مهندسی اجتماعی (امنیت)
مهندسی اجتماعی (به انگلیسی Social Engineering) در بافتار امنیت اطلاعات به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیشگیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاستهای امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاستها میباشد. بهطور کلی گامهای کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:
- شناسایی محرکهای روانشناسی متقاعدسازی
- آشنایی با تکنیکهای حمله مهندسی اجتماعی
- شناسایی سطوح مختلف دفاع
- استراتژیها ی دفاع
شناسایی سطوح مختلف دفاع
کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیبپذیریها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسکها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، بهطوریکه اگر هکری توانست از سطحی نفوذ کند، در لایههای دیگر به دام بیفتد از آنجایی که ثابت شدهاست حملات مهندسی اجتماعی بسیار موفقیتآمیز بودهاند، بنابراین داشتن استراتژی چند لایهای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حملهکننده با حملات بسیار خود بالاخره سعی میکند تا نقاط ضعیف را شناسایی کند و به همین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفتهاست.
سطح پایهای: سیاستهای امنیتی در برابر مهندسی اجتماعی
هیچ سنگری بدون پایههای مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاستهای آن است. سیاستهای امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین میکند. این بنیان زمانی حیاتی تر میگردد که سیاستهای امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاستهای مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواستهای مشکوک را میآموزد. سیاستهای تثبیت شده، کمک میکند که کاربر نهایی حس کند، چارهای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت میباشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران میتوان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیدهاند که یکی از راههای مقاومسازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان میباشد. سیاستهای امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش میدهد. سیاست امنیتی باید حوزههای خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایههای مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راهاندازی حسابها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاستها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانهای مانند قدرت، حس مسئولیت و... کمک میکند. همچنین در سیاستها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. بهطوریکه اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.
سطح پارامتر: آموزش آگاهی امنیتی برای همه
پس از تثبیت سیاستهای امنیتی، تمام کارمندان باید برای آگاهیهای امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزههای امنیتی را به وجود میآورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاستهایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواستهای مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهیهای امنیتی خیلی پیچیدهتر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. بهطوریکه هکر معروف Kevin Mitnick گفتهاست: «من هرگز از کسی نخواستهام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیدهتر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن میباشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیهای نیاز خواهد داشت و از چه گفتگوهایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آنها باید بدانند که چگونه در مقابل خواستههای غیرمجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامههای آموزشی نیز باید از سیاستهای امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:
- باید بدانند که چه چیزی ارزشمند است.
- دوستان همیشه دوست نیستند.
- کلمات عبور، اطلاعات شخصی محسوب میشوند.
- یونیفرم گواه هیچ ارزش سازمانی نیست.
سطح سنگرگیری
نه تنها تمام کارمندان باید آگاهیهای امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشیها، تحویل داران و مهندسان و ناظران سیستم را شامل میشود یا بطورکلی هر کسی که کار یاریرسانی و رویارویی با دیگران را در سازمان ایفا میکند. آموزش مقاومت منجر میشود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روشهای آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیکهای هک، قوی میکند.
- واکسیناسیون: این روش منطبق با ایدهٔ واکسیناسیون بوده، بهطوریکه ضعیف شدهٔ آن چیزی که هکرها از کارمندان میخواهند را، به کارمندان آموزش میدهیم. هکر نیز از روشهای مشابه پیروی خواهد کرد؛ بنابراین واکسن از توسعه یک روش جلوگیری میکند.
- پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و به صورت پیام بگوش همه میرسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر میدهیم بلکه روشها و چگونگی حمله را نیز بیان میکنیم.
- سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیبپذیریشان بهطور غیرواقعی خوش بین هستند. این برداشت خیلیها را از دیدن ریسکهای به حق، دور میکند. اگر یکبار بتوانیم طی آموزش آنها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار مؤثر خواهد بود.
سطح تثبیت و یادآوری
دفاع چند لایه نیاز به یادآوریهای متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی مؤثر خواهد بود. یادآوریهای متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاستها در نیروی پلیس اجرا میشود، بهطوریکه آنها همواره به انسانها یادآوری میکنند که چگونه همکارانشان طی عملیات مختلف کشته شدهاند.
