دفاع در برابر مهندسی اجتماعی

از ویکی‌پدیا، دانشنامهٔ آزاد

فهرست مندرجات ۱ دفاع در برابر حملات مهندسی اجتماعی ۱.۱ شناسایی سطوح مختلف دفاع ۱.۲ سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی ۱.۳ سطح پارامتر: آموزش آگاهی امنیتی برای همه ۱.۴ سطح سنگر گیری ۱.۵ سطح تثبیت و یادآوری ۱.۶ سطح غیر رسمی: مین‌های زمینی مهندسی اجتماعی ۱.۷ سطح تهاجمی: پاسخ دهی به رویداد ۲ استراتژی‌های دفاع ۲.۱ سیاست‌های امنیتی ۲.۲ مدیریت اگاهانه ۲.۳ امنیت فیزیکی ۲.۴ آموزش و آگاهی ۲.۵ معماری صحیح زیرساخت‌های امنیتی ۲.۶ محدودیت در پراکندگی داده‌ها ۲.۷ استراتژی‌های رویارویی با حملات مهندسی اجتماعی ۲.۸ استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری ۲.۹ استفاده از رویه‌های احسن برای کاهش ریسک ۲.۱۰ فرهنگ امنیت ۲.۱۱ بررسی اعتبار ۲.۱۲ کاهش ضرر با استفاده از بیمه ۳ ممیزی پذیرش و کاربری سیاست ها ۴ جُستارهای وابسته ۵ منابع

[ویرایش] دفاع در برابر حملات مهندسی اجتماعی

دفاع در مقابل حملات مهندسی اجتماعی سخت تر از دفاع در برابر سایر مخاطرات امنیتی بوده و جزء سخت ترین نوع دفاع‌ها خواهد بود. زیرا انسان‌ها، رفتار‌ها و عکس العمل‌های آنها بسیار پیچیده و غیر قابل پیش بینی می‌باشد. بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، ابتدا نیاز به شناسایی محرک‌های روانشناسی متقاعدسازی و سپس تکنیک‌های مورد استفاده در حملات داریم. با توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. به طور کلی گام‌های کلیدی برای ایجاد دفاعی موثر در سازمان عبارتند از:

• شناسایی محرک‌های روانشناسی متقاعدسازی
• آشنایی با تکنیک‌های حمله مهندسی اجتماعی
• شناسایی سطوح مختلف دفاع
• استراتژی‌ها ی دفاع

[ویرایش] شناسایی سطوح مختلف دفاع

کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب پذیری‌ها و تهدید‌ها چه چیزهایی هستند و سپس در برابر این ریسک‌ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، بطوریکه اگر هکری توانست از سطحی نفوذ کند، در لایه‌های دیگر به دام بیافتد. از آنجایی که ثابت شده‌است حملات مهندسی اجتماعی بسیار موفقیت آمیز بوده‌اند، بنابراین داشتن استراتژی چند لایه‌ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله کننده با حملات بسیار خود بالاخره سعی می‌کند تا نقاط ضعیف را شناسایی کند و بهمین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد و یا حداقل تشخیص دهد که مورد حمله قرار گرفته‌است.

[ویرایش] سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی

هیچ سنگری بدون پایه‌های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست‌های آن است. سیاست‌های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می‌کند. این بنیان زمانی حیاتی تر می‌گردد که سیاست‌های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست‌های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست‌های مشکوک را می‌آموزد. سیاست‌های تثبیت شده، کمک می‌کند که کاربر نهایی حس کند، چاره‌ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می‌باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرآیند فکر کردن دیگران می‌توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده‌اند که یکی از راه‌های مقاوم سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می‌باشد. سیاست‌های امنیتی واضح و روشن، خطر تاثیر گذاری متجاوزان بر روی کارمندان را کاهش می‌دهد. سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند بعنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه اندازی حساب‌ها، تایید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و... کمک می‌کند. همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. بطوریکه اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سوال برانگیزی باقی نماند.

