МОДЕЛЬ АНАЛІЗУВАННЯ УРАЗЛИВОСТЕЙ СОЦІОТЕХНІЧНИХ СИСТЕМ ДО ВПЛИВІВ СОЦІАЛЬНОЇ ІНЖЕНЕРІЇ

Socio-technical systems as education with technical and social subsystems are considered. The directions for ensuring their safety have been established and among them the use of technical capabilities has been singled out, taking into account user behavior. Attention is paid to their vulnerabilities to the realisability of sociotechnical threats, in particular, the influence of social engineering. The orientation of such an influence on the manipulation of weaknesses, needs, mania (passions), user hobbies is shown. This leads to the insolvency of socio-technical systems to counteract the influence of social engineering. This can be prevented by analyzing the user's vulnerabilities regarding the forms of manipulation of their consciousness. The approaches to counteracting the use of social engineering are compared. For each of them, the application features, advantages, and disadvantages are analyzed. Given this, it is proposed to use fuzzy directed social graphs to set a model for analyzing the vulnerabilities of socio-technical systems. This was preceded by the definition of the concepts of the social network, actor, relationships. This view allows us to take into account the characteristics of the social engineering influence. In particular, the numbers of input and output arcs distinguish varieties of actors from the social engineer, user, manipulative form, vulnerability. While the importance of each of them is determined using the characteristics of centrality and prestige. At the same time, the levels of the actor, dyad, and the triad of vulnerabilities analysis of socio-technical systems to the effects of social engineering are highlighted. This will make it possible to determine the ways of such impacts taking into account the peculiarities of their realizability through user vulnerabilities and, as a result, to counteract them. In further research, it is planned to develop a method for analyzing the vulnerability of socio-technical systems to the impacts of social engineering based on the proposed model.Розглянуто соціотехнічні системи як утворення з технічної і соціальної підсистем. Встановлено напрями забезпечення їх безпеки та серед них виокремлено використання технічних можливостей з урахуванням поведінки користувачів. Приділено увагу їх вразливостям до реалізування соціотехнічних загроз, зокрема, впливів соціальної інженерії. Показано орієнтованість такого впливу на маніпулювання слабкостями, потребами, маніями (пристрастями), захопленнями користувачів. Це призводить до неспроможності соціотехнічних систем протидіяти впливанню соціальної інженерії. Запобігання цьому можливе завдяки аналізуванню уразливостей користувачів стосовно форм маніпулювання їх свідомістю. Зіставлено підходи до протидії використанню соціальної інженерії. Для кожного з них проаналізовано особливості застосування, переваги та недоліки. З огляду на це запропоновано використання нечітких направлених соціальних графів для задання моделі аналізування уразливостей соціотехнічних систем. Цьому передувало визначення понять соціальної мережі, ектора, відношення. Таке представлення дозволило врахувати особливості впливання соціальної інженерії. Зокрема, числами вхідних і вихідних дуг виокремлено різновиди екторів з боку соціального інженера, користувача, маніпулятивної форми, уразливості. Тоді як важливість кожного з них визначено за допомогою характеристик центральності та престижу. Водночас виокремлено рівні ектора, діади, тріади аналізування уразливостей соціотехнічних систем до впливів соціальної інженерії. Це дозволить визначати способи таких впливів з урахуванням особливостей їх реалізування через уразливості користувачів і, як наслідок, протидіяти їм. У перспективах подальших досліджень планується на основі запропонованої моделі розробити метод аналізування уразливостей соціотехнічних систем до впливів соціальної інженерії

Виявлення уразливостей комп’ютерних систем і мереж методами соціальної інженерії

Information protection in computer systems and networks is focused on preserving its confidentiality properties of, integrity and availability from various inherently adverse impacts. Potentially possible adverse effects are interpreted as a threat. To prevent or complicate the possibility of realizing threats and reducing potential losses, a system of information protection measures is created and maintained in a healthy state. Such a system includes a computing system, physical environment, staff, and information. One of the most vulnerable elements of such system is staff. Within the framework of the socio-engineering approach, staff vulnerability is interpreted as its weaknesses, needs, mania (passions), hobbies. Manipulating them allows one to gain unauthorized access to information without destroying and distorting its main system-forming qualities. This is reflected in such forms as fraud, deception, scam, intrigue, hoax, provocation. The use of each of these manipulation forms is preceded by the determination of its content by careful planning, organization, and control. These actions are the basis of social engineering methods. Their use is aimed at imitating the actions of the information security violator, which are aimed at staff. This allows to assess the level of staff skills in the information security field and, as a result, to identify information vulnerabilities in computer systems and networks. The methods of social engineering used for this are divided into two groups, in particular, remote social engineering and personal contact. Methods of remote social engineering are implemented by means of modern telecommunications. In addition, the second group of methods involves the establishment of personal contact with the object of influence. In the end, it becomes possible not only to identify, neutralize, but also to prevent information vulnerabilities in computer systems and networks with the introduction of social engineering methods. Therefore, firstly, its protection is ensured taking into account the requirements of the information security policy; secondly, the rules of conduct of the staff are established, regulated by the job descriptions; thirdly, training is held to increase the persistence of employees stereotypes of the organization.Защита информации в компъютерных системах и сетях ориентирована на сохранение ее свойств конфиденциальности, целосности и доступности от разнообразных по своей сути неблагоприятных влияний. Потенциально возможные неблагоприятные влияния толкуются как угроза. Для предотвращения или усложнения возможности реализации угроз, уменьшения потенциальных убытков создается и поддерживается в дееспособном состоянии система мероприятий защиты информации. Такая система включает вычеслительную систему, физическую среду, персонал и информаци. Одним из наиболее уязвимых елементов такой системы является персонал. В рамках социоинженерного подхода уязвимости персонала толкуются как его слабости, потребности, мании (пристрастия), увлечения. Манипулируя ними позволяет получить несанкционированые доступ к информации без разрушения и перекручивания главных для него системообразующих качеств. Это отображается в таких формах как мошенничество, обман, афера, интрига, мистификация, провокация. Использованию каждой из этих форм манипулирования предшедствует определение ее сущьности путем тщательного планирования, организации и контроля. Данные действия являются основой методов социальной инженерии. Их использование ориентировано на имитацию действий нарушителя информационной безопасности, которые направленны на перснал. Это позволяет оценить уровень квалификации персонала в области обеспечения информационной безопасности и, как следствие, выявить уязвимости информации в компьютерных системах и сетях. Используемые для этого методы социальной инженерии делятся на две группы, в частности, удаленной социальной инженерии и личного контакта. Методы удаленной социальной инженерии реализуется средствами современных телекоммуникаций. Кроме этого вторая группа методов предполагает установление личного контакта с объектом влияния. В конечном итоге, становится возможным не только выявление, нейтрализация, но и предотвращение уязвимостей информации в компьютерных системах и сетях с использованием методов социальной инженерии. Следовательно, во-первых, обеспечивается ее защита с учетом требований политики информационной безопасности; во-вторых, устанавливаются правила поведения персонала, регламентированные должностными инструкциями; в-третьих, проводятся тренинги направленные на повышение стойкости стереотипов сотрудников организации.Захист інформації в комп’ютерних системах і мережах орієнтований на збереження її властивостей конфіденційності, цілісності та доступності від різноманітних за своєю сутністю несприятливих впливів. Потенційно можливі несприятливі впливи тлумачаться як загроза. Для запобігання або ускладнення можливості реалізацій загроз, зменшення потенційних збитків створюється та підтримується у дієздатному стані система заходів захисту інформації. Така система включає обчислювальну систему, фізичне середовище, персонал та інформацію. Одним із найбільш уразливих елементів такої системи є персонал. У рамках соціоінженерного підходу вразливості персоналу тлумачаться як його слабкості, потреби, манії (пристрасті), захоплення. Маніпулювання ними дозволяє отримати несанкціонований доступ до інформації без руйнування та перекручування головних для нього системоутворюючих якостей. Це відображається в таких формах як шахрайство, обман, афера, інтрига, містифікація, провокація. Використанню кожної з означених форм маніпулювання передує визначення її змісту шляхом ретельного планування, організування та контролювання. Означені дії є основою методів соціальної інженерії. Їх використання орієнтовано на імітування дій порушника інформаційної безпеки, що направлені на персонал. Це дозволяє оцінити рівень кваліфікації персоналу в області забезпечення інформаційної безпеки та, як наслідок, виявити вразливості інформації в комп’ютерних системах і мережах. Методи соціальної інженерії, що використовуються для цього, поділяються на дві групи. Зокрема, віддаленої соціальної інженерії та особистого контакту. Методи віддаленої соціальної інженерії реалізуються засобами сучасних телекомунікацій. Крім цього, друга група методів передбачає встановлення особистого контакту з об’єктом впливу. В кінцевому випадку, стає можливим не тільки вплив, нейтралізування, але й запобігання уразливостям інформації в комп’ютерних системах і компонентах з використанням методів соціальної інженерії. Як наслідок, по-перше, забезпечується її захист з урахуванням вимог політики інформаційної безпеки; по-друге, встановлюються правила поведінки персоналу, що регламентуються посадовими інструкціями; по-третє, проводяться тренінги, що направлені на підвищення стікості стереотипів персоналу в організації

Обнаружение уязвимостей компъютерных систем и сетей методами социальной инженерии

Information protection in computer systems and networks is focused on preserving its confidentiality properties of, integrity and availability from various inherently adverse impacts. Potentially possible adverse effects are interpreted as a threat. To prevent or complicate the possibility of realizing threats and reducing potential losses, a system of information protection measures is created and maintained in a healthy state. Such a system includes a computing system, physical environment, staff, and information. One of the most vulnerable elements of such system is staff. Within the framework of the socio-engineering approach, staff vulnerability is interpreted as its weaknesses, needs, mania (passions), hobbies. Manipulating them allows one to gain unauthorized access to information without destroying and distorting its main system-forming qualities. This is reflected in such forms as fraud, deception, scam, intrigue, hoax, provocation. The use of each of these manipulation forms is preceded by the determination of its content by careful planning, organization, and control. These actions are the basis of social engineering methods. Their use is aimed at imitating the actions of the information security violator, which are aimed at staff. This allows to assess the level of staff skills in the information security field and, as a result, to identify information vulnerabilities in computer systems and networks. The methods of social engineering used for this are divided into two groups, in particular, remote social engineering and personal contact. Methods of remote social engineering are implemented by means of modern telecommunications. In addition, the second group of methods involves the establishment of personal contact with the object of influence. In the end, it becomes possible not only to identify, neutralize, but also to prevent information vulnerabilities in computer systems and networks with the introduction of social engineering methods. Therefore, firstly, its protection is ensured taking into account the requirements of the information security policy; secondly, the rules of conduct of the staff are established, regulated by the job descriptions; thirdly, training is held to increase the persistence of employees stereotypes of the organization.Захист інформації в комп’ютерних системах і мережах орієнтований на збереження її властивостей конфіденційності, цілісності та доступності від різноманітних за своєю сутністю несприятливих впливів. Потенційно можливі несприятливі впливи тлумачаться як загроза. Для запобігання або ускладнення можливості реалізацій загроз, зменшення потенційних збитків створюється та підтримується у дієздатному стані система заходів захисту інформації. Така система включає обчислювальну систему, фізичне середовище, персонал та інформацію. Одним із найбільш уразливих елементів такої системи є персонал. У рамках соціоінженерного підходу вразливості персоналу тлумачаться як його слабкості, потреби, манії (пристрасті), захоплення. Маніпулювання ними дозволяє отримати несанкціонований доступ до інформації без руйнування та перекручування головних для нього системоутворюючих якостей. Це відображається в таких формах як шахрайство, обман, афера, інтрига, містифікація, провокація. Використанню кожної з означених форм маніпулювання передує визначення її змісту шляхом ретельного планування, організування та контролювання. Означені дії є основою методів соціальної інженерії. Їх використання орієнтовано на імітування дій порушника інформаційної безпеки, що направлені на персонал. Це дозволяє оцінити рівень кваліфікації персоналу в області забезпечення інформаційної безпеки та, як наслідок, виявити вразливості інформації в комп’ютерних системах і мережах. Методи соціальної інженерії, що використовуються для цього, поділяються на дві групи. Зокрема, віддаленої соціальної інженерії та особистого контакту. Методи віддаленої соціальної інженерії реалізуються засобами сучасних телекомунікацій. Крім цього, друга група методів передбачає встановлення особистого контакту з об’єктом впливу. В кінцевому випадку, стає можливим не тільки вплив, нейтралізування, але й запобігання уразливостям інформації в комп’ютерних системах і компонентах з використанням методів соціальної інженерії. Як наслідок, по-перше, забезпечується її захист з урахуванням вимог політики інформаційної безпеки; по-друге, встановлюються правила поведінки персоналу, що регламентуються посадовими інструкціями; по-третє, проводяться тренінги, що направлені на підвищення стікості стереотипів персоналу в організації.Защита информации в компъютерных системах и сетях ориентирована на сохранение ее свойств конфиденциальности, целосности и доступности от разнообразных по своей сути неблагоприятных влияний. Потенциально возможные неблагоприятные влияния толкуются как угроза. Для предотвращения или усложнения возможности реализации угроз, уменьшения потенциальных убытков создается и поддерживается в дееспособном состоянии система мероприятий защиты информации. Такая система включает вычеслительную систему, физическую среду, персонал и информаци. Одним из наиболее уязвимых елементов такой системы является персонал. В рамках социоинженерного подхода уязвимости персонала толкуются как его слабости, потребности, мании (пристрастия), увлечения. Манипулируя ними позволяет получить несанкционированые доступ к информации без разрушения и перекручивания главных для него системообразующих качеств. Это отображается в таких формах как мошенничество, обман, афера, интрига, мистификация, провокация. Использованию каждой из этих форм манипулирования предшедствует определение ее сущьности путем тщательного планирования, организации и контроля. Данные действия являются основой методов социальной инженерии. Их использование ориентировано на имитацию действий нарушителя информационной безопасности, которые направленны на перснал. Это позволяет оценить уровень квалификации персонала в области обеспечения информационной безопасности и, как следствие, выявить уязвимости информации в компьютерных системах и сетях. Используемые для этого методы социальной инженерии делятся на две группы, в частности, удаленной социальной инженерии и личного контакта. Методы удаленной социальной инженерии реализуется средствами современных телекоммуникаций. Кроме этого вторая группа методов предполагает установление личного контакта с объектом влияния. В конечном итоге, становится возможным не только выявление, нейтрализация, но и предотвращение уязвимостей информации в компьютерных системах и сетях с использованием методов социальной инженерии. Следовательно, во- первых, обеспечивается ее защита с учетом требований политики информационной безопасности; во-вторых, устанавливаются правила поведения персонала, регламентированные должностными инструкциями; в-третьих, проводятся тренинги направленные на повышение стойкости стереотипов сотрудников организации

