Служебная информация специалистами часто называется
Служебная информация специалистами часто называется ценной или чувствительной к разглашению. Я буду употреблять прилагательное служебная, так как термин «служебная информация» сам по себе раскрывает сущность понятия. Ценная информация, в свою очередь – это не классифицирующее понятие, но подходящее определение для конфиденциальных и частных данных. Проще говоря, ценная информация – это любые данные, которые специальным образом не обозначены в качестве общедоступной информации.
Заметьте, что схемы доступа к информации для социоинженера – это как плащ тореодора для быка. Согласитесь, что если на фирме имеет хождение такая схема, то у шпиона возникнет большое желание ее заполучить. А как только злоумышленник получит к ней доступ, компания окажется под ударом.
· Контакт с руководством для подтверждения полномочий. Сотрудник соединяется с менеджером запрашивающего и получает всю необходимую информацию о полномочиях.
· Подтверждение полномочий хранителем информации или другим ответственным лицом. Хранитель информации – ваш судья в вопросах авторизации. Если в информационной (автоматизированной) системе предприятия поддерживаются профайлы служащих, то вы получите права доступа к информации у непосредственного начальника запрашивающего. В любом другом случае начальник обязан руководствоваться комментариями ответственного за эту информацию. Такая цепочка необходима хотя бы для того, чтобы хранитель информации не обременялся подтверждениями на доступ к часто запрашиваемым данным.
· Подтверждение полномочий специальными программными средствами. В крупной компании хорошей практикой является использование информационной системы, разграничивающей доступ к информации. База данных такой системы сопоставляет сотрудников с привилегиями на доступ к той или иной классифицированной информации. Причем сами сотрудники не должны иметь доступ к общему описанию привилегий других пользователей. Вместо этого система, основываясь на введенном имени запрашивающего и идентификаторе категории информации, отвечает, имеет ли инициатор запроса доступ к определенным данным. Таким образом можно избежать ситуации, когда злоумышленник пересоздает список служащих с привилегированными правами на доступ к особо ценной информации.
Тип «задней двери», описываемый здесь, не изменяет login- программу операционной системы. Специальная функция из динамической библиотеки, которую использует login-программа, заменяется, и таким образом создается секретная точка входа. Во многих атаках хакеры заменяют login-программу, но опытные системные администраторы могут обнаружить замену, сравнивая программу с ее копиями в архиве и на других носителях информации.
Я тщательно следовал инструкциям, которые написала для меня Юлия, прежде всего, установить «patch», затем предпринять шаги, чтобы удалить все следы, которые я оставил, создавая аккаунт.
Вскоре компания собиралась начать поставки своей новой операционной системы клиентам - финансовым институтам по всему миру. И каждая разосланная копия содержала бы в себе ту самую лазейку, которую я внедрил в оригинал ОС еще до ее рассылки, эта лазейка позволила бы мне без помех проникнуть в любую компьютерную систему банка или брокерской конторы, которая бы установила у себя эту новую систему.
Естественно, я не чувствовал себя абсолютно спокойным - предстояло сделать еще немало работы. Мне надо было проникнуть во внутреннюю сеть каждого финансового института, который я хотел «посетить». Затем понять, какой из компьютеров используется для перевода денег и разобраться, каким образом это делается.
Но все это я мог сделать с любого компьютера, на берегу Таити, скажем.
Я позвонил охраннику еще раз, поблагодарил его за помощь и сказал, что он может выбросить распечатку.
Джон Ле Карре, автор всемирно известных детективов «Шпион, который вернулся с холода», «Безупречный шпион» и многих других прекрасных книг был сыном респектабельного и успешного мошенника. Ле Карре еще в молодые годы был потрясен тем, что его отец, столь успешный в обмане других людей, не раз становился жертвой мошенничества, как со стороны мужчин, так и женщин. Что демонстрирует, насколько риску обмана со стороны социального инженера подвержен любой человек, даже социальный инженер.
Не все организации располагают достаточными ресурсами для создания программы компетентности собственными силами. Здесь можно порекомендовать воспользоваться услугами специализированных компаний, выйти на которые можно с помощью сайта Secure World Expo (www.secureworldexpo.com).
Программа повышения компетентности в вопросах безопасности не может гарантировать абсолютную неуязвимость. Там где это возможно, используйте технологические средства «глубинной» защиты. Это означает, что некоторые инструменты безопасности должны находиться не в руках сотрудников, а обеспечиваться технологией. Например, средствами операционной системы можно запретить загрузку программ из интернета и установить обязательные правила использования стойких паролей.
Если тренинги безопасности смогли внушить сотруднику, что каждый запрос должен удовлетворять этим двум критериям, то можно считать, что риск социоинженерной атаки резко сократился.
На практике, программа повышения компетентности и тренинги, нацеленные на поведенческие факторы и социоинженерные аспекты, должны включать в себя следующее:
· Описание того, как именно социальные инженеры используют свои навыки в обмане людей.
· Методы социоинженерии.
· Как распознать возможную атаку.
· Процедура обработки подозрительной просьбы.
· К кому обращаться в случае обнаружения социоинженерной атаки.
· Важность получения любой дополнительной информации о подозрительном лице, невзирая на заявленную этим лицом должность или значимость иного рода.
· Нельзя никому доверять в безусловном режиме без соответствующей проверки, даже если следуешь внутреннему позыву.
· Важность процедуры проверки личности, соответствия и привилегий любого запрашивающего информацию или просящего об исполнении некоторого действия.
· Процедуры, направленные на защиту ценной информации, включая принципы работы с существующей системой классификации данных.