My-library.info
Все категории

Искусство обмана - Митник Кевин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Искусство обмана - Митник Кевин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Искусство обмана
Дата добавления:
17 сентябрь 2020
Количество просмотров:
299
Читать онлайн
Искусство обмана - Митник Кевин

Искусство обмана - Митник Кевин краткое содержание

Искусство обмана - Митник Кевин - описание и краткое содержание, автор Митник Кевин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

Книга The Art of Deception — «Искусство обмана» — доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы «Искусство обмана» не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.

Искусство обмана читать онлайн бесплатно

Искусство обмана - читать книгу онлайн бесплатно, автор Митник Кевин

Заметка:

Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании, предоставляющие данную услугу. Их можно найти на одной из выставочных площадок, например на http://www.secureworldexpo.com .

Истории в этой книге представляют собой огромное количество материала для объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дискуссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку.

Грамотные разработчики и преподаватели данных тренингов найдут множество трудностей, но также множество возможностей оживить учебный процесс, заставить окружающих стать его частью.

Структура тренинга

В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первоначального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допускать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы информационной безопасности.

Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе оповещений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда людям сложно усвоить такое количество материла.

Особое значение первого занятия будет в выражении особой роли гармонии, которая будет царить в компании, пока все руководствуются данной программой. Более важным, нежели обучающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответственность за безопасность.

В ситуациях, когда некоторые работники не могут посещать общие занятия, компания должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, онлайн-курсы или печатные материалы.

После короткого вводного занятия остальные более длинные уроки должны быть спланированы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно к ним соответственно занимаемым местам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь материал программы должен постоянно обновляться. Более того, осведомленность и бдительность людей со временем ослабляется, поэтому тренинги должны повторяться через определенные промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик безопасности и мотивация следовать им, чем демонстрация специфических угроз и методов социнженерии.

Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении с положениями новых сотрудников — они должны иметь достаточно свободного времени, чтобы освоиться со своими рабочими обязанностями.

Сотрудники, получающие повышение с доступом к важной информации несомненно должны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК становится системным администратором, или секретарь переходит на должность ассистента администратора — тренинг необходим.

Содержание тренировочной программы

В своей основе все атаки социнженеров опираются на обман. Жертва руководствуется верой в то, что атакующий — сотрудник или вышестоящий чиновник, авторизованный для получения важной информации, или человек, который вправе инструктировать жертву по работе с компьютером или сопутствующим оборудованием. Почти все эти атаки срываются, если жертва просто делает 2 шага:

Идентификация личности делающего запрос: действительно ли он тот, за кого себя выдает?

Авторизован ли этот человек: знает ли он необходимую дополнительную информацию и соответствует ли его уровень доступа сделанному запросу?

Заметка:

Так как одних тренировок недостаточно, используйте технологии безопасности, где только возможно, чтобы создать надежно защищенную систему. Это подразумевает, что безопасность, обеспечиваемая технологиями, измеряется, скорее, действиями отдельно взятых рабочих. Например, когда операционная система настроена на предотвращение закачек программ из Интернета, или когда выбирается короткий, легко отгадываемый пароль.

Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать:

Описание того, как атакующий использует навыки социнженерии для обмана людей.

Описание методов, используемых социнженером для достижения цели.

Как предупреждать возможные атаки с использованием социальной инженерии.

Процедуру обработки подозрительных запросов.

Куда сообщать о попытках или удачных атаках.

Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или важностью.

Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей проверки, даже если первым побуждением будет сразу дать ответ.

Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для получения информации или выполнения какого-либо действия с вашей стороны (см. «Процедуры проверки и авторизации», гл. 16, для способов проверки личности).

Процедуры защиты важной информации, включая любые данные для о системе ее хранения.

Положение политик и процедур безопасности компании и их важность в защите информации и корпоративной информационной системы.

Аннотация ключевых политик безопасности и их назначение. Например, каждый работник должен быть проинструктирован, как выбирать сложные для подбора взломщиком пароли.

Обязанности каждого работника следовать политикам и важность «несговорчивости».

Социальная инженерия по определению включает в себя некоторые виды человеческого взаимодействия. Атакующий будет очень часто использовать разные коммуникационные методы и технологии, чтобы достичь цели. По этой причине полноценная программа осведомленности должна включать в себя:

Политики безопасности для паролей компьютеров и голосовой почты.

Процедуры предоставления важной информации и материалов.

Политику использования электронной почты, включая защиту от удаленных атак с помощью вирусов, червей и «троянов».

Ношение бейджей как метод физической защиты.

Специальные меры в отношении людей, не носящих визиток-бейджей.

Практику использования голосовой почты наиболее безопасным образом.

Классификацию информации и меры для защиты особенно важной.

Установление оптимального уровня защиты для важных документов и медиа-данных, которые ее содержат, а также материалов, содержавших важную, но уже не актуальную, информацию, т.е. архивы.

Также, если компания планирует использовать тестирование с инсценированным проникновением, чтобы проверить свои сильные и слабые места во время атак с использованием социнженерии, то об этом следует предупредить сотрудников заранее. Дайте им знать, что в любое время может поступить телефонный звонок или запрос любым иным способом, используемым атакующим, который является частью теста. Используйте результаты этого теста не для паники, а для усиления слабых мест в защите.

Детали каждого из этих пунктов будут рассмотрены в главе 16.


Митник Кевин читать все книги автора по порядку

Митник Кевин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Искусство обмана отзывы

Отзывы читателей о книге Искусство обмана, автор: Митник Кевин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.