Программы для противостояния социальной инженерии

Вот несколько основных моментов, которые необходимо учитывать при разработке программ:

• Надо разработать четкий план действий для сотрудников в случае обнаружения атаки социальной инженерии.

Мы отсылаем читателей к обширному списку политик безопасности, приведенных в «Искусстве обмана». Из них надо выбрать те, которые подходят именно вам. После того, как компания выбрала нужные процедуры и внедрила их в жизнь, эта информация должна быть выложена на сайте компании, чтобы она была постоянно доступна для сотрудников. Еще один прекрасный ресурс — это учебный курс Чарльза Крессона Вуда по разработке политик информационной безопасности «Information Security Policies Made Easy» (San Jose, CA: Baseline Software, 2001).

• Надо разработать простые правила для сотрудников, позволяющие определять, какая информация является важной для компании.

Поскольку мы обрабатываем информацию в случайном режиме большую часть времени, нужно разработать простые правила безопасности, которые отслеживают все запросы к важной информации (такой, как конфиденциальная бизнес‑информация или индивидуальные пароли). После того, как сотрудник осознал, что произошел запрос о важной информации или о некотором компьютерном действии, он должен свериться с принятым руководством по политике безопасности, чтобы определить верный алгоритм процедуры, которому надо следовать.

Кроме того, важно осознать и донести до сотрудников, что даже информация, которая не считается особенно важной, может быть полезной социальному инженеру, собирающему крупицы информации, внешне бесполезной, но которую он может использовать для создания атмосферы доверия и симпатии. Имя менеджера или название важного проекта компании, место нахождения команды разработчиков, имя сервера, которым пользуются сотрудники, имя, которым назван секретный проект — все это важно, и каждой компании нужно определить необходимую степень защиты от возможных угроз безопасности.

Есть несколько наглядных примеров информации, которая на первый взгляд не является важной, но может использоваться атакующим. В книге «Искусство обмана» описано несколько сценариев, которые могут быть полезны преподавателям для подтверждения этой мысли.

• Надо видоизменить правила вежливости — научиться правильно отвечать «Нет!»

Большинство из нас чувствует себя неловко, когда приходится отвечать «нет» другим людям. (Некоторые современные технологические продукты разработаны в расчете на людей, которые слишком вежливы для того, чтобы отказаться от назойливой телефонной рекламы. Когда рекламный агент звонит, пользователь нажимает на « * » и кладет трубку на рычаг; после этого приятный голос говорит звонящему: «Извините, пожалуйста, но я должен сообщить вам, что мы с большим сожалением отвергаем ваше предложение». Больше всего в этой фразе мне нравятся слова «с большим сожалением». Интересно и то, что множество людей приобретают себе электронное устройство, которое говорит «нет» вместо них. Вы лично согласились бы заплатить некоторую цену за устройство, которое оградит вас от отрицательных эмоций в процессе произнесения слова «нет»?)

Программа компании по противодействию атакам социальной инженерии одной из задач должна ставить изменение норм вежливости. Новое поведение должно состоять в умении вежливо отклонить запрос о важной информации, пока не будет установлена личность запрашивающего и его право на доступ к этой информации. Например, надо научить всех отвечать так: «Как сотрудники нашей компании, мы оба знаем, насколько важно следовать протоколам безопасности. Поэтому мы оба понимаем, что я должен проверить ваш допуск перед тем, как выполнить ваш запрос».

• Разработать процедуры для проверки личности человека и его авторизации.

Для каждого бизнеса должен быть разработан процесс проверки личности и авторизации людей, запрашивающих информацию или требующих каких‑то действий от сотрудников компании. Процесс проверки в любой ситуации должен зависеть от важности информации или запрашиваемых действий. При этом нужно увязывать требования безопасности с бизнес‑процессами.

Тренинг должен научить сотрудников идентифицировать людей не только самыми простыми методами, вроде взгляда на визитную карточку, — что использовал Урли в нашей истории, но и более серьезные. (Вспоминается один персонаж Джеймса Гарнера в детективной серии «Файлы Рокфорда» девяностых годов, у которого в машине был специальный принтер для визитных карточек, так что он мог снабдить себя любой, какая ему потребуется).

В нашей книге «Искусство обмана» была приведена процедура идентификации. • Получить поддержку руководства кампании

Это звучит почти банально: любая важная инициатива в компании начинается с того, что ее должно активно поддерживать руководство. Есть лишь несколько корпоративных сфер, в которых подобная поддержка так важна, как в области безопасности, и важность последней возрастает еще более оттого, что она непосредственно не влияет на прибыль компании и потому ей часто отводится одно из последних мест в стратегии компании.

В общем, для обеспечения безопасности нужны усилия всей компании, начиная, естественно, с ее руководства.

В специальном документе руководители компании должны высказать два четких положения по этому поводу. Сотрудники никогда не должны получать от руководства указаний обойти протокол безопасности. Ни один сотрудник не должен быть наказан за то, что будет следовать протоколу безопасности, даже если он получил от руководства указание нарушить его.

Наши рекомендации