Предотвращение обмана
Предотвращение обмана
Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание работников о надлежащей работе с корпоративной бизнес-информацией. Политика классификации данных поможет вам осуществить надлежащий контроль за раскрытием информации. Без политики классификации данных вся внутренняя информация должна рассматриваться как конфиденциальная, если не определено иначе.
Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации:
Отдел информационной защиты должен проводить обучения, детализуя методы, используемые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия. Каждый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпорации лежит ответственность за определение соответствующего опознавательного метода, для использования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону.
Человек или люди, ответственные за составление политики классификации данных, должны исследовать типы данных, которые кажутся безвредными и могут быть использованы законными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто-нибудь, притворяющийся кем-то с законным доступом к корпоративной сети, использовать эту информацию?
Иногда одно только знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это общее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет понимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением.
Сообщение от Митника
Согласно старой пословице: даже у настоящих параноиков, возможно, есть враги. Мы должны согласиться, что у любого бизнеса тоже есть враги – атакующие, которые целятся в инфраструктуру сети, чтобы скомпрометировать бизнес-секреты. Недостаточно просто ознакомиться со статистикой по компьютерным преступлениям – пришло время поддерживать необходимую обороноспособность, осуществляя надлежащее средство управления через хорошо известные политики и процедуры безопасности.
Ни одна компания – хорошо, по крайней мере, очень немногие – дают прямые номера своих CEO или председателей правления. Однако большинство компаний не беспокоятся о выдаче телефонных номеров большинства отделов и рабочих групп в организации – особенно кому-то, кто кажется или на самом деле является служащим. Возможная контрмера: осуществить политику, которая запрещает выдачу посторонним внутренних телефонных номеров работников, подрядчиков, консультантов и других. Ещё важнее разработать пошаговую процедуру для выяснения действительно ли звонящий, спрашивающий о номерах, является настоящим служащим.
Коды рабочих групп и отделов, также как и копии корпоративных справочников (не важно, печатная копия, файл данных или электронная телефонная книга) частые цели социальных инженеров. Любой компании нужна письменная, хорошо разработанная политика касательно открытия информации этого типа. Нужно также завести учетную книгу записей, в которую будут записываться случаи, когда важная информация открывалась людям вне компании.
Информацию, вроде номера работника, не стоит использовать для аутентификации саму по себе. Любой работник должен быть обучен проверять не только личность, но и разрешение на получение информации.
В своем обучении безопасности предусмотрите обучение работников следующим подходам: всякий раз, когда незнакомец задаёт вопрос, научитесь сначала вежливо отключаться, пока запрос не будет проверен. Затем, прежде подтвердив его личность, следуйте политикам и процедурам компании, с уважением относясь к проверке и раскрытию непубличной информации. Этот стиль может идти вразрез нашему естественному желанию помочь другим, но небольшая здоровая паранойя может оказаться полезной, чтобы не стать следующей жертвой социального инженера.
Как показано в историях в этой главе, кажущаяся безвредной информация может быть ключом к самым существенным секретам компании.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Предотвращение перегруженности: для чего нужны несколько потоков
Предотвращение перегруженности: для чего нужны несколько потоков Один из главных недостатков решения на основе демона bdflush состоит в том, что демон bdflush имел всего один поток выполнения. Это приводило к возможности зависания демона при большом количестве операций
4. Группы ключевых процессов для уровня 5: оптимизирующий уровень Предотвращение дефектов
4. Группы ключевых процессов для уровня 5: оптимизирующий уровень Предотвращение дефектов Цель 1. Планирование работ по предотвращению дефектов.Цель 2. Поиск и выявление общих причин возникновения дефектов.Цель 3. Определение приоритетов для общих причин возникновения
Как избежать обмана при приеме на работу в Интернете
Как избежать обмана при приеме на работу в Интернете Интернет позволяет искать работу не отходя от компьютера и работать на дому. Оба этих случая не остались без внимания мошенников. Первый способ напоминает «нигерийские» письма. Объекту предлагается
6.2.3. Прозрачность и предотвращение избыточной защищенности
6.2.3. Прозрачность и предотвращение избыточной защищенности Близким родственником присутствующей в среде программистов тенденции создавать чрезмерно сложные нагромождения абстракций является стремление чрезмерно оберегать остальных от низкоуровневых деталей.
6.2.3. Прозрачность и предотвращение избыточной защищенности
6.2.3. Прозрачность и предотвращение избыточной защищенности Близким родственником присутствующей в среде программистов тенденции создавать чрезмерно сложные нагромождения абстракций является стремление чрезмерно оберегать остальных от низкоуровневых деталей.
Глава 6. Прочие виды обмана и выманивания денег
Глава 6. Прочие виды обмана и выманивания денег В данной главе мы расскажем еще о нескольких распространенных способах мошенничества, которым не нашлось места в предыдущих главах
Способы обмана в мобильных сетях Максим Букин
Способы обмана в мобильных сетях Максим Букин Опубликовано 09 июля 2010 года Практически каждый месяц появляются новые способы мобильного мошенничества. В последнее время активизировались любители рассылать SMS-спам по десяткам тысяч номеров в
Кивино гнездо: Человек против обмана Берд Киви
Кивино гнездо: Человек против обмана Берд Киви Опубликовано 05 июля 2010 года В стенах Компьютерной лаборатории Кембриджского университета прошел очередной ежегодный форум SHB 2010, или развернуто «Третий междисциплинарный семинар по безопасности и
Эффект обмана
Эффект обмана Атаки фальсификации могут обладать большой разрушительной силой, и не только в компьютерных сетях. Вот что пишет Дорон Гелар (Doron
Классический случай обмана
Классический случай обмана Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и
Предотвращение обмана
Предотвращение обмана Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат
Предотвращение обмана
Предотвращение обмана Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры.Защитите ваших клиентовВ
Предотвращение обмана
Предотвращение обмана Один из наиболее мощных трюков социального инженера включает «перевод стрелок». Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом чудесным образом ее решает, обманом заставляя жертву предоставить доступ к
Предупреждение обмана
Предупреждение обмана Симпатия, вина и запугивание-это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных
Предотвращение обмана
Предотвращение обмана Атаки социальных инженеров могут стать еще более деструктивными, когда атакующий использует элементы технологии. Предотвращение этого вида атаки обычно включает в себя меры безопасности на человеческом и технологическом уровне.Просто скажи
Предотвращение отказа от участия в обмене информацией
Предотвращение отказа от участия в обмене информацией Сервис предотвращения отказа от участия в обмене информацией генерирует электронные доказательства времени подписания или передачи данных и аутентификации источника данных, которые могут использоваться для того,