Отправляет email-рассылки с помощью сервиса Sendsay

Социальная инженерия

  Все выпуски  

Социальная инженерия Предотвращение обмана


Ведущий рассылки Андрей Луда – предприниматель, личный тренер, специалист в области современного развития человека и организаций.

 

«Если я видел дальше других, то только потому, что стоял на плечах гигантов». Исаак Ньютон

 

Если у вас есть проблема в жизни, и вам нужна помощь, пишите по адресу rasvopros@mail.ru с пометкой «проблема» в теме письма.

 

Здравствуйте, друзья.

 

Твитер http://twitter.com/andrey_luda

Фейсбук http://www.facebook.com/andrej.luda

Вконтакте http://vk.com/andrey_luda

 

Продолжаем изучение книги Кевина Митника и Вильяма Саймона «Искусство обмана».

 

Предотвращение обмана

 

Ваша компания ответственна за то, чтобы предупредить работников насколько серьёзной может быть выдача непубличной информации. Хорошая продуманная информационная политика безопасности вместе с надлежащим обучением и тренировками улучшат понимание работников о надлежащей работе с корпоративной бизнес информацией. Политика классификации данных поможет вам осуществить надлежащий контроль за раскрытием информации. Без политики классификации данных вся внутренняя информация должна рассматриваться как конфиденциальная, если не определено иначе.

Примите к сведению эти шаги для защиты вашей компании от распространения кажущейся безвредной информации:

Отдел информационной защиты должен проводить обучения, детализуя методы, используемые социальными инженерами. Один метод, описанный выше, касается получения кажущейся нечувствительной информации и использование её для получения краткосрочного доверия. Каждый работник должен знать, что когда у звонящего есть знания о процедурах компании, лексике и внутренних идентификаторах, он должен подтвердить личность звонящего или получить от него разрешение на получение того, что он хочет. Звонящий может быть обычным работником или подрядчиком с необходимой внутренней информацией. Соответственно, на каждой корпорации лежит ответственность за определение соответствующего опознавательного метода, для использования в случаях, когда работники взаимодействуют с людьми, которых не могут узнать по телефону.

Человек или люди, ответственные за составление политики классификации данных, должны исследовать типы данных, которые кажутся безвредными и могут быть использованы законными служащими для получения доступа, но могут привести к получению важной информации. Хотя вы никогда не открыли бы коды доступа к вашей карте ATM, вы сказали бы кому-нибудь, какой сервер вы используете для разработки программных продуктов? Может ли кто-нибудь, притворяющийся кем то с законным доступом к корпоративной сети, использовать эту информацию?

Иногда одно только знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым. Часто атакующий полагается на это общее неправильное представление, чтобы добиться согласия его/её жертвы. Например, Merchant ID – это идентификатор, который люди из Отдела Новых Счетов банка небрежно используют каждый день. Но такой идентификатор то же самое, что пароль. Если каждый работник будет понимать природу этого идентификатора, что он предназначен для подтверждения подлинности, он будет относиться к нему с большим уважением.

 

 

Продолжение в следующем выпуске…

 

 

Твитер http://twitter.com/andrey_luda

Фейсбук http://www.facebook.com/andrej.luda

Вконтакте http://vk.com/andrey_luda

 

Поучать может каждый, но стоит ли доверять этим поучениям.

 

Если у вас есть проблема в жизни, и вам нужна помощь, пишите по адресу rasvopros@mail.ru с пометкой «проблема» в теме письма.

 

Все представленные материалы носят ИСКЛЮЧИТЕЛЬНО ознакомительный (образовательный) характер. Некоторые материалы взяты из открытых источников в сети или были присланы подписчиками. Если Вы посчитали, что Ваши авторские права были нарушены - сообщите, и мы вместе постараемся придти к обоюдоприемлемому решению. Обладатели авторских прав на материалы, опубликованные в рассылке, выступающие против их дальнейшего размещения и распространения могут обратиться с просьбой об их удалении.

 

Copyright Андрей Луда, 2006-2017 г.г. Автор оставляет за собой право отвечать не на все полученные письма и опубликовывать полностью или частично, полученные письма без предварительного согласования. В случае, если Вы желаете свое письмо оставить конфиденциальным, письменно сообщите об этом.

Заранее благодарю Вас.


В избранное