امنیت اطلاعات From Wikipedia, the free encyclopedia
مهندسی اجتماعی (به انگلیسی Social Engineering) در بافتار امنیت اطلاعات به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیشگیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاستهای امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاستها میباشد. بهطور کلی گامهای کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:
این مقاله شامل فهرستی از منابع، کتب مرتبط یا پیوندهای بیرونی است، اما بهدلیل فقدان یادکردهای درونخطی، منابع آن همچنان مبهم هستند. |
به عبارت دیگر مهندسی اجتماعی به مجموعهای از روشها گفته میشود که با استفاده از آنها، افراد را فریب میدهند و اطلاعات محرمانه آنها را سرقت میکنند. به عبارت دقیقتر، مهندسی اجتماعی، مجموعهای از روشها است که در آن، بدون استفاده از تکنیکهای فنی و تنها با آگاهی از شرایط و ناآگاهی افراد جامعه و تکنیکهای روانشناسی، آنها را فریب داده و اطلاعات محرمانهشان را سرقت میکنند.[1]
کلید دفاع در برابر حملات مهندسی اجتماعی در آناست که بدانیم آسیبپذیریها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسکها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، بهطوریکه اگر هکری توانست از سطحی نفوذ کند، در لایههای دیگر به دام بیفتد از آنجایی که ثابت شدهاست حملات مهندسی اجتماعی بسیار موفقیتآمیز بودهاند، بنابراین داشتن استراتژی چند لایهای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حملهکننده با حملات بسیار خود بالاخره سعی میکند تا نقاط ضعیف را شناسایی کند و به همین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفتهاست.
هیچ سنگری بدون پایههای مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاستهای آن است. سیاستهای امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین میکند. این بنیان زمانی حیاتی تر میگردد که سیاستهای امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاستهای مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواستهای مشکوک را میآموزد. سیاستهای تثبیت شده، کمک میکند که کاربر نهایی حس کند، چارهای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت میباشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران میتوان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیدهاند که یکی از راههای مقاومسازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان میباشد. سیاستهای امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش میدهد. سیاست امنیتی باید حوزههای خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایههای مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راهاندازی حسابها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاستها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانهای مانند قدرت، حس مسئولیت و... کمک میکند. همچنین در سیاستها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. بهطوریکه اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.
پس از تثبیت سیاستهای امنیتی، تمام کارمندان باید برای آگاهیهای امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزههای امنیتی را به وجود میآورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاستهایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواستهای مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهیهای امنیتی خیلی پیچیدهتر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. بهطوریکه هکر معروف Kevin Mitnick گفتهاست: «من هرگز از کسی نخواستهام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیدهتر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن میباشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیهای نیاز خواهد داشت و از چه گفتگوهایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آنها باید بدانند که چگونه در مقابل خواستههای غیرمجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامههای آموزشی نیز باید از سیاستهای امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:
نه تنها تمام کارمندان باید آگاهیهای امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشیها، تحویل داران و مهندسان و ناظران سیستم را شامل میشود یا بهطورکلی هر کسی که کار یاریرسانی و رویارویی با دیگران را در سازمان ایفا میکند. آموزش مقاومت منجر میشود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روشهای آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیکهای هک، قوی میکند.
دفاع چند لایه نیاز به یادآوریهای متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی مؤثر خواهد بود. یادآوریهای متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاستها در نیروی پلیس اجرا میشود، بهطوریکه آنها همواره به انسانها یادآوری میکنند که چگونه همکارانشان طی عملیات مختلف کشته شدهاند.
SELMها، تلههایی در سیستم هستند که حملهها را آشکار کرده و از وقوع آن جلوگیری میکنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر میشود، مهاجم را زمین گیر کرده و حمله را متوقف میسازد. SELM به قربانی هشدار میدهد که حملهای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایدهها آورده شدهاست:
آخرین سطح دفاعی، پاسخ دهی به رویدادها میباشد. بدین ترتیب شبکه دیگر اجازه نمیدهد که مهاجم اجتماعی بتواند با کارمندان بیتوجه به امنیت در سازمان، صحبت کند؛ بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، بهطوریکه حملات بتوانند سریع و مؤثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگهای رسیده از افرادی که درخواستهای مشکوک داشتهاند را شناسایی میکند.
آیا راه حل مؤثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر میباشد. سادهترین دلیل این است که بدون توجه به آنکه چه کنترلهایی پیادهسازی شدهاند، توجه داشته باشیم که همیشه در حملههای مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترلهای کلیدی برای محافظت در برابر این حملات آورده شدهاست. همانطور که باید مد نظر داشته باشیم که چه کنترلهایی را باید پیادهسازی کنیم، همچنین باید اطمینان داشته باشیم که:
این کنترلهای کلیدی عبارتند از:
سیاستهای امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل میدهند. سیاستها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاستها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:
مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجههای حفاظتی مناسبی را برای مقابله با ریسکهای مربوط اتخاذ کرد.
کنترل کلیدی برای ایجاد محدودیت در دسترسیهای فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستمهای کامپیوتری میباشد. به عنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، میتوانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.
یک راه حل ساده برای ممانعت از حملات میباشد. برای مثال کارمند آگاه، میداند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامههای خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز میکند. این برنامهها برای کاربران چک لیستی را فراهم میکند که بتوانند حملههای احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمان مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله میکنند. مثلاً منشیها، گاردهای امنیتی و نظافتچیها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاستهای امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان میباشند. آنها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آنها داده شود که میتوانند با غریبهها چالش کرده و از آنها کارت شناسایی بخواهند. برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آنها نشان داده شود که مهاجمان چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستانهای موثق که چه اتفاقاتی برای قربانیهای دیگر رخ دادهاست، مقاومت در برابر حملههای مهندسی اجتماعی را افزایش میدهد.
معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه میدهد تا بر وظایف مهم خود تمرکز کنند. به عنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل میشود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکهای خود را در شرایط مختلف بشناسد.
کاهش در میزان اطلاعاتی که در اختیار دیگران قرار میگیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. به عنوان مثال وبگاهها، بانکهای اطلاعاتی، ثبت نامهای اینترنتی و سایر دسترسیهای عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً به جای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوانهای کاری و... را در اختیار گذارند.
استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود میآورند که کارمند در شرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویههایی پیروی کند. به عنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواستهای مشکوک پاسخ نمیگوید.
متداولترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویههای اعتبار سنجی میباشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار سادهاست. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بهطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آنها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمهای در اختیار دیگران قرار میدهند. پسوردها باید در زمانهای متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حلهای تکمیلی دیگری چون PIN و ID کارتها نیز برای حفظ دسترسی به سیستمهای مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.
ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گامهای زیر را در بر خواهد داشت:
ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایهگذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگهداری دارد.
اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک میرود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:
مثالهایی از فرایندهای اعتبار سنجی عبارتند از:
چنین استراتژیهای اعتبار سنجی فقط زمانی مؤثر خواهد بود که به عنوان سیاستهای امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده میکند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد. اگر با کارمندان بهطور مسالمتآمیزی رفتار نشود، آنها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن میکند را از دست خواهند داد؛ بنابراین باید به آنها آموزش داد تا به گونهای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.
سازمان میتواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان بهدنبال سیاستها و رویههایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شدهاند. نمونهای از آنها عبارتند از:
بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترلها و سیاستهایی که در محل اجرا میکنند، کاهش میدهند.
تدوین استراتژیها، سیاستها و کارمندان آموزش دیده در صورتیکه موافقتی با آن وجود نداشته باشد، کاملاً بیارزش خواهد بود؛ بنابراین نیاز به ممیزی کاربری سیاستها در سازمان میباشد. برای مثال، هنگامیکه تضمین کیفیت برای پروژهای اجرا میشود، یکی از گامها، ارزیابی پذیرش سیاستهای امنیتی در سازمان میباشد. برای مثال رویههای ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، دربارهٔ پسورد، پشت تلفن یا از طریق نامههای رمزنگاری نشده، صحبت نمیکند. مدیران نیز باید بهطور دورهای دسترسیهای کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسیهای غیرلازم را ندارد. نقاط دسترسی نیز مانند دربها و... باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل میشود که کارمندان سیاستهای امنیتی را برای دسترسی به نقاط امن، رعایت میکنند. محل کار کارمندان نیز باید بهطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفتهاند. محلهای کار نیز خارج از زمانهای کاری، باید همواره قفل باشند.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.