Защищайте свою сеть
Сотрудники компании должны осознать, что даже название сети или имя сервера - отнюдь не тривиальная информация. Наоборот, владение ей и умелое использование, может помочь атакующему получить доступ к нужной информации.
Особо аккуратными должны быть администраторы баз данных, поскольку они имеют доступ к любой информации и должны руководствоваться особо строгими правилами при общении с людьми, которые просят у них советов или сведений.
Сотрудники отдела технического обслуживания компьютеров должны очень четко знать, какие типы запросов являются подозрительными и могут быть отнесены к атакам социальных инженеров.
И все же - все равно атаки бывают успешными. Взять хотя бы последний случай. С точки зрения администратора базы данных звонок абсолютно не подозрительный: человек звонит с территории университета, причем с компьютера, нахождение в котором требует знания логина и пароля. Этот пример еще больше убеждает в том, что должны быть выработаны стандартные процедуры проверки личности того человека, который запрашивает информацию, особенно, если он просит о помощи в доступе к конфиденциальной информации (как и было в данном случае).
Все перечисленные соображения должны быть удвоены, а то и утроены при получении запросов из колледжей и университетов. Ни для кого не секрет, что занятие хакерством очень популярно в студенческой среде, а информация о студентах - популярная мишень. Угроза со стороны университетов настолько реальна, что многие корпорации рассматривают университеты в качестве потенциальных источников атак и создают для своих сетевых экранов жесткие правила: не допускать в систему никого, кто имеет компьютерный адрес образовательного учреждения, то есть, с расширением .edu.
В общем, итогом всех наших рассуждений должен стать простой вывод: все сведения о студентах должны быть причислены к потенциальным мишеням для атак и потому особенно хорошо защищаться.