سطح غیررسمی: مینهای زمینی مهندسی اجتماعی
SELMها، تلههایی در سیستم هستند که حملهها را آشکار کرده و از وقوع آن جلوگیری میکنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر میشود، مهاجم را زمین گیر کرده و حمله را متوقف میسازد. SELM به قربانی هشدار میدهد که حملهای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایدهها آورده شدهاست:
- Justified-know-it-all: هکر هرگز بهطور مستقیم وارد سازمان نمیشود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیلهای متفاوتی برای کسب اطلاعات وجود دارد که میتواند از آنها استفاده کند، مثل نامههای روی میزها، پروندههای درون فایلها، لیست تلفنهای شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری میکند و در صورت ملاحظهٔ رفتار مشکوک آن را گزارش دهد.
- ثبت متمرکز وقایع: داشتن لاگهای متمرکز، از تمام فعالیتهای امنیتی انجام گرفته در شرکت، از حملات مؤثر جلوگیری میکند. مثلاً الگوهای حمله را ردیابی میکنند و سپس به بازشناسی آنها میپردازند.
- تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، میبایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.
سطح تهاجمی: پاسخ دهی به رویداد
آخرین سطح دفاعی، پاسخ دهی به رویدادها میباشد. بدین ترتیب شبکه دیگر اجازه نمیدهد که مهاجم اجتماعی بتواند با کارمندان بیتوجه به امنیت در سازمان، صحبت کند؛ بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، بهطوریکه حملات بتوانند سریع و مؤثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگهای رسیده از افرادی که درخواستهای مشکوک داشتهاند را شناسایی میکند.
استراتژیهای دفاع
آیا راه حل مؤثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر میباشد. سادهترین دلیل این است که بدون توجه به آنکه چه کنترلهایی پیادهسازی شدهاند، توجه داشته باشیم که همیشه در حملههای مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترلهای کلیدی برای محافظت در برابر این حملات آورده شدهاست. همانطور که باید مد نظر داشته باشیم که چه کنترلهایی را باید پیادهسازی کنیم، همچنین باید اطمینان داشته باشیم که:
- موجب انقطاع فعالیتهای روزمره نشود.
- به اندازه کافی تنومند باشد، بهطوریکه مانع تهاجمهای موازی و گوناگون شود.
- کارمنان بتوانند بین حمله و فعالیتهای روزمره، تمایز ایجاد کنند.
این کنترلهای کلیدی عبارتند از:
سیاستهای امنیتی
سیاستهای امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل میدهند. سیاستها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاستها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:
- استفاده از سیستمهای کامپیوتری: پایش استفاده از نرمافزارها و سختافزارهای خارج از استاندارد سازمان، پاسخ دهی به نامههای زنجیرهای و...
- بررسی و طبقهبندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه به خوبی طبقهبندی شدهاند و محافظت میشوند.
- موارد امنیتی در مورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی به وجود نمیآورند.
- امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسیها با استفاده از ادوات الکترونیکی، بیومتریکی و رویههای Sign-in
- دسترسی به اطلاعات: موارد استفاده از پسوردها، و ایجاد راهنماییها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسیها و نیز دسترسیهای راه دور از طریق مودمها و...
- حفاظت در برابر ویروسها: برای امن کردن سیستمها و اطلاعات دربارهٔ ویروسها و سایر تهدیدها میباشد.
- پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.
- انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملاً منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.
- بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاستهای امنیتی.
مدیریت آگاهانه
مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجههای حفاظتی مناسبی را برای مقابله با ریسکهای مربوطه اتخاذ کرد.
امنیت فیزیکی
کنترل کلیدی برای ایجاد محدودیت در دسترسیهای فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستمهای کامپیوتری میباشد. به عنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، میتوانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.
آموزش و آگاهی
یک راه حل ساده برای ممانعت از حملات میباشد. برای مثال کارمند آگاه، میداند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامههای خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز میکند. این برنامهها برای کاربران چک لیستی را فراهم میکند که بتوانند حملههای احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمین مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله میکنند. مثلاً منشیها، گاردهای امنیتی و نظافتچیها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاستهای امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان میباشند. آنها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آنها داده شود که میتوانند با غریبهها چالش کرده و از آنها کارت شناسایی بخواهند. برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آنها نشان داده شود که مهاجمین چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستانهای موثق که چه اتفاقاتی برای قربانیهای دیگر رخ دادهاست، مقاومت در برابر حملههای مهندسی اجتماعی را افزایش میدهد.
