مهندسی اجتماعی و امنیت اطلاعات

مهندسی اجتماع

مهندسي اجتماعي، روشي غير فني براي شكستن امنيت سيستم يا شبكه است. فرآيند فریب كاربران يك سيستم و تحريك آنها براي دادن اطلاعاتي كه براي دور زدن مكانيزم هاي امنيتي استفاده مي شود را مهندسي اجتماعي گويند. دانستن مهندسي اجتماعي بسيار مهم است از آن جهت که هكر مي تواند از آن براي حمله به عنصر انساني سيستم استفاده كند. اين روش ميتواند براي جمع آوري اطلاعات قبل از حمله استفاده شود.

مهندسي اجتماعي چيست؟</strong style=”font-size:18px;”>

مهندسي اجتماعي، استفاده از ترغيب و تحريك براي فریب كاربران به منظور دستيابي به اطلاعات يا تشويق قرباني براي انجام برخي عمليات است. معمولا يك مهندس اجتماع، از تلفن(تخلیه تلفنی) يا اينترنت براي فریب كاربر و گرفتن اطلاعات حساس يا تحريك آنها براي انجام كارهايي كه سياست امنيتي سازمان را به خطر بياندازد استفاده می نماید. در اين روش، مهندسان اجتماعي، به جاي سو استفاده از حفره هاي امنيتي كامپيوتر، از گرايشات و تمايلات طبيعي افراد براي ايجاد اعتماد، سوء استفاده مي كنند.

كاربران، ضعيف ترين لينك هاي امنيتي هستند. اين اصل، دليل انجام مهندسي اجتماعي است.

خطرناك ترين بخش مهندسي اجتماعي اين است كه شركت هايي كه فرآيندهاي احراز هويت، فايروال ،VPN، و نرم افزار مانيتورينگ شبكه دارند، هنوز مستعد حمله هستند براي اينكه مهندسي اجتماعي، معيارهاي امنيتي را بطور مستقيم مورد حمله قرار نمي دهد بلكه آن را دور مي زند .

افراد، ضعيف ترين لينك در زنجيره امنيتي هستند و بهترين روش براي مقابله با حمله مهندسي اجتماعي ،داشتن سياست مناسب و آموزش پرسنل است. مهندسي اجتماعي، سخت ترين نوع حمله است براي اينكه سازمان نمي تواند تنها با استفاده از نرم افزار و سخت افزار از بروز آن جلوگيري كند.

انواع رايج حملات مهندسی اجتماعی كدامند؟</strong style=”font-size:18px;”>

مهندسي اجتماعي در دو دسته قرار مي گيرد:

مهندسي اجتماعي مبتني بر انسان: مهندسي اجتماعي مبتني بر انسان، اشاره به تعامل شخص به شخص دارد تا اطلاعات مورد نظر را به دست آورد مانند تماس با help desk و تلاش براي يافتن كلمه عبور.

مهندسي اجتماعي مبتني بر كامپيوتر: مهندسي اجتماعي مبتني بر كامپيوتر، اشاره به داشتن نرم افزار كامپيوتري است كه تلاش كند اطلاعات مورد نظر را بدست آورد. مثالي از آن، ارسال ايميلي به كاربر و درخواست از او براي ورود مجدد پسورد در صفحه وب براي تائيد است. اين حمله مهندسي اجتماعي، با نام phishing شناخته ميشود.

حملات مهندسي اجتماعي مبتني بر انسان به دسته هاي كلي زير تقسيم ميشوند:

خود را جاي شخص ديگري جا زدن (Impersonating an employee or valid user): در اين نوع حمله مهندسي اجتماعي، هكر وانمود ميكند كه كارمند يا كاربر قانوني سيستم است. هكر ميتواند خود را براي نگهبان، كارمند وانمود كند و دسترسي فيزيكي به دست آورد. پس از داخل شدن مي تواند اطلاعات را از سطل زباله(زباله گردی)، ميزها و سيستم هاي كامپيوتري جمع آوري كند.

خود را به عنوان شخص مهم وانمود كردن (Posing as an important user): در اين نوع حمله، هكر خود را جاي شخص مهمي همچون مدير ارشد جا مي زند كه براي دسترسي به فايل ها يا كامپيوتر، نياز به كمك فوري دارد. هكر از حالت ترساندن استفاده مي كند تا كارمند سطح پايين، اجازه دسترسي به سيستم را بدهد. بسياري از كاركنان سطح پايين، از كسي كه فكر مي كنند مدير ارشد است، سوالي نمي پرسند.

