Искусство обмана
Добавить в закладки К обложке
- Неопубликованная глава - Страница 1
- Рассказ Кевина - Страница 2
- Финальные выводы - Страница 7
- Введение - Страница 8
- Предисловие - Страница 9
- С чего всё начиналось - Страница 10
- От телефонного фрикинга к хакингу - Страница 11
- Становление социальным инженером - Страница 12
- Финальные выводы - Страница 13
- Вступление - Страница 14
- Глава 1: Самое слабое звено в безопасности - Страница 15
- Человеческий фактор - Страница 16
- Классический случай обмана - Страница 17
- Характер угрозы - Страница 19
- Злоупотребление доверием - Страница 20
- Террористы и обман - Страница 21
- Об этой книге - Страница 22
- Глава 2: Когда безвредная информация опасна - Страница 23
- Скрытая ценность информации - Страница 24
- CREDITCHEX - Страница 25
- Частный сыщик в действии - Страница 26
- Западня для инженера - Страница 28
- Ещё одна «ничего не стоящая» информация - Страница 30
- Предотвращение обмана - Страница 31
- Глава 3: Прямая атака: просто попроси - Страница 33
- Случай с центром назначения линий - Страница 34
- Юноша в бегах - Страница 35
- На пороге - Страница 36
- Заговаривание зубов (Отвлекающая болтовня) - Страница 37
- Глава 4: Внушая доверие - Страница 39
- Доверие: ключ к обману - Страница 40
- Вариации по теме: Сбор кредитных карт - Страница 42
- Одноцентовый сотовый телефон - Страница 44
- Взлом федералов - Страница 45
- Предотвращение обмана - Страница 47
- Глава 5: «Разрешите Вам помочь» - Страница 48
- Неполадки в сети - Страница 49
- Немного помощи для новенькой девушки. - Страница 52
- Не так безопасно, как думаешь - Страница 54
- Предотвращение обмана - Страница 59
- Глава 6: «Не могли бы Вы помочь?» - Страница 61
- Чужак - Страница 62
- Неосторожный руководитель - Страница 65
- Глава 7: Фальшивые сайты и опасные приложения - Страница 70
- «Не желаете ли вы бесплатно …?» - Страница 71
- Сообщение от друга - Страница 73
- Вариации по теме - Страница 74
- Вариации по вариации - Страница 76
- Глава 8: Используя чувство симпатии, вины и запугивание - Страница 79
- Визит в студию - Страница 80
- «Сделайте это сейчас» - Страница 81
- «Мистер Бигг хочет это» - Страница 83
- Что знает о вас администрация общественной безопасности - Страница 84
- Один простой звонок - Страница 86
- Полицейский набег - Страница 88
- Переводя стрелки - Страница 90
- Предупреждение обмана - Страница 92
- Глава 9: Ответный удар - Страница 94
- Исскуство дружелюбного убеждения - Страница 95
- Глава 11: Сочетая технологию и социальную инженерию - Страница 102
- Взлом решетки - Страница 103
- Быстрое скачивание - Страница 107
- Легкие деньги - Страница 108
- Словарь как орудие атаки - Страница 111
- Предотвращение обмана - Страница 114
- Глава 13: Умные мошенники - Страница 116
- Несоответствующий “Caller ID” - Страница 117
- Вариация: Звонит президент Соединенных Штатов - Страница 119
- Невидимый сотрудник - Страница 121
- Полезный секретарь - Страница 122
- Суд по делам дорожного движения - Страница 123
- Возмездие Саманты - Страница 125
- Предотвращение обмана - Страница 127
- Глава 14: Промышленный шпионаж - Страница 128
- Глава 15: Знание об информационной безопасности и тренировки - Страница 129
- Обеспечение безопасности с помощью технологии, тренировки и процедуры - Страница 130
- Понимание того, как атакующий может воспользоваться человеческой природой - Страница 131
- Создание тренировочных и образовательных программ - Страница 133
- Тестирование - Страница 136
- Поддержание бдительности - Страница 137
- «Зачем мне все это?» - Страница 138
- Краткое описание безопасности в организации - Страница 139
- Определение атаки - Страница 140
- Проверка и классификация информации - Страница 141
Создание тренировочных и образовательных программ
Выпуская брошюру политик информационной безопасности или направляя рабочих на Интранет-страницу с этими правилами, но которая не содержит простого разъяснения деталей, вы уменьшаете риск. Каждый бизнес должен не только иметь прописные правила, но и побуждать (заставлять) старательно изучить и следовать этим правилам всех , кто работает с корпоративной информацией или компьютерной системой. Более того, вы должны убедиться, что все понимают причину принятия того или иного положения этих правил, поэтому они не попытаются обойти эти правила ради материальной выгоды. Иначе незнание всегда будет отговоркой рабочих и совершенно точно, что социальный инженер воспользуется этим незнанием.
