Чтение онлайн

на главную - закладки

Жанры

Искусство обмана
Шрифт:

Содержание тренировочной программы

В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется верой в то, что атакующий — сотрудник или вышестоящий чиновник, авторизованный для получения важной информации, или человек, который вправе инструктировать жертву по работе с компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва просто делает 2 шага:

Идентификация личности делающего запрос: действительно ли он тот, за кого себя выдает?

Авторизован ли этот человек: знает ли он необходимую дополнительную информацию и соответствует ли его уровень доступа сделанному запросу?

Заметка:

Так как одних тренировок недостаточно, используйте технологии безопасности, где только возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Например, когда операционная система настроена на предотвращение закачек программ из Интернета, или когда выбирается короткий, легко отгадываемый пароль.

Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать:

Описание того, как атакующий использует навыки социнженерии для обмана людей.

Описание методов, используемых социнженером для достижения цели.

Как предупреждать возможные атаки с использованием социальной инженерии.

Процедуру обработки подозрительных запросов.

Куда сообщать о попытках или удачных атаках.

Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или важностью.

Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей проверки, даже если первым побуждением будет сразу дать ответ.

Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для получения информации или выполнения какого-либо действия с вашей стороны (см. «Процедуры проверки и авторизации», гл. 16, для способов проверки личности).

Процедуры защиты важной информации, включая любые данные для о системе ее хранения.

Положение политик и процедур безопасности компании и их важность в защите информации и корпоративной информационной системы.

Аннотация ключевых политик безопасности и их назначение. Например, каждый работник должен быть проинструктирован, как выбирать сложные для подбора взломщиком пароли.

Обязанности каждого работника следовать политикам и важность «несговорчивости».

Социальная инженерия по определению включает в себя некоторые виды человеческого взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности должна включать в себя:

Политики безопасности для паролей компьютеров и голосовой почты.

Процедуры предоставления важной информации и материалов.

Политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов».

Ношение бейджей как метод физической защиты.

Специальные меры в отношении людей, не носящих визиток-бейджей.

Практику использования голосовой почты наиболее безопасным образом.

Классификацию информации и меры для защиты особенно важной.

Установление оптимального уровня защиты для важных документов и медиа-данных, которые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информацию, т.е. архивы.

Также, если компания планирует использовать тестирование с инсценированным проникновением, чтобы проверить свои сильные и слабые места во время атак с использованием социнженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым иным способом, используемым атакующим, который является частью теста. Используйте результаты этого теста не для паники, а для усиления слабых мест в защите.

Детали каждого из этих пунктов будут рассмотрены в главе 16.

Тестирование

Ваша компания может захотеть проверить уровень подготовки сотрудников, приобретенный благодаря тренировочной программе по повышению осведомленности, до того, как их допустят к работе с компьютерной системой. Если тест выстроен последовательно, то множество программ, оценивающих действия сотрудников, помогут выявить и усилить бреши в защите.

Также ваша компания может ввести сертификацию при прохождении данного теста, что будет являться дополнительным и наглядным стимулом для рабочих.

На обязательном завершающем этапе программы следует получить подпись в соглашении следовать установленным политикам и принципам поведения от каждого служащего. Ответственность, которую каждый берет на себя, подписав соглашение, помогает избегать в работе сомнений — поступить, как просят, или как установлено политикой безопасности.

Поддержание бдительности

Большинство людей знает, что интерес к обучению даже важным навыкам потухает со временем, разгораясь периодически. Поэтому жизненно важно поддерживать интерес сотрудников к изучению предмета безопасности и защиты от атак постоянно.

Поделиться:
Популярные книги

Менталист. Конфронтация

Еслер Андрей
2. Выиграть у времени
Фантастика:
боевая фантастика
6.90
рейтинг книги
Менталист. Конфронтация

Черный Маг Императора 25

Герда Александр
25. Черный маг императора
Фантастика:
юмористическое фэнтези
аниме
сказочная фантастика
фэнтези
фантастика: прочее
попаданцы
5.00
рейтинг книги
Черный Маг Императора 25

Звездная Кровь. Изгой

Елисеев Алексей Станиславович
1. Звездная Кровь. Изгой
Фантастика:
боевая фантастика
попаданцы
рпг
5.00
рейтинг книги
Звездная Кровь. Изгой

Неучтенный элемент. Том 9

NikL
9. Антимаг. Вне системы
Фантастика:
фэнтези
5.00
рейтинг книги
Неучтенный элемент. Том 9

Приключения 1976

Хруцкий Эдуард Анатольевич
Приключения:
прочие приключения
5.80
рейтинг книги
Приключения 1976

Запрети любить

Джейн Анна
1. Навсегда в моем сердце
Любовные романы:
современные любовные романы
5.00
рейтинг книги
Запрети любить

Эпоха Опустошителя. Том VI

Павлов Вел
6. Вечное Ристалище
Фантастика:
аниме
фэнтези
попаданцы
5.00
рейтинг книги
Эпоха Опустошителя. Том VI

Новые земли

Рокотов Алексей
5. Путь князя
Фантастика:
фэнтези
рпг
попаданцы
5.00
рейтинг книги
Новые земли

Тринадцатый XI

NikL
11. Видящий смерть
Фантастика:
попаданцы
аниме
фэнтези
фантастика: прочее
5.00
рейтинг книги
Тринадцатый XI

Воплощение Похоти 3

Некрасов Игорь
3. Воплощение Похоти
Фантастика:
аниме
фэнтези
попаданцы
5.00
рейтинг книги
Воплощение Похоти 3

Я еще не царь

Дрейк Сириус
25. Дорогой барон!
Фантастика:
юмористическое фэнтези
аниме
попаданцы
5.00
рейтинг книги
Я еще не царь

Путь к бессмертию 3

Покинтелица Евгений
3. Девятихвостый Богатырь
Фантастика:
уся
фэнтези
5.75
рейтинг книги
Путь к бессмертию 3

Возлюби болезнь свою

Синельников Валерий Владимирович
Научно-образовательная:
психология
7.71
рейтинг книги
Возлюби болезнь свою

Чужая семья генерала драконов

Лунёва Мария
6. Генералы драконов
Фантастика:
фэнтези
5.25
рейтинг книги
Чужая семья генерала драконов