[ویرایش] سطح پارامتر: آموزش آگاهی امنیتی برای همه

پس از تثبیت سیاست‌های امنیتی، تمام کارمندان باید برای آگاهی‌های امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزه‌های امنیتی را بوجود می‌آورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاست‌هایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواست‌های مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهی‌های امنیتی خیلی پیچیده تر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. بطوریکه هکر معروف Kevin Mitnick گفته‌است: «من هرگز از کسی نخواسته‌ام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیده تر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن می‌باشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیه‌ای نیاز خواهد داشت و از چه گفتگو‌هایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آنها باید بدانند که چگونه در مقابل خواسته‌های غیر مجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامه‌های آموزشی نیز باید از سیاست‌های امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:

• باید بدانند که چه چیزی ارزشمند است.
• دوستان همیشه دوست نیستند.
• کلمات عبور، اطلاعات شخصی محسوب می‌شوند.
• یونیفرم گواه هیچ ارزش سازمانی نیست.

[ویرایش] سطح سنگر گیری

نه تنها تمام کارمندان باید آگاهی‌های امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشی‌ها، تحویل داران و مهندسان و ناظران سیستم را شامل می‌شود یا بطورکلی هر کسی که کار یاری رسانی و رویارویی با دیگران را در سازمان ایفا می‌کند. آموزش مقاومت منجر می‌شود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روش‌های آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیک‌های هک، قوی می‌کند.

• واکسیناسیون: این روش منطبق با ایدهٔ واکسیناسیون بوده، بطوریکه ضعیف شدهٔ آن چیزی که هکر‌ها از کارمندان می‌خواهند را، به کارمندان آموزش می‌دهیم. هکر نیز از روش‌های مشابه پیروی خواهد کرد. بنابراین واکسن از توسعه یک روش جلوگیری می‌کند.
• پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و بصورت پیام بگوش همه می‌رسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر می‌دهیم بلکه روش‌ها و چگونگی حمله را نیز بیان می‌کنیم.
• سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیب پذیریشان بطور غیر واقعی خوش بین هستند. این برداشت خیلی‌ها را از دیدن ریسک‌های به حق، دور می‌کند. اگر یکبار بتوانیم طی آموزش آنها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار موثر خواهد بود.

[ویرایش] سطح تثبیت و یادآوری

دفاع چند لایه نیاز به یادآوری‌های متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی موثر خواهد بود. یادآوری‌های متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاست‌ها در نیروی پلیس اجرا می‌شود، بطوریکه آنها همواره به انسان‌ها یادآوری می‌کنند که چگونه همکارانشان طی عملیات مختلف کشته شده‌اند.

[ویرایش] سطح غیر رسمی: مین‌های زمینی مهندسی اجتماعی

SELM‌ها، تله‌هایی در سیستم هستند که حمله‌ها را آشکار کرده و از وقوع آن جلوگیری می‌کنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر می‌شود، مهاجم را زمین گیر کرده و حمله را متوقف می‌سازد. SELM به قربانی هشدار می‌دهد که حمله‌ای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایده‌ها آورده شده‌است:

• Justified-know-it-all: هکر هرگز بطور مستقیم وارد سازمان نمی‌شود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیل‌های متفاوتی برای کسب اطلاعات وجود دارد که می‌تواند از آنها استفاده کند، مثل نامه‌های روی میزها، پرونده‌های درون فایل‌ها، لیست تلفن‌های شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری می‌کند و در صورت ملاحظهٔ رفتار مشکوک آن را گزارش دهد.
• ثبت متمرکز وقایع: داشتن لاگ‌های متمرکز، از تمام فعالیت‌های امنیتی انجام گرفته در شرکت، از حملات موثر جلوگیری می‌کند. مثلا الگوهای حمله را ردیابی می‌کنند وسپس به بازشناسی آن‌ها می‌پردازند.
• تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، می‌بایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.

[ویرایش] سطح تهاجمی: پاسخ دهی به رویداد

آخرین سطح دفاعی، پاسخ دهی به رویدادها می‌باشد. بدین ترتیب شبکه دیگر اجازه نمی‌دهد که مهاجم اجتماعی بتواند با کارمندان بی توجه به امنیت در سازمان، صحبت کند. بنابراین نیاز است که فرآیندهای پاسخ دهی کاملا معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، بطوریکه حملات بتوانند سریع و موثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگ‌های رسیده از افرادی که درخواست‌های مشکوک داشته‌اند را شناسایی می‌کند.

