Электронное облако

Сравнительно недавно технические средства безопасности стали полноправными членами клуба сетевых устройств. Пристальный интерес к сетям проявляют не только IT-подразделения компаний, но и совершенно непрошенные гости.
Желание разобраться, насколько уязвимы и интересны для хакеров системы безопасности, привело на семинар «Социальная инженерия. Хакерские техники, о которых должен знать каждый. Методы защиты».

24.12.2018, 20:54

ФГБУ ВНИИПО МЧС России в этом году выступил с уникальной для России инициативой – провести открытый диалог между разработчиками стандартов и специалистами, отвечающими за их исполнением.

10.12.2018, 12:31

Вот уже 5 лет редакция пристально следит за развитием одной из самых информационно-ёмкой и инновационной конференции. Это IP-форум. Для нас это не только место встречи с интересными экспертами, но и возможность оценить самые свежие тенденции развития систем видеонаблюдения и комплексных систем безопасности. Каждый год это презентация новых технологий, тренды движения производителей и интересные идеи в расширении функционала глазами реальных заказчиков.

23.10.2018, 13:16

Это должен знать каждый: социальная инженерия, хакерские техники

Опубликовано пользователем Елена Штейн Задать вопрос , Avtoritet.net
Электронное облако

Сравнительно недавно технические средства безопасности стали полноправными членами клуба сетевых устройств. Пристальный интерес к сетям проявляют не только IT-подразделения компаний, но и совершенно непрошенные гости.

Желание разобраться, насколько уязвимы и интересны для хакеров системы безопасности, привело на семинар «Социальная инженерия. Хакерские техники, о которых должен знать каждый. Методы защиты», организованный компанией «Электронное облако».

Каждое выступление приходилось примерять: корпоративные сети – к сетевым решениям безопасности; требования к персоналу – к требованиям к сотрудникам служб безопасности. Столь избирательный подход не дает возможности представить развернутые рассказы обо всех, прозвучавших докладах, а лишь «примерить» полученные знания к родной стихии.

Социальная инженерия – в своих худших проявлениях – собрание манипуляторных техник, направленных на завладение посторонними лицами информацией, которая для них не предназначена. Воровство отвратительно само по себе, а если оно совершается посредством эксплуатации не самых худших человеческих чувств, таких как сострадание, сочувствие – отвратительно вдвойне.

Оставаться людьми и быть при этом квалифицированными специалистами позволяют три аспекта: личностное соответствие занимаемой должности; четко и исчерпывающе полно расписанные штатные распорядки и расписания; предупреждение профессионального выгорания сотрудников.

За первый из перечисленных пунктов отвечают кадровые службы, в арсенале которых сегодня есть исчерпывающие методики, позволяющие выявить совместимость соискателя и вакансии, оценить риски приглашения яркого кандидата, с такими же яркими недостатками на ответственную должность. Причем, этот портрет можно составить еще до прохождения испытательного срока, обезопасив тем самым корпоративную информацию. Об этом подробно, на результатах тестирования реального соискателя, рассказала Татьяна Вавилова, генеральный директор компании «Проф-Диалог».

Второй пункт, на примере фрагментов мировых трагикомедий и реальных отечественных кейсов, был подробно рассмотрен Александром Дмитриевым, техническим директором компании «Электронное облако». Если проводить параллели между работой персонала и алгоритмами систем безопасности, то можно говорить о двухфакторной идентификации и стремлении избавить систему от ложных срабатываний: обязанность сотрудника удостовериться в соответствии статуса постороннего лица и проверке сообщаемой посторонним лицом информации не является «дежурным» требованием, а обязательно предваряет работу с клиентом.

Рассмотрение сценариев подготовительной работы с сотрудником: тестирование, создание должностных инструкций перетекло в наблюдение за будничной работой предприятия. Какой урон может нанести компании, к примеру, уход ответственного сотрудника службы безопасности: какие материальные вложения понадобятся на поиск и подготовку достойной замены, риски переходного периода – как балансировать между рисками и эффективностью, не доводить критические точки до экстремальных, рассказал Кирилл Заболотский, руководитель отдела продуктового маркетинга InfoWatch. Тренинги, изучение работоспособности не только конкретного специалиста, но связанных с ним рабочими взаимоотношениями коллег – чем не сетевое в своем роде решение проблемы?

А что же сети, спросите вы. Предположим, что сотрудники компании удовлетворяют всем описанным выше критериям, осталось рассмотреть требования к оборудованию. Обратим внимание на следующие моменты:

Профессиональное брендовое оборудование защиты сетей не является само по себе гарантией неприступности сети… До тех пор, пока оно не будет настроено в соответствии с запросами и задачами компании. В противном случае привычный и востребованный WiFi отеля, ТРЦ и прочих объектов с массовым пребыванием людей может послужить отправной точкой хакерской атаки на корпоративный сервер – к персональным данным, бухгалтерии, архивам и систем видеонаблюдения и базам данных СКУД, вычислительным мощностям процессоров устройств, составляющих сеть.

Уязвимость смартфонов. Посредством упомянутого WiFi, благодаря мессенджерам и стандартным настройкам операционной системы смартфона злоумышленники могут получить доступ не только к частной информации обладателя гаджета, но и к мобильным приложениям. И речь не только о приложениях торговых сетей, банков и городских сервисов – вспомним о мобильных приложениях, позволяющих «дистанционно управлять и получать данные систем безопасности» - как часто мы встречаем подобную, ценимую заказчиками опцию современных систем безопасности! 

Нельзя сказать, что Александр Дмитриев ставил перед собой цель запугать слушателей, но обратить внимание на указанные аспекты сетевой безопасности ему удалось. Тем более, что аудитории было продемонстрировано, как могут выглядеть попытки подобных вторжений.

В заключение хотелось бы отметить конструктивный настрой семинара: проблемы не только были озвучены, но и предложены пути их устранения. А превентивные меры, как известно – лучшее средство для отмены апокалипсиса.