فا

‫ مهندسي اجتماعي (۲)

در آگاهي‌رسان «مهندسي اجتماعي (۱)» به معرفي موضوع مهندسي اجتماعي و ذكر مهم‌ترين انواع حملات آن پرداخته شد. در اين نسخه از اين مجموعه آگاهي‌رساني به ذكر اصلي‌ترين روش‌ها و راه‌كارها براي مقابله با حملات مهندسي اجتماعي خواهيم پرداخت.
پيش از بيان روش‌هاي دفاعي در برابر حملات مهندسي اجتماعي، لازم است تا كلياتي را در مورد اين دسته از حملات يادآور شويم. ويژگي بارز حملات مهندسي اجتماعي، هدف آن‌ها يعني افراد (مردم عادي، نيروهاي انساني يك سازمان و غيره) است؛ لذا قابل پيش‌بيني است كه راه‌كارهاي مناسب فاع در برابر اين حملات، بايد توصيه‌ها و دستورالعمل‌هايي باشند كه توسط افراد (و نه سيستم‌هاي امنيتي و نرم‌افزارها و سخت‌افزارها) اجرا مي‌شود.

در بسياري از حملات مهندسي اجتماعي (نظير حملات صيادي و دستاويزسازي)، مهاجم مستقيم به سراغ قرباني رفته و به صورت شفاهي يا كتبي با وي گفتگو مي‌كند تا او را فريب داده و اطلاعات لازم را از وي دريافت نمايد. لذا اكثر راهكارهاي دفاعي در برابر حملات مهندسي اجتماعي بر همين موضوع تاكيد داشته و به افراد گوشزد مي‌نمايند تا در هنگام ارتباط با ديگران به چه موضوعاتي توجه داشته باشند تا خطر مواجهه با حملات مهندسي اجتماعي كاهش يابد. در ادامه به ذكر اصلي‌ترين روش‌هاي دفاعي خواهيم پرداخت:

1- آموزش مهم‌ترين اصل است
اولين و مهم‌ترين اصل در مقابله با مهندسي اجتماعي، آگاهي تك‌تك افراد و فرهنگ‌سازي مناسب است. افراد آگاه به سادگي مي‌توانند حملات مهندسي اجتماعي را خنثي كنند. فرهنگ‌سازي در برابر حملات مهندسي اجتماعي مي‌تواند در سطوح مختلفي انجام شود؛ از سطوح بسيار ساده و ابتدايي نظير آموزش‌هاي والدين به فرزندان، تا سطوح بسيار پيشرفته در سازمان‌هاي اطلاعاتي و امنيتي. مسئله اصلي، افزايش سطح آگاهي افراد و آمادگي ذهني آن‌ها در اين موارد است:
1.    آگاهي از وجود خطر: افراد بايد اين نكته را در ذهن داشته باشند كه در هر ارتباط با افراد بيروني ممكن است در معرض حملات مهندسي اجتماعي باشند. توجه به همين نكته ساده باعث افزايش هوشياري افراد شده و سبب مي‌شود تا اطلاعات شخصي و داخلي كه ديگران نيازي به آگاهي از آن‌ها ندارند را به سادگي فاش نسازند.


