オフィスで、ある人が従業員に近づき、新しいITスタッフであると主張し、コンピューターへのアクセスを許可した場合、この種の攻撃を防ぐにはどうすればよいでしょうか。私はいくつかのテクニカルサポートの仕事をしてきましたが、私がそれを修正するためにここにいると彼らに言うとき、人々は皆彼らのパスワードとラップトップを喜んで手渡します。
@TerryChiaが言ったように、この種の攻撃に対する正しい防御は強力なポリシーです。この場合、ユーザーは、状況に関係なく、直接または電話でパスワードを提供しないようにトレーニングする必要があります。
ITがユーザーアカウントにログインする必要がある場合は、Sudo(* nix環境の場合)などを使用するか、それが利用できない場合は、作業を行う前にユーザーパスワードをリセットし、後で再度リセットするか、承認済みのパスワードを使用する必要があります。強力な認証要件を持つリモート制御メカニズム。
重要なのは、人々がポリシーを破ることを奨励しない方法でポリシーを設定することです。 ITスタッフがユーザーにパスワードを要求することが一般的になった場合、攻撃者が同じことを行うと、ユーザーはそれに沿って行動します。ただし、ITがパスワードを要求せず、パスワードを要求しないことが会社のポリシーである場合、ユーザーはこれを攻撃として認識し、それに応じて対応する可能性がはるかに高くなります。
人間の場合と同様に、完全な防御はありませんが、正しく設計および実装されたポリシーは、役立つのに大いに役立ちます。
従業員を適切に訓練します。
重要な情報を渡す前に、ある種の識別方法で個人の身元を確認する必要性と重要性を彼らに教えてください。
実施されている技術的対策の量は、無知なユーザーから保護することはできません。したがって、ユーザーが無知でないことを確認してください。
安全な行動に対する報酬システムを確立し、従業員がよく知っているITスタッフからも資格情報を要求することに慣れるようにします。
さらに重要なことは、しない従業員を安全な行動で罰するか、安全でないことで報酬を与えることです。
シナリオ
新入社員VIP(VIP)がオフィスに入り、パスワードを忘れました。 VIPは、秘書(SEC)のログインを今日使用して、仕事に取り掛かるように求めています。 SECは準拠しています。 VIP-許容できる人のスキルを持っている-「ありがとう」と言って、翌日バラを持ってくるかもしれません。 SECは、「人々がシステムにアクセスするのを助ける」という振る舞いで強化されました。
シナリオ
VIPがオフィスに入り、パスワードを忘れました。 VIPは、彼らが仕事に取り掛かることができるように、今日SECのログインを使用するように求めています。 SECは否定します。 VIPは、職場を妨害したことでSECを非難するSECの直属の上司を取得します。 SECは、「上司からの要求に応じる上司であるかどうかわからない場合でも "の動作が強化されました。
問題の半分は、VIPとSECが新石器時代の部族社会で機能するように設計されたハードウェアで実行されているため、SEC(部族の下位ステータス)がVIP(より高い地位、おそらく部族の長でさえ)それに対してタブーがない限り望んでいます。そのタブーを確立します。この状況では、SECではなくVIPが間違っていることをすべての人に明らかにしてください。 VIP ----VIPがマネージャーである場合でもではなく、マネージャーにSECを戻してもらいます。
これは、他の多くのことと同様に、経営陣の支援なしには起こりません。