среда, 14 декабря 2016 г.

Выявление инсайдеров и склонность к преступлению

Недавно на хабре опубликовали статью, где автор рассматривал возможность выявлять потенциальных инсайдеров с помощью определения психологического типа личности сотрудников.
Тема действительно интересная, и даже побудила меня разбудить блог из спячки, чтобы поделиться ей.

Автор предлагает использовать методику Маерс-Бриггс (MBTI) примерно в таком сценарии:
  1. HR-служба «прогоняет» сотрудника по определённому набору тестов.
  2. Информация передаётся в службу обеспечения ИБ.
  3. Зная, к какому типу принадлежит сотрудник, специалист в сфере обеспечения ИБ определяет его потенциальную склонность к инсайду (должны учитываться не только ключевые характеристики психотипа, но и другие переменные: выраженность предпочтений, склонность к риску, уровень социального интеллекта)
  4. Сотрудник попадает в группу риска, где за ним более детально следят
Мысль хорошая, вот только она опирается на один момент, оставленный как бы за скобками - все эти методики предполагают честное вовлечение объекта исследования в процесс. Т.е. определить какой-то "рисковый тип" мы сможем, только если сотрудник будет честно отвечать на все пункты опросника. А теперь представьте, что вы внедрились в компанию для кражи её секретов. Будете ли вы отвечать в психологическом тесте HRов честно? Сомневаюсь.
Более того, вам захочется состроить из себя какого-нибудь забитого чувственного интроверта ISFP. А это будет не очень сложно, особенно для опытного психолога или соц.инженера. 

В результате, внимание службы ИБ будет отвлечено на красную тряпку, в то время как незаметный новенький программист "как его там зовут даже не помню" будет спокойно собирать информацию и тырить всё, что ему нужно.

Тем не менее, сама идея достаточно не плохая. Нужно только подумать над методиками определения психотипов. Эти методики должны быть:
а) Объективны
б) Незаметны для испытуемых
в) Желательно адаптированы под конкретные условия их применения (специфику деятельности компании, или специфику коллектива, например, программистов).

среда, 6 апреля 2016 г.

Интересные трюки с нашим вниманием

Вы считаете себя внимательным человеком? Ролики ниже докажут, что это не так:)

Умея управлять вниманием, соц. инженер превращается из обычного фокусника в мага-волшебника!

 1. Кто совершил убийство?



2. Сколько пассов сделала команда в белом?


3. Как карта поменяла рубашку?

понедельник, 4 апреля 2016 г.

Social proof или "стадный инстинкт"

Если вы осознаёте всю опасность социальной инженерии, то наверняка хотели бы использовать и методы защиты от неё. Однако, для защиты от социальной инженерии не существует какой-то антивирусной программы или навороченной системы от McAfee\IBM\Symantec. Единственный действенный способ - это повышение образованности сотрудников и их знаний о безопасности и защите информации. Давайте посмотрим один из вариантов, как сама социальная инженерия может стать хорошим инструментов для защиты от неё самой.

Социальное подтверждение или "стадный инстинкт"

Ключом к выбору правильного подхода, может быть так называемое "социальное подтверждение" (social proof). Это явление, при котором мы ищем у окружающих людей модель правильного поведения в той или иной ситуации. Социальное подтверждение (или "социальное соответствие") хорошо изучено и описано в поведенческой психологии. Часто можно услышать и такое грубое его определение как "стадный инстинкт".
Вот отличный иллюстрирующий пример, как ведёт себя человек в непонятной ситуации (особенно последний эпизод): https://www.youtube.com/watch?v=cPYiS5ebGgk

Прежде всего отмечу, что стремление к социальному соответствию - это нормально. Это заложено в нас самой природой. Такой механизм необходим для выживания - использовать в необычной ситуации коллективный разум, вместо индивидуального, гораздо более выгодно и безопасно. Не обязательно более умно, но в критической ситуации это может спасти жизнь.
Инстинкт "следования за большинством" настолько силён в нас, что многие чувствуют дискомфорт в обыденной жизни, когда говорят или делают что-то отличное от мнения большинства.