2.    شناخت اطلاعات حساس: فرهنگ‌سازي و آگاهي‌رساني به افراد بايد به گونه‌اي باشد تا طبقه‌بندي اطلاعات را به آن‌ها بياموزد. در اين صورت، افراد مي‌توانند ميان اطلاعات حساسي كه بايد در داخل مجموعه (خانواده، گروه، سازمان و غيره) باقي بماند و اطلاعات معمولي كه مي‌توان آن‌ها را فاش كرد تمايز قائل شوند. اين آموزش‌ها بايد توسط افراد خبره و يا بر اساس دستورالعمل‌هاي علمي انجام شود؛ چرا كه اصلي‌ترين جنبه اين آموزش، شناخت صحيح اطلاعات حساس است كه نيازمند بررسي‌هاي علمي و داشتن تجربه است.
3.    حصول اطمينان از صداقت افراد: آخرين نكته‌اي كه در مبحث آموزش بايد مورد توجه قرار گيرد، آموزش اين نكته به افراد است كه نبايد به سادگي به حرف ديگران اعتماد كرد و بايد بدون تعارف و اضطراب، ابتدا از صداقت طرف مقابل (چه در قالب مكالمه شفاهي و چه به صورت رايانامه، پيامك و پيام‌هاي چندرسانه‌اي) اطمينان حاصل كرد. همين فعاليت ساده، مي‌تواند بسياري از حملات مهندسي اجتماعي را خنثي‌سازي كند. براي مثال، تحقيقات نشان مي‌دهد كه متداول‌ترين روش‌ها براي حمله مهندسي اجتماعي به كارمندان يك سازمان، تماس با آن‌ها و معرفي خود به عنوان «كارمند جديد» يا «مسئول جمع‌آوري آمار» از سوي خود سازمان است. اگر هر كارمند در صورت مواجهه با چنين افرادي و پيش از دادن اطلاعات، با يك تماس ساده با مدير ارشد خود، صداقت حرف فرد مقابل را بررسي كند، اكثر حملات مهندسي اجتماعي به شكست خواهد انجاميد.
2- آگاه باشيد كه چه اطلاعاتي را منتشر مي‌كنيد
موضوع آموزش و فرهنگ‌سازي در زمان مواجهه با حملات مهندسي اجتماعي، موضوع مهمي است كه در بخش قبل بيان شد؛ اما موضوع ديگر، آگاهي افراد در زمان‌هاي ديگر، به خصوص در زمان انجام فعاليت‌هاي روزمره و شخصي است. مهاجماني كه با اهداف جدي اقدام به حمله مهندسي اجتماعي مي‌كنند، معمولا از قبل افرادي را هدف‌گيري كرده و اقدام به جمع‌آوري اطلاعات در مورد آن‌ها مي‌نمايند. در چنين موقعيت‌هايي است كه حتي رفتارهاي روزمره افراد مي‌تواند به عنوان ابزاري براي جلب اعتماد و يا تعيين فرصت مناسب حمله توسط مهاجمين مورد استفاده قرار گيرد. لذا بايد آگاهي داشته باشيم كه در صحبت‌هاي روزمره خود با ديگران و يا در شبكه‌هاي اجتماعي، چه اطلاعاتي را از خودمان (نه از گروه، سازمان يا غيره) منتشر مي‌كنيم و به بياني ديگر، چه اندازه به افراد ناآشنا اجازه مي‌دهيم تا ما را بشناسند!
3- اطلاعات و داشته‌هاي خود را بشناسيد
شناسايي داشته‌ها و اطلاعات حساس، معمولا به عنوان يكي از فعاليت‌هاي پايه امنيتي در هر سازماني انجام مي‌شود؛ خواه در سطح كوچك (مثل اطلاعات حساب مالي يك خانواده) و خواه در سطوح پيشرفته (مثل اطلاعات محرمانه و سري يك سازمان اطلاعاتي و نظامي). اما بايد توجه داشت كه تنها اطلاعات حساس نيست كه نياز به مراقبت و پنهان‌بودن از ديدهاي بيروني دارند؛ چرا كه گاهي اوقات با وجود آنكه از اطلاعات اصلي و حساس مراقبت مي‌شود، اطلاعات ديگري كه به صورت مستقيم حائز اهميت نبوده و به چشم نمي‌آيند، مورد استفاده مهاجمين مهندسي اجتماعي قرار مي‌گيرند. براي مثال، در يك سازمان ممكن است به شدت از اطلاعات مالي حفاظت شود تا به هيچ طريقي به دست افراد غيرمسئول نرسد و همچنين به تمام مسئولين گوشزد شده تا در مورد اطلاعات مالي به هيچ‌كس حرفي نزنند. در چنين شرايطي، حملات مهندسي اجتماعي كه مستقيما به دنبال كسب اطلاعات مالي شركت از افراد باشند شكست خواهند خورد؛ اما هنوز راه نفوذ و دسترسي به اين اطلاعات باز است! يك تيم مهاجم، مي‌تواند با تركيبي از مهندسي اجتماعي و حملات امنيتي فني (هك و نفوذ) اين كار را انجام دهد. به اين صورت كه اطلاعات غيرمستقيم نظير نام و نسخه نرم‌افزارهايي كه در سازمان از آن‌ها استفاده مي‌شود را از طريق مهندسي اجتماعي استخراج كرده و حال، با دانستن اين اطلاعات به سراغ هك و نفوذ مي‌روند. بنابراين بايد بر اساس مطالعات علمي و تجربه، بدانيم كه علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات ديگري ممكن است مورد استفاده مهاجمين قرار گيرد. اين كار نيازمند مشورت با متخصصين حوزه‌هاي امنيتي است و بدون تجربيات و دانش فني امنيت رايانه‌اي، نمي‌توان شناخت درستي از اطلاعات قابل استفاده توسط مهاجمين داشت. در نهايت اين اطلاعات را نيز در زمره اطلاعات داخلي طبقه‌بندي كرده و به افراد آموزش دهيم تا علاوه بر خويشتن‌داري در برابر افشاي اطلاعات حساس، از افشاي اين اقلام اطلاعاتي نيز خودداري نمايند.
4- سياست‌هاي امنيتي تدوين كنيد
در نهايت، بايد توجه داشت كه اين تلاش‌ها به صورت مديريت‌شده و سيستماتيك صورت گرفته و در نهايت، سياست‌هاي مدوني براي رفتار امن افراد تهيه شده و آگاهي‌رساني به آن‌ها نيز بر اساس همين سياست‌هاي صورت گيرد. تنها در اين صورت است كه اطمينان داشت تلاش‌ها ثمربخش هستند. نكته‌اي كه در اين خصوص حائز اهميت است، پاي‌بندي افراد به پيروي از سياست‌ها و دستورالعمل‌ها است. حتي اگر امنيت رايانه‌اي را در ديگر بخش‌ها بتوان با سامانه‌هاي كنترل دسترسي، ديوار آتش و از اين دست ابزارها فراهم كرد، در حوزه مهندسي اجتماعي بدون پاي‌بندي افراد و التزام آن‌ها به سياست‌هاي امنيتي به هيچ عنوان امكان‌پذير نيست.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 11 بهمن 1394

امتیاز

امتیاز شما
تعداد امتیازها:0