En fersk nyhet fikk meg til å innse hvordan menneskelige følelser og tanker kan (eller er) brukes til andres fordeler. Nesten hver eneste av dere kjenner Edward Snowden, whistleblower av NSA snooping verden over. Reuters rapporterte at han fikk rundt 20-25 NSA-folk til å overgive sine passord til ham for å gjenopprette data han lekket senere [1]. Tenk deg hvor skjør ditt bedriftsnettverk kan være, selv med det sterkeste og beste av sikkerhetsprogramvaren!
Hva er samfunnsteknologi
Menneskelig svakhet, nysgjerrighet, følelser og andre egenskaper har ofte blitt brukt til å utvinne data ulovlig - det være seg noen bransje. IT-industrien har imidlertid gitt navnet navnet på sosialteknikk. Jeg definerer sosialteknikk som:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Her er en annen linje fra samme nyhetshistorie [1] som jeg vil sitere på - "Sikkerhetsbyråer har det vanskelig med ideen om at fyren i neste kabinett kanskje ikke er pålitelig“. Jeg endret uttalelsen litt for å passe den inn i konteksten her. Du kan lese hele nyhetsstykket ved å bruke linken i Referanser-delen.
Med andre ord har du ikke full kontroll over sikkerheten til organisasjonene dine med sosialteknikk som utvikler seg mye raskere enn teknikker for å takle det. Sosialteknikk kan være alt som å kalle opp noen som sier at du er teknisk støtte og be dem om deres påloggingsinformasjon. Du må ha mottatt phishing-mails om lotterier, rike mennesker i Midt-Østen og Afrika som ønsker forretningspartnere, og jobber for å spørre deg om dine detaljer.
I motsetning til phishing-angrep er sosialteknikk mye av en direkte person-til-person-interaksjon. Den tidligere (phishing) sysselsetter en agn - det vil si, folkene "fiske" tilbyr deg noe i håp om at du vil falle for det. Sosialteknologi handler mer om å vinne tilliten til interne ansatte, slik at de avslører bedriftens detaljer du trenger.
Lese: Populære metoder for samfunnsteknikk.
Kjente Samfunnsteknikker
Det er mange, og alle bruker grunnleggende menneskelige tendenser for å komme inn i databasen til enhver organisasjon. Den mest brukte (sannsynligvis utdaterte) sosialteknikkteknikken er å ringe og møte mennesker og få dem til å tro at de er fra teknisk støtte som trenger å sjekke datamaskinen. De kan også lage falske ID-kort for å etablere tillit. I noen tilfeller utgjør de skyldige som statsansatte.
En annen kjent teknikk er å ansette din person som en ansatt i målorganisasjonen. Nå, siden dette er din kollega, kan du stole på ham med bedriftsinformasjon. Den eksterne medarbeideren kan hjelpe deg med noe, så du føler deg forpliktet, og det er da de kan gjøre det maksimale.
Jeg leser også noen rapporter om folk som bruker elektroniske gaver. En fancy USB-pinne levert til deg på firmaadressen din eller en pennstasjon som ligger i bilen din, kan vise seg katastrofer. I et tilfelle forlot noen USB-stasjoner bevidst på parkeringsplassen som baits [2].
Hvis bedriftens nettverk har gode sikkerhetsmålinger på hver knutepunkt, er du velsignet. Ellers gir disse noderne en enkel passasje for malware - i den gaven eller "glemte" pennstasjoner - til de sentrale systemene.
Som sådan kan vi ikke gi en omfattende liste over sosialtekniske metoder. Det er en vitenskap i kjerne, kombinert med kunst på toppen. Og du vet at ingen av dem har noen grenser. Social engineering guys fortsetter å bli kreative mens du utvikler programvare som også kan misbruke trådløse enheter som får tilgang til firmaets Wi-Fi.
Lese: Hva er sosialt utviklet skadelig programvare.
Forhindre sosialteknikk
Personlig tror jeg ikke det er noen teorem som admins kan bruke for å forhindre sosialteknikk hacks. Sosialteknikkteknikkene fortsetter å forandre seg, og det blir derfor vanskelig for IT-admins å holde et spor på hva som skjer.
Selvfølgelig er det et behov for å holde en fane på sosiale ingeniørnyheter slik at man er informert nok til å ta passende sikkerhetstiltak. For eksempel, når det gjelder USB-enheter, kan administratorer blokkere USB-stasjoner på individuelle noder som bare tillater dem på serveren som har et bedre sikkerhetssystem. På samme måte vil Wi-Fi trenge bedre kryptering enn de fleste av de lokale ISPene gir.
Opplæring av ansatte og gjennomføring av tilfeldige tester på ulike ansattes grupper kan bidra til å identifisere svake punkter i organisasjonen. Det ville være lett å trene og passe de svakere individene. Alertness er det beste forsvaret. Stresset bør være at innloggingsinformasjon ikke skal deles selv med lagledere - uavhengig av presset. Hvis en teamleder trenger tilgang til et medlems påloggingssystem, kan han / hun bruke et hovedpassord. Det er bare ett forslag om å holde seg trygt og unngå sosial ingeniørhack.
Bunnlinjen er, bortsett fra malware og nettbaserte hackere, må IT-personene også ta seg av sosialteknikk. Samtidig med å identifisere metoder for brudd på data (som å skrive ned passord etc.), bør admins også sørge for at de ansatte er klare nok til å identifisere en sosialteknikkteknikk for å unngå det helt. Hva synes du er de beste metodene for å hindre sosialteknikk? Hvis du har kommet over et interessant tilfelle, vennligst del med oss.
Last ned denne boken om sosiale teknikker angrep utgitt av Microsoft og lær hvordan du kan oppdage og forhindre slike angrep i organisasjonen.
referanser
[1] Reuters, Snowden overtalte NSA-ansatte til å innhente sin innloggingsinformasjon
[2] Boing Net, Pen Drives brukes til å spre malware.
