Социальные сети как угроза корпоративной информационной безопасности

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

Сегодня всемирная популярность социальных сетей продолжает набирать обороты, все большее пользователей не может отказать себе в удовольствии пробежаться по акаунтам знакомых и не знакомых, но интересных ему людей.

Согласно исследованию, проведанному недавно компанией Trend Micro в США, Великобритании, Японии и Германии, число посещений социальных сетей с рабочих мест возросло. В этом году уже 19% респондентов (против 15% в конце 2007 года) признают, что посвящают им часть своего рабочего дня. Такова общемировая тенденция, она, безусловно, затрагивает и Россию. Согласно отчету TNS Web Index в июне этого года ресурс «Вконтакте» в первый же месяц после установки счетчиков вошел в пятерку самых посещаемых ресурсов рунета. Также в пятерку лидеров входят и «Одноклассники». Что примечательно, пики посещаемости этих ресурсов приходятся на рабочие часы в будни.

Подобная тенденция не может не вызывать опасений у корпоративных служб информационной безопасности. Ведь было бы удивительно, если бы киберпреступники не попытались бы обратить новые сервисы к собственной выгоде, так же, как когда-то электронную почту и спам в программах обмена мгновенными сообщениями.

Прежде одним из излюбленных инструментов киберпреступников для атаки на компьютеры были массовые рассылки писем с вложениями, которые направляли пользователей на зараженные порталы или же непосредственно запускали загрузка потенциально опасного программного обеспечения. Сегодня же у злоумышленников есть возможность совершенно открыто размещать свои ящики Пандоры на популярных сайтах. Они больше не тратят усилия на то, чтобы обойти спам-фильтры и заманить пользователей во всем хорошо знакомые ловушки (например, реклама контента для взрослых, схемы быстрого обогащения или безотказные рецептов покорения противоположного пола). Теперь хакеры интегрируют свои модули в сайты с хорошей репутацией, заслуживающие доверия.

Вредоносные программы распространяются через списки друзей на социальных сайтах. На тех же сайтах размещаются баннеры, кликнув которые пользователь запускает установку вредоносного кода или отправляется по цепи переадресаций по сайтам, которые проверяют защищенность рабочей станции, ищут бреши в безопасности и загружают опасное ПО. Сама переадресация пользователю не видна, и в результате он действительно оказывается на рекламируемом сайте, но атака на его компьютер уже произведена.

Также, киберпреступники эксплуатируют доверие пользователей к администрациям социальных сетей, и зачастую пытаются обмануть доверчивых пользователей, маскируясь под известного жертве и пользующегося доверием отправителя. Только в этом году стало известно о нескольких случаях массовых рассылок писем якобы от лица администрации порталов. Это могут быть, например, мнимые сервисные сообщения, подделки под извещения об оставленном на аккаунте сообщении или о присвоенной фотографии оценке.

«Здравствуйте, имярек! Вам пришло новое сообщение от пользователя такого-то. Чтобы прочитать сообщение, перейдите по ссылке: http://www.odnoklassniks.info/**********». Одноклассникам также предлагалось проголосовать за «Мисс Рунет», при нажатии кнопки «Отдать свой голос» на компьютер загружались несколько троянов.

Внимательный пользователь обратит внимание на то, что имя домена несколько искажено - odnoklassniks.info. Но не для каждого очевидно, что это подставной сайт и что не следует переходить по предложенной ссылке. В каждом случае десятки тысяч пользователей кликали ссылки, даже не вдаваясь в нюансы.

Как видим из приведенных примеров, основным инструментом в руках киберпреступников, использующих социальные сети, становятся приемы социального инжиниринга, эксплуатирующие неопытность, невнимательность, неосторожность и элементарное любопытство пользователя. Поэтому учет (найти какой-нибудь синоним посимпатичнее вместо учета) человеческого фактора становится ключевым в обеспечении информационной безопасности. Как обоснованно считают эксперты, целью подобных атак является не просто кража персональной информации пользователей, а запуск еще больших атак через страничку жертвы на социальном сайте, либо подключение компьютера жертвы к бот-нету для массовых рассылок спама, участия в DDoS атаках. Во всех перечисленных случаях за атаками стоят коммерческие интересы и немалые деньги. Социальные сети тем интереснее и перспективнее для киберпреступников, чем больше потенциальных жертв они привлекают и чем больше разнообразных Web 2.0 сервисов предоставляют.

