facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2012 , IT Security

Testy sociálního inženýrství

Ověřování bezpečnosti organizace



ESET - ilustračníSociální inženýrství (sociotechnika) je způsob manipulace lidmi s cílem získat od nich informace důvěrného charakteru anebo je přinutit k vykonání požadované akce. Sociotechnik (sociální inženýr) je osoba používající metody a praktiky sociálního inženýrství s cílem získat požadované informace k osobnímu prospěchu. Takovéto útoky na organizace a získávání informací bývají velmi úspěšné. A to navzdory tomu, že nevyžadují téměř žádné speciální technické znalosti a technologické prostředky.


Sociální inženýrství se svými metodami a praktikami snaží využít hlavně faktory, které ovlivňují lidské chování a rozhodování. K těmto faktorům patří: důvěra, respektování autorit, soucit, potřeba vyhnout se konfliktu, potřeba „mít pokoj“, sympatie, stres a další.

Nejzranitelnějším objektem v organizaci je z pohledu sociotechnika její zaměstnanec. Obecně velkou část bezpečnostních rizik identifikovaných v rámci organizace reprezentuje lidské chování – chyba, nepozornost, nedbalost, nevědomost. To podporuje i zjištění průzkumu stavu informační bezpečnosti v organizacích na Slovensku z roku 2011 provedeného společností Eset. V něm 63 % organizací označilo za příčinu výskytu bezpečnostního incidentu právě chování zaměstnanců.

Z průzkumu též vyplývá, že jen čtvrtina organizací a firem organizuje pravidelná školení v oblasti informační bezpečnosti. Zbylých 75 % takto školí zaměstnance jednorázově (při nástupu do zaměstnání nebo po výskytu bezpečnostního incidentu) anebo je neškolí vůbec.

Jak eliminovat rizika spojená s chováním zaměstnanců a případnými útoky prostřednictvím sociálního inženýrství? Základním předpokladem je vytvoření interních pravidel bezpečnosti pro zaměstnance, vyžadování jejich dodržování a zvyšování bezpečnostního povědomí. Nejúčinnější způsob ověření bezpečnostního povědomí zaměstnanců organizace, znalosti interních předpisů a jejich dodržování v běžném provozu je právě simulace potenciálního útoku technikou sociálního inženýrství.

Přístupy k vykonání testu sociálním inženýrstvím

Testování sociálním inženýrstvím se může realizovat s různými úrovněmi znalostí o interním prostředí organizace. V závislosti na požadavcích organizace může testování sociálním inženýrstvím simulovat různé situace z reálného života – od útoku neznámého útočníka (bez znalostí interního prostředí), přes útok bývalého zaměstnance nebo pracovníka dodavatele (s částečnými poznatky), až po simulaci útoku současného zaměstnance (disponujícího jistou úrovní fyzického a logického přístupu k aktivům organizace). Samotné testování pak může proběhnout prostřednictvím následujících technik:

  • Phishingový test,
  • telefonický test,
  • test s přenosnými médii,
  • pokus o fyzický průnik do prostoru organizace,
  • prohledávání odpadků.

Jednotlivé způsoby testování lze podpořit kombinací dalších komunikačních kanálů. Například při zaslání phishingového e-mailu může být vhodné prověřit jeho doručení nebo zdůraznit jeho důležitost prostřednictvím telefonátu. Taková kombinace napomáhá k vyšší důvěryhodnosti zaslaného e-mailu.

Jak pracovat s výstupy testu

Na základě výstupů realizovaných testů má organizace jasnější představu o tom, jaká je úroveň bezpečnostního povědomí, jak fungují zavedená opatření, co jí v případě reálného útoku hrozí a jaké dopady to může mít.

Reakcí na výsledky vykonaných testů by měla být hlavně správná analýza a vyhodnocení identifikovaných zjištění. Cílem realizovaných testů není poukázat na selhání jednotlivců, ale na případnou nefunkčnost částí systému řízení informační bezpečnosti. Zkušenost zaměstnanců s testováním může navíc přispět ke správné reakci v případě skutečného útoku.

Opatření zavedená jako reakce na zjištění z vykonaných testů by měla být v organizaci implementována systematicky a komplexně. Měla by být zakomponována do systému řízení informační bezpečnosti a promítnuta do následujících oblastí:

  • Řízení rizik – rizika identifikovaná z výsledků testování by měla být zapracována do systému řízení rizik v organizaci.
  • Definování a revize interních bezpečnostních pravidel – v reakci na výsledky testu se mohou definovat bezpečnostní pravidla ve formě směrnic nebo interních předpisů.
  • Zvyšování bezpečnostního povědomí – opatření by měla být zaměřena na zvyšování povědomí v oblasti informační bezpečnosti prostřednictvím pravidelných školení anebo jinou formou interní komunikace.
  • Implementace opatření fyzické bezpečnosti.

Testy sociálním inženýrstvím hrají v kontextu informační bezpečnosti významnou úlohu. Organizace má možnosti vyzkoušet si „nanečisto“, zda je touto hrozbou zranitelná a nakolik je jí schopná s existujícími opatřeními a pravidly odolat. Opatření tak může organizace přímo zacílit na pokrytí rizik, která jsou reálná a mohou v běžném provozu nastat.

Barbora Netolická
Autorka pracuje jako konzultantka bezpečnosti ve společnosti ESET.


Limity hrozeb určují jen kyberzločinci

Kaspersky Lab - ilustračníHlavní riziko nespočívá v sociálním inženýrství, ale v trendu integrovat mnoho služeb do jedné, která je navíc zabezpečena jedním heslem. Například v případě iCloudu, ale platí to i pro Google a ostatní poskytovatele služeb, tedy používání jednoho loginu a hesla jako přístupu k různému obsahu – emailu, personální agendě, dokumentům, a co je nejhorší, k systému sledování zařízení v reálném čase (device tracking). Ten může útočník využít ke sledování jeho majitele.

Přístup k mnoha službám pomocí stejného loginu je pro kyberzločince výhoda, kterou nikdy v minulosti neměli. Stačí „hacknout” jedno heslo a mají přístup k celé digitální identitě oběti.

Útočník pak velmi jednoduše získá užitečné informace o jejím chování, o tom, kde pracuje, kde se stravuje, kde bydlí atp. Jsou zde ale i další rizika spojená s krádežemi dat z cloudu, blokováním a vymazáním zařízení či šikanováním jeho majitele. Limity potenciálních hrozeb určují jen kyberzločinci.

Výhodou sociálního inženýrství je také skutečnost, že neútočí přímo na systém. Ten proto mnohdy nemůže detekovat podezřelou aktivitu a vyhodnotit ji jako útok. V některých případech stačí útočníkovi dokonce jen jeden pokus, aby se dostal „dovnitř“. Prostě to vypadá, jakože se přihlásil uživatel.

A jak se útokům založených na sociálním inženýrstvím bránit? Odpověď je jednoduchá, nikdy nepoužívejte reálné informace. Pokud chce systém odpověď na bezpečností otázku typu „Jak se jmenuje váš nejlepší přítel ze školy?”, nikdy byste neměli použít informaci odpovídající pravdě. Prostě použijte komplexní heslo typu DeMUmezukAr748U nebo něco podobného. Osobně jsem se tohoto pravidla držel mnohokrát a vždy fungovalo. Takže i pokud vás přelstí někdo velmi chytrý, někdo, kdo bude schopen získat odpovědi na spoustu otázek z vašeho života, nikdy nebude schopen se k vašemu účtu dostat.

Dmitry Bestuzhev
Autor působí jako bezpečnostní analytik ve společnosti Kaspersky Lab.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.