Искусство обмана
Download 0.94 Mb. Pdf ko'rish
|
Iskusstvo obmana sotsialnaya inzheneria
|
Человеческий фактор
Не так давно, давая показания перед Конгрессом, я объяснял, что часто я получал пароли и другие кусочки секретной информации компаний, просто притворяясь кем-нибудь и спрашивая о них. Это естественно – стремиться к абсолютной безопасности, но это желание заставляет мно- гих людей соглашаться с ложным чувством защищённости. Рассмотрим ответственного и любя- щего отца семейства, у которого есть Medico – надёжный замок в парадной двери, который огра- ждает его жену и детей и его дом. Сейчас он спокоен, так как сделал свою семью гораздо более защищённой от вторжений. Но как насчёт грабителя, который разбивает окно или взламывает код у замка на двери гаража? Тогда нужно установить охранную систему? Неплохо, но всё же недостаточно. Независимо от того, насколько дороги замки, домовладелец остаётся уязвим. Почему? Потому что человеческий фактор по-настоящему самое слабое звено в безопасно- сти. Безопасность слишком часто просто иллюзия и иногда иллюзия может быть даже хуже лег- коверия, наивности или невежества. Самый знаменитый в мире учёный 20 века Альберт Эйн- штейн говорил: «Можно быть уверенным только в двух вещах: существовании вселенной и че- ловеческой глупости, и я не совсем уверен насчёт первой». В конце концов, атаки социальных 13 Вильям Саймон и др.: «Искусство обмана» инженеров успешны, когда люди глупы или, гораздо чаще, просто неосведомлены о хороших мерах безопасности. Аналогично нашему домовладельцу, многие профессионалы в информаци- онных технологиях (ИТ) придерживаются неправильных представлений, будто они сделали свои компании в значительной степени неуязвимыми к атакам, потому что они используют стандарт- ные продукты по безопасности: файрволлы, системы для обнаружения вторжений (IDS) или серьёзные устройства для аутентификации, такие как биометрические смарт-карты или time- based tokens. Любой, кто думает, что одни только эти продукты по безопасности предоставляют достаточную защиту, соглашается на иллюзию защиты. Это как жить в мире фантазий – неиз- бежно, рано или поздно он столкнётся с инцидентом, связанным с безопасностью. Как заметил консультант по безопасности Брюс Шнайер: «Безопасность – это не продукт, это процесс». Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления. Пока разработчики непрерывно изобретают всё лучшие и лучшие технологии защиты, де- лая всё более трудным возможность использовать технические уязвимости, атакующие всё чаще используют человеческий фактор. Зачастую очень просто взломать человеческий файрволл, все затраты не превышают стоимости одного телефонного звонка и атакующий подвержен мини- мальному риску. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|