ПРОФІЛЮВАННЯ КОРИСТУВАЧІВ ДЛЯ ПІДВИЩЕННЯ СТІЙКОСТІ ПЕРСОНАЛУ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФРАСТРУКТУРИ ДО КІБЕРАТАК, ЯКІ ВИКОРИСТОВУЮТЬ ЛЮДСЬКИЙ ФАКТОР
DOI:
https://doi.org/10.32782/IT/2024-3-17Ключові слова:
стійкість, критична інфраструктура, кібератаки, соціальна інженерія, кібербезпекаАнотація
Робота присвячена питанням підвищення стійкості співробітників об’єктів критичної інфраструктури до кібернетичних атак, успішність яких зумовлюється використанням слабкостей людського фактору. Кожна атака соціальної інженерії, яка є запорукою успіху подальшої кібернетичної атаки, експлуатує певні риси, притаманні індивіду. Також використовуються недоліки політики безпеки, притаманні підприємству, які роблять користувачів більш вразливими. Метою даної роботи є збагачення засобів підвищення стійкості персоналу об’єктів критичної інфраструктури до атак соціальної інженерії, в частині засобів діагностичного профілювання, сполучених з тренувальними функціями, які базуються на опитуванні користувачів. Новизна роботи. Запропоновано підхід до попередження атак соціальної інженерії, заснований на виявленні особливостей, які роблять користувача вразливим до таких атак. Виділено сукупність факторів, присутність яких може бути діагностовано на основі опитування, запропоновано методику опитування та відповідний програмний засіб. На основі факторів побудовано булеві функції, які можуть бути використані при визначенні приналежності користувача до відповідного профілю. Методологія. Використано експертний метод для формування опитувальника. Вразливості (фактори), які експлуатуються кібератаками на критичну інфраструктуру, визначено в результаті узагальнення існуючих напрацювань в області дослідження. Розроблене програмне забезпечення використовує опитувальник в гнучкому форматі, на основі його створюючи інтерфейс спілкування з користувачем, а на основі відповідей користувача – формуючи результат його профілювання та розбір кейсів, присутніх в опитуванні. Основні результати. Запропоноване програмне забезпечення та відповідна методика підтримують превентивні засоби та заходи безпеки підприємства, може бути використане як у якості інструменту діагностики вразливостей, так і тренувального засобу. Булеві функції, які визначають приналежність до певного профіля – можуть бути використані при побудові формалізованої моделі внутрішнього порушника. Висновки. Тестування співробітників об’єктів критичної інфраструктури за розробленою методикою дозволило виявити серед опитуваних груп користувачів, які є вразливими до атак соціальної інженерії певних видів, незважаючи на високий рівень обізнаності в інформаційних технологіях. Запропоновані в роботі засоби є допоміжними в задачах підвищення стійкості персоналу об’єктів критичної інфраструктури до кібератак з використанням людського фактора.
Посилання
Cofense. Phishing security awareness training. 2024. URL: https://cofense.com/
Knowbe4. New-School Security Awareness Training. 2024. URL: https://www.knowbe4.com/
Barracuda Networks. Barracuda Phishline. 2019. URL: https://assets.barracuda.com/assets/docs/dms/Barracuda_PhishLine_DS_US.pdf
DataArt. Social Engineering Test. 2024. URL:https://www.dataart.com/services/security/socialengineering-test
T. Mataracioglu, S. Ozkan. 2011. User awareness measurement for phishing attacks. Information Management & Computer Security, 19(4), 315-327. URL: arXiv:1108.2149
N. A. Gamagedara Arachchilagea, S. Love. Security awareness of computer users: A phishing threat avoidance perspective. 2014. DOI:10.1016/j.chb.2014.05.046
С. Hadnagy. The Science of Human Hacking. John Wiley & Sons, Inc., Indianapolis, USA. 2018.
F. Mouton, L. Leenen, & H. S. Venter. Social engineering attack framework. Proceedings of the South African Institute of Computer Scientists and Information Technologists Conference. ACM, New York, NY, USA. 2016. DOI:10.1109/ISSA.2014.6950510
P. Bhakta, M. A. Harris. Semantic analysis of dialogs to detect social engineering attacks. 2015. DOI:10.1109/ICOSC.2015.7050843
Shevchenko G., Stopochkina I., Babenko I., Peculiarities of phishing threats and preventive measures in the conditions of war in Ukraine // Theoretical and Applied Cybersecurity, Vol. 4 No. 1. 2022. https://doi.org/10.20535/tacs.2664-29132022.1.
Г. I. Кузьмiн, I. В. Стьопочкiна, К. I. Iльїн. Розробка фреймворка для тестування спiвробiтникiв критичної iнфраструктури на вразливостi до атаксоцiальної iнженерiї. Матеріали Всеукраїнської науково-практичної конференції студентів, аспірантів та молодих вчених вчених «Теоретичнi i прикладнi проблеми фiзики, математики та інформатики», 13-17 травня 2024, м. Київ. С. 147–150. URL: conf.ipt.kpi.ua.
R. M. Lee, M. J. Assante, T. Conway. Analysis of the Cyber Attack on the Ukrainian Power Grid. SANS Industrial Control Systems. 2016. URL: https://nsarchive.gwu.edu/sites/default/files/documents/3891751/SANS-and-Electricity-Information-Sharing-and.pdf
K. Zetter. Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Crown Publishing Group. 2014. 433 p.
S. Gallagher. Ransomware locks up San Francisco public transportation ticket machines. Ars Technica. 2016. URL: https://arstechnica.com/information-technology/2016/11/san-francisco-muni-hit-by-black-fridayransomware-attack/
A. Liptak. Hackers are holding San Francisco’s light-rail system for ransom. The Verge. 2016. URL: https://www.theverge.com/2016/11/27/13758412/hackers-san-francisco-light-rail-system-ransomwarecybersecurity-muni
D.E. Sanger, C. Krauss, N. Perlroth. Cyberattack Forces a Shutdown of a Top U.S. Pipeline. The New York Times. 2021. https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html
J. Tidy. Colonial hack: How did cyber-attackers shut off pipeline? BBC News. 2021. https://www.bbc.com/news/technology-57063636
D. Merecz, M. Drabek, A. Mościcka-Teske. Aggression at the workplace – psychological consequences of abusive ecounter with coworkers and clients. International journal of occupational medicine and environmental health. 2009. № 22. P.243–260. DOI:10.2478/v10001-009-0027-2.
C. A. Andersen, B. J. Bushman. Human aggression. 2002. DOI:10.1146/annurev.psych.53.100901.135231
R. Kersten, T. Greitemeyer. Human aggression in everyday life: An empirical test of the general aggression model. 2024. https://doi.org/10.1111/bjso.12718
T.-T-D. Vo, C. Chen, K. Tuliao. Work Motivation: The Roles of Individual Needs and Social Conditions. Behavioral Sciences. 2022. 12(2):49. DOI: 10.3390/bs12020049
E. E. Bustamante, C. L. Davis, D. X. Marquez. A Test of Learned Industriousness in the Physical Activity Domain. 2014. DOI:10.5539/ijps.v6n4p12
Test Partnership. Simone Sample. 2023. TPAQ-45 Complete Profile. Full Report. URL: https://www.testpartnership.com/samplereports/sample-report-personality.pdf
PE Konsult Ltd. Personal Work-Related Responsibility Test (WRT). 2016. URL: https://www.pekonsult.ee/testid/Vastutus.pdf
H. Parvez. ‘Am I selfish?’ Quiz (Selfishness score). 2024. URL: https://www.psychmechanics.com/am-iselfish-quiz/
I. Ghafir, J. Saleem, M. Hammoudeh, H. Faour et al. Security threats to critical infrastructure: the human factor. 2018. DOI:10.1007/s11227-018-2337-2
K. Krombholtz. Social Engineering Attacks on the Knowledge Worker. Proceedings of the 6th International Conference on Security of Information and Networks. 2013. URL: https://publications.sba-research.org/publications/sig-alternate.pdf
B. Kronberg, J. Swanlund, H. Jeppsson. Social Engineering. A study in awareness and measures. 2015. URL: https://lup.lub.lu.se/luur/download?func=downloadFile&recordOId=5474076&fileOId=5474079