Presentation the interaction of the subject and the object of socio-engineering influence with a social graph

The use of social engineering as an interaction between an attacker and an employee is considered. It shows its focus on receiving sensitive information. This is achieved by an attacker by studying, engaging, trusting, using employee trust. To prevent this, psycho-personal qualities, professional competences of the social engineer and employee are taken into account, and their interaction is represented by a social graph. Its tops reflect a social engineer, employee, quality and compensation; connections – the relationship between them. This approach will make it impossible to manipulate the employee’s mind.The use of social engineering as an interaction between an attacker and an employee is considered. It shows its focus on receiving sensitive information. This is achieved by an attacker by studying, engaging, trusting, using employee trust. To prevent this, psycho-personal qualities, professional competences of the social engineer and employee are taken into account, and their interaction is represented by a social graph. Its tops reflect a social engineer, employee, quality and compensation; connections – the relationship between them. This approach will make it impossible to manipulate the employee’s mind

Методи протидії використанню соціальної інженерії

Methods of counteracting the use of social engineering are analyzed. Relevant tools, for example, Social-Engineer Toolkit, Social Engineering Defensive Framework, Social Engineering Optimizer, Kali Linux, have been considered as examples of their practical implementation. Among the methods analyzed, penetration testing is highlighted. This method of counteraction is focused on identifying and preventing the exploitation of human (employee, client) vulnerabilities. Human vulnerability testing for penetration testing is done using the Social-Engineer Toolkit and Kali Linux, Cogni-Sense. Each of these tools is focused on the implementation of threats to social engineering. In this case, the Social-Engineer Toolkit can be used individually or as part of Kali Linux. At the same time the method of raising awareness of employees and customers is considered. To do this, he is trained on the likely scenarios of social engineering attacks. As a result of such training, technologies and policies for counteracting socio-engineering influence are being improved. In practice, the method is implemented as the Social Engineering Defensive Framework. At the same time, there are two aspects of counteracting the use of social engineering: the subject (the attacker), the object (the protector) of socio-engineering influence. This method can counteract the use of social engineering by considering likely actions by the attacker. It is considered that the sequence of its actions is determined solely in view of the attack scenarios of  social engineering. This method allows each action to counteract and, consequently, prevent the realization of threats to the use of social engineering. This method is practically implemented by the tool Social Engineering Optimizer. In addition, the method of identifying and reporting to employees (clients) about the use of social engineering is considered. Its practical application of Cogni-Sense is focused on the interpretation of humans as a sensor that responds to socio-engineering impact. Thus, the analysis of counteracting methods for the use of social engineering will allow, first, to consider their advantages and disadvantages to prevent the realization of threats of socio-engineering influence; second, to develop appropriate models, methods and tools to overcome the shortcomings of known solutions.Проаналізовано методи протидії використанню соціальної інженерії. Як приклади їх практичного реалізування розглянуто відповідні інструментальні засоби, наприклад, Social-Engineer Toolkit, Social Engineering Defensive Framework, Social Engineering Optimizer, Kali Linux. Серед проаналізованих методів виокремлено тестування на проникнення. Цей метод протидії орієнтований на виявлення та запобігання використанню уразливостей людини (працівника, клієнта). Виявлення уразливостей людини при тестуванні на проникнення здійснюється за допомогою Social-Engineer Toolkit та Kali Linux, Cogni-Sense. Кожен зі зазначених засобів орієнтований на реалізацію загроз соціальній інженерії. При цьому Social-Engineer Toolkit може використовуватися як окремо, так і входити до складу Kali Linux. Водночас розглянуто метод підвищення обізнаності працівників, клієнтів. Для цього проводиться його навчання стосовно вірогідних сценарії атак соціальної інженерії. За результатами такого навчання удосконалюються технології і політики протидії соціоінженерному впливові. На практиці метод реалізується як Social Engineering Defensive Framework. Водночас виділено два аспекти протидії використанню соціальної інженерії: з боку суб’єкта (зловмисника), з боку об’єкта (захисника) соціоінженерного впливу. Цей метод дозволяє протидіяти використанню соціальної інженерії завдяки розгляданню вірогідних дій з боку зловмисника. При цьому вважається, що послідовність його дій визначається виключно з огляду на сценарії атак соціальної інженерії. Такий спосіб дозволяє кожній дії протиставити протидію і, я наслідок, унеможливити реалізації загроз використання соціальної інженерії. Означений метод практично реалізується інструментальним засобом Social Engineering Optimizer. Крім цього розглянуто метод виявлення і повідомлення працівниками (клієнтами) про використання соціальної інженерії. Його практичне застосування Cogni-Sense орієнтоване на інтерпретуванні людини як сенсора, що реагує на соціоінженерний вплив. Таким чином, аналіз методів протидії використанню соціальної інженерії дозволить, по-перше, врахувати їх переваги та недоліки для унеможливлення реалізації загроз соціоінженерного впливу; по-друге, розробити відповідні моделі, методи та засоби для подолання недоліків відомих рішень

Метод аналізування уразливостей соціотехнічних систем до впливів соціальної інженерії

The use of social engineering is reduced to the interaction of the attacker with an employee of the organization. Such interaction is focused on receiving confidential information and is implemented in four phases: studying, establishing interaction, entering into trust, using trust. An example of the study of these phases is the social engineering optimizer. They are used by separating the attacker (social engineer) and protector (an employee of the organization). Each is initialized by two random decisions. Better among them is interpreted as an attacker. To achieve this, he adheres to social engineering methods. However, the consideration remains that during the interaction, the social engineer manipulates the employee's consciousness and, as a consequence, gains sensitive information. According to the socio-engineering approach, the vulnerabilities of the employee are interpreted as his weaknesses, needs, mania (passions), admiration. This leads to a new model of his behavior, creating favorable conditions for the implementation of threats to the use of social engineering. The manifestation of such forms is a fraud, deception, scam, intrigue, hoax, provocation. The social engineer intentionally influences the employee's mind against will, but with his or her consent. Therefore, it is important to take into account their psychological and personal qualities and professional competencies when interacting. In order to take into account the psychological and personal qualities, professional competencies of the social engineer and the employee of the organization, it is recommended that their interaction be represented by a social graph.Використання соціальної інженерії зводиться до взаємодії зловмисника зі працівником організації. Така взаємодія орієнтована на отримання конфіденційної інформації і реалізується протягом чотирьох фаз: вивчення, встановлення взаємодії, входження в довіру, використання довіри. Прикладом дослідження даних фаз є оптимізатор соціальної інженерії. Він використовуються шляхом виокремлення зловмисника (соціального інженера) та захисника (працівника організації). Кожен з них ініціалізування двома випадковими рішеннями. Краще серед них тлумачиться як зловмисник. Для досягнення поставленої мети він дотримується методів соціальної інженерії. Однак, поза увагою залишається врахування того, що протягом взаємодії соціальний інженер маніпулює свідомістю працівника та, як наслідок, отримує доступ до конфіденційної інформації. За соціоінженерним підходом уразливості працівника тлумачяться як його слабкості, потреби, манії (пристрасті), захоплення. Це призводить до нової моделі його поведінки, створення сприятливих умов реалізації загроз використання соціальної інженерії. Проявом таких форм є шахрайство, обман, афера, інтрига, містифікація, провокація. Соціальний інженер цілеспрямовано впливає на свідомість працівника проти волі, але за його згодою. Тому важливо враховувати їх психолого-особистісні якості та професійні компетенції при взаємодії. Для врахування психолого-особистісних якостей, професійних компетенцій соціального інженера та працівника організації рекомендовано їх взаємодію представляти соціальним графом. Соціальним графом представляється взаємодія суб’єкта (соціальний інженер) з об’єктом (працівник організації) соціоінженераного впливу та зв’язки між ними