[ویرایش] استراتژی‌های دفاع

آیا راه حل موثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر می‌باشد. ساده ترین دلیل این است که بدون توجه به آنکه چه کنترل‌هایی پیاده سازی شده‌اند، توجه داشته باشیم که همیشه در حمله‌های مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترلهای کلیدی برای محافظت در برابر این حملات آورده شده‌است. همانطور که باید مد نظر داشته باشیم که چه کنترل‌هایی را باید پیاده سازی کنیم، همچنین باید اطمینان داشته باشیم که:

• موجب انقطاع فعالیت‌های روزمره نشود.
• به اندازه کافی تنومند باشد، بطوریکه مانع تهاجم‌های موازی و گوناگون شود.
• کارمنان بتوانند بین حمله و فعالیت‌های روزمره، تمایز ایجاد کنند.

این کنترلهای کلیدی عبارتند از:

[ویرایش] سیاست‌های امنیتی

سیاست‌های امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل می‌دهند. سیاست‌ها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاست‌ها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:

• استفاده از سیستم‌های کامپیوتری: پایش استفاده از نرم افزار‌ها و سخت افزارهای خارج از استاندارد سازمان، پاسخ دهی به نامه‌های زنجیره‌ای و...
• بررسی و طبقه بندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه بخوبی طبقه بندی شده‌اند و محافظت می‌شوند.
• موارد امنیتی درمورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی بوجود نمی‌آورند.
• امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسی‌ها با استفاده از ادوات الکترونیکی، بیومتریکی و رویه‌های Sign-in
• دسترسی به اطلاعات: موارد استفاده از پسورد‌ها، و ایجاد راهنمایی‌ها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسی‌ها و نیز دسترسی‌های راه دور از طریق مودم‌ها و...
• حفاظت در برابر ویروس‌ها: برای امن کردن سیستم‌ها و اطلاعات درباره ویروس‌ها و سایر تهدید‌ها می‌باشد.
• پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.
• انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملا منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.
• بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاست‌های امنیتی.

[ویرایش] مدیریت اگاهانه

مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجه‌های حفاظتی مناسبی را برای مقابله با ریسک‌های مربوطه اتخاذ کرد.

[ویرایش] امنیت فیزیکی

کنترل کلیدی برای ایجاد محدودیت در دسترسی‌های فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستم‌های کامپیوتری می‌باشد. بعنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، می‌توانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.

[ویرایش] آموزش و آگاهی

یک راه حل ساده برای ممانعت از حملات می‌باشد. برای مثال کارمند آگاه، می‌داند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامه‌های خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز می‌کند. این برنامه‌ها برای کاربران چک لیستی را فراهم می‌کند که بتوانند حمله‌های احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمین مهندسی اجتماعی، عمدتا به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله می‌کنند. مثلا منشی‌ها، گاردهای امنیتی و نظافتچی‌ها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاست‌های امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان می‌باشند. آنها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آنها داده شود که می‌توانند با غریبه‌ها چالش کرده و از آنها کارت شناسایی بخواهند. برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آنها نشان داده شود که مهاجمین چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستانهای موثق که چه اتفاقاتی برای قربانی‌های دیگر رخ داده‌است، مقاومت در برابر حمله‌های مهندسی اجتماعی را افزایش می‌دهد.

[ویرایش] معماری صحیح زیرساخت‌های امنیتی

معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه می‌دهد تا بر وظایف مهم خود تمرکز کنند. بعنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل می‌شود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکه‌ای خود را در شرایط مختلف بشناسد.

[ویرایش] محدودیت در پراکندگی داده‌ها

کاهش در میزان اطلاعاتی که در اختیار دیگران قرار می‌گیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. بعنوان مثال وب‌گاه‌ها، بانک‌های اطلاعاتی، ثبت نامهای اینترنتی و سایر دسترسی‌های عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلا بجای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوان‌های کاری و.... را در اختیار گذارند.

[ویرایش] استراتژی‌های رویارویی با حملات مهندسی اجتماعی

استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود می‌آورند که کارمند درشرایط ای که تحت فشار است، دقیقا بداند که باید از چه رویه‌هایی پیروی کند. بعنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلا به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواست‌های مشکوک پاسخ نمی‌گوید.

