
• Taikinio nustatymas: Ar testas bus nukreiptas į visą organizaciją, konkretų didelės rizikos skyrių (pvz., finansų ar žmogiškųjų išteklių) ar vyresniuosius vadovus („banginių“ ataka)?
• Įsitraukimo taisyklių nustatymas: Tai yra oficialus susitarimas, kuriame apibrėžiama, kas yra įtraukta ir kas neįtraukta į apimtį. Jame nurodomi atakos vektoriai, kurie bus naudojami, testo trukmė ir svarbios „nepakenk“ sąlygos (pvz., nebus diegiama jokia reali kenkėjiška programa, nebus sutrikdyta jokia sistema). Jame taip pat apibrėžiamas eskalavimo kelias, jei bus užfiksuoti slapti duomenys.
• Autorizacijos užtikrinimas: Raštiška vyresniosios vadovybės arba atitinkamo vykdomojo rėmėjo autorizacija yra ne derybų klausimas. Socialinės inžinerijos testo atlikimas be aiškaus leidimo yra neteisėtas ir neetiškas.

2 etapas: žvalgyba (informacijos rinkimas)

Prieš pradedant ataką, tikras užpuolikas renka žvalgybos informaciją. Etiškas testeris daro tą patį. Šis etapas apima atvirojo kodo žvalgybos (OSINT) naudojimą, siekiant rasti viešai prieinamą informaciją apie organizaciją ir jos darbuotojus. Ši informacija naudojama patikimiems ir tiksliniams atakų scenarijams kurti.

• Šaltiniai: Pačios įmonės svetainė (darbuotojų katalogai, pranešimai spaudai), profesionalios tinklų svetainės, tokios kaip „LinkedIn“ (atskleidžiančios pareigybių pavadinimus, atsakomybes ir profesinius ryšius), socialinė žiniasklaida ir pramonės naujienos.
• Tikslas: Sudaryti organizacijos struktūros vaizdą, nustatyti pagrindinius darbuotojus, suprasti jos verslo procesus ir rasti detales, kurios gali būti naudojamos įtikinamam pretekstui sukurti. Pavyzdžiui, neseniai paskelbtas pranešimas spaudai apie naują partnerystę gali būti naudojamas kaip sukčiavimo apsimetant el. laiško, tariamai gauto iš to naujo partnerio, pagrindas.

3 etapas: atakos modeliavimas (vykdymas)

Turint planą ir surinkus žvalgybos informaciją, pradedamos modeliuojamos atakos. Tai turi būti daroma atsargiai ir profesionaliai, visada teikiant pirmenybę saugumui ir sumažinant trikdžius.

• Masalo kūrimas: Remdamasis žvalgyba, testeris kuria atakos medžiagą. Tai gali būti sukčiavimo apsimetant el. laiškas su nuoroda į kredencialų rinkimo tinklalapį, kruopščiai suformuluotas telefono scenarijus, skirtas sukčiavimui balsu, arba firminis USB diskas, skirtas masalo bandymui.
• Kampanijos pradžia: Atakos vykdomos pagal sutartą tvarkaraštį. Testeriai naudos įrankius, kad realiuoju laiku stebėtų rodiklius, tokius kaip el. laiškų atidarymai, spustelėjimai ir duomenų pateikimai.
• Stebėjimas ir valdymas: Viso testo metu įsitraukimo komanda turi būti budri, kad galėtų susidoroti su bet kokiomis nenumatytomis pasekmėmis ar darbuotojų užklausomis, kurios yra eskaluojamos.

4 etapas: analizė ir ataskaitų teikimas (instruktavimas)

Pasibaigus aktyviam testavimo laikotarpiui, neapdoroti duomenys yra sudaromi ir analizuojami siekiant išgauti prasmingas įžvalgas. Ataskaita yra pagrindinis įsitraukimo rezultatas ir turėtų būti aiški, glausta ir konstruktyvi.

• Pagrindiniai rodikliai: Ataskaitoje bus išsamiai aprašyti kiekybiniai rezultatai (pvz., „25% vartotojų spustelėjo nuorodą, 12% pateikė kredencialus“). Tačiau svarbiausias rodiklis dažnai yra pranešimų dažnis. Mažas spustelėjimų dažnis yra gerai, bet didelis pranešimų dažnis yra dar geriau, nes tai rodo, kad darbuotojai aktyviai dalyvauja gynyboje.
• Kokybinė analizė: Ataskaitoje taip pat turėtų būti paaiškinta, „kodėl“ už skaičių. Kurie pretekstai buvo veiksmingiausi? Ar buvo bendrų modelių tarp darbuotojų, kurie buvo jautrūs?
• Konstruktyvios rekomendacijos: Dėmesys turėtų būti skiriamas tobulėjimui, o ne kaltinimui. Ataskaitoje turi būti pateiktos aiškios, įgyvendinamos rekomendacijos. Tai gali apimti pasiūlymus dėl tikslinių mokymų, politikos atnaujinimų ar techninės kontrolės patobulinimų. Išvados visada turėtų būti pateikiamos anonimizuotu, apibendrintu formatu, siekiant apsaugoti darbuotojų privatumą.

5 etapas: atkūrimas ir mokymas (ciklo užbaigimas)

Testas be atkūrimo yra tik įdomus pratimas. Šiame paskutiniame etape atliekami tikri saugumo patobulinimai.

• Tiesioginis tolesnis veiksmas: Įdiekite „tiesiog laiku“ mokymo procesą. Darbuotojai, kurie pateikė kredencialus, gali būti automatiškai nukreipti į trumpą mokomąjį puslapį, paaiškinantį testą ir pateikiantį patarimų, kaip ateityje pastebėti panašias atakas.
• Tikslinės mokymo kampanijos: Naudokite testo rezultatus, kad suformuotumėte savo informuotumo apie saugumą programos ateitį. Jei finansų skyrius buvo ypač jautrus sąskaitų faktūrų sukčiavimo el. laiškams, sukurkite specialų mokymo modulį, skirtą šiai grėsmei.
• Politikos ir proceso tobulinimas: Testas gali atskleisti jūsų procesų spragas. Pavyzdžiui, jei sukčiavimo balsu skambutis sėkmingai išgavo slaptą kliento informaciją, jums gali reikėti sustiprinti savo tapatybės patvirtinimo procedūras.
• Išmatuokite ir pakartokite: Socialinės inžinerijos testavimas neturėtų būti vienkartinis įvykis. Suplanuokite reguliarius testus (pvz., kas ketvirtį arba kas pusę metų), kad laikui bėgant stebėtumėte pažangą ir užtikrintumėte, kad informuotumas apie saugumą išliktų prioritetu.

Atsparios saugumo kultūros kūrimas: už vienkartinių testų ribų

Pagrindinis socialinės inžinerijos testavimo tikslas yra prisidėti prie tvarios, visos organizacijos saugumo kultūros. Vienas testas gali pateikti momentinę nuotrauką, bet nuolatinė programa sukuria ilgalaikius pokyčius. Stipri kultūra paverčia saugumą iš taisyklių, kurių darbuotojai turi laikytis, sąrašo į bendrą atsakomybę, kurią jie aktyviai prisiima.

Stiprios žmogiškosios ugniasienės ramsčiai

• Vadovavimo įsitraukimas: Saugumo kultūra prasideda viršuje. Kai vadovai nuolat komunikuoja apie saugumo svarbą ir modeliuoja saugų elgesį, darbuotojai seks pavyzdžiu. Saugumas turėtų būti vertinamas kaip verslo įgalintojas, o ne ribojantis „ne“ skyrius.
• Nuolatinis švietimas: Kasmetinė valandos trukmės saugumo mokymo prezentacija nebėra veiksminga. Šiuolaikinė programa naudoja nuolatinį, įtraukiantį ir įvairų turinį. Tai apima trumpus vaizdo modulius, interaktyvius testus, reguliarius sukčiavimo apsimetant modeliavimus ir naujienlaiškius su realaus pasaulio pavyzdžiais.
• Teigiamas sustiprinimas: Dėmesys turėtų būti skiriamas sėkmės šventimui, o ne tik nesėkmių baudimui. Sukurkite „Saugumo čempionų“ programą, kad pripažintumėte darbuotojus, kurie nuolat praneša apie įtartiną veiklą. Besąlygiškos ataskaitų teikimo kultūros puoselėjimas skatina žmones nedelsiant prisipažinti, jei jie mano, kad padarė klaidą, o tai yra labai svarbu greitam reagavimui į incidentus.
• Aiški ir paprasta tvarka: Padarykite darbuotojams lengva elgtis teisingai. Įdiekite vieno spustelėjimo mygtuką „Pranešti apie sukčiavimą apsimetant“ savo el. pašto kliente. Pateikite aiškų, gerai paskelbtą numerį, kuriuo galima paskambinti arba išsiųsti el. laišką, kad praneštumėte apie bet kokią įtartiną veiklą. Jei ataskaitų teikimo procesas yra sudėtingas, darbuotojai jo nenaudos.

