Когда запрос совершается от непроверенного человека, процесс проверки должен привести к полной идентификации личности, особенно если запрос относится к информации, связанной с компьютерным оборудованием. Этот процесс является базовым в защите от атак. Если процедуры верификации выполнены, они резко снизят уровень успешных атак.
Это важно, чтобы процесс не был настолько громоздким, что стоил бы много денег, либо работники игнорировали его.
Как показано ниже, процесс проверки включает в себя три ступени:
Шаг первый: подтверждение личности
Рекомендуемые меры представлены по степени убывания их эффективности. Также описаны слабости каждого метода, и пути, которыми социальный инженер может обойти их.
1. Номер звонящего. Позволяет определить, откуда был совершен звонок (изнутри или за пределами компании) и сравнить имя и телефонный номер с информацией, предоставленной человеком.
Слабость: информация о внешнем звонке может быть подделана любым, кто имеет доступ к АТС или телефонному свитчу, присоединенному к цифровой линии.
2. Перезвонить. Найдите звонящего в директории компании и перезвоните ему на указанный добавочный номер, чтобы определить, он ли это.
Слабость:Атакующий с хорошим уровнем знаний может получить обратный звонок на свой номер.
3.Поручительство.Доверенное лицо поручается за личность человека.
Слабость: Атакующий может обмануть работника и уговорить поручиться за него.
4.Распространенный секрет.Используйте пароль или дневной код.
Слабость:если много людей знает секрет, то атакующему легко узнать его.
5. Начальник / менеджер работника.Позвоните начальнику и запросите подтверждения.
Слабость: если человек предоставил номер своего начальника, то работник вполне может позвонить не настоящему боссу.
6. Защищенная электронная почта.Запросите письмо с цифровой подписью.
Слабость:Если атакующий имеет доступ к компьютеру работника и установленный на нем кейлоггер, то может без проблем отправить такое письмо.
7.Распознавание голоса. Если работник получает запрос от человека, с которым встречался раньше, то может узнать его по голосу.
Слабость: Это очень хороший метод, но работает лишь в случае, если все рабочие знают друг друга.
8.Динамический пароль.Человек идентифицирует себя путем использования динамического пароля, как, например, Secure ID.
Слабость: Чтобы обойти этот метод, атакующий должен иметь доступ к одному из устройств динамических паролей, а также к ПИН номеру работника, которому принадлежит устройство, либо заставить работника сказать ПИН и пароль.
9. При встрече.Человек приходит лично и предоставляет документы для идентификации личности, желательно с фотографией.
Слабость:Атакующий может украсть, либо подделать необходимые документы. Как бы то ни было, атакующие опасаются таких методов, так как они ставят их под угрозу поимки.
Шаг два: подтверждение статуса человека
Самая большая опасность для информационной безопасности заключается не в профессиональном социальном инженере, не в талантливом взломщике, а в том, кто намного ближе: в только что уволенном сотруднике, жаждущем мести, либо пытающемся подняться за счет известной ему информации о компании.
Перед предоставлением чувствительной информации другому человеку или разрешения на действия с компьютерами, либо оборудованием, убедитесь, что человек все еще является работником компании. В этом вам могут помочь следующие методы:
Директория работников.Если у компании есть онлайн директория со списком текущих работников, проверьте статус звонящего.
Подтверждение у начальства. Позвоните менеджеру по телефону, указанному в файлах компании, а не тому, что указал человек.
Подтверждение из отдела.Позвоните в департамент, где работает человек, сделавший запрос и узнайте его статус.
Шаг третий: Проверка необходимости к знанию
Помимо проверки нынешнего статуса работника в компании, остается вопрос - а может ли человек получить доступ к какой-то конкретной информации, либо запросить действие, влияющее на компьютерные системы компании.
Определение может происходить при использовании одного из этих методов:
Посоветуйтесь с ответственными людьми. Компания может предоставить готовый доступ к информации путем публикации листов, где будут указаны права работников к данным. Это списки могут быть составлены в зависимости от статуса, отдела или уровня ответственности. Такие списки должны храниться в онлайне, чтобы была возможность быстро просмотреть их.