معماری صحیح زیرساختهای امنیتی
معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه میدهد تا بر وظایف مهم خود تمرکز کنند. به عنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل میشود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکهای خود را در شرایط مختلف بشناسد.
محدودیت در پراکندگی دادهها
کاهش در میزان اطلاعاتی که در اختیار دیگران قرار میگیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. به عنوان مثال وبگاهها، بانکهای اطلاعاتی، ثبت نامهای اینترنتی و سایر دسترسیهای عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً به جای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوانهای کاری و... را در اختیار گذارند.
استراتژیهای رویارویی با حملات مهندسی اجتماعی
استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود میآورند که کارمند در شرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویههایی پیروی کند. به عنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواستهای مشکوک پاسخ نمیگوید.
استراتژیهای محافظت از پسورد و روشهای صحه گذاری
متداولترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویههای اعتبار سنجی میباشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار سادهاست. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بهطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آنها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمهای در اختیار دیگران قرار میدهند. پسوردها باید در زمانهای متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حلهای تکمیلی دیگری چون PIN و ID کارتها نیز برای حفظ دسترسی به سیستمهای مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.
استفاده از رویههای احسن برای کاهش ریسک
- برای سنجش وضعیت کارمندان و پیمانکاران، رویههای صحه گذاری باید مد نظر قرار گیرد.
- سیستمهای طبقهبندی داده با چارچوبهایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.
- برای پیامدهای امنیتی تمامی کارمندان، برنامهٔ آموزشی گذاشته شود.
- پرسنل کلیدی باید آموزشهایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.
- تستهای نفوذپذیری و اطمینان از اطلاعات بهطور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.
- بهطور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.
- به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل میدهند و در برابر آن مسئول هستند.
- تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلاً اگر فکر میکنند نامهای مشکوک است، آن را باز نکنند.
- باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامههای زنجیرهای توضیح داده شود.
- به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرمافزارهای ضد ویروس استفاده کنند و آن را بروزرسانی کنند. نیز آگاه باشند که پیوست نامههای الکترونیکی و لینکهای ناشناخته را باز نکنند.
- به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواستهای نامعقول دارند، برخورد کنند.
- آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دورههای بروزرسانی وجود داشته باشد و به عنوان مثال در آنها نمونههای جدید حملات مهندسی اجتماعی بیان شود.
- عمق دفاع در سیستم جزء مهمی در امنیت است و از حملههای چندگانه جلوگیری میکند. باید از چک کردنهای دولایه یا سه لایه استفاده شود.
- باید ممیزیهای مستمری وجود داشته باشد و رویههای امنیتی با استفاده از کارمندان همواره تست شود. مثلاً چک شود که دستگاههای غیرمجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.
- تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود میبرند. کنترل شود.
- برای رسانههای مشکوک، مدیریت و برنامهریزی وجود داشته باشد.
فرهنگ امنیت
ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گامهای زیر را در بر خواهد داشت:
- ایجاد آگاهی از حملات امنیتی در کارمندان
- فراهمسازی ابزارهای مقابله
- برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان
ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایهگذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگهداری دارد.
بررسی اعتبار
اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک میرود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:
- اعتبار سنجی مشخصات
- اعتبار سنجی رتبه کارمندی
- اعتبار سنجی «نیاز به دانستن»
مثالهایی از فرایندهای اعتبار سنجی عبارتند از:
- میبایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شمارههایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شمارههای داده شده توسط فرد تماس گیرنده.
- از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.
- در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.
- در صورتی که تماس گیرنده ادعا کرد که شناسهٔ کاربری را گم کردهاست، با او تماس گرفته شود تااحراز هویت صورت گیرد.
- دایرکتوری کابران بروز نگاه داشته شود.
چنین استراتژیهای اعتبار سنجی فقط زمانی مؤثر خواهد بود که به عنوان سیاستهای امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده میکند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد. اگر با کارمندان بهطور مسالمتآمیزی رفتار نشود، آنها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن میکند را از دست خواهند داد؛ بنابراین باید به آنها آموزش داد تا به گونهای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.
