работник будет понимать природу этого идентификатора, что он предназначен для
подтверждения подлинности, он будет относиться к нему с большим уважением.
Сообщение от Митника
Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы
должны согласиться, что у любого бизнеса тоже есть враги атакующие, которые целятся в
инфраструктуру сети, чтобы скомпрометировать бизнес-секреты. Недостаточно просто
ознакомиться со статистикой по компьютерным преступлениям пришло время
поддерживать необходимую обороноспособность, осуществляя надлежащее средство
управления через хорошо известные политики и процедуры безопасности.
Ни одна компания хорошо, по крайней мере, очень немногие дают прямые номера
своих CEO или председателей правления. Однако большинство компаний не беспокоятся о
выдаче телефонных номеров большинства отделов и рабочих групп в организации
особенно кому-то, кто кажется или на самом деле является служащим. Возможная
контрмера: осуществить политику, которая запрещает выдачу посторонним внутренних
телефонных номеров работников, подрядчиков, консультантов и других. Ещ¸ важнее
разработать пошаговую процедуру для выяснения действительно ли звонящий,
спрашивающий о номерах, является настоящим служащим.
Коды рабочих групп и отделов, также как и копии корпоративных справочников (не
важно, печатная копия, файл данных или электронная телефонная книга) частые цели
социальных инженеров. Любой компании нужна письменная, хорошо разработанная
политика касательно открытия информации этого типа. Нужно также завести учетную книгу
записей, в которую будут записываться случаи, когда важная информация открывалась
людям вне компании.
Информацию, вроде номера работника, не стоит использовать для аутентификации
саму по себе. Любой работник должен быть обучен проверять не только личность, но и
разрешение на получение информации.
В своем обучении безопасности предусмотрите обучение работников следующим
подходам: всякий раз, когда незнакомец зада¸т вопрос, научитесь сначала вежливо
отключаться, пока запрос не будет проверен. Затем, прежде подтвердив его личность,
следуйте политикам и процедурам компании, с уважением относясь к проверке и раскрытию
непубличной информации. Этот стиль может идти вразрез нашему естественному желанию
помочь другим, но небольшая здоровая паранойя может оказаться полезной, чтобы не стать
следующей жертвой социального инженера.
Как показано в историях в этой главе, кажущаяся безвредной информация может быть
ключом к самым существенным секретам компании.
Глава 3: Прямая атака: просто попроси
(Chapter 3 The Direct Attack: Just Asking for it)
Перевод: Artem (artemsib@inbox.ru)
Многие атаки социальной инженерии являются сложными, включая в себя тщательно
планируемый ряд шагов, сочетая манипуляцию и технологические знания.
Но меня всегда поражает, как искусный социальный инженер может достичь своей
цели с помощью простой прямой атаки. Как вы увидите, все, что может понадобиться
просто попросить информацию.
Случай с центром назначения линий
Хотите узнать чей-нибудь неопубликованный номер телефона? Социальный инженер
может сообщить вам полдюжины способов (некоторые из них вы найдете в других историях
книги), но, возможно, самым простым из них будет обычный телефонный звонок, как этот.
|