Краткое описание безопасности в организации — КиберПедия 

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой...

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰)...

Краткое описание безопасности в организации



 

Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.

 

Определение атаки

 

Эти таблицы помогут вам обнаружить атаку социального инженера.

 

Действие

ОПИСАНИЕ

Исследование

Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.

 

Создание взаимопонимания и доверия

Использование внутренней информации, выдача себя за другую личность, называние имен людей, знакомых жертве, просьба о помощи, или начальство.

 

Эксплуатация доверия

Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.

 

Применение информации

Если полученная информация — лишь шаг к финальной цепи, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.

 

Типичные методы действий социальных инженеров

Представляться другом-сотрудником

Представляться сотрудником поставщика, партнерской компании, представителем закона

Представляться кем-либо из руководства

Представляться новым сотрудником, просящим о помощи

Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.

Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи

Отправлять бесплатное ПО или патч жертве для установки

Отправлять вирус или троянского коня в качестве приложения к письму

Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль

Записывание вводимых жертвой клавиш компьютером или программой

Оставлять диск или дискету на столе у жертвы с вредоносным ПО

Использование внутреннего сленга и терминологии для возникновения доверия

Предлагать приз за регистрацию на сайте с именем пользователя и паролем

Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки

Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании

Просить секретаршу принять, а потом отослать факс

Просить отослать документ в место, которое кажущееся локальным



Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник

Притворяться, что он из удаленного офиса и просит локального доступа к почте.

 

Предупреждающие знаки атаки

Отказ назвать номер

Необычная просьба

Утверждение, что звонящий — руководитель

Срочность

Угроза негативными последствиями в случае невыполнения

Испытывает дискомфорт при опросе

Называет знакомые имена

Делает комплименты

Флиртует

 

Типичные цели атакующих

 

ТИП ЖЕРТВЫ

ПРИМЕРЫ

 

Незнающая о ценности информации

Секретари, телефонистки, помощники администрации, охрана.

 

Имеющая особенные привилегии

Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем.

 

Поставщик/ Изготовитель

Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты.

 

Особый отдел

Бухгалтерия, отдел кадров.

 

Факторы, делающие компанию более уязвимой к атакам

Большое количество работников

Множество филиалов

Информация о местонахождении сотрудников на автоответчике

Информация о внутренних телефонах общедоступна

Поверхностное обучение правилам безопасности

Отсутствие системы классификации информации

Отсутствие системы сообщения об инцидентах

 

Проверка и классификация информации

 

Эти таблицы и списки помогут вам ответить на просьбы или действия, которые могут быть атакой социального инженера.

 

Подтверждение личности

 

ДЕЙСТВИЕ

ОПИСАНИЕ

 

Идентификационный номер звонящего

Убедитесь, что звонок— внутренний, и название отдела соответствует личности звонящего.

 

Перезвонить

Найдите просящего в списках компании и перезвоните в указанный отдел.

 

Подтвердить

Попросите доверенного сотрудника подтвердить личность просящего.



 

Общий секрет

Спросите известный только в фирме секрет, к примеру пароль или ежедневный код.

 

Руководитель или менеджер

Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность.

 

Безопасная почта

Попросите отправить сообщение с цифровой подписью.

 

Узнавание голоса

Если звонящий знаком, убедитесь, что это его голос.

 

Меняющиеся пароли

Спросите динамический пароль вроде Secure ID, или другое аутентификационное средство.

 

Лично

Попросить звонящего прийти с удостоверением личности.

 






Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций...

Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначен­ные для поддерживания проводов на необходимой высоте над землей, водой...

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...

Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...





© cyberpedia.su 2017 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав

0.008 с.