Главная цель любой обучающей программы состоит в том, чтобы заставить людей сменить их поведение и отношение, мотивировать их желание защитить и сохранить свою часть информации организации. Хорошим мотивом тут будет демонстрация того, как за их участие будет вознаграждена не сама компания, а конкретные сотрудники. Начиная с того момента, когда компания начнет сохранять определенную персональную информацию о каждом работнике, а рабочие будут выполнять свою часть по защите информации и информационных сетей, то и эта персональная информация будет также надежно сокрыта.
Программа тренировки безопасности требует прочной поддержки. Для тренировочных занятий нужно, чтобы каждый, кто имеет доступ к важной информации или компьютерной информационной системе, не должен быть пассивен, должен постоянно исправляться, совершенствоваться, «натаскивая» персонал на новые угрозы и уязвимости. Это обязательство должно быть реальным делом, а не пустой отговоркой «ну и Бог с ним». А также программа должна быть подкреплена достаточными ресурсами для разработки, взаимодействия, тестирования — вот чем определяется успех.
Цели
Основным направлением, которого следует придерживаться при разработке программы по тренингу и защите информации, является фокусировка на мысли, что они могут подвергнуться нападению в любое время. Они должны заучить свою роль в защите от любой попытки проникновения в компьютерную систему или кражи важных данных.
Так как многие аспекты информационной безопасности являются «вовлекающей» технологией, то сотрудникам легко представить, что проблема обнаружится файерволом или другими средствами защиты. Главная цель здесь — заставить находящихся на ответственных местах сотрудников осознать, как усилить информационную «броню» организации.
Тренинг по безопасности должен быть более важной целью, чем простые правила для ознакомления. Создатель тренинга должен признать сильное желание части сотрудников, которые под давлением желания окончить работу не обратят внимание или проигнорируют обязанности по обеспечению защиты. Знание тактик и приемов социнженерии и пути их предотвращения безусловно важны, но они будут бесполезны без фокусирования создателя тренинга на мотивации работников использовать эти знания.
Компания может считать цель достигнутой, если все ее сотрудники свыкнуться с мыслью, что защита информации — часть их работы.
Сотрудники должны прийти к серьезному убеждению, что атаки социальной инженерии реальны, что потеря важной корпоративной информации может угрожать не только компании, но персонально каждому из них, их работе и благосостоянию. Не заботиться об информационной безопасности эквивалентно не заботиться о своем PIN-коде или номере кредитной карты. Эту аналогию можно использовать, чтобы вызвать энтузиазм в тренинге со стороны подчиненных.
Учреждение обучающего тренинга
Ответственный за разработку программы информационной безопасности должен свыкнуться с мыслью, что это не проект «один размер на всех». В некоторой степени данный тренинг нуждается в выработке специфических требований для отдельных групп сотрудников, участвующих в делопроизводстве. В то время как описанные в главе 16 политики безопасности применимы ко всем без исключения работникам, другие уникальны. По минимуму, большинство компаний должно иметь в своем арсенале тренинги для следующих групп персонала: менеджеры, IT-сотрудники, пользователи ПК, обслуживающий персонал, администраторы и их ассистенты, техники связи, охранники. (Смотри деление полиции по роду занятий в главе 16.)
Начнем с персонала отдела технической безопасности: удивительно надеяться на неопытность в компьютерах и на ограниченность его сотрудников, которые не будут, как вам кажется, входить в контакт с другими компьютерами компании и экспериментировать — обычно это упускается из внимания при подготовке программы этого типа. Также социнженер может убедить охрану или другого работника впустить его в здание, или офис, или предоставить доступ, результатом которого станет компьютерное проникновение. Проще говоря — взлом. Пока охранники конечно не нуждаются в прохождении полного курса тренировочной программы, которая необходима персоналу, непосредственно работающему с компьютерами, но и они недолжны быть забыты.
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141