Red de Seguridad - El Real Vulnerabilidades

Red de Seguridad - El Real Vulnerabilidades
Palabras:
698
Resumen:
Que han hecho, lo que la mayoría de la gente piensa, son los principales pasos hacia una red segura. Esto es parcialmente correcto. ¿Qué hay de los otros factores?

Palabras clave:
tecnología, apoyo, informática, sociales, de ingeniería, los usuarios, el usuario

Cuerpo del artículo:
Escenario: Usted trabaja en un entorno corporativo en el que está, al menos en parte, responsable de la seguridad de la red. Usted ha puesto en marcha un servidor de seguridad, protección de virus y spyware, y sus equipos están actualizados con parches y parches de seguridad. Te sientas ahí y pensar en la hermosa tarea que han hecho para asegurarse de que usted no será hackeado.
Que han hecho, lo que la mayoría de la gente piensa, son los principales pasos hacia una red segura. Esto es parcialmente correcto. ¿Qué hay de los otros factores?
¿Ha pensado en un ataque de ingeniería social? ¿Qué pasa con los usuarios que utilizan su red sobre una base diaria? ¿Está usted preparado para hacer frente a los ataques de estas personas?
Lo creas o no, el eslabón más débil en su plan de seguridad es la gente que utiliza su red. En su mayor parte, los usuarios están sin educación sobre los procedimientos para identificar y neutralizar un ataque de ingeniería social. ¿Qué va a detener la búsqueda de un usuario de un CD o un DVD en el comedor, y teniendo a su puesto de trabajo y la apertura de los archivos? Este disco podría contener una hoja de cálculo o procesador de texto que tiene un documento malicioso de macro incrustados en él. Lo siguiente que usted sabe, la red está comprometida.
Este problema existe especialmente en un entorno en el que un servicio de asistencia personal restablecer las contraseñas por teléfono. No hay nada para detener a una persona la intención de irrumpir en su red de llamar a la mesa de ayuda, fingiendo ser un empleado, y pidiendo a tener un restablecimiento de contraseña. La mayoría de las organizaciones utilizan un sistema para generar los nombres de usuario, por lo que no es muy difícil calcular con ellas.
Su organización debe tener políticas estrictas en el lugar para verificar la identidad de un usuario ante un restablecimiento de la contraseña que se puede hacer. Una simple que hay que hacer es que el usuario vaya a la mesa de ayuda en persona. El otro método, que funciona bien, si sus oficinas están geográficamente muy lejos, es para designar un contacto en la oficina que para un teléfono de restablecimiento de contraseña. De esta manera todos los que trabajan en la mesa de ayuda puede reconocer la voz de esta persona y saber que él o ella es quien dice ser.
¿Por qué un atacante vaya a su oficina o realizar una llamada telefónica a la mesa de ayuda? Simple, por lo general es el camino de menor resistencia. No hay necesidad de pasar horas tratando de irrumpir en un sistema electrónico cuando el sistema físico es más fácil de explotar. La próxima vez que vea a alguien caminando por la puerta detrás de usted, y no reconocen ellos, y dejar de pedir lo que son y lo que ellos están allí para. Si lo hace, y pasa a ser alguien que no debería estar allí, la mayor parte del tiempo que él salga lo más rápido posible. Si la persona que se supone que es allí entonces, lo más probable es que estar en condiciones de presentar el nombre de la persona que está ahí para ver.
Sé que usted está diciendo que yo estoy loco, ¿verdad? Así pensar en Kevin Mitnick. Es uno de los piratas informáticos más decorada de todos los tiempos. El gobierno de los EE.UU. pensó que podría silbar en una llamada de teléfono y de lanzar un ataque nuclear. La mayor parte de su piratería informática se realiza a través de ingeniería social. Si lo hizo a través de visitas físicas a las oficinas o haciendo una llamada telefónica, que realizó algunos de los mayores artificios hasta la fecha. Si desea saber más de él Google su nombre o leer los dos libros que ha escrito.
Es más allá de por qué tratar de despedir a la gente este tipo de ataques. Supongo que algunos ingenieros de redes están muy orgullosos de su red a admitir que puedan ser violada con tanta facilidad. ¿O es el hecho de que las personas no sienten que deben ser responsables de educar a sus empleados? La mayoría de las organizaciones no dan sus departamentos de TI de la jurisdicción para promover la seguridad física. Este suele ser un problema para la construcción o gerente de la gestión de las instalaciones. No obstante, si se puede educar a sus empleados la más mínima poco, usted puede ser capaz de prevenir una violación de una red física o ingeniería social de ataque.