Alexey Komarov
expert în securitatea informației
Noi metode de contracarare
De regulă, în contractele încheiate cu utilizatorii sistemelor de plăți sau cu clienții băncilor, întreaga responsabilitate pentru neglijență în acțiuni revine utilizatorilor înșiși. Încercarea de a vă proteja în acest mod legal duce deja la acțiuni reciproce ale clienților. Nu mai puțin frecvente sunt procese în care avocații susțin că sistemul de autentificare existente pentru a asigura securitatea datelor de client nu a fost în măsură, la fel ca în momentul de agent contractual al băncii nu putea ști, și, astfel, atribuirea responsabilității a fost neautorizată. Pe de altă parte, pierderea de bani de către utilizatori, chiar și din propria vină, afectează negativ reputația băncii în ochii lor, cu pierderi masive și în ochii clienților neafectați.
Luați în considerare metode de combatere a atacurilor de tip phishing, care par a fi cele mai eficiente astăzi.
Promovarea unei culturi de comportament
După cum am explicat deja, cea mai slabă legătură dintre sistemele moderne de securitate, în general, și atacurile de tip phishing în particular, este o persoană. De aceea, principalul obiectiv al companiei, preocupat de eventualele pierderi financiare, ar trebui să se îndrepte spre promovarea bazelor securității informațiilor în rândul angajaților și clienților săi.
Iată câteva reguli, povestiri despre care ar trebui să li se acorde o atenție mai mică decât cea acceptată (de obicei sunt pur și simplu menționate pe pagina penultimă a contractului de servicii pe mai multe pagini):
Poate că cineva această listă poate părea elementar, dar dacă vorbim despre utilizatori în ansamblu, punerea în aplicare comună a chiar și aceste reguli simple pot reduce în mod semnificativ veniturile de tip phishing, ceea ce face potential de afaceri mai puțin profitabile și, prin urmare, mai puțin atractivă. Regulile de circulație nu pot fi numite prea complexe, dar cunoștințele și performanța lor economisesc multe vieți în fiecare an.
Este clar că propaganda regulilor de securitate informatică nu este o prioritate atât de importantă la scară națională și, prin urmare, principala speranță este aceea a conducătorilor organizațiilor. La urma urmei, este afacerea lor și banii lor direct prin intermediul angajaților sau indirect prin intermediul clienților amenințați de phishers.
Anti-phishing în mediul corporativ
Prioritatea principală în construcția Protecția Phishing în cadrul companiei ar trebui să facă pentru a minimiza dependența de factorul uman. Prin urmare, cele mai promițătoare sunt soluții Gateway, care, spre deosebire de produsele cu caracter personal nu numai că reduc sarcina pe stațiile de lucru și pentru a simplifica administrarea, dar, de asemenea, ne permit să închidă întreaga rețea de calculatoare a organizației o comună „umbrelă“ de încredere.
Soluțiile moderne de gateway eficiente se luptă cu atacurile fischer la patru niveluri:
Poate că singurul punct slab al acestor sisteme nu pot fi în măsură să protejeze angajații mobili lucrează de la distanță prin intermediul canalelor de comunicare deschise. Pentru a rezolva această problemă ca fiind una dintre opțiunile pe care le poate oferi proksirova-set, adică, accesul la Internet de la laptop-uri ale companiei doar prin sediul central. Aceeași soluție pentru simplificarea administrării și reducerea costurilor financiare poate fi oferită sucursalelor. Este demn de remarcat faptul că principalii jucatori din acest segment de piață care doresc să ajute clienții să se simtă ca aceste ramuri, oferind nu să achiziționeze sau să mențină produsele lor, precum și chiria pentru filtrarea e-mail si traficul web puterea de procesare a producătorului.
Anti-phishingul ca pe un avantaj competitiv
În plus față de îngrijirea propriilor informații confidențiale și protejarea angajaților în sucursale și birouri, multe companii se ocupă de clienții lor. Reputația întreprinderii costă uneori mai mult decât costul construirii unui sistem cu adevărat sigur pentru autentificarea utilizatorilor.
Considerat deja că protocolul SSL are capacitatea de a efectua autentificarea în ambele sensuri, atunci când verifică validitatea nu numai a serverului, ci și a utilizatorului. Pentru a face acest lucru, clienții, de exemplu, banca trebuie să obțină un certificat digital. Acest lucru se poate face, de regulă, la încheierea unui contract de servicii sau mai târziu în orice moment.
Respingerea parolelor atunci când utilizatorii accesează conturi complică serios viețile phishers. Utilizarea certificatelor digitale pe partea serverului și a clientului elimină problema atacului "om în mijloc" și face inutilă ascultarea și interceptarea traficului.
Baza de securitate atunci când se utilizează certificate digitale este siguranța cheii private. Organizația are mult mai mult decât utilizatorul mediu, capacitățile financiare și tehnice pentru a proteja în siguranță cheia privată utilizată pentru autentificarea site-ului său web. Depozitarea clientului de cheia privată în registrul sistemului de operare sau pe hard disk nu este sigură. În cazul unei infecții a computerului utilizatorului, aceste date pot fi furate cu ușurință de software rău intenționat, iar protecția cheii private cu o parolă nu va fi o garanție sigură a siguranței utilizatorului. Parolele care sunt folosite în practică rareori depășesc 8 caractere și, deseori, dacă nu sunt un cuvânt semnificativ, ele constau numai din majuscule litere ale alfabetului latin.
Modul fiabil de a stoca cheile private ale unui utilizator astăzi este utilizarea de jetoane criptografice. Spre deosebire de alte medii de stocare externe (de exemplu, același USB flash-ul) folosind token-uri nu este nevoie de a copia informații confidențiale în memoria calculatorului în timpul operației de autentificare, deoarece aceste dispozitive nu sunt doar stoca în siguranță, chei private, dar, de asemenea, hardware-ul efectua criptografică necesară calcul. În același timp, este important ca proprietarul tokenului să poată utiliza doar tokenul, care cunoaște parola din acesta (cod PIN).
Multe bănci deja oferă astăzi clienților posibilitatea de a se autentifica nu numai pentru parolele unice, ci și pentru utilizarea certificatelor digitale. În timp ce utilizarea jetoanelor criptografice hardware pentru a spori securitatea stocării cheilor private nu a devenit larg răspândită. Cu toate acestea, băncile care recurg la această metodă devin tot mai mult în fiecare an, deoarece acest mecanism este unul dintre cele mai fiabile pentru autentificarea în implementarea tranzacțiilor online.
Articole similare
Trimiteți-le prietenilor: