Первый этап: Идентификация
Процедуры идентификации перечислены в порядке эффективности – чем выше порядковый номер, тем эффективнее метод. Вместе с описанием каждой процедуры даны пояснения, раскрывающие слабости метода и тактику злоумышленника, пытающегося преодолеть идентификацию.
1.
Автоматическое определение номера. Подразумевается, что телефонные системы предприятия имеют АОН. Согласно показаниям АОН необходимо удостовериться в том, что звонящий находится по заявленному номеру.
Недостатки: Иногда существует возможность изменения номера со стороны звонящего, в особенности, если злоумышленник имеет доступ к коммутатору телефонной компании.
2. Обратная связь. Найдите представившегося сотрудника в корпоративном справочнике и перезвоните ему по внутреннему номеру.
Недостатки: Если злоумышленник располагает достаточными знаниями, то может переадресовать звонок таким образом, что идентифицирующий обратный вызов будет перенаправлен на внешний телефонный номер атакующего.
3. Поручительство. Инициатора запроса идентифицирует доверенное лицо.
Недостатки: Атакующий может заранее расположить к себе доверенное лицо, которое впоследствии его идентифицирует.
4. Публичный ключ доступа. Shared Secret. Используйте корпоративный ключ, каковым может являться пароль или ежедневно изменяемый код.
Недостатки: Если доступ к ключу имеют многие сотрудники компании, то злоумышленник может с легкостью его узнать.
5. Контакт с руководителем. Перезвоните непосредственному начальнику того, кто делает запрос и попросите подтвердить правомочность запроса.
Недостатки: Если инициатор запроса сам скажет вам номер, по которому находится его начальник, то в результате вы можете получить подтверждение от сообщника, а не настоящего руководителя.
6. Защищенное электронное сообщение. Попросите прислать сообщение с электронной подписью.
Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий