Предотвращение обмана
Предотвращение обмана
Когда спрашивают любую ценную, чувствительную, или критически важную информацию, которая может сослужить выгоду конкуренту или кому угодно еще, сотрудники должны быть осведомлены, что использование услуги “caller ID” в смысле подтверждения личности звонящего извне недопустимо. Некоторые другие средства подтверждения должны быть использованы, такие как сверка с куратором того человека по поводу того, что запрос был соответствующим, и что у пользователя есть авторизация для получения информации.
Процесс проверки требует балансировочного акта, который каждая компания должна определить для себя: безопасность против продуктивности. Какой приоритет будет назначен для усиления мер безопасности? Будут ли сотрудники сопротивляться следованию процедур безопасности, и даже обходить их в порядке дополнения к их рабочим обязанностям? Понимают ли сотрудники почему безопасность важна для компании и для них самих? На эти вопросы должны быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной культуре и деловых нуждах.
Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через обучение и осведомленность – это и есть ключ.
И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для голосовых звонков извне компании, другой метод, называемый Автоматическим Определением Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и надежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не использует любого рода информацию, которая посылается от потребителя когда предоставляется номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назначенным звонящей стороне.
Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их продукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера аутентификации в низко-безопасном окружении, но, как уже должно быть ясно, подмена caller ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна служить опорой для подтверждения личности звонящего или местнонахождения в обстановке высокой безопасности.
Чтобы адресовать случай с воровством личности, как в истории с обманом администратора для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую политику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоративный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письменном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а администратор голосовой почты должен проверить подпись.
Корпоративная политика безопасности должна требовать, чтобы все компьютерные аккаунты или повышения прав доступа предоставлялись только после положительной верификации персоны, осуществляющей запрос, такими путями, как перезвон системному менеджеру или администратору, или его/ее поверенному, по телефонному номеру, указанному в печатном или онлайновом справочнике. Если компания использует защищенную электронную почту, где сотрудники могут подписывать сообщения Электронной Цифровой Подписью, такой альтернативный метод верификации тоже может быть допустимым.
Помните, что каждый сотрудник, независимо от того имеет ли он доступ к компьютерным системам компании, может стать жертвой обмана социального инженера. Каждый должен быть включен в тренинги осведомления о безопасности. Асситенты администратора, регистраторы, телефонные операторы и охранники должны быть знакомы с теми типами атак социального инжениринга, которые более вероятно будут направлены против них, так что они будут лучше подготовлены к защите от этих атак.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Предотвращение перегруженности: для чего нужны несколько потоков
Предотвращение перегруженности: для чего нужны несколько потоков Один из главных недостатков решения на основе демона bdflush состоит в том, что демон bdflush имел всего один поток выполнения. Это приводило к возможности зависания демона при большом количестве операций
4. Группы ключевых процессов для уровня 5: оптимизирующий уровень Предотвращение дефектов
4. Группы ключевых процессов для уровня 5: оптимизирующий уровень Предотвращение дефектов Цель 1. Планирование работ по предотвращению дефектов.Цель 2. Поиск и выявление общих причин возникновения дефектов.Цель 3. Определение приоритетов для общих причин возникновения
Как избежать обмана при приеме на работу в Интернете
Как избежать обмана при приеме на работу в Интернете Интернет позволяет искать работу не отходя от компьютера и работать на дому. Оба этих случая не остались без внимания мошенников. Первый способ напоминает «нигерийские» письма. Объекту предлагается
6.2.3. Прозрачность и предотвращение избыточной защищенности
6.2.3. Прозрачность и предотвращение избыточной защищенности Близким родственником присутствующей в среде программистов тенденции создавать чрезмерно сложные нагромождения абстракций является стремление чрезмерно оберегать остальных от низкоуровневых деталей.
6.2.3. Прозрачность и предотвращение избыточной защищенности
6.2.3. Прозрачность и предотвращение избыточной защищенности Близким родственником присутствующей в среде программистов тенденции создавать чрезмерно сложные нагромождения абстракций является стремление чрезмерно оберегать остальных от низкоуровневых деталей.
Глава 6. Прочие виды обмана и выманивания денег
Глава 6. Прочие виды обмана и выманивания денег В данной главе мы расскажем еще о нескольких распространенных способах мошенничества, которым не нашлось места в предыдущих главах
Способы обмана в мобильных сетях Максим Букин
Способы обмана в мобильных сетях Максим Букин Опубликовано 09 июля 2010 года Практически каждый месяц появляются новые способы мобильного мошенничества. В последнее время активизировались любители рассылать SMS-спам по десяткам тысяч номеров в
Кивино гнездо: Человек против обмана Берд Киви
Кивино гнездо: Человек против обмана Берд Киви Опубликовано 05 июля 2010 года В стенах Компьютерной лаборатории Кембриджского университета прошел очередной ежегодный форум SHB 2010, или развернуто «Третий междисциплинарный семинар по безопасности и
Эффект обмана
Эффект обмана Атаки фальсификации могут обладать большой разрушительной силой, и не только в компьютерных сетях. Вот что пишет Дорон Гелар (Doron
Классический случай обмана
Классический случай обмана Какая самая большая угроза безопасности ваших деловых активов? Ответ прост – это социальный инженер – нечестный фокусник, который заставляет вас смотреть на его левую руку, пока правой ворует ваши секреты. Этот персонаж часто так дружелюбен и
Предотвращение обмана
Предотвращение обмана Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат
Предотвращение обмана
Предотвращение обмана Какими мерами может воспользоваться ваша организация, чтобы уменьшить вероятность, что социальные инженеры воспользуются преимуществом над природными инстинктами ваших служащих, чтобы поверить людям? Вот некоторые меры.Защитите ваших клиентовВ
Предотвращение обмана
Предотвращение обмана Один из наиболее мощных трюков социального инженера включает «перевод стрелок». Это именно то, что вы видели в этой главе. Социальный инженер создает проблему, а потом чудесным образом ее решает, обманом заставляя жертву предоставить доступ к
Предупреждение обмана
Предупреждение обмана Симпатия, вина и запугивание-это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных
Предотвращение обмана
Предотвращение обмана Атаки социальных инженеров могут стать еще более деструктивными, когда атакующий использует элементы технологии. Предотвращение этого вида атаки обычно включает в себя меры безопасности на человеческом и технологическом уровне.Просто скажи
Предотвращение отказа от участия в обмене информацией
Предотвращение отказа от участия в обмене информацией Сервис предотвращения отказа от участия в обмене информацией генерирует электронные доказательства времени подписания или передачи данных и аутентификации источника данных, которые могут использоваться для того,