631
правка
Изменения
Новая страница: «== Определение понятия == Сегодня, когда владение информацией стал...»
== Определение понятия ==
Сегодня, когда владение [[Классификация знаний|информацией]] стало активно использоваться в коммерческих целях, важную роль в [[утечка информации|информационной безопасности]] играет человеческий фактор. Технологии безопасности, такие как межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и т.д. малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. В этой связи актуальной становится проблема работы с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам, что является залогом безопасности для баз корпоративной информации.
Социальная инженерия (от англ. Social Engineering) — это использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Этот метод обычно применяется без компьютера, с использованием обычного телефона, почтовой переписки и т.д. В ходе атаки хакер устанавливает контакт с носителем информации (вводит в заблуждение, входит в доверие) и таким образом пытается получить сведения, которые или сложно получить другим путем или эти пути являются более рискованными.
== Выгоды социальной инженерии ==
Методы социальной инженерии способны обойти самые мощные системы информационной безопасности. К тому же использование социальной инженерии при несанкционированном получении информации очень выгодно, т.к.<br>
- это проще, чем взломать техническую систему безопасности; <br>
- атаки нельзя вычислить с помощью технических средств защиты информации; <br>
- это не требует больших вложений; <br>
- представляет собой минимальный риск; <br>
- работает для любой операционной системы;<br>
- имеет стопроцентный эффект. <br>
== Методы атак ==
Самыми распространенными методами атак являются: <br>
- выяснение, передача или несанкционированная смена паролей; <br>
- создание учетных записей (с правами пользователя или администратора); <br>
- запуск вредоносного программного обеспечения (например, «троянца»; <br>
- выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе; <br>
- фишинг (электронное мошенничество); <br>
- несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы; <br>
- передача или распространение конфиденциальной информации. <br>
== Информационная база социальной инженерии ==
Перед тем как начать атаку, социоинженер проводит исследование. Он может использовать официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты и корпоративный сайт. Хакер пытается получить максимум информации о сотрудниках, выясняет, кто в компании имеет доступ к интересующим его материалам, какое программное обеспечение установлено на корпоративных компьютерах ит.д. При этом он старается выдать себя за человека, который имеет право на доступ к интересующим его данным и кому эти данные действительно нужны, поэтому он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: придумывается предлог или схема обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и хакера не разоблачили, то он еще не раз воспользуется возникшим доверием.
Сотрудники – это наиболее слабое звено в системе защиты информации. Даже на уровне руководства нередко бытует мнение, что корпоративная система безопасности непогрешима. Ошибкой было бы считать и то, что соблюдение корпоративной политики безопасности – это пустая трата времени и сил. Рядовые же сотрудники зачастую недооценивают значимость информации, которой владеют, и легко делятся ею с каждым, кто об этом попросит, не осознавая пагубные последствия своих действий. Но даже самые бдительные сотрудники не всегда могут распознать, что действует социальный инженер, и что они подвергаются атаке. Поэтому ключевым фактором успеха в защите информации является обучение.
== Ссылки ==
{{ExeArticle|/knowledge/announcement/345004/|Светлана Шишкова. «Социальная инженерия»}}<br>
{{ExeArticle|/knowledge/announcement/854878/|«Кремлевка в кармане»: зачем вам криптография» Беседовала Ирина Овчарова, специально для E-xecutive}}<br>
'''''Это заготовка эницклопедической статьи по данной теме. Вы можете внести вклад в развитие проекта, улучшив и дополнив текст публикации в соответствии с правилами проекта. Руководство пользователя вы можете найти [http://www.e-xecutive.ru/community/intellectual/1428187/ здесь]'''''
[[Категория:Менеджмент]]
Сегодня, когда владение [[Классификация знаний|информацией]] стало активно использоваться в коммерческих целях, важную роль в [[утечка информации|информационной безопасности]] играет человеческий фактор. Технологии безопасности, такие как межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и т.д. малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. В этой связи актуальной становится проблема работы с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам, что является залогом безопасности для баз корпоративной информации.
Социальная инженерия (от англ. Social Engineering) — это использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Этот метод обычно применяется без компьютера, с использованием обычного телефона, почтовой переписки и т.д. В ходе атаки хакер устанавливает контакт с носителем информации (вводит в заблуждение, входит в доверие) и таким образом пытается получить сведения, которые или сложно получить другим путем или эти пути являются более рискованными.
== Выгоды социальной инженерии ==
Методы социальной инженерии способны обойти самые мощные системы информационной безопасности. К тому же использование социальной инженерии при несанкционированном получении информации очень выгодно, т.к.<br>
- это проще, чем взломать техническую систему безопасности; <br>
- атаки нельзя вычислить с помощью технических средств защиты информации; <br>
- это не требует больших вложений; <br>
- представляет собой минимальный риск; <br>
- работает для любой операционной системы;<br>
- имеет стопроцентный эффект. <br>
== Методы атак ==
Самыми распространенными методами атак являются: <br>
- выяснение, передача или несанкционированная смена паролей; <br>
- создание учетных записей (с правами пользователя или администратора); <br>
- запуск вредоносного программного обеспечения (например, «троянца»; <br>
- выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе; <br>
- фишинг (электронное мошенничество); <br>
- несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы; <br>
- передача или распространение конфиденциальной информации. <br>
== Информационная база социальной инженерии ==
Перед тем как начать атаку, социоинженер проводит исследование. Он может использовать официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты и корпоративный сайт. Хакер пытается получить максимум информации о сотрудниках, выясняет, кто в компании имеет доступ к интересующим его материалам, какое программное обеспечение установлено на корпоративных компьютерах ит.д. При этом он старается выдать себя за человека, который имеет право на доступ к интересующим его данным и кому эти данные действительно нужны, поэтому он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: придумывается предлог или схема обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и хакера не разоблачили, то он еще не раз воспользуется возникшим доверием.
Сотрудники – это наиболее слабое звено в системе защиты информации. Даже на уровне руководства нередко бытует мнение, что корпоративная система безопасности непогрешима. Ошибкой было бы считать и то, что соблюдение корпоративной политики безопасности – это пустая трата времени и сил. Рядовые же сотрудники зачастую недооценивают значимость информации, которой владеют, и легко делятся ею с каждым, кто об этом попросит, не осознавая пагубные последствия своих действий. Но даже самые бдительные сотрудники не всегда могут распознать, что действует социальный инженер, и что они подвергаются атаке. Поэтому ключевым фактором успеха в защите информации является обучение.
== Ссылки ==
{{ExeArticle|/knowledge/announcement/345004/|Светлана Шишкова. «Социальная инженерия»}}<br>
{{ExeArticle|/knowledge/announcement/854878/|«Кремлевка в кармане»: зачем вам криптография» Беседовала Ирина Овчарова, специально для E-xecutive}}<br>
'''''Это заготовка эницклопедической статьи по данной теме. Вы можете внести вклад в развитие проекта, улучшив и дополнив текст публикации в соответствии с правилами проекта. Руководство пользователя вы можете найти [http://www.e-xecutive.ru/community/intellectual/1428187/ здесь]'''''
[[Категория:Менеджмент]]