Актуальность данной темы отличает статистика последних лет. Статистика показывает увеличение количества атак на информационные системы, увеличение сроков расследования преступлений и размера ущерба, причиняемого компаниям. В 2019 году исследование, проведенное в крупных городах Казахстана, таких как Шымкент, Астана, Алматы, Атырау, показало, что средняя сумма убытков, понесенных различными компаниями за киберпреступность, увеличилась более чем на 9% и достигла 12,7 млн долларов. В исследовании 2020 года этот показатель составил 11,6 млн долларов.
До сих пор большая часть исследований в области защиты информации была посвящена совершенствованию программных и технических компонентов, обеспечивающих безопасность конфиденциальных данных. В этом разделе хорошо изучены вопросы информационной безопасности, разработано множество инструментов, позволяющих снизить вероятность успеха программно-технической атаки злоумышленника. Кроме того, важную роль в системе защиты информации играют действия пользователей информационных систем. Пользователь информационной системы, к которому злоумышленник пытается получить доступ, является одним из наиболее уязвимых ее мест. Одним из наиболее эффективных видов атак на информационную безопасность является корпоративный шпионаж, от которого страдает более четверти казахстанских компаний: около 80% известных случаев промышленного шпионажа были успешными для злоумышленника, а компании-причастники понесли убытки.
Сотрудник компании, имеющий доступ к конфиденциальной информации, может намеренно или ненамеренно поставить под угрозу ее безопасность. Авторизованный пользователь информационной системы может быть знаком с рядом сотрудников, которые обслуживают информационную систему и управляют ею; имеет ряд разрешений на доступ к документам, хранящимся в информационной системе, может узнавать конфиденциальную информацию коллег, может физически получать доступ к некоторым компьютерам. В связи с этим взаимодействие пользователей информационной системы со злоумышленниками может нанести компании большой ущерб.
Актуальность исследований в этой области подчеркивается еще и спецификой атак социальной инженерии, которые в равной степени могут воздействовать на людей с разным уровнем компетентности и подготовки. Этот тезис подтверждается некоторыми эпизодами атак социальной инженерии, которые стали популярны в последнее время [1]. В Казахстане средний убыток от серьезного происшествия для компаний, относящихся к сегменту малого и среднего бизнеса, составляет 4,7 млн тенге, для крупных предприятий эта сумма может достигать 120 млн тенге.
Таким образом, вопросы информационной безопасности и защиты пользователей от атак социальной инженерии в настоящее время актуальны. Исследования в этой области помогают создавать многоуровневые системы безопасности, устойчивые к атакам злоумышленников. Целью данной статьи является описание принципа построения пользовательской оценки защищенности атакующих действий злоумышленника, основанной на анализе вероятности сложного события, а в силу ограниченности экспериментальной базы – результатов соответствующего пилотного изучение – рассматриваются действия достаточно простого характера, направленные на «простые» уязвимости пользователя, воздействие на них каким-либо образом со стороны пользователя, непосредственно приводит к действию. Кроме того, в качестве наглядного примера применения предлагаемого принципа приведен программный модуль, поддерживающий анализ защищенности групп пользователей информационных систем.
Перспективно формирование профиля уязвимости пользователей для решения задачи анализа защищенности пользователей информационных систем. Существует ряд баз данных, содержащих уязвимости программных и технических компонентов информационных систем, но аналогичной базы пользовательских уязвимостей нет. Последние уязвимости явно программные, а не технические и совсем другого характера. В связи с тем, что уязвимости пользователей не наблюдаемы напрямую, представляется целесообразным разработать методы получения косвенных оценок степени уязвимостей. В частности, предполагалось, что одну из таких косвенных оценок можно получить на основании результатов психологических тестов, которые предназначены для оценки степени выраженности психологических особенностей личности. Для подтверждения гипотезы было проведено вышеуказанное исследование экспериментального характера.
В ходе исследования были выявлены пять уязвимостей пользователя, выраженность которых коррелировала с выраженностью психологических особенностей личности:
- Техническая халатность. Пользователь делает много ошибок при создании пароля, то есть создает пароли, связанные со своей датой рождения, именем или номером телефона. Цифры, буквы и символы следует использовать для уверенности;
- Техническая халатность и установка для личной выгоды. Пользователь мнителен, имеет высокую самооценку за счет репутации сверстников, дипломатичен, не склонен волноваться по поводу какой-либо проблемы. Кроме того, он ставит перед собой нереальные цели в умении многое сделать своими руками и, наоборот, имеет очень простую оценку уверенности в себе, имеет низкую склонность к риску, не злопамятен и недооценивает свои умственные возможности.
- Техническая неопытность. У пользователя высокая репрессивность и рационализация, то есть он безрассуден, самоуверен, переоценивает собственную значимость и склонен игнорировать проблемы. Он сдержан, практичен и рационален в проявлении своих чувств, отличается радикализмом, то есть любит эксплуатацию, открыт для новостей, не приспособлен к нечестности и имеет высокий психологический возраст.
- Техническая безграмотность. Пользователь склонен переносить свой гнев на других людей, у него низкий уровень интеллекта, он эмоционально нестабилен, всегда находится в расслабленном состоянии, старается контролировать любую важную ситуацию, считает, что его достижения зависят от внешних обстоятельств-везения [2]. Такой человек не считает себя ответственным за свои неудачи, он перекладывает эту ответственность на других людей. Кроме того, считается, что такой человек может легко завоевать уважение других людей.
В зависимости от того, на какую из слабых сторон пользователя преступник нацелил свою атаку, можно предсказать различные варианты атаки и контрмеры пользователя. В то же время важно знать, что у пользователей могут быть разные ответы. То есть необходимо перейти к оценке вероятности осуществления заказчиком тех или иных ответных действий, а также к вероятностным характеристикам успеха и неудачи атаки.
Рассмотрено несколько возможных, но не исчерпывающих, вариантов последствий атаки и способов реагирования на них. Понятно, что определенное влияние злоумышленника на заказчика часто приводит к срабатыванию сразу нескольких уязвимостей.
Предложен подход к оценке вероятности ответа пользователей информационных систем. Для оценки выраженности психологических особенностей человека был использован ряд тестовых методик. По результатам уравнений регрессии, созданных по результатам исследования, была рассчитана серьезность уязвимостей пользователя.
На основе полученных значений введена вероятностная мера для оценки успешности воздействия атаки злоумышленника в зависимости от степени уязвимости пользователя. Также в ходе работы был найден набор оценок вероятности успеха социально-инженерных атак злоумышленника. Если установлено, что атака может развиваться по-разному при моделировании эффекта атаки социальной инженерии или при разработке атаки с близкими оценками вероятности, могут использоваться разные типы атак.
Может служить наглядным и понятным примером одной из возможных формул расчета интегральной оценки вероятности успеха социально-инженерной атаки злоумышленника:
р = 1 - (1 - р1)(1 - р2)(1 - р3),
где p1, p2, p3 – оценки вероятности успеха различных социально-инженерных атак злоумышленника, а p – кумулятивная вероятность успеха злоумышленника.
Одним из важных аспектов задачи анализа защищенности пользователей информационных систем от социально-инженерных атак является разделение групп пользователей по какому-либо признаку. Например, компания имеет распределенную структуру и в каждом офисе есть свой список конфиденциальных документов. В этом случае нецелесообразно проводить индивидуальный анализ защищенности всех пользователей информационной системы. Вместо этого необходимо проанализировать защищенность группы пользователей, работающих в личном кабинете [3]. Кроме того, у определенной группы пользователей может быть ряд специфических или уникальных уязвимостей. Поэтому в таком случае представляется эффективным провести анализ отдельной группы пользователей, чтобы подготовить перечень мер по повышению ее уровня защиты от атак социальной инженерии. Для выделения и анализа степени защищенности групп пользователей был разработан программный модуль для использования в более широком спектре программ, предназначенных для анализа защищенности пользователей информационных систем от атак социальной инженерии. Этот модуль также позволяет визуализировать контролируемые области информационной системы, чтобы наглядно представить структуру компьютерной сети компании и дифференцировать пользователей по их правам доступа к оборудованию.
В статье описан принцип оценки защищенности пользователя информационной системы от социально-инженерных атак преступников. Поведение злоумышленника считалось простым, направленным на понимание пользователем информации, что приводит к некоторым действиям со стороны пользователя.
Дополнительные исследования в этой области лежат на стыке информатики, психологии и математики. В частности, требуют разработки математические модели анализа защищенности пользователей информационных систем. Кроме того, необходимо учитывать профиль компетенции злоумышленника, чтобы разработать возможную оценку защищенности пользователей информационных систем. Наконец, необходимо проведение дополнительных исследований с целью выявления новых, более сложных уязвимостей пользователей информационных систем с точки зрения профилирования уязвимостей пользователей.