Pasaulinės svarstomosios dalys ir etinės gairės

Tarptautinėms organizacijoms socialinės inžinerijos testų atlikimas reikalauja papildomo jautrumo ir informuotumo sluoksnio.

• Kultūriniai niuansai: Atakos pretekstas, kuris yra veiksmingas vienoje kultūroje, gali būti visiškai neveiksmingas ar net įžeidžiantis kitoje kultūroje. Pavyzdžiui, komunikacijos stiliai, susiję su valdžia ir hierarchija, labai skiriasi visame pasaulyje. Pretekstai turi būti lokalizuoti ir kultūriškai pritaikyti, kad būtų realistiški ir veiksmingi.
• Teisinis ir reguliavimo kraštovaizdis: Duomenų privatumo ir darbo teisės skiriasi skirtingose šalyse. Tokie reglamentai kaip ES Bendrasis duomenų apsaugos reglamentas (BDAR) nustato griežtas taisykles dėl asmens duomenų rinkimo ir tvarkymo. Būtina pasikonsultuoti su teisininku, kad įsitikintumėte, jog bet kuri testavimo programa atitinka visus atitinkamus įstatymus kiekvienoje jurisdikcijoje, kurioje veikiate.
• Etinės raudonosios linijos: Testavimo tikslas yra šviesti, o ne sukelti kančią. Testeriai turi laikytis griežto etikos kodekso. Tai reiškia vengti pretekstų, kurie yra pernelyg emocingi, manipuliuojantys arba galėtų padaryti realią žalą. Neetiškų pretekstų pavyzdžiai yra netikros ekstremalios situacijos, susijusios su šeimos nariais, grasinimai atleisti iš darbo arba pranešimai apie finansines premijas, kurių nėra. „Auksinė taisyklė“ yra niekada nesukurti preteksto, su kuriuo jums patiems nebūtų patogu būti testuojamiems.

Išvada: Jūsų žmonės yra jūsų didžiausias turtas ir jūsų paskutinė gynybos linija

Technologijos visada bus kibernetinio saugumo kertinis akmuo, bet niekada nebus visapusiškas sprendimas. Kol žmonės dalyvauja procesuose, užpuolikai sieks juos išnaudoti. Socialinė inžinerija nėra techninė problema; tai yra žmogiškoji problema, ir jai reikia į žmogų orientuoto sprendimo.

Priimdami sistemingą žmogiškojo faktoriaus saugumo testavimą, jūs pakeičiate naratyvą. Jūs nustojate vertinti savo darbuotojus kaip nenuspėjamą atsakomybę ir pradedate juos matyti kaip protingą, prisitaikantį saugumo jutiklių tinklą. Testavimas suteikia duomenis, mokymas suteikia žinių, o teigiama kultūra suteikia motyvacijos. Kartu šie elementai sukuria jūsų žmogiškąją ugniasienę – dinamišką ir atsparią gynybą, kuri saugo jūsų organizaciją iš vidaus.

Nelaukite, kol tikras pažeidimas atskleis jūsų pažeidžiamumus. Aktyviai testuokite, apmokykite ir įgalinkite savo komandą. Paverskite savo žmogiškąjį faktorių iš didžiausios rizikos į didžiausią saugumo turtą.