 |
 |
 |
 |
|
 |
 |
и другую информацию, хранящуюся в базе данных.
Он только что стал Майклом Паркером, получившим звание бакалавра компьютерных
наук в 1998 году.
Анализ обмана
Атакующий использовал одну уловку, о которой я раньше не упоминал: Атакующий
попросил администратора провести его через весь процесс шаг за шагом. Достаточно
сильное и эффективное действо, аналогичное тому, как если бы вы попросили владельца
магазина помочь вынести вам предметы, которые вы только что из него украли.
Сообщение от Митника
Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей,
связанных с социальным инжинирингом, который существует в нашем мире высоких
технологий. Они имеют доступ к информации, не разбираясь в деталях работы, не осознавая
важности некоторых мелочей. Социальный инженер выберет своей целью работника с
низким уровнем владения компьютером.
Предупреждение обмана
Симпатия, вина и запугивание-это три очень популярных психологических трюка,
используемых социальным инженером, и вышеперечисленные истории продемонстрировали
тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных
типов атак?
Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому-то
незнакомому, даже человеку, который представляется работником вашей компании, а файл
отправляется по внутренней сети на е-мэйл или факс.
Службе безопасности компании необходимо выстроить схему, обеспечивающую
безопасность при пересылке важной информации какому-то незнакомому лично
отправителю. Особые процедуры должны быть разработаны для передачи файлов с важной
информацией. Когда запрос поступает от незнакомого человека, должны быть предприняты
шаги к подтверждению его личности. Также должны быть установлены различные уровни
доступа к информации.
Вот некоторые способы, которые следует обдумать:
Установите, насколько необходимо спрашивающему это знать (что может потребовать
получения одобрения со стороны владельца информации)
Храните логи всех транзакций
Утвердите список людей, которые специально обучены процедурам передачи
информации и которым вы доверяете отправку важной информации. Требуйте, чтобы лишь
эти люди имели право отсылать информацию за пределы рабочей группы.
Если запрос на информацию пришел в письменном виде (е-мэйл, факс или почта),
предпримите особые шаги, чтобы убедиться в верности указываемого источника.
О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все,
кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как
смена пароля, может привести к серьезной бреши в безопасности системы.
Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы
на процессе смены пароля, установки приемлемого пароля и опасностях, связанных с
участием посторонних в этом. Занятия должны научить сотрудников подозрительно
относиться к любому запросу по поводу их пароля.
Заметка
Именно на паролях сосредоточены атаки социальных инженеров, которые мы
рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по
данной теме.
