Политика управления телефонными разговорами гарантирует, что служащие могут проверить личность звонящего и защитить свою контактную информацию от тех людей, которые звонят в компанию.
3.1. Переадресация коммутируемых линий и факсов
Политика: службы перенаправления, которые позволяют переадресовать звонки на внешние телефонные номера, не следует включать на телефонных линиях модемов или факсов компании.
Пояснения/заметки: опытные атакующие могут обманным путем заставить персонал телефонной компании или штатных связистов компании переадресовать внутренние номера на внешнюю телефонную линию, контролируемую атакующим. Такая атака позволяет взломщику перехватывать факсы, запрашивать конфиденциальную информацию по факсу (служащие полагают, что отправка факсов внутри организации безопасна) или перехватывать пароли удаленных пользователей, перенаправляя коммутируемые линии на компьютер-ловушку, симулирующий процесс входа в систему.
В зависимости от типа телефонной связи, используемой в компании, услуга переадресации может контролироваться внешним поставщиком, а не подразделением телекоммуникаций. В таких случаях нужно потребовать от поставщика услуг связи, чтобы с телефонных номеров, выделенных для коммутируемых линий и факсов, не выполнялась переадресация звонков.
3.2. Автоматическое отображение телефонных номеров
Политика: корпоративная телефонная система должна отображать телефонные номера на внутренних телефонах компании, и по возможности, использовать другой звонок (мелодию) в случае звонков извне.
Пояснения/заметки: если служащие могут проверить подлинность внешних телефонных звонков, это поможет им предотвратить атаку или опознать (установить личность) атакующего и сообщить о нем в службу безопасности.
3.3. Визитные телефоны
Политика: чтобы посетители (гости) не могли выдать себя за работников компании, каждый телефон должен понятно отображать местонахождение звонящего (например, «приемная»).
Пояснения/заметки: если для внутренних звонков отображается только номер, то для звонков из приемной (вестибюля) и любых общедоступных мест должно отображаться место, откуда звонят. Нельзя позволять атакующему позвонить с этих номеров и обмануть служащего, заставив его поверить в то, что звонок сделан другим служащим.
3.4. Пароли телефонных станций
(офисных АТС) по умолчанию Политика: администратор голосовой почты перед использованием телефонной системы должен сменить все пароли, заданные производителем по умолчанию.
Пояснения/заметки: социальные инженеры могут получить от производителей списки паролей по умолчанию и получить доступ с правами администратора.
3.5. Голосовая почта подразделений
Политика: создайте общий голосовой ящик для каждого подразделения. Пояснения/заметки: первый шаг социальной инженерии включает в себя сбор информации о компании и ее персонале. Ограничив доступность имен и телефонов служащих, компания усложняет для социального инженера выбор жертвы, а также использование имен служащих с целью обмана других работников.
3.6. Проверка поставщика телефонной системы
Политика: специалисты, не сертифицированные (рекомендованные) производителем, не получат удаленный доступ к телефонной системе компании без проверки и права производить работы.
Пояснения/заметки: компьютерные взломщики, у которых есть доступ к корпоративной телефонной системе, получают возможность создавать голосовые почтовые ящики, перехватывать сообщения для других пользователей или осуществлять телефонные звонки за счет компании.
3.7. Конфигурация телефонной системы
Политика: администратор голосовой почты выполнит требования безопасности, настроив соответствующие параметры безопасности телефонной системы.
Пояснения/заметки: телефонные системы могут быть настроены с той или иной степенью безопасности для голосовых сообщений. Администратор должен быть осведомлен о политике безопасности компании и настроить совместно со службой безопасности телефонную систему для защиты конфиденциальных данных.
3.8. Отслеживание звонков
Политика: в зависимости от ограничений поставщика услуг связи, может быть доступна возможность выявления вызывающего абонента, когда есть подозрение на атаку.
Пояснения/заметки: следует обучить служащих, как и в каких случаях, отслеживать звонок. Отслеживание звонка должно использоваться, когда налицо присутствует попытка несанкционированного доступа к компьютерным системам компании или запрос конфиденциальной информации. Всякий раз, когда служащий активирует возможность отслеживания звонка, должно быть отправлено немедленное уведомление группе отчетов об инцидентах.
3.9. Автоматизированные телефонные станции (АТС)
Политика: если компания использует автоответчик, то система должна быть запрограммирована так, чтобы телефонные номера не назывались в случае передачи звонка служащему или подразделению.
Пояснения/заметки: атакующие могут использовать АТС компании для определения телефонных номеров служащих. Зная телефонные номера, атакующие могут убедить собеседников в том, что они являются служащими, и у них есть право на внутреннюю информацию.
3.10. Блокировка голосовых ящиков
после нескольких попыток несанкционированного доступа
Политика: запрограммируйте корпоративную телефонную систему на блокировку любого голосового ящика после заданного количества попыток несанкционированного доступа.
Пояснения/заметки: администратор голосовой почты должен блокировать голосовой ящик после пяти неудачных попыток входа. Снятие блокировки голосовых ящиков должна выполняться администратором вручную.
3.11. Запрещенные номера
Политика: все внутренние номера подразделений, которым обычно не звонят извне (help desk, машинный зал, техподдержка служащих и др.), должны быть запрограммированы на прием исключительно внутренних звонков.
Другой вариант: требовать от служащих и других авторизованных лиц, звонящих извне, вводить пароль.
Пояснения/заметки: хотя такая политика блокирует большинство попыток социальных инженеров, следует заметить, что опытный атакующий может уговорить служащего позвонить на запрещенный номер, попросить перезвонить
ему (атакующему) или просто сделать конференцию с запрещенным номером. Во время обучения по безопасности необходимо обсудить такой метод обмана, чтобы улучшить осведомленность служащих.