Вильям Саймон и др.: «Искусство обмана»
быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной 
культуре и деловых нуждах.
Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их 
работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. 
Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через 
обучение и осведомленность – это и есть ключ.
И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для 
голосовых звонков извне компании, другой метод, называемый Автоматическим Определением 
Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда 
компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и на-
дежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не ис-
пользует любого рода информацию, которая посылается от потребителя когда предоставляется 
номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назна-
ченным звонящей стороне.
Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их про-
дукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из 
списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера 
аутентификации в низко-безопасном окружении, но, как уже должно быть ясно, подмена caller 
ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна 
служить опорой для подтверждения личности звонящего или местнонахождения в обстановке 
высокой безопасности.
Чтобы адресовать случай с воровством личности, как в истории с обманом администратора 
для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую по-
литику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоратив-
ный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письмен-
ном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а 
администратор голосовой почты должен проверить подпись.
Корпоративная политика безопасности должна требовать, чтобы все компьютерные ак-
каунты или повышения прав доступа предоставлялись только после положительной верифика-
ции персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или 
администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или 
онлайновом справочнике. Если компания использует защищенную электронную почту, где со-
трудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернатив-
ный метод верификации тоже может быть допустимым.
Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным 
системам компании, может стать жертвой обмана социального инженера. Каждый должен быть 
включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, 
телефонные операторы и охранники должны быть знакомы с теми типами атак социального 
инжениринга, которые более вероятно будут направлены против них, так что они будут лучше 
подготовлены к защите от этих атак.

Download 0.94 Mb.

Do'stlaringiz bilan baham: