Искусство обмана
Глава 14: Промышленный шпионаж
Download 0.94 Mb. Pdf ko'rish
|
Iskusstvo obmana sotsialnaya inzheneria
- Bu sahifa navigatsiya:
- Вильям Саймон и др.: «Искусство обмана»
- Обеспечение безопасности с помощью технологии, тренировки и процедуры
|
Глава 14: Промышленный шпионаж
Будет опубликована в ближайшее время. Глава 15: Знание об информационной безопасности и тренировки Перевод: sly (http://slyworks.net.ru) icq:239940067 Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта за 2 месяца до релиза. 106 Вильям Саймон и др.: «Искусство обмана» Что остановит его? Ваш файервол? Нет. Мощная система идентификации? Нет. Система обнаружения вторжений? Нет. Шифрование данных? Нет. Ограничение доступа к номерам дозвона модемов? Нет. Кодовые имена серверов, которые затрудняют определение местонахождения проекта ис- комого продукта? Нет. Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке социаль- ного инженера. Обеспечение безопасности с помощью технологии, тренировки и процедуры Компании, которые проводят тесты на возможность проникновения, сообщают, что их по- пытки проникнуть в компьютерную систему компании с помощью методов социнженерии прак- тически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служа- щих, а также включающих обучение и тренировку сотрудников. Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь трениро- ванную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с исполь- зованием политик и процедур, но, вероятно, более важным является переход к программе рас- пределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании. Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в на- много более выгодной позиции, чтобы распознать атаку. Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Как обсуждается в главе 17, политики – это необходимые и обязатель- ные правила, которые описывают поведение сотрудников для защиты корпоративной информа- ционной системы и особо ценной информации. Эта и следующая главы показывают безопасный шаблон (blueprint – синька, светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы не тренируете персонал, следующий процедурам обработки информации (well– thought –out procedures), это до того момента, пока Вы не потеряете информацию благодаря социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить Ваш бизнес и разрушить благополучие Ваших рабо- чих. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|