Тропой инсайдера. Секреты информационной безопасности
Часть 2

«Для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать ее» (с) Кевин Митник

В информационной структуре любой организации можно найти уязвимые места. На компьютерах может быть установлено новейшее ПО, а IT-отдел – тщательно следить за использованием паролей и разграничением прав доступа. Но все равно в информационной безопасности остается уязвимое звено – люди работающие с компьютерными системами. И чем более совершенными становятся программные и аппаратные способы защиты информации, тем чаще приходится сталкиваться с «атаками на человеческий фактор».

Википедия:«Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. … Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы «глюками в человеческом обеспечении».»

Корни социальной инженерии – в прикладной психологии, но теперь это хакерское ремесло развивается по своим собственным законам. Задача злоумышленника, применяющего социоинженерный метод – сделать так, чтобы жертва приняла некое решение и до самого конца была уверена, что так решила сама.
В нашем техногенном мире приемы социальной инженерии активно и успешно используют разного рода кибермошенники – хакеры, фишеры, спамеры и т.д. Интернет-технологии (e-mail, интернет-пейджеры, форумы, блоги, социальные сети) позволяют злоумышленникам атаковать «человеческий фактор», не вступая в непосредственный физический контакт с жертвой.
В абсолютном большинстве случаев смыслом применения приемов социальной инженерии является кража информации. По данным статистики, это в большинстве случаев делается по заказу конкурирующей организации и т.п. Ну а что касается методов проведения атак, то тут специалисты выделяют несколько основных приемов нарушения информационной безопасности – их-то мы и рассмотрим.

Техническая» социальная инженерия
В данном случае невозможно как-то выделить жертв атаки. Дело в том, что при проведении таких «социальных» атак применяются принципы и стереотипы общества в целом. Например, такие, как уверенность в том, что сайт компании, занимающейся информационной безопасностью, по определению невозможно взломать. Этот способ более известен как «продвинутый» анализ ситуации. Злоумышленник понимает, что действовать стандартными методами у него не получится, и начинает изучать иные варианты, «включая» нестандартное мышление.

Human denial of service (HDoS)
Очень похожее на DDoS название (HDoS переводится как «Человеческий отказ в обслуживании») появилось потому, что суть атаки сводится к тому, чтобы заставить человека не реагировать (или реагировать неадекватно) на те или иные ситуации. Чаще всего это отвлечение внимания, скажем, на ложную сетевую атаку. Злоумышленник создает видимость выполнения некой операции, но на самом деле выполняет совсем иные действия. А жертва, слишком занятая другим, просто не замечает настоящей угрозы для информбезопасности.

«Человеческий фактор» и электронная почта
Злоумышленники, промышляющие приемами социальной инженерии, очень любят использовать такой канал связи с жертвой, как электронная почта. Тем более что за последнее десятилетие e-mail стал одним из основных каналов обмена деловой и личной информацией, а также мощным инструментом ведения бизнеса. Использование электронной почты облегчает задачу злоумышленнику: ему не нужно разыгрывать перед жертвой спектакль – лично либо по телефону – достаточно просто талантливо скопировать эпистолярный стиль какого-нибудь хорошего знакомого жертвы и воспользоваться специальной программой для фальсификации адреса отправителя. Все дальнейшее зависит лишь от фантазии злоумышленника и степени доверчивости его жертвы.

Интернет-пейджеры
За последнее десятилетие системы обмена мгновенными сообщениями не только приобрели колоссальную популярность, но и обзавелись множеством дополнительных функций. Наиболее опасные из них – это возможность передачи файлов и шифрование сообщений. А еще общение по ICQ и прочим подобным мессенджерам зачастую ведется в непринужденной, полушутливой манере, что дает хорошо знающему психологию злоумышленнику возможность быстро и без труда стать «своим парнем».

Подготовка атаки на «человеческий фактор»
Специалисты по информационной безопасности обычно выделяют три стадии подготовки такого рода атаки:
- Определение точной цели.
- Сбор информации об объекте обработки (жертве).
- Выработка плана действий.
На первом этапе злоумышленник старается четко определить, какие именно закрытые компьютерные данные ему необходимо получить в данной конкретной организации. Как правило, на этой стадии подготовки атаки ее невозможно ни выявить, ни предупредить. Да и, в конце концов, отнюдь не факт, что после предварительной оценки ситуации злоумышленник отправится «за добычей».
На втором этапе уже собирается конкретная информация о человеке и/или компьютере, с которого необходимо «слить» данные. В идеале злоумышленнику хорошо бы знать точное местоположение информации на HDD, но и системы поиска по локальным сетям пока никто не отменял. На этом этапе анализ почтового и IM-трафика организации вполне может выявить «подозрительный» интерес со стороны.
Что же касается третьего этапа – выработки плана действий – то тут все достаточно однозначно. Если в атакуемой компании установлен контур информационной безопасности, то квалифицированный злоумышленник, обнаружив это, просто откажется от своих планой. Ну а приемы социальной инженерии в исполнении дилетанта тут же будут выявлены и пресечены отделом безопасности, который получит предупреждение от специализированного ПО.

Противодействие
Итак, мы уже четко понимаем, что конфиденциальная информация с компьютеров компании может «утекать» не только по злому умыслу инсайдеров, о которых мы говорили в предыдущей статье. Канал утечки вполне способны открыть введенные в заблуждение добросовестные сотрудники, сами ставшие жертвами – объектами психологической атаки извне.
В этой ситуации выявить атаку и своевременно сообщить о ней специалистам по инфобезу способно специальное ПО – комплексная система предотвращения утечек. Благо, воздействовать на компьютерные программы психологическими методами абсолютно бесполезно. Неудивительно, что в мире этот сегмент рынка ПО и сервисов растет опережающими темпами. По данным исследовательской компании IDC, общемировой объем одного лишь сектора защиты от утечек через исходящий трафик (OCC — Outbound Content Security) в 2007 году составил почти $900 млн. Темпы его роста достигли 67%.
Однако этот сегмент занимает только небольшую долю рынка внутренней информационной безопасности. Ведь каналы утечки не ограничиваются одним только сетевым трафиком. В компьютерной сети компании есть еще рабочие станции, принтеры, базы данных, файловые серверы и т.д. Кроме того, есть программные продукты, которые контролируют все эти ресурсы. По квалификации IDC весь этот рынок получил название ILDP (Information Leakage Detection and Prevention), что является синонимом принятого в России и странах СНГ термина «контур информационной безопасности». На этом рынке также представлены средства для контроля над рабочими станциями, серверами, принтерами и т. д. Объем всего рынка в 2007 году составил в мире порядка $2,1 млрд.
По оценкам той же IDC, в 2007 году рынок программных средств по защите конфиденциальных данных от утечек в России вырос на 136%, до $26 млн Соответственно, рынок всего СНГ (1,5 объема российского рынка) составил порядка $39 млн А по данным отчета российской компании LETA IT-company, объем рынка ILDP растет опережающими весь рынок информационной безопасности темпами и в 2008 году ожидается 63%-ный рост, прогнозируемый объем рынка – $43 млн в одной только России.
На рынках стран СНГ на данный момент доминируют разработки компаний из России и других стран Содружества. Это обусловлено тем, что они «понимают» русский язык, местные правила документооборота и специфику бизнеса.
Полноценный контур информационной безопасности должен включать в себя механизмы разграничения прав доступа к конфиденциальной информации, ПО для перехвата электронной почты (включая вложенные файлы) и сообщений интернет-пейджеров, компьютерных данных, записываемых через порты USB или на CD/DVD-диски, а также отправляемых на принтер. Такой комплекс защитного ПО должен не только сохранять всю перехваченную информацию в базе данных, но и иметь инструменты для индексирования, полнотекстового поиска и анализа данных.