Comments 12
А что насчет источников? Первая половина (или даже больше) практически дословно присутствует в Википедии. Остальное тоже знакомо, есть ощущение, что где-то читал (возможно как раз у Шнайера). Кстати, упомянутая в прологе книга очень интересна (и читается легко) — рекомендую.
Подтверждаю, что определения взяты из Википедии, в остальном компиляция из источников по тематике (Шнайер, Митник). Ещё рассматривал документы компаний Microsoft и Motorola, которые смог найти в открытом доступе.
Могу сказать, что в документах, создаваемых по этому поводу крупными компаниями в основном речь идёт о построении системы противодействия и системе обучения персонала, поэтому в данном топике указывать не стал.
Если будет интересно, то расскажу в следующем топике про меры противодействия более подробно.
Могу сказать, что в документах, создаваемых по этому поводу крупными компаниями в основном речь идёт о построении системы противодействия и системе обучения персонала, поэтому в данном топике указывать не стал.
Если будет интересно, то расскажу в следующем топике про меры противодействия более подробно.
Если быть до конца откровенным, то первые более-менее грамотные шаги к защите от социальной инженерии появились у западных компаний в 2005-2006 годах.
Большинство российских компаний эту тему игнорирует…
Большинство российских компаний эту тему игнорирует…
Совсем не указано жесткое ограничение прав сотрудников. Не должен имет программист допуска к конфигам системы контроля версий например. Это правило часто нарушается самими организаторами систем безопасности. Такой подход сильно уменьшает масштабы катастрофы.
Обсолютно верно, в отношении больших компаний. Так сказать, принцип наименьшего знания.
Т.е. каждый сотрудник должен иметь доступ только необходимой информации.
Но как быть с более мелкими компаниями, в которых один сотрудник может выполнять несколько
функций, к примеру, совмещать работу программиста и администратора — как следствие, такой человек
обладает заведомо большим количеством знаний. В таком случае, резонно предположить, что мелкая
компания не несет большой ценности. Но так же верно, что может сработать принцип от меньшего к большему, т.е. «поимев» мелкую контору можно получить данные для манипулирования сотрудниками более крупной компании, к примеру головного офиса и т.д.
В целом, человеческий фактор — довольно не однозначная штука…
Т.е. каждый сотрудник должен иметь доступ только необходимой информации.
Но как быть с более мелкими компаниями, в которых один сотрудник может выполнять несколько
функций, к примеру, совмещать работу программиста и администратора — как следствие, такой человек
обладает заведомо большим количеством знаний. В таком случае, резонно предположить, что мелкая
компания не несет большой ценности. Но так же верно, что может сработать принцип от меньшего к большему, т.е. «поимев» мелкую контору можно получить данные для манипулирования сотрудниками более крупной компании, к примеру головного офиса и т.д.
В целом, человеческий фактор — довольно не однозначная штука…
> P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.
Продолжайте. Тема интересна.
Хотелось бы, конечно еще и про атаки более подробно =). Если знаешь как сломать, то в большинстве случаев знаешь как можно защититься =)
Продолжайте. Тема интересна.
Хотелось бы, конечно еще и про атаки более подробно =). Если знаешь как сломать, то в большинстве случаев знаешь как можно защититься =)
Медоты взлома (хотя на сегодняшний день и не очень эффективные) описаны в книге Митника «Искусство обмана». Поскольку я пишу в блоге Информационная безопасность, то не буду рассказывать детально про методики взлома, а лучше расскажу о мерах и методах защиты. Ибо сломать систему можно, поковыряв в одном месте, а защищённой система считается, если она со всех сторон проверена…
1. Все пользовательские пароли являются собственностью компании.
Интересно, а логин «w7062c» является ли собственностью компании Motorola? ;) Ведь по идее вне внутренней сети он не должен быть кому-либо известен…
Пишите еще. В инете мало толковой информации на эту тему. Если в ваших текстах будет что-то новое, основанное на своем опыте, то однозначно пишите. Если только компиляция из всеми прочитанных и перепрочитанных книг по безопасности, которые давно уже стали классикой в определенных кругах, то статья, конечно, будет менее интересна. Но все же интересна. Так что не останавливайтесь.
Sign up to leave a comment.
Краткое введение в социальную инженерию