Кевин Митник - Искусство вторжения

Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?

КОНТРМЕРЫ

Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:

• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;

• разработка тренингов по усилению бдительности персонала;

• разработка простых и понятных правил определения важности информации;

• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;

• разработка грамотной системы классификации данных;

• обучение персонала навыкам сопротивления методам социальной инженерии;

• проверка готовности сотрудников к противостоянию атакам по методу социальной инженерии при помощи специальных проверок.

Наиболее важный аспект программы — установление соответствующих протоколов безопасности и мотивация сотрудников для их выполнения. И в дополнение к этому — установление ключевых точек, где разработанные программы и тренинги противостоят угрозе социальных инженеров.

ПЛАН ТРЕНИНГОВ

Вот некоторые ключевые позиции для тренингов:

• убедите сотрудников в том, что социальные инженеры наверняка будут где-то атаковать компанию, причем многократно. Существует явная недооценка угрозы, которую представляют собой атаки социальных инженеров; часто даже полное незнание того, что такая угроза существует. Обычно люди не ждут обмана и манипуляций, поэтому неосознанно подпадают под атаку социальной инженерии. Многие Интернет-пользователи получают электронную почту из Нигерии с предложением перевести значительные суммы денег в США; в них предлагаются неплохие комиссионные за помощь. Потом вас просят перевести некоторую сумму для того, чтобы начать процедуру передачи денег. Одна леди из Нью-Йорка недавно поверила этим предложениям и заняла сотни тысяч долларов у своего сотрудника, чтобы начать процедуру перевода. И вместо того, чтобы наслаждаться отдыхом на своей яхте, которую она уже видела почти купленной, она стоит перед малоприятной перспективой очутиться на казенной койке в одной из американских тюрем. Люди постоянно покупаются на эти ловушки социальных инженеров, иначе нигерийские «спамеры» перестали бы рассылать свои письма.

• используйте ролевые игры для наглядной демонстрации уязвимости каждого перед технологиями социальных инженеров, обучайте сотрудников, кик им противостоять. Большинство людей работают, пребывая в полной иллюзии собственной неуязвимости, считая себя очень умными для того, чтобы их можно было обмануть, обжулить, манипулировать ими, или влиять на них. Они считают, что так можно поступить только с « г л у —пыми» людьми. Есть два способа помочь сотрудникам понять свою уязвимость и поверить в необходимость защиты. Один из них заключается в демонстрации эффективности социальной инженерии путем «подставы» некоторых сотрудников под такую атаку, а затем разбора случившегося на специальном семинаре по безопасности. Другой состоит в подробном анализе конкретных методов социальной инженерии, с целью демонстрации уязвимости всех и каждого подобным атакам. В каждом случае тренинг должен содержать подробный анализ механизма атаки, причин ее успеха и обсуждения способов распознавания атаки и противостояния ей.

• надо развить в сотрудниках умение чувствовать обман или манипулирование со стороны социальных инженеров. На тренингах надо объяснить сотрудникам их персональную ответственность за защиту важной корпоративной информации. Организаторы таких тренингов обязательно должны учитывать, что мотивация к выполнению некоторых процедур обеспечения безопасности у людей в определенных ситуациях только возрастает, если они хорошо понимают необходимость применения тех или иных протоколов. Во время тренингов преподаватели должны давать наглядные примеры того, как те или иные меры безопасности защищают бизнес, и какой ущерб может быть нанесен компании, если сотрудники будут игнорировать их или выполнять недостаточно тщательно. Очень важно обратить внимание на то, что успешная атака может нанести ущерб персонально сотруднику или его друзьям и знакомым. В базе данных компании может содержаться особо ценная для воров и н ф о р м а ц и я о людях. Но главный мотивационный фактор — это то, что никто не хочет быть обманутым или обмишуленным, или позволить кому-то собой манипулировать. Именно поэтому люди всегда имеют мотивацию противостоять обману и жульничеству, надо просто обратить их внимание на это.