Проверка осведомлённости сотрудников в вопросах ИБ

«Человеческий фактор» — одна из самых распространённых угроз информационной безопасности. Злоумышленники успешно пользуются любопытством, жадностью и желанием развлечься обычных пользователей. Чтобы снизить риски эксплуатации человеческих ошибок применяются технические и административные методы защиты. Один из таких методов — повышение осведомлённости в области ИБ.

Мы проверяем уровень осведомлённости сотрудников заказчика в вопросах информационной безопасности, оцениваем эффективность инвестиций в защиту информации. Главное для заказчика такого исследования — не найти и публично покарать «виновного» невнимательного сотрудника, а выявить потенциально слабые места в защите и устранить эти недостатки.

Исследование может быть отдельным проектом или частью тестирования на проникновение.

Наши цели в рамках такого исследования отличаются от целей настоящих злоумышленников. Злоумышленники стараются заразить рабочие станции пользователей и развить атаку, попав во внутреннюю инфраструктуру организации, чтобы получить конфиденциальную информацию. Мы же пытаемся узнать, как вёл себя пользователь: открыл ли вложение или перешёл по ссылке.

Семь этапов атаки

Согласование со службой ИБ

В первую очередь мы получаем разрешение на проведение работ. Со службой информационной безопасности согласовываются сроки и методы проверок.

В некоторых случаях требуется добавить адреса «Перспективного мониторинга» в «белый список». Это нужно для моделирования ситуации, когда технические средства защиты не справились со своей задачей и не смогли заблокировать вредоносные вложения или ссылки.

Планирование атаки

На этом этапе необходимо определить состав целевых групп, в отношении которых будет проводиться тестирование. Есть два подхода:

  • заказчик сам определяет группы целей для рассылки;
  • исследователи сами подбирают состав групп.

Первый подход является предпочтительным, благодаря ему можно наиболее полно решить задачи заказчика.

Если в исследуемой организации уже проводятся мероприятия, направленные на повышение осведомлённости сотрудников в вопросах ИБ, то мы формируем список проверок исходя из применяемых обучающих материалов.

С заказчиком также обсуждается, какой именно канал коммуникации будет использован для контакта с персоналом: корпоративная почта, социальные сети или что-то другое.

Сбор информации о компании и сотрудниках из открытых источников

Успешная атака с использованием методов социальной инженерии всегда строится на доверии. А кому доверяют больше всего? Своим.

Чтобы стать «своим», исследователь «Перспективного мониторинга» изучает большой объём общедоступной информации:

  • восстанавливает оргструктуру атакуемой организации;
  • определяет руководителей и ключевых сотрудников, пытается найти сотрудников ИТ- и ИБ-подразделений, которым пользователи доверяют большое всего;
  • получает максимальное число адресов электронной почты, восстанавливает шаблоны формирования адресов;
  • получает список предполагаемых сотрудников;
  • выявляет ключевых клиентов и партнёров.

Чем тщательнее собрана информация на этом этапе, тем больше шансов на успешную атаку. Заказчик также получит ответ на вопрос, какие данные о его сотрудниках можно найти в публичных источниках.

akr.png

Пример построения карты связей юридического лица

Источниками информации могут быть:

  • собственные сайты организации;
  • соцсети;
  • блоги и форумы;
  • сайты вакансий, сайты отзывов о работодателях;
  • реестры информации о юридических лицах, судебных делах и решениях;
  • площадки государственных и корпоративных закупок;
  • конференции, митапы, вебинары.

Подготовка «полезной нагрузки»

В рамках проверки осведомлённости мы используем три инструмента.

Пример фишингового письма

Пример фишингового письма, которое переслали в наш Центр мониторинга для исследования коллеги из компании «ИнфоТеКС Интернет Траст»

Первый инструмент — вредоносное вложение в сообщение или ссылка. Имитирует заражение вредоносным программным обеспечением. При таком варианте используются те же техники, что и в реальных атаках: мы пробуем проэксплуатировать известные уязвимости операционных систем, офисных пакетов, просмотрщиков pdf-файлов, браузеров — программ, которые чаще всего используются в любой организации. Вредоносное вложение будет послано в виде офисного файла с «троянским» кодом, pdf-документа, архива. Это похожее на троян ПО сообщит нам о своём запуске, который будет отражён в статистике исследования.

форма, логин, пароль,

Второй инструмент — фишинг. Имитирует кражу учётных данных пользователя. Мы создаём поддельные фишинговые сайты, регистрируем похожие на легитимные домены, чтобы заставить пользователя ввести свои реальные учётные данные.

badusb, flash, rubberducky, awareness

Третий инструмент — размещение USB-накопителей рядом с офисом атакуемой организации. Имитирует доставку вредоносного ПО с помощью съёмных носителей. Согласно докладу на 37th IEEE Security and Privacy Symposium, 48% людей подключают найденные флешки. Это невероятно результативная атака.

Контакт с жертвами

После разведки и подготовки инструментов атаки начинается непосредственно атака.

Основная задача исследователей «Перспективного мониторинга» на этом этапе — сделать так, чтобы как можно больше пользователей выполнили целевое действие (перешли по ссылке или открыли вложение), поэтому для каждой группы сотрудников будут свои темы писем и названия вложений.

Все сотрудники Юристы Бухгалтеры Продавцы Пиарщики
Приказ об увольнении По делу №№ Отчёт Запрос предложений Запрос по реальному инфоповоду
Повышение з/п Досудебная претензия от ООО «Вашглавныйзаказчик» Акты Конкурс на закупку Интервью «Отраслевому СМИ»
Внимание! Технические работы!!! Счёт на оплату

Телефонный звонок сразу за отсылкой сообщения поможет убедить жертву выполнить целевое действие.

— Здравствуйте! Я менеджер по закупкам «Большого заказчика». Я десять минут назад посылал вам запрос на коммерческое предложение. Получили? Нет? Тогда давайте я вам продублирую ещё раз. Посмотрите, пожалуйста. Заранее спасибо. Всего доброго».

Заражение и эксплуатация

Для заражения мы используем известные уязвимости программного обеспечения, на которые уже существуют публично доступные эксплойты — программный код, эксплуатирующий конкретную уязвимость. Мы модифицируем такой код, убираем из него действительно вредоносную часть, оставляя только механизм заражения конкретного компьютера пользователя, и добавляем инструменты сбора статистики. Благодаря такому подходу мы можем отследить и зафиксировать в статистике каждый случай запуска нашего кода: кто, когда и при каких обстоятельствах мог бы подвергнуться реальному нападению.

Наш «троянский код» абсолютно безопасен: он не похищает конфиденциальную информацию, не уничтожает данные и полностью удаляется по завершении проверки.

Такой же подход применяется и при фишинговых атаках. Мы оперативно оповещаем администраторов безопасности о скомпрометированных учётных записях и просим сменить пароль пользователя.

Подготовка отчёта

Благодаря встроенным в нашу «полезную нагрузку» механизмам, мы можем фиксировать следующие действия пользователя:

  • переход по ссылке (злоумышленник мог заразить компьютер пользователя, эксплуатируя уязвимость в его операционной системе или браузере);
  • скачивание чего-либо с подконтрольного нам сайта (злоумышленник мог заразить трояном);
  • запуск нашего вложения в сообщении (злоумышленник мог заразить трояном);
  • подключение съёмного носителя (злоумышленник мог заразить трояном);
  • ввод данных в форму на подконтрольном нам ресурсе (фишинг).

Пентест считается успешным, если произошло хотя бы одно заражение или ввод реальных учётных данных.

Отчёт о проведённом исследовании будет содержать описание методов социальной инженерии, которые использовались во время проверки, оценку возможности проникнуть в информационную систему организации и рекомендации по повышению уровня защищённости.


Реализованные проекты
Пентест с элементами социальной инженерии
Заказчик — компания «ПРАЙМ ГРУП». Наши исследователи провели комплексный пентест информационной системы.
Пентест компании в режиме «чёрного ящика»
Мы провели фишинг-атаку на заказчика и отправили сотрудникам 2 «новостных» письма, содержащих ссылки на скрипт, который перехватывает аутентификационные данные пользователей соответствующих машин. Более половины сотрудников перешли хотя бы по одной ссылке. Никто из них не сообщил об инциденте в службу ИБ. В результате мы получили полный доступ к IT-инфраструктуре заказчика. Протокол действий службы ИБ заказчика был включён в состав отчёта.
Пентест веб-ресурсов Автоторгбанка
Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.
Пентест сайта rightech.io
ПМ протестировал на проникновение веб-ресурс «rightech.io», посвящённый облачной платформе разработки и интеграции приложений для Интернета вещей.