Искусство обмана


Download 0.94 Mb.
Pdf ko'rish
bet144/158
Sana13.04.2023
Hajmi0.94 Mb.
#1352083
TuriКнига
1   ...   140   141   142   143   144   145   146   147   ...   158
Bog'liq
Iskusstvo obmana sotsialnaya inzheneria

Предотвращение обмана
Когда спрашивают любую ценную, чувствительную, или критически важную информацию, 
которая может сослужить выгоду конкуренту или кому угодно еще, сотрудники должны быть 
осведомлены, что использование услуги “caller ID” в смысле подтверждения личности звоняще-
го извне недопустимо. Некоторые другие средства подтверждения должны быть использованы, 
такие как сверка с куратором того человека по поводу того, что запрос был соответствующим, и 
что у пользователя есть авторизация для получения информации.
Процесс проверки требует балансировочного акта, который каждая компания должна опре-
делить для себя: безопасность против продуктивности. Какой приоритет будет назначен для уси-
ления мер безопасности? Будут ли сотрудники сопротивляться следованию процедур безопасно-
сти, и даже обходить их в порядке дополнения к их рабочим обязанностям? Понимают ли со-
трудники почему безопасность важна для компании и для них самих? На эти вопросы должны 
105


Вильям Саймон и др.: «Искусство обмана»
быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной 
культуре и деловых нуждах.
Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их 
работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. 
Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через 
обучение и осведомленность – это и есть ключ.
И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для 
голосовых звонков извне компании, другой метод, называемый Автоматическим Определением 
Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда 
компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и на-
дежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не ис-
пользует любого рода информацию, которая посылается от потребителя когда предоставляется 
номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назна-
ченным звонящей стороне.
Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их про-
дукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из 
списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера 
аутентификации в низко-безопасном окружении, но, как уже должно быть ясно, подмена caller 
ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна 
служить опорой для подтверждения личности звонящего или местнонахождения в обстановке 
высокой безопасности.
Чтобы адресовать случай с воровством личности, как в истории с обманом администратора 
для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую по-
литику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоратив-
ный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письмен-
ном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а 
администратор голосовой почты должен проверить подпись.
Корпоративная политика безопасности должна требовать, чтобы все компьютерные ак-
каунты или повышения прав доступа предоставлялись только после положительной верифика-
ции персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или 
администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или 
онлайновом справочнике. Если компания использует защищенную электронную почту, где со-
трудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернатив-
ный метод верификации тоже может быть допустимым.
Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным 
системам компании, может стать жертвой обмана социального инженера. Каждый должен быть 
включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, 
телефонные операторы и охранники должны быть знакомы с теми типами атак социального 
инжениринга, которые более вероятно будут направлены против них, так что они будут лучше 
подготовлены к защите от этих атак.

Download 0.94 Mb.

Do'stlaringiz bilan baham:
1   ...   140   141   142   143   144   145   146   147   ...   158




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling