Кевин Митник - Искусство вторжения

ПРОГРАММЫ ДЛЯ ПРОТИВОСТОЯНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Вот несколько основных моментов, которые необходимо учитывать при разработке программ:

• Надо разработать четкий план действий для сотрудников в случае обнаружения атаки социальной инженерии.

Мы отсылаем читателей к обширному списку политик безопасности, приведенных в «Искусстве обмана». Из них надо выбрать те, которые подходят именно вам. После того, как компания выбрала нужные процедуры и внедрила их в жизнь, эта информация должна быть выложена на сайте компании, чтобы она была постоянно доступна для сотрудников. Еще один прекрасный ресурс — это учебный курс Чарльза Крессона Вуда по разработке политик информационной безопасности «Information Security Policies Made Easy» (San Jose, CA: Baseline Software, 2001).

• Надо разработать простые правила для сотрудников, позволяющие определять, какая информация является важной для компании.

Поскольку мы обрабатываем информацию в случайном режиме большую часть времени, нужно разработать простые правила безопасности, которые отслеживают все запросы к важной информации (такой, как конфиденциальная бизнес-информация или индивидуальные пароли). После того, как сотрудник осознал, что произошел запрос о важной информации или о некотором компьютерном действии, он должен свериться с принятым руководством по политике безопасности, чтобы определить верный алгоритм процедуры, которому надо следовать.

Кроме того, важно осознать и донести до сотрудников, что даже информация, которая не считается особенно важной, может быть полезной социальному инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Имя менеджера или название важного проекта компании, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники, имя, которым назван секретный проект — все это важно, и каждой компании нужно определить необходимую степень защиты от возможных угроз безопасности.

Есть несколько наглядных примеров информации, которая на первый взгляд не является важной, но может использоваться атакующим. В книге «Искусство обмана» описано несколько сценариев, которые могут быть полезны преподавателям для подтверждения этой мысли.

• Надо видоизменить правила вежливости — научиться правильно отвечать «Нет!»

Большинство из нас чувствует себя неловко, когда приходится отвечать «нет» другим людям. (Некоторые современные технологические продукты разработаны в расчете на людей, которые слишком вежливы для того, чтобы отказаться от назойливой телефонной рекламы. Когда рекламный агент звонит, пользователь нажимает на « * » и кладет трубку на рычаг; после этого приятный голос говорит звонящему: «Извините, пожалуйста, но я должен сообщить вам, что мы с большим сожалением отвергаем ваше предложение». Больше всего в этой фразе мне нравятся слова «с большим сожалением». Интересно и то, что множество людей приобретают себе электронное устройство, которое говорит «нет» вместо них. Вы лично согласились бы заплатить некоторую цену за устройство, которое оградит вас от отрицательных эмоций в процессе произнесения слова «нет»?)

Программа компании по противодействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости. Новое поведение должно состоять в умении вежливо отклонить запрос о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации. Например, надо научить всех отвечать так: «Как сотрудники нашей компании, мы оба знаем, насколько важно следовать протоколам безопасности. Поэтому мы оба понимаем, что я должен проверить ваш допуск перед тем, как выполнить ваш запрос».

• Разработать процедуры для проверки личности человека и его авторизации.

Для каждого бизнеса должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких-то действий от сотрудников компании. Процесс проверки в любой ситуации должен зависеть от важности информации или запрашиваемых действий. При этом нужно увязывать требования безопасности с бизнес-процессами.

Тренинг должен научить сотрудников идентифицировать людей не только самыми простыми методами, вроде взгляда на визитную карточку, — что использовал Урли в нашей истории, но и более серьезные. (Вспоминается один персонаж Джеймса Гарнера в детективной серии «Файлы Рокфорда» девяностых годов, у которого в машине был специальный принтер для визитных карточек, так что он мог снабдить себя любой, какая ему потребуется).