Naujausios žinios parodė, kaip žmogaus emocijos ir mintis gali būti (ar yra) naudojami kitų naudai. Beveik kiekvienas iš jūsų žino Edvardą Snowdeną, NSA informatorių, kuris apžvelgia visą pasaulį. "Reuters" pranešė, kad jam sukaupė apie 20-25 NSA asmenis, kurie jiems perdavė savo slaptažodžius, kad galėtų susigrąžinti kai kuriuos duomenis, kuriuos jis pateko vėliau [1]. Įsivaizduokite, koks patvarus yra jūsų verslo tinklas, netgi turint stipriausią ir geriausią saugumo programinę įrangą!
Kas yra socialinė inžinerija
Žmonių silpnumas, smalsumas, emocijos ir kitos savybės dažnai buvo naudojamos neteisėtai išgauti duomenis - ar tai būtų bet kokia pramonė. Vis dėlto IT pramonė pavadino socialinę inžineriją. Aš apibrėžiu socialinę inžineriją kaip:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Čia yra kita eilutė iš tos pačios naujienos [1], kurią norėčiau cituoti - "Apsaugos agentūroms sunku įsivaizduoti, kad kito kajutės vaikinas gali būti nepatikimas" Aš šiek tiek pakeitė teiginį, kad jį pritaikytų kontekste. Galite perskaityti visą naujienų dalį naudodami nuorodą skyriuje "Nuorodos".
Kitaip tariant, jūs neturite visiškai kontroliuoti savo organizacijų saugumo, o socialinė inžinerija vystosi žymiai greičiau nei būdai jais susidoroti. Socialinė inžinerija gali būti kažkas panaši kaip pakviesti ką nors pasakyti, kad esate techninės pagalbos ir paprašykite jų prisijungimo duomenų. Turite gauti piktogramą apie loterijas, turtingus Mid East ir Afrikoje norinčius verslo partnerius, ir darbo pasiūlymus, kad paklausti jūsų išsamią informaciją.
Skirtingai nuo sukčiavimo išpuolių, socialinė inžinerija yra tiesioginė tiesioginė sąveika tarp žmonių. Pirmoji (sukčiavimo) priemonė naudoja masalą - tai yra žmonės, "žvejojantys", siūlo kažką tikintis, kad jums pakils. Socialinė inžinerija yra daugiau apie vidinių darbuotojų pasitikėjimą, kad jie atskleistų jums reikalingą informaciją.
Skaityti: Populiariausi socialinės inžinerijos metodai.
Žinomos socialinės inžinerijos metodikos
Yra daugybė, o visi jie naudoja pagrindines žmogaus tendencijas patekti į bet kurios organizacijos duomenų bazę. Dažniausiai naudojama (tikriausiai pasenusi) socialinės inžinerijos technika yra skambinti ir susipažinti su žmonėmis ir priversti juos manyti, kad jie yra iš techninės pagalbos, kuriems reikia patikrinti jūsų kompiuterį. Jie taip pat gali sukurti suklastotas asmens tapatybės korteles, kad būtų sukurtas pasitikėjimas. Kai kuriais atvejais kaltininkai laikomi valstybės pareigūnais.
Kitas garsus technikas - įdarbinti savo asmenį kaip darbuotoją tikslinėje organizacijoje. Dabar, nes tai yra jūsų kolega, galite ja pasitikėti savo įmonės duomenimis. Išorinis darbuotojas gali padėti jums kažką, taigi jūs jaučiate, kad esate įsipareigojęs, ir tai yra, kai jie gali nustatyti maksimalų.
Aš taip pat skaitau keletą pranešimų apie žmones, naudojančius elektronines dovanas. Įdomus USB lizdas, pristatytas į jūsų įmonės adresą, arba automobilyje esantis variklis gali būti nelaimių priežastimi. Vienu atveju kažkas kai kuriuos USB įrenginius susižeidė automobilių stovėjimo aikštelėje kaip jaukus [2].
Jei jūsų įmonės tinkle yra geros apsaugos priemonės kiekviename mazge, esate palaimintas. Priešingu atveju šie mazgai lengvai perduoda kenkėjišką programinę įrangą - tokioje dovanoje arba "užmirštos" švirkštimo priemonės - į centrines sistemas.
Todėl negalime pateikti išsamaus socialinės inžinerijos metodų sąrašo. Tai pagrindinis mokslas, kartu su meniu viršuje. Ir jūs žinote, kad nė vienas iš jų neturi jokių apribojimų. Socialinių inžinierių vaikinai vis dar kūrybingi kuriant programinę įrangą, kuri taip pat gali piktnaudžiauti belaidžiais įrenginiais, suteikiant prieigą prie "Wi-Fi".
Skaityti: Kas yra socialiai sukurta kenkėjiška programa.
Užkirsti kelią socialinei inžinerijai
Asmeniškai manau, kad nėra jokios teorijos, kurią administratoriai gali naudoti siekiant užkirsti kelią socialinės inžinerijos problemoms. Socialinės inžinerijos metodai nuolat keičiasi, todėl IT administratoriams tampa sunku stebėti, kas vyksta.
Žinoma, reikia laikyti socialinės inžinerijos naujienų skirtuką, kad būtų pakankamai informuotas, kad būtų imtasi tinkamų saugumo priemonių. Pvz., Jei naudojate USB įrenginius, administratoriai gali blokuoti USB įrenginius atskiruose mazguose, leidžiantys juos naudoti tik geresnės apsaugos sistemos serveryje. Be to, "Wi-Fi" reikės geresnio šifravimo nei dauguma vietinių interneto paslaugų teikėjų.
Mokymas darbuotojų ir atliekant atsitiktinius testus įvairioms darbuotojų grupėms gali padėti nustatyti silpnąsias vietas organizacijoje. Būtų lengva mokyti ir įspėti silpnesnius asmenis. Alertness yra geriausia gynyba. Reikėtų pabrėžti, kad prisijungimo informacija neturėtų būti dalijama net su komandos vadovais, nepriklausomai nuo spaudimo. Jei komandos lyderis turi prisijungti prie vartotojo prisijungimo, jis gali naudoti pagrindinį slaptažodį. Tai tik vienas pasiūlymas saugoti ir išvengti socialinės inžinerijos klaidų.
Apatinėje eilutėje, be kenkėjiškų programų ir interneto įsilaužėlių, IT žmonės turi rūpintis socialine inžinerija. Nustatydami duomenų pažeidimo metodus (pvz., Įrašydami slaptažodžius ir tt), administratoriai taip pat turėtų užtikrinti, kad jų darbuotojai būtų pakankamai protingi, kad būtų galima identifikuoti socialinės inžinerijos metodus, kad būtų išvengta viso jo. Kaip manote, kokie yra geriausi būdai, kaip išvengti socialinės inžinerijos? Jei susidūrėte su visais įdomiais atvejais, pasidalykite su mumis.
Atsisiųskite šį elektroninį leidinį apie Socialinės inžinerijos atakas, kurį išleido "Microsoft", ir sužinokite, kaip galite aptikti ir užkirsti kelią tokioms atakoms jūsų organizacijoje.
Nuorodos
[1] "Reuters" "Snowden" įtikino NSA darbuotojus gauti jų prisijungimo informaciją
[2] "Boing Net", "Pen Drives", naudojami kenkėjiškoms programoms platinti.
