Неотдавнашна новина ме накара да осъзная как човешките емоции и мисли могат да бъдат (или са) използвани в полза на другите. Почти всеки от вас познава Едуард Сноудън, повелителят на НСА, който подсказва по целия свят. Ройтерс съобщи, че има около 20-25 души от НСА, които да му предадат паролите за възстановяване на някои данни, които е изтекъл по-късно [1]. Представете си колко крехка е вашата корпоративна мрежа, дори и с най-силния и най-добър софтуер за сигурност!
Какво е социално инженерство
Човешките слабости, любопитство, емоции и други характеристики често са били използвани при извличането на данни незаконно - било то в която и да е индустрия. ИТ индустрията обаче му е дала името на социалното инженерство. Определям социалното инженерство като:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Ето още една линия от същата новина [1], която искам да цитирам - "Агенциите за сигурност изпитват трудности с идеята, че човекът в следващия кабинет може да не е надежден". Промених изявлението малко, за да се побере в контекста тук. Можете да прочетете цялата новина, като използвате връзката в секцията "Референции".
С други думи, нямате пълен контрол върху сигурността на организациите си, тъй като социалното инженерство се развива много по-бързо от техниките, за да се справи с него. Социалното инженерство може да бъде нещо като извикване на някой да каже, че сте техническа поддръжка и да поискате от тях своите идентификационни данни за вход. Сигурно сте получавали фишинг писма за лотарии, богати хора в Mid East и Африка, които искали бизнес партньори и предложения за работа, за да ви зададат подробности.
За разлика от фишинг атаките, социалното инженерство е много пряко взаимодействие от човек на човек. Бившият (фишинг) използва стръв - това означава, че хората "риболов" ви предлагат нещо, надявайки се, че ще паднете за него. Социалното инженерство е повече за спечелване на доверието на вътрешните служители, така че да разкриват подробностите за компанията, от които се нуждаете.
Прочети: Популярни методи на социалното инженерство.
Известни техники за социално инженерство
Има много и всички те използват основни човешки тенденции за влизане в базата данни на всяка организация. Най-използваната (вероятно остаряла) техника за социално инженерство е да се обадите и да се срещнете с хората и да ги накарате да вярват, че са от техническа поддръжка, които трябва да проверят компютъра ви. Те могат също така да създават фалшиви лични карти, за да установят доверие. В някои случаи виновните представляват държавни служители.
Друга известна техника е да наемете своя човек като служител в целевата организация. Сега, тъй като този кон е вашият колега, може да му се доверите с подробности за компанията. Външният служител може да ви помогне с нещо, затова се чувствате задължени и това е, когато те могат да направят максимално.
Четох и няколко доклада за хора, които използват електронни подаръци. Уникален USB стик, който ви е бил доставен на адреса на фирмата си или карам с писалка, лежащ в колата си, може да се окаже бедствие. В даден случай някой напусне умишлено някои USB устройства в паркинга като примамки [2].
Ако фирмената Ви мрежа има добри мерки за сигурност на всеки възел, вие сте благословени. В противен случай тези възли осигуряват лесно преминаване на злонамерен софтуер - в този подарък или "забравени" устройства за писалка - към централните системи.
Поради това не можем да предоставим изчерпателен списък на методите за социално инженерство. Това е наука в сърцевината, съчетана с изкуство на върха. И вие знаете, че никой от тях няма граници. Социалните инженери продължават да се креатират, докато разработват софтуер, който също може да злоупотреби с безжични устройства, които получават достъп до фирмения Wi-Fi.
Прочети: Какво представлява софтуерът Malware.
Предотвратяване на социалното инженерство
Лично аз не мисля, че има някаква теорема, която администраторите могат да използват, за да предотвратят социалните инженерни хакове. Социалните инженерни техники продължават да се променят и оттам става трудно за IT администраторите да следят какво се случва.
Разбира се, има нужда да се пази раздел за новините в социалното инженерство, така че човек да е достатъчно информиран, за да вземе подходящи мерки за сигурност. Например, в случай на USB устройства, администраторите могат да блокират USB устройства на отделни възли, като им позволяват само на сървъра, който има по-добра система за сигурност. По същия начин Wi-Fi ще се нуждае от по-добро криптиране, отколкото повечето местни доставчици на интернет услуги предлагат.
Обучението на служителите и провеждането на случайни тестове на различни групи служители може да помогне за идентифицирането на слабите места в организацията. Би било лесно да се обучават и да се предупреждават по-слабите хора. Сигнализацията е най-добрата защита. Стресът трябва да бъде, че данните за вход не бива да се споделят дори с ръководителите на екипи - независимо от натиска. Ако ръководителят на екипа трябва да има достъп до данните за влизане в даден член, той може да използва главна парола. Това е само едно предложение да останете в безопасност и да избягвате социалните инженерни хакове.
Долната линия е, освен зловреден софтуер и хакери онлайн, ИТ хората трябва да се грижат и за социалното инженерство. Докато идентифицират методи за нарушаване на данни (например записване на пароли и т.н.), администраторите трябва също така да гарантират, че техният персонал е достатъчно интелигентен, за да идентифицира техника на социален инженеринг, за да го избегне напълно. Как мислите, че са най-добрите методи за предотвратяване на социалното инженерство? Ако срещнете някой интересен случай, моля, споделете с нас.
Изтеглете тази електронна книга за социални инженерни атаки, публикувана от Microsoft, и научете как можете да откривате и предотвратите такива атаки във вашата организация.
Препратки
[1] Ройтерс, Snowden убеждава служителите на NSA да получат данните си за вход
[2] Boing Net, Pen Drives, използвани за разпространение на злонамерен софтуер.
