Статья: Психология на службе хакеров
Политика безопасности часто не принимает во внимание эту проблему, поскольку предполагается, как правило, что любой, кто получает доступ к ресурсам компании, должен заслуживать доверия.
Одна из самых эффективных мер при работе с мусором — классификация данных. Вы назначаете различные категории информации и определяете, как персонал должен с ними обращаться.
Личностные подходы
Для хакера самый простой путь получения информации — попросить об этом непосредственно. Такой прием может показаться грубым, но это основа мошенничества. В руководстве Microsoft [1] особо выделяется четыре его разновидности:
• Запугивание. Обычно используется имитация полномочий, чтобы принудить адресата исполнить запрос.
• Убеждение. Как правило, при этом используется лесть.
• Использование доверительных отношений. Этот подход требует длительного периода вхождения в доверие к адресату.
• Помощь. Хакер предлагает адресату помощь, в рамках которой необходимо обнародовать личную информацию.
Нападения путем предложения «помощи» могут быть минимизированы, если вы имеете эффективную службу сервисной поддержки. Обращения к неформальному помощнику — часто результат потери доверия к ее услугам. Для предотвращения таких атак необходимо:
• определить в вашей политике безопасности, что служба поддержки — единственное место, куда нужно сообщать о проблемах;
• гарантировать, что служба поддержки имеет стандартизованный процесс реагирования в пределах установленного уровня обслуживания;
• проверять выполнение сервисных работ регулярно, чтобы удостовериться, что пользователи получают ИТ-услуги адекватного уровня.
Нельзя недооценивать важность службы поддержки в обеспечении защиты первого уровня против нападений социальной инженерии.
Услуги ИТ должны отвечать следующим правилам:
• каждое действие технической поддержки должно быть запланировано;
• подрядчики и внутренний персонал, которые осуществляют локальное обслуживание или инсталляцию, должны иметь документы, идентифицирующие личность;
• при проведении работ пользователь должен перезвонить в отдел поддержки, чтобы сообщить время прибытия инженера поддержки и время его ухода.
• каждая работа должна иметь наряд, подписываемый пользователем.
• пользователь никогда не должен обращаться к информации или регистрации на компьютере, чтобы обеспечить доступ инженера (если инженер не имеет достаточных прав доступа, чтобы завершить задачу, он должен войти в контакт с сервисной службой).
Защита помещений
Подавляющее число больших компаний используют инфраструктуры защиты помещений. Компании среднего размера могут быть менее осведомлены о правилах контроля посетителей. Ситуация, в которой посторонний человек следует за кем-то, проходя в офис, является очень простым примером нападения с использованием социальной инженерии. Этот прием нельзя осуществить в большой компании, где каждый человек должен использовать электронный пропуск для прохода через турникет, или в маленькой компании, где каждый знает каждого. Однако это очень просто осуществить в компании с тысячей служащих, которые практически не знают друг друга.
Компания должна организовать вход таким образом, чтобы посетители проходили непосредственно мимо охранника, предъявляя свои пропуска или регистрируясь. Недопустимо скопление посетителей перед охранником, которое может затруднить его работу.
Реверсивная социальная инженерия
Реверсивная социальная инженерия описывает ситуацию, в которой адресат из числа персонала предлагает хакеру информацию, которую он хочет продать. Такой сценарий осуществляется все чаще. Защита от реверсивной социальной разработки — самая трудная задача.
Список литературы
1. How to Protect Insiders from Social Engineering Threats. Midsize Business Security Guidance. Microsoft, 2006. www.microsqft.com
2. APWG Phishing Trends Activity Report for December 2006, http://www.antiphishing.org/reports/ap wg_ report_december_2006.pdf
3. Symantec Internet Security Threat Report. Trends for January 06-June 06. Volume X, Published September 2006. www.symantec.com
4. Secure Computing SecureNews September 2006, http:// www. securecomputing. com/pdf/ SecureNewsSeptember2006.pdf
5. Zulfikar Ramzan. Drive-By Pharming: How Clicking on a Link Can Cost You Dearly, www.symantec.com
Журнал «Директор информационной службы», март 2007