|
Краткое описание безопасности в организации
(Security at a Glance)
Перевод: Daughter of the Night (admin[at]mitnick.com.ru)
Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.
Определение атаки
Эти таблицы помогут вам обнаружить атаку социального инженера.
| ДЕЙСТВИЕ |
ОПИСАНИЕ |
| Исследование |
Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки. |
| Создание взаимопонимания и доверия |
Использование внутренней информации, выдача себя за другую личность , называние имен людей, знакомых жертве, просьба о помощи, или начальство. |
| Эксплуатация доверия |
Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь. |
| Применение информации |
Если полученная информация - лишь шаг к финальной цели, атакующий возвращается к более ранним этапам, пока цель не будет достигнута. |
Типичные методы действий социальных инженеров
- Представляться другом-сотрудником
- Представляться сотрудником поставщика, партнерской компании, представителем закона
- Представляться кем-либо из руководства
- Представляться новым сотрудником, просящим о помощи
- Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.
- Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи
- Отправлять бесплатное ПО или патч жертве для установки
- Отправлять вирус или троянского коня в качестве приложения к письму
- Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль
- Записывание вводимых жертвой клавиш компьютером или программой
- Оставлять диск или дискету на столе у жертвы с вредоносным ПО
- Использование внутреннего сленга и терминологии для возникновения доверия
- Предлагать приз за регистрацию на сайте с именем пользователя и паролем
- Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки
- Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании
- Просить секретаршу принять, а потом отослать факс
- Просить отослать документ в место, которое кажущееся локальным
- Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий - их сотрудник
- Притворяться, что он из удаленного офиса и просит локального доступа к почте.
Предупреждающие знаки атаки
- Отказ назвать номер
- Необычная просьба
- Утверждение, что звонящий - руководитель
- Срочность
- Угроза негативными последствиями в случае невыполнения
- Испытывает дискомфорт при опросе
- Называет знакомые имена
- Делает комплименты
- Флиртует
Типичные цели атакующих
| ТИП ЖЕРТВЫ |
ПРИМЕРЫ |
| Незнающая о ценности информации |
Секретари, телефонистки, помощники администрации, охрана. |
| Имеющая особенные привилегии |
Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем. |
| Поставщик / Изготовитель |
Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты. |
| Особый отдел |
Бухгалтерия, отдел кадров. |
Факторы, делающие компанию более уязвимой к атакам
- Большое количество работников
- Множество филиалов
- Информация о местонахождении сотрудников на автоответчике
- Информация о внутренних телефонах общедоступна
- Поверхностное обучение правилам безопасности
- Отсутствие системы классификации информации
- Отсутствие системы сообщения об инцидентах
Проверка и классификация информации
Эти таблицы и списки помогут вам ответить на просьбы или действия, которые могут быть атакой социального инженера.
Подтверждение личности
| ДЕЙСТВИЕ |
ОПИСАНИЕ |
| Идентификационный номер звонящего |
Убедитесь, что звонок - внутренний, и название отдела соответствует личности звонящего. |
| Перезвонить |
Найдите просящего в списках компании и перезвоните в указанный отдел. |
| Подтвердить |
Попросите доверенного сотрудника подтвердить личность просящего. |
| Общий секрет |
Спросите известный только в фирме секрет, к примеру пароль или ежедневный код. |
| Руководитель или менеджер |
Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность.. |
| Безопасная почта |
Попросите отправить сообщение с цифровой подписью. |
| Узнавание голоса |
Если звонящий знаком, убедитесь, что это его голос. |
| Меняющиеся пароли |
Спросите динамический пароль вроде Secure ID, или другое аутентификационное средство. |
| Лично |
Попросить звонящего прийти с удостоверением личности. |
Проверка, работает ли еще сотрудник
| ДЕЙСТВИЕ |
ОПИСАНИЕ |
| Проверка в списке сотрудников |
Проверьте, что сотрудник находится в списке. |
| Менеджер просителя |
Позвонить менеджеру просителя используя телефон, указанный в базе данных компании. |
| Отдел или группа просителя |
Позвонить в отдел просителя и узнать, работает ли он еще там. |
Процедура, позволяющая узнать, может ли просителя получить информацию
| ДЕЙСТВИЕ |
ОПИСАНИЕ |
| Смотреть список должностей / отделов / обязанностей |
Проверить списки, где сказано, каким сотрудникам разрешено получать подобную информацию. |
| Получить разрешение от менеджера |
Связаться со своим менеджером или менеджером звонящего для получения разрешения выполнить просьбу. |
| Получить разрешение от владельца информации или разработчика |
Спросить владельца информации, надо ли звонящему это знать. |
| Получить разрешение от автоматического устройства |
Проверить базу данных уполномоченного персонала. |
Критерии подтверждения личности людей, не являющихся сотрудниками
| КРИТЕРИЙ |
ДЕЙСТВИЕ |
| Связь |
Убедитесь, что у фирмы просителя есть поставщики, партнеры или другие соответствующие связи. |
| Личность |
Проверьте личность и статус занятости звонящего в его фирме. |
| Неразглашение |
Убедитесь, что просителя подписал договор о неразглашении тайн. |
| Доступ |
Передайте просьбу руководству, если информация классифицирована секретней, чем "Внутренняя". |
Классификация информации
| КЛАССИФИКАЦИЯ |
ОПИСАНИЕ |
ПРОЦЕДУРА |
| Публичная |
Может быть свободно доступна для общественного пользования. |
Не требует подтверждения личности |
| Внутренняя |
Для использования внутри компании |
Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками. |
| Личная |
Информация личного характера, предназначенная для использования только внутри организации. |
Проверьте, является ли просителя сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям, не являющихся сотрудниками. |
| Конфиденциальная |
Известна только людям, которым необходимо это знать внутри организации. |
Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением менеджера, владельца или создателя. Убедитесь, что просителя подписал договор о неразглашении тайн. Только менеджеры могут сообщать что-либо людям, не работающим в фирме. |
|
 |
подробно о проекте
Анализ криптографических сетевых...
