[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Архив - только для чтения
Форум (архив). » Архив форума. » Архив форума. » Социальная инженерия серьезная угроза безопасности в работе (Александр Панасенко вт, 30/07/2013 - 11:43. (неактуально))
Социальная инженерия серьезная угроза безопасности в работе
MotoBiker1995Дата: Понедельник, 05.08.2013, 01:06 | Сообщение # 1
Настоящий начинающий мотокроссер.
Группа: Администраторы
Сообщений: 400
Награды: 4
Статус: Оффлайн
Социальная инженерия серьезная угроза безопасности в работе служб поддержки.
---
Компания RSA, подразделение безопасности корпорации EMC, обнародовала результаты нового опроса SANS Institute, посвященного угрозам нарушения конфиденциальности данных, к которым может привести работа служб поддержки.
Опрос SANS «Безопасность и конфиденциальность при работе служб поддержки» за 2013 год, в котором приняло участие более 900 ИТ-специалистов со всего мира, выявляет наиболее распространенные уязвимости в работе служб поддержки и предлагает рекомендации, которые помогут организациям устранить эти критически важные проблемы. Результаты опроса касаются регламентации рабочих процессов служб поддержки в организациях, а также процедур и действий персонала служб поддержки, которые потенциально могут повлиять на безопасность предприятия.
Чаще всего обращения в службы поддержки касаются распространенных ИТ-проблем (например, сброса пароля и проблем с приложениями и подключением). Часто эффективность работы специалистов службы поддержки определяется тем, насколько быстро они могут ответить пользователям и устранить проблему. К сожалению, во многих случаях соблюдение безопасности не играет существенной роли в этом процессе, и поэтому службы поддержки, сами того не желая, становятся точкой входа для хакеров и злоумышленников-инсайдеров при попытке получить доступ к конфиденциальным ресурсам предприятия.
Большинство респондентов (69%) назвали социальную инженерию самой серьезной угрозой безопасности при работе служб поддержки. Однако в большинстве организаций для идентификации пользователей, обращающихся в службу поддержки, по-прежнему используются базовые личные данные (имя/подразделение и идентификационный номер сотрудника) — информация, которую злоумышленник может найти без особенных сложностей. Кроме того, многие сотрудники служб поддержки обходят проверки безопасности в стремлении оказать помощь пользователям быстро и эффективно.
Помимо человеческого фактора, важную роль в недостаточном обеспечении общей безопасности при работе служб поддержки играют недостаток обучения, отсутствие инструментов и технологий. Более 51% респондентов заявили, что используют умеренный подход к обеспечению безопасности при организации работы служб поддержки в рамках общего корпоративного контроля безопасности, но не уделяют должного внимания обучению персонала или использованию всех необходимых технологий при выполнении повседневной работы. В большинстве случаев бюджеты определяются количеством обслуживаемых пользователей, а не стоимостью в расчете на вызов или даже стоимостью потенциальных угроз безопасности, и поэтому расчет окупаемости для новых рабочих процессов, дополнительного обучения и инструментов для повседневных операций по оказанию поддержки может оказаться исключительно сложной задачей.
Другие интересные результаты исследования:
44% респондентов считают, что верификация пользователей при обращении в службу поддержки представляет существенно большую угрозу, чем верификация пользователей, находящихся на самообслуживании (11% респондентов).
Только 10% респондентов оценили процедуры безопасности в своей организации как надежные.
Почти 43% респондентов не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении бюджета, выделяемого на службы поддержки, который чаще определяется в зависимости от количества пользователей.
Обращение в службу поддержки для сотрудников остается предпочтительным способом разрешения базовых проблем, связанных с ИТ. Главным в работе службы поддержки является наилучшее обслуживание пользователей, и поэтому специалисты службы поддержки могут обладать расширенными правами, что делает их привлекательной мишенью для социальных инженеров и технических хакеров, пытающихся получить доступ к корпоративным сетям. Чтобы устранить уязвимости в организации работы служб поддержки, организациям необходимо пересмотреть свой подход к обеспечению удобства пользователей и большее внимание уделять защите от угроз. Рекомендуемые передовые практики:
Использование вариантов автоматизации и самообслуживания для устранения распространенных проблем пользователей (включая сброс паролей), чтобы уменьшить число ошибок и уязвимостей, приводящих к успешным взломам систем безопасности и хищению данных.
Качественное и непрерывное обучение специалистов служб поддержки, чтобы научить их распознавать потенциальные атаки с использованием социальной инженерии и реагировать на них.
Современные инструменты, которые используют динамические источники данных и новые способы аутентификации для повышения достоверности идентификации пользователей и их местоположения.
Мнение руководителя RSA
Сэм Карри (Sam Curry), главный технолог компании RSA, подразделения безопасности корпорации EMC
«Во многих случаях служба поддержки представляет собой первую линию обороны против взломов, и обеспечение ее безопасности должно иметь такой же приоритет, как и безопасность любой другой критически важной функции. Новая служба поддержки должна найти оптимальный баланс между усиленной безопасностью и удобством для конечного пользователя. Для этого обеспечение безопасности можно интегрировать непосредственно в рабочий процесс, добавив технологии автоматизации и аутентификации корпоративного уровня, а также уделив достаточное внимание постоянному обучению».
---
Источник: http://www.anti-malware.ru/news/2013-07-30/12379


Гоняю, летаю, рву штаны и жгу бензин. Мотоциклы и мотокросс - это жизнь.
Чтобы заиметь семью - надо сначала заиметь любимое по жизни увлечение, но не наоборот. Потому, что все и вся люди не могут любить исключительно других людей.
《Байкер сам выбирает, ради чего и кого ему стоит жить. Он не ведётся на идиотские фразы о чувстве долга и навязанных ценностях от общества, которое понятия не имеет о мото-жизни.》 (С)
"Человек может просто в упор не видеть того, что не вписывается в его картину мира – независимо от того, верующий он или атеист. Атеизм от этого совершенно не лечит." (С)
 
Форум (архив). » Архив форума. » Архив форума. » Социальная инженерия серьезная угроза безопасности в работе (Александр Панасенко вт, 30/07/2013 - 11:43. (неактуально))
  • Страница 1 из 1
  • 1
Поиск: