Социальная инженерия серьезная угроза безопасности при работе служб поддержки

Социальная инженерия серьезная угроза безопасности в работе служб поддержки

Компания RSA, подразделение безопасности корпорации EMC, обнародовала результаты нового опроса SANS Institute, посвященного угрозам нарушения конфиденциальности данных, к которым может привести работа служб  поддержки.

Опрос SANS «Безопасность и конфиденциальность при работе служб поддержки» за 2013 год, в котором приняло участие более 900 ИТ-специалистов со всего мира, выявляет наиболее распространенные уязвимости в работе служб поддержки и предлагает рекомендации, которые помогут организациям устранить эти критически важные проблемы. Результаты опроса касаются регламентации рабочих процессов служб поддержки в организациях, а также процедур и действий персонала служб поддержки, которые потенциально могут повлиять на безопасность предприятия.

Чаще всего обращения в службы поддержки касаются распространенных ИТ-проблем (например, сброса пароля и проблем с приложениями и подключением). Часто эффективность работы специалистов службы поддержки определяется тем, насколько быстро они могут ответить пользователям и устранить проблему. К сожалению, во многих случаях соблюдение безопасности не играет существенной роли в этом процессе, и поэтому  службы поддержки, сами того не желая, становятся точкой входа  для хакеров и злоумышленников-инсайдеров при попытке  получить доступ к конфиденциальным ресурсам предприятия.

Большинство респондентов (69%) назвали социальную инженерию самой серьезной угрозой безопасности при работе служб поддержки.  Однако в большинстве организаций для идентификации пользователей, обращающихся в службу поддержки, по-прежнему используются базовые личные данные (имя/подразделение и идентификационный номер сотрудника) — информация, которую злоумышленник может найти без особенных сложностей.  Кроме того, многие сотрудники служб поддержки обходят проверки безопасности в стремлении  оказать помощь пользователям быстро и эффективно.

Помимо человеческого фактора, важную роль в недостаточном обеспечении общей безопасности при работе служб поддержки играют недостаток  обучения, отсутствие инструментов и технологий. Более 51% респондентов заявили, что используют умеренный подход к обеспечению безопасности при организации работы служб поддержки в рамках общего корпоративного контроля безопасности, но не уделяют должного внимания обучению персонала или использованию всех необходимых технологий при выполнении повседневной работы.  В большинстве случаев бюджеты определяются количеством обслуживаемых пользователей, а не стоимостью в расчете на вызов или даже стоимостью потенциальных угроз безопасности, и поэтому расчет окупаемости для новых рабочих процессов, дополнительного обучения и инструментов для повседневных операций по оказанию поддержки может оказаться исключительно сложной задачей. 

Другие интересные  результаты исследования:

  • 44% респондентов считают, что верификация пользователей при обращении в службу поддержки представляет существенно большую угрозу, чем верификация пользователей, находящихся на самообслуживании (11% респондентов).
  • Только 10% респондентов оценили процедуры безопасности в своей организации как надежные.
  • Почти 43% респондентов не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении бюджета, выделяемого на службы поддержки, который чаще определяется в зависимости от количества пользователей.

Обращение в службу поддержки для сотрудников остается предпочтительным способом разрешения базовых проблем, связанных с ИТГлавным в работе службы поддержки является наилучшее обслуживание пользователей, и поэтому специалисты службы поддержки могут обладать расширенными правами, что делает их привлекательной мишенью для социальных инженеров и технических хакеров, пытающихся получить доступ к корпоративным сетям.  Чтобы устранить уязвимости в организации работы служб поддержки, организациям необходимо пересмотреть свой подход к обеспечению удобства пользователей и большее внимание уделять защите от угроз. Рекомендуемые передовые практики:

  • Использование вариантов автоматизации и самообслуживания для устранения распространенных проблем пользователей (включая сброс паролей), чтобы уменьшить число ошибок и уязвимостей, приводящих к успешным взломам систем безопасности и хищению данных.
  • Качественное и непрерывное обучение специалистов служб поддержки, чтобы научить их распознавать потенциальные атаки с использованием социальной инженерии и реагировать на них.
  • Современные инструменты, которые используют динамические источники данных и новые способы аутентификации для повышения достоверности идентификации пользователей и их местоположения.

Мнение руководителя RSA

Сэм Карри (Sam Curry), главный технолог компании RSA, подразделения безопасности корпорации EMC

«Во многих случаях служба поддержки представляет собой первую линию обороны против взломов, и обеспечение ее безопасности должно иметь такой же приоритет, как и безопасность любой другой критически важной функции.  Новая служба поддержки должна найти оптимальный баланс между усиленной безопасностью и удобством для конечного пользователя. Для этого обеспечение безопасности можно интегрировать непосредственно в рабочий процесс, добавив технологии автоматизации и аутентификации корпоративного уровня, а также уделив достаточное внимание постоянному обучению».

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru