Piano d’azione: Lavorate in un ambiente corporativo in cui siete, almeno parzialmente, responsabile di sicurezza della rete. Avete effettuato una protezione della parete refrattaria, del virus e dello spyware ed i vostri calcolatori sono tutti aggiornati con le zone e le difficoltà di sicurezza. Vi sedete là e pensate al lavoro che bello avete fatto per assicurarti che non sarete incisi.
Avete fatto, la che maggior parte della gente pensa, siete i punti principali verso una rete sicura. Ciò è parzialmente corretta. Che cosa circa gli altri fattori?
Avete pensato ad un attacco sociale di ingegneria? Che cosa circa gli utenti chi uso la vostra rete su una base quotidiana? Siete preparati trattando gli attacchi da questa gente?
Crederla o non, il collegamento più debole nel vostro programma di sicurezza è la gente che usa la vostra rete. Per la maggior parte, gli utenti sono uneducated sulle procedure per identificare e neutralizzare un attacco sociale di ingegneria. Che cosa sta andando arrestare un utente dall’individuazione un CD o del DVD nella stanza del pranzo e dalla presa esso alla loro stazione di lavoro e dall’apertura delle lime? Questo disc potrebbe contenere un foglio elettronico o il documento del programma di trattamento di testi che ha una macro cattiva ha incastonato in esso. La cosa che seguente conoscete, la vostra rete si compromette.
Questo problema esiste specialmente in un ambiente in cui un personale del servizio d’assistenza ha ripristinato le parole d’accesso sopra il telefono. Ci non è niente arrestare un’intenzione della persona sul rompersi nella vostra rete dalla chiamata del servizio d’assistenza, dalla finzione essere un impiegato e dal chiedere di avere una risistemazione di parola d’accesso. La maggior parte delle organizzazioni usano un sistema per generare i usernames, in modo da non è molto difficile da calcolarli fuori.
La vostra organizzazione dovrebbe avere politiche rigorose sul posto per verificare l’identità di un utente prima che una risistemazione di parola d’accesso possa essere fatta. Una cosa semplice da fare è di fare andare all’utente al servizio d’assistenza in persona. L’altro metodo, che funziona bene se i vostri uffici sono geograficamente faraway, è indicare un contatto nell’ufficio che può telefonare per una risistemazione di parola d’accesso. Questo senso tutto che lavori al servizio d’assistenza può riconoscere la voce di questa persona e sapere che lui o lei è chi li dicono è.
Perchè un attacker andrebbe al vostro ufficio o farebbe una telefonata al servizio d’assistenza? Semplice, è solitamente il percorso di meno resistenza. Non ci è necessità di spendere le ore che provano a rompersi in un sistema elettronico quando il sistema fisico è più facile da sfruttare. La prossima volta vedete qualcuno camminare attraverso il portello dietro voi e non le riconoscete, arrestar e chiedere chi sono e che cosa sono là per. Se fate questo e sembra essere qualcuno che non sia supposto per essere là, la maggior parte del tempo che uscirà velocemente quanto possibile. Se la persona è supposta di essere là allora potrà molto probabilmente produrre il nome della persona che è là per vedere.
So che state dicendo che sono pazzesco, di destra? Il pozzo pensa a Kevin Mitnick. È uno dei hackers decorati di tutto il tempo. Il governo degli Stati Uniti ha pensato che potrebbe fischiare i toni in un telefono e lanciare un attacco nucleare. La maggior parte di suo che incide è stato fatto con ingegneria sociale. Se lo ha fatto con le chiamate fisiche agli uffici o facendo una telefonata, ha compiuto alcune delle incisioni più grandi fin qui. Se desiderate conoscergli più circa Google il suo nome o leggere i due libri ha scritto.
È oltre me perchè la gente prova ed allontana questi tipi di attacchi. Indovino che alcuni assistenti tecnici della rete sono troppo fiero solo della loro rete ammettere che potrebbero essere aperti un varco così facilmente. O è il fatto che la gente non ritiene che dovrebbero essere responsabili dell’istruzione dei loro impiegati? La maggior parte delle organizzazioni non lo danno loro reparti la giurisdizione per promuovere la sicurezza fisica. Ciò è solitamente un problema per il responsabile della costruzione o la gestione degli impianti. Tuttavia, se potete istruire i vostri impiegati la punta minima; potete potere impedire una frattura della rete un attacco fisico o sociale di ingegneria.
Post a Comment