Соціальна інженерія - це метод управління діями людини
без використання технічних засобів. Метод заснований на використанні слабкостей
людського фактора і вважається дуже руйнівним. Найчастіше соціальну інженерію
розглядають як незаконний метод отримання інформації.
Колишній
комп'ютерний злочинець, нині консультант з безпеки, Кевін Митник популяризував
термін «соціальна інженерія», вказавши, що для зловмисника набагато простіше
хитрістю вивудити інформацію з системи, ніж намагатися зламати її.
Приклади
технік і термінів соціальної інженерії:
Претекстінг - це дія, відпрацьований за
заздалегідь складеним сценарієм (претексту). В результаті ціль повинна видати
певну інформацію або вчинити певну дію. Цей вид атак застосовується зазвичай по
телефону. Найчастіше ця техніка включає в себе більше, ніж просто брехня, і
вимагає будь-яких попередніх досліджень (наприклад, персоналізації: дата
народження, сума останнього рахунку тощо), З тим, щоб забезпечити довіру
об’єкту. До цього ж виду належать атаки і по онлайн-мессенджерам, наприклад, по
ICQ.
Фішинг - техніка, спрямована на
неправомірне отримання конфіденційної інформації. Зазвичай зловмисник посилає
цілі електронної пошти, підроблений під офіційний лист - від банку або
платіжної системи - вимагає «перевірки» певної інформації або вчинення певних
дій. Цей лист зазвичай містить посилання на фальшиву веб-сторінку, яка імітує
офіційну, з корпоративним логотипом і наповненням, і містить форму, що вимагає
ввести конфіденційну інформацію - від домашньої адреси до пін-коду банківської
картки.
Кви про кво. Зловмисник може зателефонувати за
випадковим номером до компанії і представитися співробітником техпідтримки,
опитували, чи є які-небудь технічні проблеми. У випадку, якщо вони є, в процесі
їх «рішення» ціль вводить команди, які дозволяють хакеру запустити шкідливе
програмне забезпечення.
Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної
системи, можливих загроз і визначає:
- мету, задачі і пріоритети системи безпеки;
- галузь дії окремих підсистем;
- гарантований мінімальний рівень захисту;
- обов’язки персоналу по забезпеченню захисту;
- санкції за порушення захисту.
Якщо виконання
політики безпеки проводиться не в повній мірі або непослідовно, тоді
імовірність порушення захисту інформації різко зростає. Під захистом інформації
розуміють комплекс заходів, який забезпечує:
- збереження конфіденційності інформації - запобігання ознайомлення з інформацією невповноважених осіб;
- збереження інформації - запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;
- прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.
Комментариев нет:
Отправить комментарий