Вильям Саймон и др.: «Искусство обмана»
Оператор вычислительного центра, Ковальски, был обманут Дэнни с помощью имен лю-
дей, которых он знал. Но почему руководитель Ковальски – IT-руководитель, не меньше, – поз-
волил чужаку проникнуть во внутреннюю сеть компании? Просто потому что звонок о помощи 
может быть мощным убедительным инструментом в арсенале социального инженера.
Сообщение от Митника
Эта история показывает, что синхронизируемые жетоны и простые формы аутентификации 
не может быть защитой против коварного социального инженера.
Может что-то подобное случиться в вашей компании? Случилось ли уже?
Предотвращение обмана
Может показаться, что один элемент часто упоминается в этих историях – атакующий при-
спосабливается звонить в компьютерную сеть компании снаружи, минуя служащего, который 
помогал бы ему, удостоверившись в том, что звонящий действительно является работником, и у 
него есть право доступа. Почему я так часто возвращаюсь к этой теме? Потому что это правда 
один из факторов многих атак социальной инженерии. Для социального инженера это самый 
легкий путь к достижению цели. Почему атакующий должен тратить часы на вторжение, когда 
он может сделать это с помощью обычного телефонного звонка?
Один из самых мощных методов провести атаку –это обычная уловка с просьбой о помо-
щи, подход, часто используемый атакующими. Вы не хотите, чтобы ваши служащие перестали 
быть полезными для коллег и клиентов, поэтому вам нужно вооружить их особыми процедурами 
подтверждения для всех, кто запрашивает компьютерный доступ или конфиденциальную инфор-
мацию. Этот способ, служащие могут быть полезными для тех, кто заслуживает помощи, но в то 
же время защищают информационное имущество и компьютерные системы организации.
Необходимо детально разобрать, какой механизм подтверждения следует использовать в 
различных случаях. В главе 17 приведен список процедур, есть руководящие принципы для 
рассмотрения.
Хороший способ удостоверить личность человека, обратившегося с просьбой, позвонить 
по телефонному номеру, указанному в справочнике компании. Если человек, обратившийся с 
просьбой, действительно атакующий, проверочный звонок позволит поговорить с настоящим че-
ловеком по телефону, пока самозванец не положил трубку, или выйти на голосовую почту слу-
жащего, которая позволит сравнить его голос с голосом атакующего.
Если номера служащих используются в вашей компании для проверки подлинности, то они 
должны тщательно охраняться и не сообщаться чужим людям. То же самое относится ко всем 
видам внутренних номеров, как телефонные номера, идентификаторы и даже адреса электрон-
ной почты.
Корпоративное обучение должно обратить внимание каждого на распространенные случаи 
принятия неизвестных людей за настоящих служащих на основании того, что они внушительно 
говорят или хорошо осведомлены. Нет основания полагать, что подлинность не требуется прове-
рять другими способами, только потому что кто-то знает порядки компании или использует вну-
треннюю терминологию.
Офицеры безопасности и системные администраторы не должны концентрировать свое 
внимание только на подготовке кого-либо в вопросах безопасности. Они также должны быть 
уверены, что сами следуют тем же правилам, процедурам и установленным порядкам.
Пароли и т.п., конечно, никогда не должны использоваться совместно, запрет общего ис-
пользования даже более важен при использовании синхронизирующих жетонов и другими без-
опасных форм аутентификации. На уровне здравого смысла должно быть ясно, что совместное 
использование любого из этих элементов нарушает все дело компании, установившей системы. 
Разделение означает отсутствие ответственности. Если имеет место инцидент с безопасностью 
или что-то идет не так, вы не сможете определить. кто несет ответственность.
Служащие должны быть знакомы со стратегиями и методами и социальной инженерии, 
чтобы внимательно анализировать запросы, которые они получают. Рассмотрите использование 
ролевых игр как часть обучения безопасности, так чтобы служащие могли лучше понять, как ра-
ботает социальный инженер.

Download 0.94 Mb.

Do'stlaringiz bilan baham: