Как показать руководству, что есть проблемы в информационной безопасности?

f8d046798166f715009e712c06f58eb1

Перед началом статьи немного цифр:

  1. 61% рос­сий­ских ком­па­ний не имеют ком­плексной стра­тегии ки­бер­бе­зопас­нос­ти.

  2. 48% российских компаний принимают решения без учета рисков информационной безопасности (данный процент меняется в зависимости от отрасли).

  3. Более 70% российских компаний не страхует риски, связанные с утечкой данных.

  4. 8% компаний не имеют выделенных специалистов по информационной безопасности. При этом в 92% компаний уровень зрелости ИБ низок.

Из этой статистики можно сделать вывод, что половина российских компаний не считает риски информационной безопасности значимыми.

Подкрепив ситуацию практическим опытом можно добавить, что большая часть другой половины этой статистики рассматривают весь спектр при моделировании угроз информационной безопасности формально. По какой причине? Потому что специалисту по ИБ бывает частенько сложно выстроить коммуникацию с ЛПР по вопросам важности  информационной безопасности. Это статья как раз о том, на что следует указать в первую очередь.

По какой причине руководство/собственники/топ-менеджмент часто считают, что рисками информационной безопасности (далее ИБ) заниматься необходимость отсутствует это история для отдельной статьи. Но как им показать, что проблема существует?

Предлагаю Вам смоделировать действия злоумышленника, то есть отрешиться от ваших знаний и провести небольшие мероприятия в «черном ящике».

Итак, подробная пошаговая инструкция (проверяйте гипотезы):

Гипотеза 1: не обладая данными о компании (кроме названия) мы найдем ее сотрудников в социальных сетях. Социальные сети/поиск по месту работу. Далее зависит только от того, какой результат Вам хочется показать руководителю, потому что, скорее всего, далее вы найдете категории «коллеги» у кого либо, фотографии с корпоративных мероприятий и другие артефакты по созданию списка работников вашего предприятия.

Гипотеза 2: не обладая данными о компании (кроме названия) мы найдем электронные адреса сотрудников компании. Однозначно, будут найдены общие адреса hr, закупочных процедур, бухгалтерии, а дальше насколько вы и ваши сотрудники делились этой информацией в сети общего пользования. Кстати, помните, что итог проверки гипотезы №1 это перечень сотрудников? Доменное имя вы уже выяснили, а значит можете воспользоваться сервисами по транслитерации (например, https://transliteration-online.ru/).

Что же, я как руководить на ваш найденный перечень сотрудников, их соцсетей, электронных адресов, возможно, фотографий скажи: «и что?» — , поэтому перейдем к гипотезе №3.

Гипотеза 3: манипуляции с найденным перечнем.

3.1. Сотрудники в социальных сетях будут отвечать Вам (незнакомому аккаунту).

3.2. Фишинговые письма, которые будут отправлены на найденные электронные почты будут открыты и 20% перейдет по ссылкам в них.

Думаю, что с пунктом 3.1 пояснения не нужны. «Классикой» я бы назвал общение с мужского аккаунта с представителями женской половины организации, и, наоборот.

По 3.2. не обладая знаниями и временем на обучение каким-то инструментов для фишинга предлагаю вам воспользоваться данным сервисом: https://bitly.com.

Даже в бесплатной версии вы создадите уникальные ссылки и сможете отслеживать факт прохождения по ним. Итак, для фишинга вам (в идеале необходимо):

1) купить доменное имя, который максимально похож на ваш домен (как раз и риски минимизируете подобных покупок не вами).

2) «привязать» купленный домен к почтовому сервису и создать почтовый адрес, с которого вы будете проводить рассылку.

3) создать таблицу соответствия: почтовый адрес — ссылка, которую вы будете отправлять.

4) придумать текст, который мотивирует пройти по ссылке здесь и сейчас.

Итак, по первым трем базовым вещам вы готовы положить на стол руководству перечни ваших сотрудников, электронных адресов, сотрудников, которые вступили в переписку, сотрудников, которые получили фишинговое письмо и перешли по ссылке.

Какой может быть аргумент? Вы сотрудник организации — это необъективно. Что ж, я, например, сделаю эту услугу (гипотетически) за 60 тысяч рублей, на рынке она будет стоить дороже. Но это уже вопрос доверия и переговорных позиций.

Если и данные гипотезы и их проверки не помогли? Что же, готов Вам рассказать про три базовых гипотезы, но для их проверки уже придется выйти из дома.

И, наконец-то вишенкой на торте в ваш отчет для руководства будет анализ wi-fi сетей.

Гипотеза 4: у многих компаний в инфраструктуре используются беспроводные технологии, что является одним из векторов атак.

Какие могут быть сценарии для проверки гипотез:

  1. Возьмите мобильное устройство и походите вдоль периметра, пытаясь найти wi-fi сети. Идеальный вариант — не найти ничего, самый плохой вариант — вы найдете устойчивую wi-fi сеть, которая называется так, что позволяет легко идентифицировать вашу организацию.

Но и мобильное устройство не показатель, мы можете приобрести направленную антенну и наглядно показать увеличения расстояния для поиска wi‑fi сетей.

  1. Самый распространенный сценарий — перехват handshake, после расшифровки которого, вы можете получить ключ от сети.

  2. Интересная атака — Pixie Dust — назовем имитацией «нажатия» WPS.

  3. Сканирование канала, на предмет поиска мобильных устройств, которые «ищут» свою wi-fi сеть. Пассивный сбор и анализ для дальнейшего использования.

Таким образом, вы уже знаете, что положить на стол руководству и по каждому пункту, поверьте, будет результат.

© Habrahabr.ru