Не забывайте ни о ком
Правила безопасности имеют тенденцию упускать из виду сотрудников низкого уровня, людей, подобно служащих приемной, которые не оперируют секретной корпоративной информацией. Мы видим повсюду, что секретари являются наиболее распространенной мишенью для атакующих, а история с проникновением в компанию, торгующую автозапчастями, показывает нам еще один пример: вежливый человек, профессионально одетый и представляющийся работником компании из другого представительства, на самом деле может таковым не являться. Секретари должны быть хорошо обучены правилу вежливо спрашивать удостоверения личности компании, когда это необходимо, и подобное обучение должно проводиться не только с основными секретарями, но и с любыми сотрудниками, являющимися помощниками секретарей во время обеденных перерывов и кофе-брейков. Для посетителей, не являющихся сотрудниками компании, правила должны устанавливать требование предъявления каких-либо удостоверений личности с фотографией и фиксации информации в специальных журналах регистрации. Хотя совершенно не сложно сделать фальшивое удостоверение, по крайней мере, просьба предъявить удостоверение может усложнить задачу потенциальному атакующему. В некоторых компаниях правилами принято провожать посетителей из вестибюля на встречу. Правила также должны устанавливать, чтобы сопровождающий сообщил тому сотруднику, к которому пришел посетитель, что этот посетитель является или не является сотрудником компании. Почему это важно? Потому что, как мы видели в предыдущих историях, атакующий часто предстает перед первым человеком в одной маске, а перед вторым представляется совершенно другим именем. Для атакующего является очень простой задачей убедить секретаря в приемной, что у него назначена встреча, скажем, с инженером, и после того, как его проводят в кабинет инженера, он представляется сотрудником компании, которая собирается предложить какой-либо продукт этой компании; а затем, после встречи с инженером, он имеет свободный доступ в помещения здания. Перед тем, как допустить внешнего сотрудника, не работающего непосредственно в этом представительстве компании, в здание, необходимо выполнить соответствующие процедуры удостоверения личности этого сотрудника; секретари приемной и охрана должны быть знакомы с методами, которыми пользуются атакующие, выдавая себя за сотрудников компании с целью получения доступа в здание. А как насчет защиты от атакующего, который под каким либо предлогом проникает в здание и подключает свой ноутбук к сетевому порту внутри зоны действия корпоративного брандмауэра? Современные технологии позволяют защититься от этого: в переговорных комнатах, комнатах для проведения обучения и других подобных помещениях сетевые порты должны защищаться локальными брандмауэрами или маршрутизаторами. Но еще лучшим способом защиты в таких случаях является удостоверение личности любого пользователя, подключающегося к локальной сети. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|