استفاده از شخص سوم (Using a third person): در اين رويكرد، هكر وانمود مي كند كه مجوز استفاده از منابع مجاز سيستم را دارد. زماني كه منبع داراي مجوز، خالي است يا نمي تواند قابل دسترسي باشد، اين حمله، بسيار موثر است. تماس با پشتيباني فني (Calling technical support): تماس با پشتيباني فني براي راهنمايي، نوع كلاسيك مهندسي اجتماعي است. پرسنل help desk و پشتيباني فني، آموزش ديده اند تا به كاربران كمك كنند. همين امر سبب شكار آنها توسط حملات مهندسي اجتماعي مي شود.

ايستادن كنار كاربر (Shoulder surfing): تكنيك جمع آوري پسورد است كه هكر موقع ورود كاربر به سيستم ،كنارش مي ايستد و نام كاربري و كلمه عبوري كه وارد سيستم مي كند را مي بيند.

آشغال گردي (Dumpster diving): جستجو در زباله ها براي يافتن اطلاعاتي كه ممكن است بر روي كاغذ نوشته شده باشد، است. هكر ميتواند پسوردها، نام فايلها، يا اطلاعات محرمانه ديگري را بدست آورد.

Shred anything containing your personal or sensitive information.

يكي از روش هاي پيشرفته براي دستيابي به اطلاعات غير مجاز، مهندسي اجتماعي معكوس است. با استفاده از اين تكنيك، هكر شخصيتي ايجاد ميكند كه به نظر ميرسد داراي اختيار است بنابراين، كارمندان، از هكر اطلاعات مي خواهند. براي مثال، هكر خود را جاي help desk جا مي زند و نام كاربري شخص را مي گيرد تا به او پسورد دهد.

مهندسي اجتماعي مبتني بر كامپيوتر
حملات مهندسي اجتماعي مبتني بر كامپيوتر شامل موارد زير مي شود:
ضميمه هاي ايميل
وب سايتهاي جعلي
پنجره هاي Popup

حملات داخلي
اگر هكر نتواند هيچ روشي براي هك سازمان پيدا كند، بهترين گزينه بعدي، نفوذ به سازمان به عنوان كارمند
يا پيدا كردن كارمند ناراضي است كه بتواند از طريق او حمله را انجام دهد. حملات داخلي، قدرتمند هستند و می توانند بسیار مخرب باشند به این دلیل که كارمندان، دسترسي فيزيكي دارند.

حملات داخلي
اگر هكر نتواند هيچ روشي براي هك سازمان پيدا كند، بهترين گزينه بعدي، نفوذ به سازمان به عنوان كارمند
يا پيدا كردن كارمند ناراضي است كه بتواند از طريق او حمله را انجام دهد. حملات داخلي، قدرتمند هستند و می توانند بسیار مخرب باشند به این دلیل که كارمندان، دسترسي فيزيكي دارند.

دفاع در مقابل حملات مهندسی اجتماعی
دفاع در مقابل حملات مهندسی اجتماعی سخت‌تر از دفاع در برابر سایر مخاطرات امنیتی بوده و جزء سخت‌ترین نوع دفاع‌ها خواهد بود. زیرا انسان‌ها، رفتارها و عکس العمل‌های آن‌ها بسیار پیچیده و غیرقابل پیش‌بینی می‌باشد؛ بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، ابتدا نیاز به شناسایی محرک‌های روانشناسی متقاعدسازی و سپس تکنیک‌های مورد استفاده در حملات داریم. با توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش‌گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. به‌طور کلی گام‌های کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:

شناسایی محرک‌های روانشناسی متقاعدسازی
آشنایی با تکنیک‌های حمله مهندسی اجتماعی
شناسایی سطوح مختلف دفاع
استراتژی‌ها ی دفاع

سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی

هیچ سنگری بدون پایه‌های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست‌های آن است.

سیاست‌های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می‌کند. این بنیان زمانی حیاتی تر می‌گردد که سیاست‌های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد.

سیاست‌های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست‌های مشکوک را می‌آموزد. سیاست‌های تثبیت شده، کمک می‌کند که کاربر نهایی حس کند، چاره‌ای جز مقاومت در برابر خواست هکران ندارد.

کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکته جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می‌باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می‌توان آگاه شد.

با توجه به مطالعات انجام شده درباره فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده‌اند که یکی از راه‌های مقاوم‌سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می‌باشد.

سیاست‌های امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش می‌دهد. سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند.

کنترل دسترسی به اطلاعات، راه‌اندازی حساب‌ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود.

سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و… کمک می‌کند.

همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند.

به‌طوری‌که اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطه سؤال برانگیزی باقی نماند.

 

 

سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه‌اندازی حساب‌ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود.

سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و… کمک می‌کند.

همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. به‌طوری‌که اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطه سؤال برانگیزی باقی نماند.

سطح پارامتر: آموزش آگاهی امنیتی برای همه
کارمندان باید باید بدانند که چه چیزی ارزشمند است.
دوستان همیشه دوست نیستند.
کلمات عبور، اطلاعات شخصی محسوب می‌شوند.
یونیفرم گواه هیچ ارزش سازمانی نیست.

سطح سنگرگیری
نه تنها تمام کارمندان باید آگاهی‌های امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد.

پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشی‌ها، تحویل داران و مهندسان و ناظران سیستم را شامل می‌شود یا بطورکلی هر کسی که کار یاری‌رسانی و رویارویی با دیگران را در سازمان ایفا می‌کند. آموزش مقاومت منجر می‌شود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روش‌های آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیک‌های هک، قوی می‌کند.

واکسیناسیون: این روش منطبق با ایده واکسیناسیون بوده، به‌طوری‌که ضعیف شده آن چیزی که هکرها از کارمندان می‌خواهند را، به کارمندان آموزش می‌دهیم. هکر نیز از روش‌های مشابه پیروی خواهد کرد؛ بنابراین واکسن از توسعه یک روش جلوگیری می‌کند.

پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و به صورت پیام بگوش همه می‌رسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر می‌دهیم بلکه روش‌ها و چگونگی حمله را نیز بیان می‌کنیم.

سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیب‌پذیریشان بطور غیرواقعی خوش بین هستند. این برداشت خیلی‌ها را از دیدن ریسک‌های به حق، دور می‌کند. اگر یکبار بتوانیم طی آموزش آن‌ها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار مؤثر خواهد بود.

سطح تثبیت و یادآوری
دفاع چند لایه نیاز به یادآوری‌های متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی مؤثر خواهد بود. یادآوری‌های متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاست‌ها در نیروی پلیس اجرا می‌شود، به‌طوری‌که آن‌ها همواره به انسان‌ها یادآوری می‌کنند که چگونه همکارانشان طی عملیات مختلف کشته شده‌اند.

سطح غیررسمی: مین‌های زمینی مهندسی اجتماعی
SELMها، تله‌هایی در سیستم هستند که حمله‌ها را آشکار کرده و از وقوع آن جلوگیری می‌کنند. درست مثل میدان مین در صحنه نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر می‌شود، مهاجم را زمین گیر کرده و حمله را متوقف می‌سازد. SELM به قربانی هشدار می‌دهد که حمله‌ای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایده‌ها آورده شده‌است:

Justified-know-it-all: هکر هرگز بطور مستقیم وارد سازمان نمی‌شود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیل‌های متفاوتی برای کسب اطلاعات وجود دارد که می‌تواند از آن‌ها استفاده کند، مثل نامه‌های روی میزها، پرونده‌های درون فایل‌ها، لیست تلفن‌های شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری می‌کند و در صورت ملاحظه رفتار مشکوک آن را گزارش دهد.

ثبت متمرکز وقایع: داشتن لاگ‌های متمرکز، از تمام فعالیت‌های امنیتی انجام گرفته در شرکت، از حملات مؤثر جلوگیری می‌کند. مثلاً الگوهای حمله را ردیابی می‌کنند و سپس به بازشناسی آن‌ها می‌پردازند.

تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، می‌بایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.

سطح تهاجمی: پاسخ دهی به رویداد
آخرین سطح دفاعی، پاسخ دهی به رویدادها می‌باشد. بدین ترتیب شبکه دیگر اجازه نمی‌دهد که مهاجم اجتماعی بتواند با کارمندان بی‌توجه به امنیت در سازمان، صحبت کند؛ بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، به‌طوری‌که حملات بتوانند سریع و مؤثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگ‌های رسیده از افرادی که درخواست‌های مشکوک داشته‌اند را شناسایی می‌کند.

سیاست‌های امنیتی
سیاست‌های امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل می‌دهند. سیاست‌ها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاست‌ها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:

استفاده از سیستم‌های کامپیوتری: پایش استفاده از نرم‌افزارها و سخت‌افزارهای خارج از استاندارد سازمان، پاسخ دهی به نامه‌های زنجیره‌ای و…
بررسی و طبقه‌بندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه به خوبی طبقه‌بندی شده‌اند و محافظت می‌شوند.
موارد امنیتی درمورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی بوجود نمی‌آورند.
امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسی‌ها با استفاده از ادوات الکترونیکی، بیومتریکی و رویه‌های Sign-in
دسترسی به اطلاعات: موارد استفاده از پسوردها، و ایجاد راهنمایی‌ها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسی‌ها و نیز دسترسی‌های راه دور از طریق مودم‌ها و…
حفاظت در برابر ویروس‌ها: برای امن کردن سیستم‌ها و اطلاعات درباره ویروس‌ها و سایر تهدیدها می‌باشد.
پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.
انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملاً منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.
بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاست‌های امنیتی.

مدیریت آگاهانه
مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجه‌های حفاظتی مناسبی را برای مقابله با ریسک‌های مربوطه اتخاذ کرد.

امنیت فیزیکی
کنترل کلیدی برای ایجاد محدودیت در دسترسی‌های فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستم‌های کامپیوتری می‌باشد. به عنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، می‌توانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.

آموزش و آگاهی
یک راه حل ساده برای ممانعت از حملات می‌باشد. برای مثال کارمند آگاه، می‌داند که نباید اطلاعاتی که خارج از حیطه اختیاراتش است را در اختیار دیگران قرار دهد. برنامه‌های خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز می‌کند. این برنامه‌ها برای کاربران چک لیستی را فراهم می‌کند که بتوانند حمله‌های احتمالی مهندسی اجتماعی را شناسایی کنند.

مهاجمین مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله می‌کنند. مثلاً منشی‌ها، گاردهای امنیتی و نظافتچی‌ها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاست‌های امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان می‌باشند.

آن‌ها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آن‌ها داده شود که می‌توانند با غریبه‌ها چالش کرده و از آن‌ها کارت شناسایی بخواهند. برنامه آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آن‌ها نشان داده شود که مهاجمین چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند.

بیان داستانهای موثق که چه اتفاقاتی برای قربانی‌های دیگر رخ داده‌است، مقاومت در برابر حمله‌های مهندسی اجتماعی را افزایش می‌دهد.

معماری صحیح زیرساخت‌های امنیتی
معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه می‌دهد تا بر وظایف مهم خود تمرکز کنند. به عنوان مثال باید مطمئن شویم که دیواره آتش با همان دقتی که مانع تهاجم از خارج به داخل می‌شود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکه‌ای خود را در شرایط مختلف بشناسد.

محدودیت در پراکندگی داده‌ها
کاهش در میزان اطلاعاتی که در اختیار دیگران قرار می‌گیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. به عنوان مثال وب‌گاه‌ها، بانک‌های اطلاعاتی، ثبت نام‌های اینترنتی و سایر دسترسی‌های عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً به جای قراردان نام کارمندان؛ از نام شرکت، شماره تلفن، عنوان‌های کاری و… را در اختیار گذارند.

استراتژی‌های رویارویی با حملات مهندسی اجتماعی

استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود می‌آورند که کارمند در شرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویه‌هایی پیروی کند. به عنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواست‌های مشکوک پاسخ نمی‌گوید.

استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری
متداول‌ترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویه‌های اعتبار سنجی می‌باشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار ساده‌است. درباره پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آن‌ها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمه‌ای در اختیار دیگران قرار می‌دهند. پسوردها باید در زمان‌های متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حل‌های تکمیلی دیگری چون PIN و ID کارت‌ها نیز برای حفظ دسترسی به سیستم‌های مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.