[ویرایش] استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری

متداول ترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویه‌های اعتبار سنجی می‌باشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار ساده‌است. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آنها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمه‌ای در اختیار دیگران قرار می‌دهند. پسوردها باید در زمانهای متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حل‌های تکمیلی دیگری چون PIN و ID کارت‌ها نیز برای حفظ دسترسی به سیستم‌های مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PIN‌ها را عوض کند.

[ویرایش] استفاده از رویه‌های احسن برای کاهش ریسک

• برای سنجش وضعیت کارمندان و پیمانکاران، رویه‌های صحه گذاری باید مد نظر قرار گیرد.
• سیستم‌های طبقه بندی داده با چارچوب‌هایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.
• برای پیامدهای امنیتی تمامی کارمندان، برنامهٔ آموزشی گذاشته شود.
• پرسنل کلیدی باید آموزش‌هایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.
• تست‌های نفوذ پذیری و اطمینان از اطلاعات بطور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.
• بطور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.
• به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل می‌دهند و در برابر آن مسئول هستند.
• تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلا اگر فکر می‌کنند نامه‌ای مشکوک است، آن را باز نکنند.
• باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامه‌های زنجیره‌ای توضیح داده شود.
• به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرم افزارهای ضد ویروس استفاده کنند و آن را بروز رسانی کنند. نیز آگاه باشند که پیوست نامه‌های الکترونیکی و لینک‌های ناشناخته را باز نکنند.
• به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواست‌های نا معقول دارند، برخورد کنند.
• آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دوره‌های بروزرسانی وجود داشته باشد و بعنوان مثال در آن‌ها نمونه‌های جدید حملات مهندسی اجتماعی بیان شود.
• عمق دفاع در سیستم جزء مهمی در امنیت است و از حمله‌های چندگانه جلوگیری می‌کند. باید از چک کردن‌های دولایه یا سه لایه استفاده شود.
• باید ممیزی‌های مستمری وجود داشته باشد و رویه‌های امنیتی با استفاده از کارمندان همواره تست شود. مثلا چک شود که دستگاه‌های غیر مجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.
• تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود می‌برند. کنترل شود.
• برای رسانه‌های مشکوک، مدیریت و برنامه ریزی وجود داشته باشد.

[ویرایش] فرهنگ امنیت

ایجاد فرهنگ امنیت اطلاعات در سازمان، فرآیندی است اثر بخش که گامهای زیر را در بر خواهد داشت:

• ایجاد آگاهی از حملات امنیتی در کارمندان
• فراهم سازی ابزارهای مقابله
• برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان

ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایه گذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگه داری دارد.

[ویرایش] بررسی اعتبار

اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک می‌رود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:

• اعتبار سنجی مشخصات
• اعتبار سنجی رتبه کارمندی
• اعتبار سنجی «نیاز به دانستن»

مثالهایی از فرآیند‌های اعتبار سنجی عبارتند از:

• می بایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شماره‌هایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شماره‌های داده شده توسط فرد تماس گیرنده.
• از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.
• در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.
• در صورتی که تماس گیرنده ادعا کرد که شناسهٔ کاربری را گم کرده‌است، با او تماس گرفته شود تااحراز هویت صورت گیرد.
• دایرکتوری کابران بروز نگاه داشته شود.

چنین استراتژی‌های اعتبار سنجی فقط زمانی موثر خواهد بود که بعنوان سیاست‌های امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده می‌کند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیاندازد، نباید او را سرزنش کرد. اگر با کارمندان بطور مسالمت آمیزی رفتار نشود، آنها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن می‌کند را از دست خواهند داد. بنابراین باید به آنها آموزش داد تا به گونه‌ای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.

[ویرایش] کاهش ضرر با استفاده از بیمه

سازمان می‌تواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان به‌دنبال سیاست‌ها و رویه‌هایی هستند که برای کاهش تهدید‌های امنیتی در پیش گرفته شده‌اند. نمونه‌ای از آنها عبارتند از:

• سیاسست‌های ممیزی داخلی
• سیاست‌های پسورد گذاری
• سیاست‌های بکارگیری نیروهای انسانی و بررسی سابقهٔ پیشین آنها
• آگاهی امنیتی، برنامه‌های آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان
• تماس با فروشندگان و سایر تامین کنندگان خارجی

بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترل‌ها و سیاست‌هایی که در محل اجرا می‌کنند، کاهش می‌دهند.

