Недавняя новость заставила меня понять, как человеческие эмоции и мысли могут (или используются) для других. Почти каждый из вас знает Эдварда Сноудена, осведомителя НСА, который следит за миром. Reuters сообщила, что он получил около 20-25 человек из NSA, чтобы передать свои пароли ему для восстановления некоторых данных, которые он пропустил позже [1]. Представьте себе, насколько хрупкой может быть ваша корпоративная сеть, даже с самым сильным и лучшим программным обеспечением безопасности!
Что такое социальная инженерия
Человеческая слабость, любопытство, эмоции и другие характеристики часто используются при изъятии данных незаконно - будь то любая отрасль. ИТ-индустрия, однако, дала ему название социальной инженерии. Я определяю социальную инженерию как:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Вот еще одна строка из той же новости [1], которую я хочу процитировать - "Агентствам безопасности очень трудно понять, что парень в следующей кабине может быть ненадежным«. Я немного изменил инструкцию, чтобы поместить ее в контекст здесь. Вы можете прочитать полный фрагмент новостей, используя ссылку в разделе «Ссылки».
Другими словами, у вас нет полного контроля над безопасностью ваших организаций, когда социальная инженерия развивается гораздо быстрее, чем методы, чтобы справиться с ней. Социальная инженерия может быть чем-то вроде вызова кому-то, говорящего о том, что вы являетесь технической поддержкой и спрашиваете у них свои учетные данные. Вы, должно быть, получали фишинговые письма о лотереях, богатых людях на Ближнем Востоке и в Африке, которые хотят деловых партнеров, и предложения о работе, чтобы задать вам ваши данные.
В отличие от фишинг-атак, социальная инженерия - это прямое взаимодействие между людьми. В первом (фишинге) используется приманка, то есть люди, «ловившие рыбу», предлагают вам что-то, надеясь, что вы это попадёте. Социальная инженерия больше связана с завоеванием доверия внутренних сотрудников, чтобы они раскрывали детали компании, которые вам нужны.
Читать: Популярные методы социальной инженерии.
Известные методы социальной инженерии
Их много, и все они используют основные человеческие тенденции для попадания в базу данных любой организации. Наиболее часто используемая (возможно, устаревшая) технология социальной инженерии - это вызов и встречаться с людьми и заставить их поверить, что они от технической поддержки, которым необходимо проверить ваш компьютер. Они также могут создавать поддельные удостоверения личности для установления уверенности. В некоторых случаях виновники выступают в качестве государственных чиновников.
Другой известный метод заключается в том, чтобы нанять вашего человека в качестве сотрудника в целевой организации. Теперь, поскольку этот кон - ваш коллега, вы можете доверять ему детали компании. Внешний сотрудник может вам что-то помочь, поэтому вы чувствуете себя обязанным, и именно тогда они могут разобрать максимум.
Я также прочитал несколько сообщений о людях, использующих электронные подарки. Причудливый USB-накопитель, доставленный вам по адресу вашей компании или ручке, лежащей в вашем автомобиле, может стать причиной катастроф. В случае, кто-то оставил некоторые USB-накопители намеренно на стоянке в качестве приманки [2].
Если ваша сеть компании имеет хорошие меры безопасности на каждом узле, вы благословлены. В противном случае эти узлы обеспечивают легкий проход для вредоносного ПО - в этом подарке или «забытых» ручных приводах - в центральные системы.
Таким образом, мы не можем предоставить исчерпывающий список методов социальной инженерии. Это наука в ядре, в сочетании с искусством сверху. И вы знаете, что ни один из них не имеет границ. Ребята из социальной инженерии продолжают творчески развиваться при разработке программного обеспечения, которое также может злоупотреблять беспроводными устройствами, получающими доступ к Wi-Fi компании.
Читать: Что такое социально-вредоносная программа.
Предотвращение социальной инженерии
Лично я не думаю, что есть какая-то теорема, которую админы могут использовать для предотвращения хакеров в социальной инженерии. Техника социальной инженерии продолжает меняться, и поэтому ИТ-администраторам сложно отслеживать, что происходит.
Конечно, есть необходимость держать вкладку в новостях социальной инженерии, чтобы получить достаточно информации, чтобы принять соответствующие меры безопасности. Например, в случае USB-устройств администраторы могут блокировать USB-диски на отдельных узлах, что позволяет им только на сервере, который имеет лучшую систему безопасности. Аналогично, Wi-Fi нуждается в улучшенном шифровании, чем большинство местных провайдеров.
Обучение сотрудников и проведение случайных тестов для разных групп сотрудников могут помочь выявить слабые стороны в организации. Было бы легко обучить и предупредить более слабых людей. Осторожность - лучшая защита. Стресс должен заключаться в том, что информация для входа не должна делиться даже с лидерами команды - независимо от давления. Если руководителю группы необходимо получить доступ к логину участника, он / она может использовать мастер-пароль. Это всего лишь одно предложение оставаться в безопасности и избегать социальных хакеров.
Суть заключается в том, что помимо вредоносных программ и онлайн-хакеров ИТ-специалисты также должны заботиться о социальной инженерии. Выбирая методы нарушения данных (например, записывая пароли и т. Д.), Администраторы должны также обеспечить, чтобы их сотрудники были достаточно умны, чтобы идентифицировать технику социальной инженерии, чтобы избежать ее вообще. Как вы думаете, какие лучшие методы для предотвращения социальной инженерии? Если вы столкнулись с любым интересным случаем, пожалуйста, поделитесь с нами.
Загрузите эту электронную книгу о социальных атаках, выпущенных Microsoft, и узнайте, как вы можете обнаружить и предотвратить такие атаки в вашей организации.
Рекомендации
[1] Reuters, Snowden убедили сотрудников NSA в получении их информации о входе
[2] Boing Net, Pen Drives, используемые для распространения вредоносных программ.
