Понимание социальной инженерии — защита от взлома

Недавняя новость заставила меня осознать, как человеческие эмоции и мысли могут быть (или используются) на благо других. Почти каждый из вас знает Эдварда Сноудена(Edward Snowden) , разоблачителя АНБ(NSA) , следящего за всем миром. Агентство Reuters сообщило, что он уговорил около 20-25 человек из АНБ(NSA) передать ему свои пароли для восстановления некоторых данных, которые он позже слил [1]. Представьте(Imagine) , насколько хрупкой может быть ваша корпоративная сеть, даже с самым мощным и лучшим программным обеспечением безопасности!

социальная инженерия

Что такое социальная инженерия

Человеческие(Human) слабости, любопытство, эмоции и другие качества часто использовались при незаконном извлечении данных — будь то любая отрасль. Однако ИТ-индустрия(IT Industry) дала этому название социальной инженерии. Я определяю социальную инженерию как:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Вот еще одна строчка из того же новостного материала [1], которую я хочу процитировать: « Спецслужбам тяжело смириться с мыслью, что парень в соседней кабинке может быть ненадежным(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ». Я немного изменил утверждение, чтобы оно соответствовало контексту здесь. Полностью новость можно прочитать по ссылке в разделе « Ссылки(References) ».

Другими словами, у вас нет полного контроля над безопасностью вашей организации, поскольку социальная инженерия развивается гораздо быстрее, чем методы, позволяющие с ней справиться. Социальная(Social) инженерия может быть чем-то вроде звонка кому-то, кто говорит, что вы техподдержка, и просите их учетные данные для входа. Вы, должно быть, получали фишинговые электронные письма о лотереях, о том, что богатые люди на Ближнем Востоке(Mid East) и в Африке(Africa) ищут деловых партнеров, и о предложениях работы, чтобы узнать ваши данные.

В отличие от фишинговых атак, социальная инженерия во многом представляет собой прямое взаимодействие между людьми. Первый (фишинг) использует приманку, то есть люди, «ловящие рыбу», предлагают вам что-то в надежде, что вы на это попадетесь. Социальная(Social) инженерия — это больше о завоевании доверия внутренних сотрудников, чтобы они разглашали нужные вам данные о компании.

Читайте: (Read:) Популярные методы социальной инженерии .

Известные методы социальной инженерии

Их много, и все они используют базовые человеческие склонности для попадания в базу данных любой организации. Наиболее часто используемый (вероятно, устаревший) метод социальной инженерии — звонить и встречаться с людьми и заставлять их думать, что они из службы технической поддержки, которым нужно проверить ваш компьютер. Они также могут создавать поддельные удостоверения личности, чтобы установить доверие. В некоторых случаях виновные выдают себя за государственных чиновников.

Еще один известный метод — нанять вашего человека в качестве сотрудника целевой организации. Теперь, поскольку этот мошенник — ваш коллега, вы можете доверить ему информацию о компании. Внешний сотрудник может помочь вам чем-то, поэтому вы чувствуете себя обязанным, и тогда они могут сделать максимум.

Я также читал некоторые отчеты о людях, использующих электронные подарки. Причудливая флешка(USB) , доставленная вам по адресу вашей компании, или флешка, лежащая в вашем автомобиле, могут обернуться катастрофой. В одном случае кто-то намеренно оставил несколько USB -накопителей на парковке в качестве приманки [2].

Если сеть вашей компании имеет хорошие меры безопасности на каждом узле, вам повезло. В противном случае эти узлы обеспечивают легкий проход вредоносному ПО — в этом подаренном или «забытом» флеш-накопителе — к центральным системам.

Таким образом, мы не можем предоставить полный список методов социальной инженерии. Это наука в основе, объединенная с искусством наверху. И вы знаете, что ни у того, ни у другого нет границ. Специалисты по социальной(Social) инженерии продолжают проявлять творческий подход, разрабатывая программное обеспечение, которое также может злоупотреблять беспроводными устройствами, получающими доступ к корпоративному Wi-Fi .

Читайте: (Read:) что такое вредоносное ПО с социальной инженерией .

Предотвратить социальную инженерию

Лично я не думаю, что существует какая-либо теорема, которую администраторы могут использовать для предотвращения взломов социальной инженерии. Методы социальной инженерии продолжают меняться, и, следовательно, ИТ-администраторам становится трудно отслеживать происходящее.

Конечно, необходимо следить за новостями социальной инженерии, чтобы быть достаточно информированным, чтобы принять соответствующие меры безопасности. Например, в случае с USB - устройствами администраторы могут блокировать USB -накопители на отдельных узлах, позволяя использовать их только на сервере с лучшей системой безопасности. Точно так же(Likewise) для Wi-Fi потребуется лучшее шифрование, чем предоставляют большинство местных интернет- провайдеров(ISPs) .

Обучение сотрудников и проведение выборочных тестов на разных группах сотрудников могут помочь выявить слабые места в организации. Было бы легко обучать и предостерегать более слабых людей. Бдительность(Alertness) — лучшая защита. Особое внимание следует уделить тому, что информация для входа в систему не должна передаваться даже руководителям групп — независимо от давления. Если руководителю группы необходимо получить доступ к логину участника, он может использовать мастер-пароль. Это всего лишь один совет, чтобы оставаться в безопасности и избегать взломов социальной инженерии.

Суть в том, что, помимо вредоносных программ и онлайн-хакеров, ИТ-специалисты также должны позаботиться о социальной инженерии. При определении методов утечки данных (например, записи паролей и т. д.) администраторы также должны убедиться, что их сотрудники достаточно умны, чтобы идентифицировать метод социальной инженерии, чтобы полностью избежать этого. Как вы думаете, каковы лучшие методы предотвращения социальной инженерии? Если вы столкнулись с каким-либо интересным случаем, пожалуйста, поделитесь с нами.

Загрузите эту электронную книгу об атаках с использованием социальной инженерии , выпущенную Microsoft, и узнайте, как вы можете обнаруживать и предотвращать такие атаки в своей организации.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Рекомендации(References)

[1] Reuters , Сноуден(Snowden) убедил сотрудников АНБ(NSA Employees Into) получить их данные для входа(Info)

[2] Boing Net , флешки(Pen) , используемые для распространения вредоносного ПО(Spread Malware) .



About the author

Я веб-разработчик с опытом работы более 10 лет. Я специализируюсь на разработке Chrome OS и работал над широким спектром проектов от небольших стартапов до компаний из списка Fortune 500. Я также являюсь экспертом по учетным записям пользователей и семейной безопасности и разработал несколько успешных приложений для Android.



Related posts