Кевин Митник - Искусство обмана

Есть некоторые процедуры, о которых, независимо от качества нашего обучения, мы часто имеем тенденцию забывать через определенное время. Часто мы забываем наше обучение в то время, когда оно нам как раз нужно. Вы можете подумать, что о том, что нельзя выдавать свое имя пользователя и пароль знают все(или должны знать) и практически не надо напоминать об этом: это просто здравый смысл. Но на самом деле, каждому сотруднику надо постоянно напоминать, что сообщение имени пользователя и пароля к офисному или домашнему компьютеру и даже устройству в почтовом отделе эквивалентно сообщению PIN-кода карточки ATM.

Часто возникают достоверные ситуации, когда это необходимо, а возможно даже важно дать кому-либо конфиденциальную информацию. По этой причине, надо сделать четкое правило о «никогда не…» При этом, в ваших правилах безопасности и процедурах должны быть особенности об условиях, при которых работник может сообщать его или ее пароль и, самое главное – кому разрешено спрашивать эту информацию.

Учитывай источник

Во многих организациях должно существовать правило, что любая информация, которая может причинить вред компании или сотруднику, может быть выдана только тому, с которым сотрудник, владеющий информацией знаком в лицо или чей голос настолько знаком, что вы узнаете его без вопросов.

В высокобезопасных ситуациях, единственные просьбы, которые можно выполнять – это те, которые получены лично или с серьезным подтверждением, к примеру, две отдельных вещи, как общий секрет и временной жетон (time-based token).

Процедуры классификации данных должны предусматривать, что никакая информация не должна быть предоставлена из отдела организации, работающего с секретами, кому-либо, не знакомому лично или подтвержденному каким-либо способом.

Заметка

Удивительно, но даже если проверить имя и телефон звонящего в базе данных о сотрудниках компании и перезвонить ему, не будет гарантии, что социальный инженер не добавил имя в базу данных компании или не перенаправляет звонки.

Так как же разобраться со звучащей вполне законно просьбой об информации от другого сотрудника компании, вроде списка имен и адресов электронной почты людей из вашей группы? На самом деле, как можно усилить бдительность, когда подобная вещь гораздо менее ценна, чем, скажем, листок о разрабатываемом продукте, и должна применяться только для внутреннего использования? Одна основная часть решения: назначить сотрудников в каждом отделе, которые будут работать со всеми просьбами об отправке информации вне группы. Тогда этим сотрудникам должна быть предоставлена усовершенствованная программа обучения по безопасности, чтобы они знали об особенных процедурах удостоверения личности, которым им надо следовать.

Ни о ком не забывайте

Кто угодно может быстро назвать отделы в своей компании, которые нуждаются в высокой степени защиты от вредоносных атак. Но мы часто не обращаем внимание на другие места, которые менее очевидны, но более уязвимы. В этих рассказах, просьба отправить факс на номер внутри компании казалась невинной и достаточно безопасной, но атакующий извлек выгоду из этой лазейки в безопасности. Здесь урок таков: каждый, от секретаря и административного ассистента до руководителей и менеджеров должны получать специальное обучение, чтобы быть готовым к такому виду трюков. И не забывайте охранять переднюю дверь: секретари часто являются главными мишенями для социальных инженеров и должны быть поставлены в известность об обманных техниках, используемых некоторыми посетителями и звонящими.

Корпоративная безопасность должна четко выработать единый вид контактов, вроде центральной «расчётной палаты» для сотрудников, которым кажется, что они могли стать жертвой уловки социального инженера. Имея единое место для сообщения об инцидентах предоставит эффективную, заранее предупреждающую систему, которая сделает все правильно, когда произойдет скоординированная атака, и можно мгновенно уменьшить возможный ущерб.

Перевод: Artem (artem sib@inbox.ru)

Вы знаете, как социальные инженеры обманывают людей, предлагая им свою помощь. Другой излюбленный подход основан на обратном: социальный инженер делает вид, что нуждается в помощи другого человека. Мы можем сочувствовать людям в затруднительном положении, и подход оказывается эффективным снова и снова, позволяя социальному инженеру достигнуть своей цели.