Еще недавно самым верным с точки зрения обеспечения адекватного уровня безопасности решением было бы «все закрыть и не пускать» и таким образом минимизировать угрозы, связанные с неосторожным поведением пользователей в социальных сетях. Однако будет справедливым заметить, что с точки зрения обеспечения множества бизнес-процессов современных компаний – это просто невозможно. Социальные сети и прочие Web 2.0 сервисы уже давно и прочно стали необходимым инструментом в руках подразделений маркетинга, связей с общественностью, продаж, подбора персонала, к работникам, занимающимся промышленной разведкой и обеспечением безопасности. Время «черных списков» прошло.

К счастью, сегодня и поставщикам решений по обеспечению информационной безопасности, интеграторам решений и разработчикам корпоративных политик безопасности, есть, что противопоставить новому спектру угроз.

В части технических средств противодействия зловредному ПО - комплексные средства мониторинга, анализа и фильтрации входящего и исходящего трафика на уровне шлюзов, а также средства анализа поведения приложений и сетевых коммуникаций.

В части управления доступом к потенциально опасной среде – диверсифицированные внутрикорпоративные политики «белых списков» и фильтрации контента для различных групп пользователей. Суть не в распределении привилегий пользования средствами обмена мгновенными сообщениями или прав выходить в ЖЖ, а в оптимизации рисков и мер их оптимизации.

Так, для каждой группы пользователей создается специфический «белый список», например, по результатам оценки потенциальной опасности ресурсов с точки зрения существующей веб-репутации, или наличия-отсутствия сертификата SSL, или по определенному профилю контентной фильтрации. Речь не идет о банальном перечислении ресурсов, разрешенных к посещению. Соответственно настраиваются и средства безопасности для группы пользователей, для тех, кто должен работать в потенциально более опасной среде, политики буду жестче, проверки будут проводиться чаще и более тонко настраиваемыми средствами.

Кроме того, совершенно необходимо проводить адекватную разъяснительную и просветительскую работу среди персонала. Как ни банально, но людей необходимо обучать поведению в современной ИТ-среде. Ведь большинство приходящих в компании «продвинутых пользователей ПК» не имеют ясного представления о существующих угрозах и о средствах информационной безопасности.

Наиболее распространенными способами и основными рычагами воздействия на сотрудников являются меры дисциплинарной, гражданской и даже уголовной ответственности в совокупности с программами повышения осведомленности пользователей. Но не всегда менеджмент воспринимает систему организационных мер как действенный инструмент в защите от угроз информационной безопасности. А ведь беспечное поведение людей в социальных сетях в большинстве случаев связано как раз с незнанием того, что их действия могут принести вред бизнесу компании, в которой они работают. Реализация этих мер – это довольно большой объем работы: создание и доведение до сведения сотрудников локальных нормативных актов, регламентов или инструкции, внедрение режима коммерческой тайны, подразумевающего большого комплекса мероприятий, в том числе и организационно-методических. Поэтому компании, работающие в сфере информационной безопасности, иногда имеют в портфеле своих услуг и этот вид деятельности. Например, для Федерального дорожного агентства Министерства транспорта РФ специалисты КРОК создали систему обеспечения безопасности корпоративной информационной системы управления. Были разработаны концепции и политики обеспечения информационной безопасности, осуществлена подготовка организационно-распределительных документов и создан ведомственный удостоверяющий центр. Еще раз хочу указать, что организационно-технический меры – это часть комплекса работ, не заменяющая технических средств, а дополняющая их, и только их сочетание даёт необходимый эффект в области защиты информации.

Экспертное сообщество справедливо, на мой взгляд, оценивает перспективы дальнейшего развития социальных сетей и эволюции угроз, связанных с ними. По мере развития Web2.0 сервисов киберпреступники также будут совершенствовать свои инструменты и, в каких-то случаях будут опережать службы безопасности, чья роль в части совершенствования систем, как правило, останется реактивной.. Сегодня системы постепенно выходят за пределы корпоративной сети, то есть они нацелены уже не столько на обнаружение и ликвидацию опасного ПО внутри, а на идентификацию и обезвреживание или изолирование угроз на внешних подступах – на уровне шлюзов и даже в Глобальной Сети. И как мне кажется, такое развитие продолжится в ближайшие годы. Но помимо совершенствования технических средств, безусловно, возрастет роль работы с персоналом. Ведь, согласно тому же исследованию компании Trend Micro, 45% опрошенных признали, что посылали конфиденциальные данные с помощью веб-интерфейса электронной почты, а никакой программно-аппаратный комплекс не научит пользователя не отправлять конфиденциальные денные по незащищенным каналам и тем более не размещать их в своем онлайн дневнике.