[ویرایش] ممیزی پذیرش و کاربری سیاست ها

تدوین استراتژی‌ها، سیاست‌ها و کارمندان آموزش دیده در صورتیکه موافقتی با آن وجود نداشته باشد، کاملا بی ارزش خواهد بود. بنابراین نیاز به ممیزی کاربری سیاست‌ها در سازمان می‌باشد. برای مثال، هنگامیکه تضمین کیفیت برای پروژه‌ای اجرا می‌شود، یکی از گام‌ها، ارزیابی پذیرش سیاست‌های امنیتی در سازمان می‌باشد. برای مثال رویه‌های ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، دربارهٔ پسورد، پشت تلفن یا از طریق نامه‌های رمزنگاری نشده، صحبت نمی‌کند. مدیران نیز باید بطور دوره‌ای دسترسی‌های کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسی‌های غیر لازم را ندارد. نقاط دسترسی نیز مانند درب‌ها و... باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل می‌شود که کارمندان سیاست‌های امنیتی را برای دسترسی به نقاط امن، رعایت می‌کنند. محل کار کارمندان نیز باید بطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمد‌های امن قرار گرفته‌اند. محل‌های کار نیز خارج از زمانهای کاری، باید همواره قفل باشند.

[ویرایش] جُستارهای وابسته

• مهندسی اجتماعی
• امنیت اطلاعات
• امنیت
• مهندسی فناوری اطلاعات

[ویرایش] منابع

• «Social Engineering». Wikipedia
• Mikael Hermansson & Robert Ravne, “Fighting Social Engineering’’, March ۲۰۰۵ URL:www. dsv. su. se/en/seclab/pages/pdf-files/۲۰۰۵-x-۲۸۱.pdf
• Malcolm Allen, “The use of “Social Engineering” as a means of violating compute systems”,June۲۰۰۶ URL:http://www.sans.org/rr/paper.php?id=529
• Wendy Arthurs, “A proactive defense to Social Engineering”, SANS Institute ۲۰۰۱ URL:http://www.sans.org/rr/paper.php?id=511
• Tims, Rick “Social Engineering: Policies and Education a Must” SANS Institute, February۱۶٬۲۰۰۱ URL:http://www.sans.org/infosecFAQ/social/policies.htm
• David Gragg, “A multi-level defense against Social Engineering”, December ۲۰۰۲ URL: http://www. sans. org/rr/papers/۵۱/۹۲۰.pdf
• NISCC Briefing “Social engineering against information systems: what is it and how do you protect yourself?, ۰۲ June ۲۰۰۶ URL:www.cpni.gouk/docs/SocialEngineering۰۸a۰۶.pdf
• Radha Gulati, “The Threat of Social Engineering and Your Defence Against It”, SANSInstitute۲۰۰۳ URL:http://www.sans.org/rr/papers/index. php?id=۱۲۳۲
• Granger, Sarah. “Social Engineering Fundamentals, Part I : Hacker Tactics”, December ۸, ۲۰۰۱ URL:http://www.securityfocus.com/infocus/1527
• Granger, Sarah. “Social Engineering Fundamentals, Part II : Combat Strategies”. January ۹٬۲۰۰۲ URL:http://www.securityfocus.com/infocus/1533
• Sara Gartner “There Are No Secrets: Social Engineering and Privacy” URL:http://www.gartner.com/gc/webletter/security/issue1/index.html
• Michael Bruck, “A Little-Known Security Threat” URL:http://www.entrepreneur.com/article/0,4621,309221,00.html
• Lemos, Robert. “Mitnick teaches ‘Social Engineering’. ” July ۱۷, ۲۰۰۰. ZDNet News. URL:http://zdnet.com.com/2100522261. html?legacy=zdnn
• McDowell, Mindi. “Avoiding Social Engineering and Phishing Attacks”, US-CERT Cyber Security TipST۰۴-۰۱۴. URL:http://www.us-cert. gov/cas/tips/ST۰۴-۰۱۴.html
• Jason Hiner, “Change your company’s culture to combat Social Engineering attacks”, May ۳۰, ۲۰۰۲ URL:http://articles.techrepublic.com.com/5100-1035_11-1047991.html