کاهش ضرر با استفاده از بیمه
سازمان میتواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان بهدنبال سیاستها و رویههایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شدهاند. نمونهای از آنها عبارتند از:
- سیاسستهای ممیزی داخلی
- سیاستهای پسورد گذاری
- سیاستهای بکارگیری نیروهای انسانی و بررسی سابقهٔ پیشین آنها
- آگاهی امنیتی، برنامههای آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان
- تماس با فروشندگان و سایر تأمین کنندگان خارجی
بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترلها و سیاستهایی که در محل اجرا میکنند، کاهش میدهند.
ممیزی پذیرش و کاربری سیاستها
تدوین استراتژیها، سیاستها و کارمندان آموزش دیده در صورتیکه موافقتی با آن وجود نداشته باشد، کاملاً بیارزش خواهد بود؛ بنابراین نیاز به ممیزی کاربری سیاستها در سازمان میباشد. برای مثال، هنگامیکه تضمین کیفیت برای پروژهای اجرا میشود، یکی از گامها، ارزیابی پذیرش سیاستهای امنیتی در سازمان میباشد. برای مثال رویههای ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، دربارهٔ پسورد، پشت تلفن یا از طریق نامههای رمزنگاری نشده، صحبت نمیکند. مدیران نیز باید بهطور دورهای دسترسیهای کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسیهای غیرلازم را ندارد. نقاط دسترسی نیز مانند دربها و... باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل میشود که کارمندان سیاستهای امنیتی را برای دسترسی به نقاط امن، رعایت میکنند. محل کار کارمندان نیز باید بهطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفتهاند. محلهای کار نیز خارج از زمانهای کاری، باید همواره قفل باشند.
جستارهای وابسته
- مهندسی اجتماعی
- امنیت اطلاعات
- امنیت
- مهندسی فناوری اطلاعات
منابع
- «Social Engineering». Wikipedia
- Mikael Hermansson & Robert Ravne, “Fighting Social Engineering’’, March 2005 URL:www. dsv. su. se/en/seclab/pages/pdf-files/2005-x-۲۸۱.pdf
- Malcolm Allen, “The use of “Social Engineering” as a means of violating compute systems”,June2006 URL:https://web.archive.org/web/20030820115910/http://www.sans.org/rr/paper.php?id=529
- Wendy Arthurs, “A proactive defense to Social Engineering”, SANS Institute 2001 URL:https://web.archive.org/web/20031018025017/http://www.sans.org/rr/paper.php?id=511
- Tims, Rick “Social Engineering: Policies and Education a Must” SANS Institute, February۱۶٬۲۰۰۱ URL:https://web.archive.org/web/20011221100455/http://www.sans.org/infosecFAQ/social/policies.htm
- David Gragg, “A multi-level defense against Social Engineering”, December 2002 URL: http://www. sans. org/rr/papers/۵۱/۹۲۰.pdf
- NISCC Briefing “Social engineering against information systems: what is it and how do you protect yourself?, ۰۲ June 2006 URL:www.cpni.gouk/docs/SocialEngineering08a۰۶.pdf
- Radha Gulati, “The Threat of Social Engineering and Your Defence Against It”, SANSInstitute2003 URL:http://www.sans.org/rr/papers/index. php?id=۱۲۳۲
- Granger, Sarah. “Social Engineering Fundamentals, Part I: Hacker Tactics”, December 8, 2001 URL:http://www.securityfocus.com/infocus/1527
- Granger, Sarah. “Social Engineering Fundamentals, Part II: Combat Strategies”. January ۹٬۲۰۰۲ URL:http://www.securityfocus.com/infocus/1533
- Sara Gartner “There Are No Secrets: Social Engineering and Privacy” URL:http://www.gartner.com/gc/webletter/security/issue1/index.html
- Michael Bruck, “A Little-Known Security Threat” URL:https://web.archive.org/web/20050404190454/http://www.entrepreneur.com/article/0,4621,309221,00.html
- Lemos, Robert. “Mitnick teaches ‘Social Engineering’. ” July 17, 2000. ZDNet News. URL:http://zdnet.com.com/2100522261. html?legacy=zdnn
- McDowell, Mindi. “Avoiding Social Engineering and Phishing Attacks”, US-CERT Cyber Security TipST04–014. URL:http://www.us-cert. gov/cas/tips/ST04–014.html
- Jason Hiner, “Change your company’s culture to combat Social Engineering attacks”, May 30, 2002 URL:https://archive.is/20130102151420/http://articles.techrepublic.com.com/5100-1035_11-1047991.html