Здавалка
Главная | Обратная связь

Проникновение через защитные системы



Политика: Сотрудники, проходящие в защищенное помещение не должны позволять неизвестным людям проходить следом за ними, в случае если для проникновения в помещение используется ключ.

Пояснения/заметки:Сотрудники компании должны понимать, что не является грубостью требовать от неизвестных людей удостоверения их личности перед тем, как помочь им пройти в здание или защищенную зону.

Социальные инженеры часто пользуются техникой, известной как piggybacking, когда они сначала ожидают какого-либо сотрудника, проходящего в защищенную зону, и затем просто проходят следом. Большинство людей чувствуют себя неловко, предполагая что вошедший является законным сотрудником, и не требуют от него подтверждения личности. Другая подобная техника заключается в том, что социальный инженер берет несколько коробок, в то время как ничего не подозревающий сотрудник открывает дверь чтобы помочь.

Уничтожение важных документов

Политика:Важная документация, утратившая необходимость должна быть измельчена в уничтожителе; другие носители информации, включая жесткие диски, когда либо содержащие важную информацию должны быть уничтожены в соответствии с процедурами, установленными ответственной группой.

Пояснения/заметки:Обычные уничтожители некачественно выполняют свою работу, в то время как перекрестные (cross-shredders) превращают документы в пыль. Представьте, как ваши главные конкуренты могли бы копаться в выброшенных материалах, пытаясь найти что либо выгодное для себя.

Промышленные шпионы и компьютерные взломщики часто обнаруживают ценную информацию в составе мусора. Были случаи, когда конкуренты подкупали уборщиков чтобы те предоставили им материалы «из корзины».

Персональные идентификаторы

Политика: Персональные данные, такие как табельный номер, номер социального страхования, номер водительского удостоверения сотрудника, дата и место его рождения и даже девичья фамилия матери никогда не должны использоваться как данные для проверки доступа. Эти данные не являются секретными и могут быть получены множеством способов.

Пояснения/заметки:Социальный инженер может добыть персональную информацию за деньги. На самом деле, несмотря на всеобщее мнение, любой человек с кредитной картой и доступом в Интернет может получить некоторые личные данные. Но не смотря на опасность, банки и сервисные компании часто используют эти идентификаторы. И это - одна из причин, из-за которых похищение личности - самое быстро растущее преступление десятилетия.

Схема предприятия

Политика: Детали, показанные на схеме внутреннего устройства компании не должны предоставляться никому, кроме сотрудников.

Пояснения/заметки:Информация о корпоративной структуре включает схемы предприятия, иерархические диаграммы, списки сотрудников, отчетные структуры, внутренние телефонные номера, номера сотрудников, и др.

На первом этапе социнженерной атаки целью является собрать информацию о структуре атакуемой компании. Эта информация затем используется для составления плана и стратегии атаки. Атакующий может также проанализировать эту информацию чтобы определить кто из сотрудников с наибольшей вероятностью владеет необходимой ему информацией. В процессе проведения атаки подобная информация позволяет атакующему выдать себя за действительного сотрудника, повышая свои шансы на успех.







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.