Девять из десяти крупных корпораций и государственных структур подвергались атакам со стороны взломщиков, если судить по результатам исследования, проведенного ФБР и размещенных результатах в апреле 2002 года. Любопытно, что, судя по полученной информации, только одна компания из трех сообщала о факте взлома общественности. Нежелание разоблачать собственную уязвимость вполне обоснованно. Чтобы избежать потери доверия клиентов и предотвратить возможные атаки от тех, кто узнал об уязвимости компании, большинство корпораций не публикуют сообщения о проблемах в компьютерной безопасности.
В принципе, не существует статистики по атакам вида социальной инженерии, но если бы была, цифры были бы ошибочными; в большинстве случаев в компании не узнают о краже информации, так что большое количество атак проходит незамеченными.
Против почти всех видов атак социальной инженерии существуют защитные меры. Однако давайте вернемся к реальности - пока все работники компании не поймут, что безопасность важна и не будут делать свой вклад в защиту безопасности, атаки всегда будут представлять риск.
Фактически, с совершенствованием уровня технической защиты против атак, использование людей с помощью социальной инженерии для получения корпорационной информации, либо взлома сети, почти всегда случается чаще и привлекает информационных воров. Индустриальный шпион достигнет своей цели с наименьшим для себя риском. В принципе, компания, защищающая свою сеть и системы от вторжения, путем интеграции новейших технологий может быть гораздо более уязвима к атакам с использованием различных стратегий и методов социальной инженерии.
Эта глава посвящена специальный правилам, призванным уменьшить риск компании перед атаками социальной инженерии. Правила разработаны для атак, не использующих технические уязвимости.
Что такое правила безопасности?
Правила являются четкими инструкциями, которые разграничивают поведение работника для защиты важной информации, и фундаментальным блоком в развитии системы предотвращения потенциальных брешей в безопасности. Вся прелесть данных правил становится очевидна, когда дело доходит до предотвращения и выявления атак.
Эффективный контроль безопасности включает в себя подготовку работников с помощью изучения специальных правил. Как бы то ни было, важно заметить, что такие правила, даже при полном соблюдении со стороны персонала, не гарантируют предотвращение каждой атаки. Более того, основная задача - понизить риск до приемлемого уровня.
Правила, размещенные в этой книге, включают меры, которые не сфокусированы именно на вопросах социальной инженирии, но не затрагивают технической части.