فا

‫ خطرناك ترين آسيب پذيري امنيتي: شما

IRCAR201111119
 
 
تاريخ: 30/8/90
چه باور كنيد چه باور نكنيد، بزرگترين تهديد براي سيستم هاي رايانه اي محل كارتان و يا رايانه شخصيتان، خود شما هستيد. در واقع، اين شما هستيد كه هر روزه سيستم خود و سيستم هاي رايانه اي شركت را در معرض خطر قرار مي دهيد. البته اين موضوع مربوط به يك نقص شخصيتي در شما نمي شود، بلكه مربوط به پاسخ هاي انساني شما به ديگر همنوعانتان است. شما مي خواهيد فردي باز، كمك رسان و مهربان باشيد، اما اين خصوصيات در واقع پاشنه آشيل شما است. دلسوزي شما نسبت به يك فرد غريبه مي تواند امنيت شخصي و حرفه اي شما را در معرض خطر بزرگي قرار دهد كه گاه جبران آن بسيار هزينه بر است.
همواره مهاجماني هستند كه مي خواهند به شبكه شما نفوذ كرده و يا داده هاي شما را براي رسيدن به اهداف خود سرقت كنند. در صورتي كه سيستم هاي شما به روز نباشد و آخرين اصلاحيه ها بر روي آن نصب نشده باشد، آنها از اين طريق حمله كرده و كنترل آنها را در اختيار مي گيرند. در صورتي كه شبكه شما از امنيت كافي براي دفاع در برابر نفوذ برخوردار نباشد، آنها به راحتي از طريق اين روزنه باز وارد مي شوند. همچنين در صورتي كه امنيت فيزيكي دفتر شما جدي نباشد، به زودي ضرر آن را خواهيد ديد، چرا كه افراد مهاجم بدون اينكه متوجه شويد، وارد دفتر كار شده، ممكن است يك درايو USB را سرقت كرده و يا اطلاعاتي را از روي ميزهاي كار جمع آوري كند، يا حتي ممكن است به دنبال رايانه اي كه قفل نشده است، بگردد. در پايان نيز، در صورتي كه كارمندان شما، براي مقابله با حملات مهندسي اجتماعي آمادگي نداشته باشند، تمام دفاع هاي ديگر شما بلااستفاده است.
 
مشكل چيست؟
 
از نقطه نظر شركت، تيم امنيت شبكه و مديران آن، مسئول به روز نگاه داشتن سيستم ها و نصب نرم افزارهاي امنيتي هستند، اما متأسفانه آنها نمي توانند شما را اصلاح كنند. هيچ اصلاحيه اي براي ترميم آسيب پذيري هاي شما وجود ندارد. مهندسي اجتماعي موثرترين روش حمله بر روي هر سيستم يا شبكه كامپيوتري است. اين نوع حملات معمولاً صد در صد موفق است. در ضمن اين نوع حملات كمترين رد پا را به جا مي گذارد و همواره با فردي در داخل سازمان مرتبط است كه كاري را انجام مي دهد يا چيزي مي گويد كه فضاي كافي را براي مهاجم جهت دسترسي به سيستم ها، داده ها و اطلاعات فراهم مي كند.
 
راه حل چيست؟
 
راه حل به ظاهر بسيار آسان است: آموزش
در كتاب كريستفور هادناگي به نام "مهندسي اجتماعي: هنر هك كردن انسانها" در اين مورد آمده است:
 
"ارتقاي امنيت از طريق آموزش نبايد به عنوان يك عبارت ساده نگريسته شود، بايد به عنوان يك هدف مهم نگريسته شود. تا زماني كه شركت ها و افرادي كه در آن شركت ها كار مي كنند، بحث امنيت فردي را جدي نگيرند، اين مشكل به صورت كامل حل نخواهد شد. با اين وجود، افرادي كه آنقدر جدي بوده اند كه مشغول خواندن اين كتاب هستند و تمايل دارند كه يه گوشه هاي تاريك اجتماع نگاهي انداخته و مهارت هاي خود را افزايش دهند، مي توانند خودشان، خانواده هايشان و شركت هايشان را كمي امن تر سازند.
تا زماني كه شركت ها و سازمان ها متوجه آسيب پذير بودن خود در برابر حملات مهندسي اجتماعي شوند، وظيفه افراد شاغل در شركت ها و سازمان هاي مربوطه است تا خود را در مورد روش هاي اين نوع حملات آموزش داده و در اين زمينه آگاه و گوش به زنگ باشند، همچنين اين اطلاعات را به ديگران نيز انتقال دهند. تنها در اين صورت است كه مي توانيم اميدوار باشيم اگر يك قدم جلوتر از مهاجمين نيستيم، حداقل خيلي هم از آنها عقب تر نيستيم."
 
يكي از مهمترين موانعي كه بايد بر آن غلبه كنيد، اعتماد به نفس دروغيني است كه فكر مي كنيد اين اتفاق هيچ گاه براي شما نمي افتد. زماني كه با نويسنده كتاب فوق مصاحبه شده، اذعان داشته است وي 100 درصد در حملات اجتماعي كه انجام داده، موفق بوده است. اين عدد بايد به اندازه كافي به شما هشدار بدهد.
 
 
چطور مي توانيم در حالي كه اوضاع نااميدانه به نظر مي رسد، از خودمان محافظت كنيم؟
 
البته اوضاع آنقدرها هم بد نيست و در صورتي كه مهاجمان نتوانند صيدهاي مناسب را پيدا كنند، حملات هم نمي توانند به اندازه اي كه در حال حاضر موفق هستند، موفق باشند. كار شما اينست كه تا جايي كه مي توانيد كار مهاجم را سخت تر كنيد. راههايي كه دشمنان از طريق آن به شما حمله مي كنند را شناسايي كرده و سطح حملات را كاهش دهيد.
 
چطور مي توانيد اين كار را انجام دهيد؟
 
اين مسئله نيازمند آمادگي و گوش به زنگي بالايي است و همچنين لازم است تا جواب هاي از پيش تعيين شده اي براي سوال هاي به ظاهر بي ضرر غريبه ها آماده شود. از طرف ديگر، هماهنگي بين همه كارمندان از مديران گرفته تا نظافتچي ها بسيار ضروري است. آموزش كليدي ترين روش براي پيشگيري است، اما در عين حال داشتن يك برنامه خروج از بحران نيز براي بهبود بعد از حملات موفق، ضروري است.
 
متأسفانه اطلاعات مناسب و صحيح در اين زمينه، تا از طريق آن بتوانيد آموزش لازم را ببينيد بسيار كم و نادر است. بيشتر مطالبي كه پيدا خواهيد كرد يا اطلاعات عمومي بوده و يا اطلاعات غلط و گمراه كننده است كه شما را بيش از پيش در مقابل حملات آسيب پذير مي سازد. مطمئن ترين راه براي آموزش برگزاري دوره هاي مرتبط توسط افراد متخصص در شركت مربوطه و يا مطالعه كتاب هاي قابل اعتماد در اين زمينه است.
 
مطالب مرتبط:
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 مرداد 1392

امتیاز

امتیاز شما
تعداد امتیازها:0