Интересно, что это явление, видимо, присуще исключительно человеку. Обширные исследования Daniel Haun показали, что двухгодовалые дети ищут правильное решение поставленных перед ними задачек, наблюдая за другими детьми, а вот детёныши шимпанзе и орангутанов - нет.

Важные параметры 

Из-за того, что социальное соответствие - потенциально очень сильный и сложный инструмент влияния (и один из наиболее не осознаваемых самим человеком), для использования необходимо хорошо его понимать. Надо знать несколько важных факторов, непосредственно влияющих на этот социальный механизм.

  1. Правильный размер группы. Для получения эффекта группового влияния необходима, собственно, сама группа. Но она не должна быть большой. Согласно исследованиям, оптимальный размер группы - 3-5 человек. Но важно отметить, что такой размер группы подходит лишь для персонального влияния, т.е. эксперимента над одним человеком.
  2. Единодушие. Очевидно, что для оказания влияния на человека, все члены группы должны быть единодушны в своих действиях и решения. Эксперименты показали, что внушаемость испытуемых падала с 97% до 36%, если хотя-бы один из группы выступал в оппозицию к мнению большинства.
  3. Социальная принадлежность. Очень важно, чтобы испытуемый испытывал чувство принадлежности к группе влияния, идентифицировал себя с ними. Согласитесь, если вы окажитесь в одной комнате с толпой китайцев, единогласно что-то утверждающих вам, вряд ли вы поддадитесь на их влияние. Если, конечно, вы сам не китаец:)
  4. Неопределённость  - это то, что позволяет включиться инстинктам социального соответствия. Только когда окружение и ситуация вокруг нас не позволяет мгновенно принять решения самостоятельно, или когда возможных решений много - мы начинаем искать правильные варианты в поведении людей вокруг нас. Соответственно, для максимального эффекта внушаемости, необходимо чтобы ситуация для испытуемого была неоднозначна, необычна и имела бы много вариантов решения.

Как это использовать?

Явление социального подтверждения - это мощный инструмент, который легко можно использовать при тестировании своей организации. Будут ли ваши сотрудники нарушать политику безопасности, потому что они думаю, что кто-то тоже так делает? Например, если "новенький айтишник", изо всех сил пытается справиться с проблемой и заслужить похвалу начальства, а для этого ему всего-лишь нужно запустить одну программку на компьютере, "ведь все остальные уже запустили". Конечно, ваши сотрудники знают, что этого делать нельзя. Но как они поведут себя, если будут думать, что другие люди вокруг поступили по другому?

Механизмы социального подтверждения можно использовать и для увеличения эффективности обучения сотрудников. Если вы работаете в коллективе, в котором соблюдение культуры информационной безопасности - это норма (пусть это и не совсем так на самом деле), вы будете гораздо более осторожны в своих решениях. Хорошей практикой для выработки такой культуры, будут регулярные анонсы об использовании тех или иных методов защиты информации сотрудниками, которые позволят создать ощущение, что все вокруг уже заботятся о безопасности.
Подробнее можно почитать в интересном исследовании (англ.): Increasing Security Sensitivity With Social Proof

Так что в следующий раз, оказавшись в неожиданной ситуации и начав озираться по сторонам, высматривая как ведут себя люди вокруг, вспомните и осознайте, что "социальное соответствие" - это мощный механизм нашей психики. И освоив его, вы можете взять себе на службу один из самых действенных инструментов в социальной инженерии.

четверг, 14 января 2016 г.

Что будет, если отвечать на спам

Давно не писал. Но постараюсь исправить это, т.к. накопилось некоторое количество интересного материала.

Для поддержания пятничного настроения, небольшое видео. К сожалению, только на английском, но там всё понятно.