КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Предотвращение обмана
Атаки социальных инженеров могут стать еще более деструктивными, когда атакующий использует элементы технологии. Предотвращение этого вида атаки обычно включает в себя меры безопасности на человеческом и технологическом уровне. Просто скажи «Нет» В первой истории в этой главе, служащий компании RCMAC не должен был снимать статус deny terminate с 10 телефонных линий без ордера, подтверждающего изменение. Недостаточно того, чтобы сотрудники знали правила безопасности и процедуры; сотрудники должны понимать, насколько важны эти правила для компании для предотвращения нанесения ущерба. Правила безопасности должны не должны поощрять отклонение от процедуры, используя систему поощрений и последствий. Естественно, правила безопасности должны быть реалистичными, не призывающие сотрудников выполнять слишком обременительные вещи, которые, скорее всего, будут проигнорированы. Также, программа обучения (ликбеза) по безопасности должна убедить служащих, что надо выполнять поручения по работе быстро, но кратчайший путь, пренебрегающий системой безопасности, может оказаться вредным для компании и сотрудников. Та же осторожность должна присутствовать при предоставлении информации незнакомому человеку по телефону. Не смотря на то, как убедительно он представил себя, невзирая на статус или должность человека в компании, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена. Если бы эти правила строго соблюдались, социально‑инженерный план в этом рассказе потерпел бы неудачу, и федеральный заключенный Гондорфф никогда не смог бы спланировать еще одну аферу с его приятелем Джонни. Этот единственный пункт настолько важен, что я повторяю его на протяжении всей книги: проверяйте, проверяйте, проверяйте. Каждая просьба, не сделанная лично, никогда не должна быть выполнена без подтверждения личности просящего – и точка. Уборка Для любой фирмы, у которой нет охранников круглосуточно, план, где атакующий получает доступ к офису на несколько часов – трудность. Уборщики обычно относятся с с уважением к каждому, кто кажется членом компании и не выглядит подозрительно. Все‑таки, этот человек может вызвать у них неприятности или уволить. По этой причине уборщики, как сотрудники фирмы так и работающие по контракту из внешнего агентства, должны быть обучены технике безопасности. Уборочная работа не требует образования в колледже и даже умения говорить по‑английски, и даже если требует обучения, то не по безопасности, а только по использованию разных очистительных средств для разных назначений. Обычно эти люди даже не получают указаний вроде: «если кто‑нибудь попросит вас впустить их после рабочего времени, вы должны проверить у них пропуск, позвонить в офис уборочной компании, объяснить ситуацию и подождать разрешения». Организации нужно заранее спланировать, что делать в конкретной ситуации, как эта, прежде чем она произойдет и соответственно обучить людей. По моему опыту, я узнал что большинство, если не весь частный бизнес неточен в этой части физической безопасности. Вы можете попробовать подойти к проблеме с другой стороны, возложив бремя на сотрудников своей компании. Компании без круглосуточной охраны должны сообщать сотрудникам, что если им понадобится войти после рабочего дня, им придется воспользоваться собственными ключами или электронными картами, и не должны ставить уборщиков в положение выбора, кого можно пропустить. Сообщите уборочной компании, что их люди должны быть обучены не впускать кого‑либо в помещение в любое время. Это простое правило – никому не открывайте дверь. Если нужно, то это может быть включено в контракт с уборочной компанией. Также уборщики должны знать о технике «piggyback»(посторонние люди следуют за уполномоченным человеком через безопасный вход). Они должны быть обучены не разрешать другим людям входить в здание только потому, что он выглядит как сотрудник. Примерно три или четыре раза в год устраивайте тест на проникновение или оценку уязвимости. Попросите кого‑нибудь подойти к двери, когда работают уборщики, и попробуйте проникнуть в здание. Но лучше не используйте для этого собственных сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на проникновение.
|