|
Каждая организация сталкивается с нелегким выбором между мощной безопасностью и продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать правилами безопасности, не понимая, насколько они необходимы для защиты целостности секретной компьютерной информации. Если правила безопасности не будут конкретно указывать возможные проблемы при пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и сделать что‑либо, что облегчит их работу. Некоторые сотрудники могут открыто пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к монитору. Жизненно‑важная часть защиты организации – использование сложно угадываемых паролей в сочетании с мощными настройками безопасности в технике. Подробное обсуждене рекомендованной техники безопасности паролей описано в главе 16. Глава 13: Умные мошенники(Chapter 13 Clever Cons) //Глава еще будет редактироваться Перевод: matt weird (mattweird@whoever.com) Теперь вы выяснили, что когда незнакомец звонит с запросом на чувствительную информацию или на что‑то, что может представлять ценность для атакующего, человек, принимающий звонок, должен быть обучен требовать телефонный номер вызывающего и перезванивать чтобы проверить, что человек на самом деле есть тот, за кого себя выдает – сотрудник компании, или сотрудник партнера по бизнесу, или представитель службы технической поддержки от одного из ваших поставщиков, например. Даже когда компания установила процедуру, которой сотрудники тщательно следуют для проверки звонящих, сообразительные атакующие все еще способны использовать набор трюков для обмана своих жертв, заставляя поверить что они те, за кого себя выдают. Даже сознательные в отношении безопасности сотрудники могут стать обманутыми методами, такими как нижеприведенные. Несоответствующий “Caller ID”Любой кто хоть раз получал звонок на сотовой телефон, наблюдал в действии опцию, называемую “caller ID”(дословно “Идентификатор Вызывающего”) – этот знакомый дисплей, отображающий телефонный номер звонящего. В рабочей обстановке эта функция предлагает возможность рабочему одним взглядом оценить, от знакомого ли сотрудника идет вызов или же откуда‑то вне компании. Много лет назад некие амбициозные телефонные фрикеры обнаружили для себя все прелести caller ID еще даже до того как телефонная компания публично стала предлагать подобный сервис абонентам. Они изрядно повесилились, одурачивая людей ответами по телефону и приветствуя вызывающего по имени, в то время как тот даже не успевал сказать ни слова. — 135 —
|