 |
 |
 |
 |
|
 |
 |
История Рифкина прекрасно описывает, насколько мы можем заблуждаться в сво¸м
ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10
миллионов, но, тем не менее, болезненные инциденты – случаются каждый день .
Возможно, прямо сейчас вы тоже теряете свои деньги или кто-то сейчас ворует планы
касательно новой продукции, и вы об этом даже не подозреваете. Если это ещ¸ не случилось
с вашей компанией, под вопросом остается только: не случится ли это вообще, а когда
именно .
Растущее беспокойство
В сво¸м обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной
Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями
компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15
организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение
года. Столь же поразительным было число организаций, которые ответили, что имели
финансовые потери из-за компьютерных нарушений: 64%. Более половины организаций
понесли финансовые потери. И всего за один год .
Мой собственный опыт подсказывает мне, что числа в отч¸тах вроде этих несколько
раздуты. Я с подозрением отношусь к людям, которые делают обзор. Но это не повод
говорить, что ущерб не обширен, он на самом деле огромен. Тот, кто не предвидит
инцидента с безопасностью, думает заранее неверно.
Коммерческие продукты по безопасности, применяемые в большинстве компаний,
главным образом нацелены на защиту от любительского компьютерного вторжения, вроде
тех, совершаемых юнцами, известными как скрипт-кидди. Фактически, эти дети,
скачивающие программное обеспечение и мечтающие стать хакерами, в большинстве
случаев просто неприятность. Гораздо большие потери и реальные угрозы происходят от
корыстных нал¸тчиков, у которых есть ч¸тко сформулированные цели, и которые
мотивируются финансовой выгодой. Эти люди фокусируются на одной цели, в отличие от
любителей, которые пытаются просканировать как можно больше систем. В то время как
компьютерный нал¸тчик-любитель работает над количеством, профессионал целится в
информацию в зависимости от е¸ ценности и качества.
Технологии, вроде устройств для аутентификации (для проверки идентичности),
контроля доступа (для управления доступом к файлам и системным ресурсам), и системы
для обнаружения вторжений (электронный эквивалент сигнализации) необходимы для
программы корпоративной безопасности. И вс¸ же, на сегодняшний день для компании
типичнее потратить больше денег на кофе, чем на разв¸ртывание контрмер для защиты
организации против атак на безопасность.
Точно так же, как мозг преступника не может сопротивляться искушению, мозг хакера
стремится найти окружной путь вокруг мощных технологических средств защиты. И во
многих случаях они этого достигают, целясь в людей, которые пользуются технологиями.
Методы введения в заблуждение
Есть популярное высказывание, что безопасный компьютер это тот, который
выключен. Умно, но неверно: преступник может просто попросить кого-нибудь зайти в
офис и включить этот компьютер. Если противник захочет получить вашу информацию, он
это сделает, обычно любым из нескольких возможных способов. Это только вопрос времени,
терпения, индивидуальных черт и упорства. Вот когда искусство обмана вступает в силу.
Для того, чтобы обойти средства безопасности, нал¸тчик, захватчик или социальный
инженер должен найти способ обмануть доверенного пользователя, раскрыть информацию
или незаметно заставить неподозревающего человека дать ему доступ. Поскольку возможны
ситуации, когда доверенный пользователь обманут, подвержен влиянию, то есть его
спровоцировали выдать секретную информацию или выполнить действия, создающие
уязвимость в безопасности, в которую нападающий мог бы проскользнуть, то во вс¸м мире
не найдется таких технологий, которые могли бы защитить бизнес. Так же как криптоанализ