استفاده از رویه‌های بهینه جهت کاهش ریسک
برای سنجش وضعیت کارمندان و پیمانکاران، رویه‌های صحه گذاری باید مد نظر قرار گیرد.
سیستم‌های طبقه‌بندی داده با چارچوب‌هایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.
برای پیامدهای امنیتی تمامی کارمندان، برنامه آموزشی گذاشته شود.
پرسنل کلیدی باید آموزش‌هایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.
تست‌های نفوذپذیری و اطمینان از اطلاعات بطور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.
بطور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.
به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل می‌دهند و در برابر آن مسئول هستند.
تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلاً اگر فکر می‌کنند نامه‌ای مشکوک است، آن را باز نکنند.
باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامه‌های زنجیره‌ای توضیح داده شود.
به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرم‌افزارهای ضد ویروس استفاده کنند و آن را بروزرسانی کنند. نیز آگاه باشند که پیوست نامه‌های الکترونیکی و لینک‌های ناشناخته را باز نکنند.
به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواست‌های نا معقول دارند، برخورد کنند.
آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دوره‌های بروزرسانی وجود داشته باشد و به عنوان مثال در آن‌ها نمونه‌های جدید حملات مهندسی اجتماعی بیان شود.
عمق دفاع در سیستم جزء مهمی در امنیت است و از حمله‌های چندگانه جلوگیری می‌کند. باید از چک کردن‌های دولایه یا سه لایه استفاده شود.
باید ممیزی‌های مستمری وجود داشته باشد و رویه‌های امنیتی با استفاده از کارمندان همواره تست شود. مثلاً چک شود که دستگاه‌های غیرمجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.
تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود می‌برند. کنترل شود.
برای رسانه‌های مشکوک، مدیریت و برنامه‌ریزی وجود داشته باشد.
فرهنگ امنیت
ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گامهای زیر را در بر خواهد داشت:
ایجاد آگاهی از حملات امنیتی در کارمندان
فراهم‌سازی ابزارهای مقابله
برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان
ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایه‌گذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگهداری دارد.

بررسی اعتبار
اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک می‌رود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:

اعتبار سنجی مشخصات
اعتبار سنجی رتبه کارمندی
اعتبار سنجی «نیاز به دانستن»
مثالهایی از فرایندهای اعتبار سنجی عبارتند از:

می‌بایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شماره‌هایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شماره‌های داده شده توسط فرد تماس گیرنده.
از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.
در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.
در صورتی که تماس گیرنده ادعا کرد که شناسه کاربری را گم کرده‌است، با او تماس گرفته شود تااحراز هویت صورت گیرد.
دایرکتوری کابران بروز نگاه داشته شود.

چنین استراتژی‌های اعتبار سنجی فقط زمانی مؤثر خواهد بود که به عنوان سیاست‌های امنیتی توسط مدیر ارشد پشتیبانی شوند.

از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده می‌کند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد.

اگر با کارمندان بطور مسالمت‌آمیزی رفتار نشود، آن‌ها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن می‌کند را از دست خواهند داد؛ بنابراین باید به آن‌ها آموزش داد تا به گونه‌ای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.

کاهش ضرر با استفاده از بیمه
سازمان می‌تواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان به‌دنبال سیاست‌ها و رویه‌هایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شده‌اند. نمونه‌ای از آن‌ها عبارتند از:

سیاسست‌های ممیزی داخلی
سیاست‌های پسورد گذاری
سیاست‌های بکارگیری نیروهای انسانی و بررسی سابقه پیشین آنها
آگاهی امنیتی، برنامه‌های آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان
تماس با فروشندگان و سایر تأمین کنندگان خارجی
بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترل‌ها و سیاست‌هایی که در محل اجرا می‌کنند، کاهش می‌دهند.

ممیزی پذیرش و کاربری سیاست‌ها
تدوین استراتژی‌ها، سیاست‌ها و کارمندان آموزش دیده در صورتی‌که موافقتی با آن وجود نداشته باشد، کاملاً بی‌ارزش خواهد بود؛ بنابراین نیاز به ممیزی کاربری سیاست‌ها در سازمان می‌باشد.

برای مثال، هنگامیکه تضمین کیفیت برای پروژه‌ای اجرا می‌شود، یکی از گام‌ها، ارزیابی پذیرش سیاست‌های امنیتی در سازمان می‌باشد.

برای مثال رویه‌های ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، درباره پسورد، پشت تلفن یا از طریق نامه‌های رمزنگاری نشده، صحبت نمی‌کند.

مدیران نیز باید بطور دوره‌ای دسترسی‌های کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسی‌های غیرلازم را ندارد. نقاط دسترسی نیز مانند درب‌ها و… باید همواره مانیتور شوند.

بدین ترتیب اطمینان حاصل می‌شود که کارمندان سیاست‌های امنیتی را برای دسترسی به نقاط امن، رعایت می‌کنند. محل کار کارمندان نیز باید بطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفته‌اند. محل‌های کار نیز خارج از زمان‌های کاری، باید همواره قفل باشند.

 

امیدوارم که استفاده کامل رو از این مطلب برده باشید.

منابع :

https://www.symantec.com/connect/articles/social-engineering-fundamentals-part-ii-combat-strategies

http://www.learnwebskill.com

بازدیدها: 323

درباره نویسنده

مطالب مرتبط

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *