Искусство обмана

Корпоративная политика безопасности должна требовать, чтобы все компьютерные аккаунты или повышения прав доступа предоставлялись только после положительной верификации персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или онлайновом справочнике. Если компания использует защищенную электронную почту, где сотрудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернативный метод верификации тоже может быть допустимым.

Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным системам компании, может стать жертвой обмана социального инженера. Каждый должен быть включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, телефонные операторы и охранники должны быть знакомы с теми типами атак социального инжениринга, которые более вероятно будут направлены против них, так что они будут лучше подготовлены к защите от этих атак.

Глава 15: Знание об информационной безопасности и тренировки

(Chapter 15 Information Security Awareness and Training)

//Глава еще будет редактироваться

Перевод: sly (http://slyworks.net.ru ) ICQ:239940067

Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза.

Что остановит его?

Ваш файервол? Нет.

Мощная система идентификации? Нет.

Система обнаружения вторжений? Нет.

Шифрование данных? Нет.

Ограничение доступа к номерам дозвона модемов? Нет.

Кодовые имена серверов, которые затрудняют определение местонахождения проекта искомого продукта? Нет.

Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социального инженера.

Обеспечение безопасности с помощью технологии, тренировки и процедуры

Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников.

Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании.