Искусство обмана


Содержание тренировочной программы


Download 0.94 Mb.
Pdf ko'rish
bet152/158
Sana13.04.2023
Hajmi0.94 Mb.
#1352083
TuriКнига
1   ...   148   149   150   151   152   153   154   155   ...   158
Bog'liq
Iskusstvo obmana sotsialnaya inzheneria

Содержание тренировочной программы
В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется ве-
рой в то, что атакующий – сотрудник или вышестоящий чиновник, авторизованный для получе-
ния важной информации, или человек, который вправе инструктировать жертву по работе с 
компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва 
просто делает 2 шага:
Идентификация личности делающего запрос: действительно ли он тот, за кого себя выдает?
Авторизован ли этот человек: знает ли он необходимую дополнительную информацию и 
соответствует ли его уровень доступа сделанному запросу?
Заметка:
Так как одних тренировок недостаточно, используйте технологии безопасности, где только 
возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, 
обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Напри-
мер, когда операционная система настроена на предотвращение закачек программ из Интернета, 
или когда выбирается короткий, легко отгадываемый пароль.
111


Вильям Саймон и др.: «Искусство обмана»
Если занятия по повышению осведомленности и общего уровня безопасности могут изме-
нить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя 
из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.
Практическая информация тренинга по безопасности, описывающего черты человеческого 
характера и связанные с ними аспекты социнженерии, должна включать:
Описание того, как атакующий использует навыки социнженерии для обмана людей.
Описание методов, используемых социнженером для достижения цели.
Как предупреждать возможные атаки с использованием социальной инженерии.
Процедуру обработки подозрительных запросов.
Куда сообщать о попытках или удачных атаках.
Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или 
важностью.
Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей про-
верки, даже если первым побуждением будет сразу дать ответ.
Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для 
получения информации или выполнения какого-либо действия с вашей стороны (см. «Процеду-
ры проверки и авторизации», гл. 16, для способов проверки личности).
Процедуры защиты важной информации, включая любые данные для о системе ее хране-
ния.
Положение политик и процедур безопасности компании и их важность в защите информа-
ции и корпоративной информационной системы.
Аннотация ключевых политик безопасности и их назначение. Например, каждый работник 
должен быть проинструктирован, как выбирать сложные для подбора взломщиком пароли.
Обязанности каждого работника следовать политикам и важность «несговорчивости».
Социальная инженерия по определению включает в себя некоторые виды человеческого 
взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы 
и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности 
должна включать в себя:
Политики безопасности для паролей компьютеров и голосовой почты.
Процедуры предоставления важной информации и материалов.
Политику использования электронной почты, включая защиту от удаленных атак с помо-
щью вирусов, червей и «троянов».
Ношение бейджей как метод физической защиты.
Специальные меры в отношении людей, не носящих визиток-бейджей.
Практику использования голосовой почты наиболее безопасным образом.
Классификацию информации и меры для защиты особенно важной.
Установление оптимального уровня защиты для важных документов и медиа-данных, кото-
рые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информа-
цию, т.е. архивы.
Также, если компания планирует использовать тестирование с инсценированным проник-
новением, чтобы проверить свои сильные и слабые места во время атак с использованием соц-
инженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое 
время может поступить телефонный звонок или запрос любым иным способом, используемым 
атакующим, который является частью теста. Используйте результаты этого теста не для паники, 
а для усиления слабых мест в защите.
Детали каждого из этих пунктов будут рассмотрены в главе 16.

Download 0.94 Mb.

Do'stlaringiz bilan baham:
1   ...   148   149   150   151   152   153   154   155   ...   158




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling