Искусство обмана



              

Предотвращение обмана - часть 2


То, что кто-то хорошо осведомлен, знает установленный в компании порядок или использует внутреннюю терминологию, не означает, что для него не обязательна идентификация по всем пунктам.

·         Сотрудники службы безопасности и системные администраторы не должны сужать фокус своего внимания и думать, что они-то сумеют распознать атакующего. Они также должны быть уверены, что сами следуют принятым в компании правилам, процедурам и порядкам.

·         Паролями и тому подобным, конечно, никогда нельзя обмениваться, но ограничение против коллективного использования еще более важно в отношении временных жетонов безопасности и других форм обеспечения идентификации. Совместное пользование означает невозможность установления, кто же конкретно пользуется учетной записью. И если произойдет инцидент в системе безопасности или что-нибудь еще пойдет неправильно, вы не сможете определить, кто за это отвечает.

·         Как я повторяю снова и снова через всю книгу, работники должны быть знакомы со стратегиями и методами социоинженеров и внимательно анализировать просьбы, которые они получают. Используйте спектакли с разыгрыванием ролей, как стандартную часть тренинга по безопасности, чтобы работники могли прийти к лучшему пониманию действий социоинженера.




Содержание  Назад  Вперед