Российская компания «Информзащита» сообщила статистику по проведению тестов на проникновение с использованием инструментов социальной инженерии. В соответствии с ней, число таких пентестов с каждым годом падает (т.е. сами пентесты проводятся, но все меньше компаний «проверяют» себя на стойкость к инструментам социальной инженерии). В то же время растет доля успешных тестов с использованием социальной инженерии.
Другими словами, заказчики с каждым годом все меньше боятся социальной инженерии, но при этом они все больше уязвимы к этим угрозам.
Нужно добавить, что признанный гуру социальной инженерии Кевин Митник в своей книге «Искусство обмана» пишет, что никакая технология в мире не сможет противостоять атаке социального инженера.
Компании, которые проводят тесты на возможность проникновения, сообщают, что их попытки проникнуть в компьютерную систему компании с помощью методов социнженерии практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип атак путем исключения людей из процесса принятия решений. Тем не менее истинно эффективный путь ослабить угрозу социальной инженерии можно через использование технологий безопасности, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включающих обучение и тренировку сотрудников.
Единственный путь сохранить разработки Вашего продукта нетронутыми – иметь тренированную, знающую и добросовестную рабочую команду. Это подразумевает тренировку с использованием политик и процедур, но, вероятно, более важным является переход к программе распределенной осведомленности. Некоторые компании, занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких программ до 40% бюджета компании.
Первый шаг – приучить каждого на предприятии к мысли, что существуют бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими. Служащие должны знать, какая информация нуждается в защите, и как эту защиту осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать атаку.
Осведомление о безопасности включает также обучение каждого работающего в компании политикам и процедурам. Политики – это необходимые и обязательные правила, которые описывают поведение сотрудников для защиты корпоративной информационной системы и особо ценной информации.
Кевин Митник, «Искусство обмана»
