Nedávne správy mi umožnili uvedomiť si, ako ľudské emócie a myšlienky môžu byť (alebo sú) použité pre prospech druhých. Takmer každý z vás pozná Edwarda Snowdena, informátora NSA, ktorý svedčí po celom svete. Reuters uviedla, že dostal okolo 20-25 ľudí NSA, aby im odovzdali svoje heslá, aby si znova vymohli niektoré údaje, ktoré vytiahol neskôr [1]. Predstavte si, ako môže byť vaša podniková sieť krehká, dokonca aj s najsilnejším a najlepším bezpečnostným softvérom!
Čo je sociálne inžinierstvo
Ľudská slabosť, zvedavosť, emócie a iné charakteristiky sa často používajú pri získavaní údajov ilegálne - či už ide o akýkoľvek priemysel. IT priemysel mu však dal meno sociálneho inžinierstva. Definujem sociálne inžinierstvo ako:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Tu je ďalší riadok z toho istého spravodajského príbehu [1], ktorý chcem citovať - "Bezpečnostné agentúry majú ťažkosti s nápadom, že chlapík v ďalšom kabíne nemusí byť spoľahlivý". Upravil som výklad trochu, aby som sa do tohto kontextu prispôsobil. Celú novinku môžete prečítať pomocou odkazu v sekcii Referencie.
Inými slovami, nemáte úplnú kontrolu nad bezpečnosťou vašich organizácií so sociálnym inžinierstvom vyvíjajúcim sa oveľa rýchlejšie ako techniky, ktoré sa s ním vyrovnajú. Sociálne inžinierstvo môže byť niečo ako zavolať niekoho, kto hovorí, že máte technickú podporu, a opýtajte sa ich na prihlasovacie poverenia. Museli ste dostať phishingové pošty o lotériách, bohatých ľudí na strednom východe a v Afrike, ktorí chcú obchodných partnerov a pracovné ponuky, aby sa vás opýtali.
Na rozdiel od útokov typu phishing, sociálne inžinierstvo je veľa priamej interakcie medzi ľuďmi. Bývalý (phishing) používa návnadu - to znamená, že ľudia "ryba" vám ponúkajú niečo, čo dúfa, že na to padnete. Sociálne inžinierstvo je viac o tom, ako získať dôveru interných zamestnancov, aby prezradili informácie o spoločnosti, ktoré potrebujete.
čítať: Populárne metódy sociálneho inžinierstva.
Známe techniky sociálneho inžinierstva
Existuje veľa a všetci používajú základné ľudské tendencie pre vstup do databázy akejkoľvek organizácie. Najpoužívanejšou (pravdepodobne zastaranou) technikou sociálneho inžinierstva je zavolať a stretnúť ľudí a prinútiť ich, aby sa domnievali, že sú od technickej podpory, ktorí potrebujú skontrolovať váš počítač. Môžu tiež vytvoriť falošné identifikačné karty na vytvorenie dôvery. V niektorých prípadoch vinníci predstavujú štátnych úradníkov.
Ďalšou slávnou technikou je zamestnať vašu osobu ako zamestnanca v cieľovej organizácii. Teraz, pretože tento kon je váš kolega, môžete mu dôverovať detailom spoločnosti. Externý zamestnanec vám môže pomôcť s niečím, takže sa cítite povinní, a to, keď dokážu dosiahnuť maximum.
Čítal som aj niektoré správy o ľuďoch používajúcich elektronické darčeky. Fancy USB stick dodávaný na vašu firemnú adresu alebo pero, ktoré ležia vo vašom aute môže byť katastrofou. V prípade, že niekto nechal úmyselne na parkovisku niektoré USB jednotky ako návnady [2].
Ak má vaša spoločnosť sieť dobré bezpečnostné opatrenia v každom uzle, ste požehnaní. V opačnom prípade tieto uzly poskytujú jednoduchý prechod na škodlivý softvér - v prípade darčekov alebo "zabudnutých" diskov pero - do centrálnych systémov.
Ako taký nemôžeme poskytnúť komplexný zoznam metód sociálneho inžinierstva. Je to veda v jadre, v kombinácii s umením na vrchole. A viete, že ani jeden z nich nemá hranice. Kluci sociálneho inžinierstva naďalej tvoria pri vývoji softvéru, ktorý môže zneužiť aj bezdrôtové zariadenia, ktoré získavajú prístup k firemnej sieti Wi-Fi.
čítať: Čo je sociálne navrhnutý škodlivý softvér.
Zabráňte sociálnemu inžinierstvu
Osobne si nemyslím, že by existovala nejaká veta, ktorú by administrátori mohli použiť na to, aby zabránili sociálnemu inžinierstvu. Techniky sociálneho inžinierstva sa naďalej menia a preto je pre IT administrátorov ťažké udržať si stopu o tom, čo sa deje.
Samozrejme, je potrebné mať na karte informačné správy o sociálnom inžinierstve, aby ste boli dostatočne informovaní, aby prijali primerané bezpečnostné opatrenia. Napríklad v prípade zariadení USB môžu administrátori blokovať jednotky USB na jednotlivých uzloch, čo im umožňuje len na serveri, ktorý má lepší bezpečnostný systém. Podobne Wi-Fi by potreboval lepšie šifrovanie, ako väčšina miestnych poskytovateľov internetových služieb.
Školenie zamestnancov a vykonávanie náhodných testov na rôznych skupinách zamestnancov môže pomôcť identifikovať slabé miesta v organizácii. Bolo by ľahké trénovať a varovať slabších jednotlivcov. Upozornenie je najlepšou obranou. Stres by mal byť, že prihlasovacie informácie by nemali byť zdieľané ani s vedúcimi tímu - bez ohľadu na tlak. Ak vedúci tímu potrebuje prístup k prihláseniu člena, môže použiť hlavné heslo. To je len jeden návrh, aby ste zostali v bezpečí a vyhnuli sa sociálnemu hackingu.
Zdá sa, že okrem malware a online hackerov sa ľudia v oblasti informačných technológií musia starať aj o sociálne inžinierstvo. Pri identifikácii metód porušenia údajov (napríklad zápis hesiel atď.) By administrátori mali tiež zabezpečiť, aby ich zamestnanci boli dostatočne inteligentní, aby identifikovali techniku sociálneho inžinierstva, aby sa tomu úplne vyhnuli. Čo si myslíte, že sú najlepšie metódy na zabránenie sociálneho inžinierstva? Ak ste narazili na nejaký zaujímavý prípad, podeľte sa s nami.
Stiahnite si túto e-knihu o útokoch sociálneho inžinierstva, ktoré vydala spoločnosť Microsoft, a dozviete sa, ako môžete odhaliť a predísť takýmto útokom vo vašej organizácii.
Referencie
[1] Reuters, Snowden presvedčili zamestnancov NSA, aby získali svoje prihlasovacie informácie
[2] Boing Net, Pen Drives používané na šírenie škodlivého softvéru.
