-Поиск по дневнику

Поиск сообщений в cZerro

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 30.04.2004
Записей:
Комментариев:
Написано: 2345

О социальной инженерии

Дневник

Понедельник, 09 Сентября 2013 г. 12:17 + в цитатник
Социальная инженерия - это способ получения важной информации не техническими методами. Зачем взламывать или подбирать пароль, когда его можно просто спросить или поменять? Всегда есть человек, который знает пароль - достаточно его найти и обмануть. Да, изначально социальная инженерия была придумана для выведывания паролей. Мастером и популяризатором этой техники обмана был Кевин Митник, который взламывал с её помощью телекоммуникационные сервисы в США, и неоднократно сидел в тюрьме. Какое-то время ему даже было запрещено пользоваться компьютером и телефоном. Про технологии обмана информационных систем с помощью обмана их администраторов Митник даже написал книгу с красноречивым названием "Искусство обмана".

Конечно, со времён изобретения социальной инженерии технологии сильно изменились. Тем не менее социальная инженерия по-прежнему актуальна. Сейчас с её помощью уже не пароли выведывают, но стимулируют пользователей устанавливать троянские программы или заставляют владельцев мобильных телефонов отправлять SMS на платные номера. Отказалось, что социальная инженерия автоматизируется и хорошо дополняется спамом и тестами на внимательность. Но самое главное - для неё так и не придумали универсального средства защиты, которое давало бы хоть какую-то возможность предотвратить ущерб. Социальная инженерия пользуется человеческими проблемами и недостаточными знаниями - "уязвимостями в головах", поэтому единственным способом защиты от неё является обучение пользователей информационных систем, которое позволит ему вовремя определить, что его обманывают.

Митник, после того как отсидел 4 года в тюрьме, остепенился и стал заниматься информационной безопасностью. Для обучения пользователей распознавать и противостоять социальной инженерии он и написал свою книгу. Кроме того, Митник основал компанию Defensive Thinking Inc., которая занимается выработкой средств защиты от обмана и мошенничества. В частности, именно для этого сам Митник ездит по всему миру и рассказывает специалистам информационной безопасности, что нужно делать, чтобы предотвратить обман и мошенничество. В частности, с докладом на эту тему он будет выступать 10 сентября на конференции CROC Cyber Conference, организованной компанией "Крок" и Symantec, в рамках которой будут обсуждаться в том числе и темы, связанные с социальной инженерией.

Собственно, для того, чтобы защититься от социальной инженерии достаточно обучить ключевых сотрудников, операторов контакт-центра и системных администраторов, методам распознавания обмана, создать строгие процедуры работы с конфиденциальной и идентификационной информацией, а также использовать программное обеспечение для защиты от троянских программ. Возможно, это далеко не всё, что нужно - есть повод обсудить это с самим Митником.
Рубрики:  Блог
События

Метки:  

Последний XSpider

Дневник

Среда, 02 Апреля 2008 г. 05:55 + в цитатник
Компания Positive Technologies выпустила последнюю версию своего детектора дефектов XSpider 7.7. В дальнейшем этот продукт трансформируется в комплексную систему мониторинга информационной безопасности, которая будет продаваться под маркой MaxPatrol. Причем покупатели XSpider 7.7 смогут бесплатно перейти на версию MaxPatrol в аналогичной конфигурации, что будет дешевле покупки MaxPatrol. В XSpider 7.7 увеличилась в 1,5 раза база уязвимостей и вошли некоторые технологии поиска уязвимостей, которые были разработаны для MaxPatrol.

Ссылки:
Последнее комплексное обновление XSpider — версия 7.7

Метки:  

Аудит "Капитала"

Дневник

Среда, 02 Апреля 2008 г. 05:51 + в цитатник
Компания "ДиалогНаука" провела комплексный аудит информационной безопасности для группы компаний "ИФД КапиталЪ". Система защиты призвана повысить стабильность и безопасность работы информационной системы, а ее аудит - помочь в достижении этой цели. В рамках проекта был проведен анализ существующих у "Капитала" активов и соответствия их защиты требованиям стандартов ISO 27001. Кроме того, был проведен инструментальный аудит информационной системы холдинга, в процессе которого был проведен полный анализ защищенности с помощью автоматизированных средств с выдачей рекомендаций по закрытию найденных уязвимостей. На последнем этапе был проведен тест на проникновение, результаты которого также были присоединены к делу.

Ссылки:
«ДиалогНаука» провела аудит информационной безопасности группы «ИФД КапиталЪ»

Метки:  

 Страницы: [1]