دفاع در برابر مهندسی اجتماعی

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

دفاع در مقابل حملات مهندسی اجتماعی سخت‌تر از دفاع در برابر سایر مخاطرات امنیتی بوده و جزء سخت‌ترین نوع دفاع‌ها خواهد بود. زیرا انسان‌ها، رفتارها و عکس العمل‌های آنها بسیار پیچیده و غیرقابل پیش بینی می‌باشد؛ بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، ابتدا نیاز به شناسایی محرک‌های روانشناسی متقاعدسازی و سپس تکنیک‌های مورد استفاده در حملات داریم. با توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. به طور کلی گام‌های کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:

  • شناسایی محرک‌های روانشناسی متقاعدسازی
  • آشنایی با تکنیک‌های حمله مهندسی اجتماعی
  • شناسایی سطوح مختلف دفاع
  • استراتژی‌ها ی دفاع

شناسایی سطوح مختلف دفاع[ویرایش]

کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب پذیری‌ها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسک‌ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، بطوریکه اگر هکری توانست از سطحی نفوذ کند، در لایه‌های دیگر به دام بیفتد از آنجایی که ثابت شده‌است حملات مهندسی اجتماعی بسیار موفقیت آمیز بوده‌اند، بنابراین داشتن استراتژی چند لایه‌ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله کننده با حملات بسیار خود بالاخره سعی می‌کند تا نقاط ضعیف را شناسایی کند و بهمین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفته‌است.

Sedefence.JPG

سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی[ویرایش]

هیچ سنگری بدون پایه‌های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست‌های آن است. سیاست‌های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می‌کند. این بنیان زمانی حیاتی تر می‌گردد که سیاست‌های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست‌های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست‌های مشکوک را می‌آموزد. سیاست‌های تثبیت شده، کمک می‌کند که کاربر نهایی حس کند، چاره‌ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می‌باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می‌توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده‌اند که یکی از راه‌های مقاوم‌سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می‌باشد. سیاست‌های امنیتی واضح و روشن، خطر تأثیر گذاری متجاوزان بر روی کارمندان را کاهش می‌دهد. سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند بعنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه‌اندازی حساب‌ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و... کمک می‌کند. همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. بطوریکه اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.

سطح پارامتر: آموزش آگاهی امنیتی برای همه[ویرایش]

پس از تثبیت سیاست‌های امنیتی، تمام کارمندان باید برای آگاهی‌های امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزه‌های امنیتی را بوجود می‌آورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاست‌هایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواست‌های مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهی‌های امنیتی خیلی پیچیده‌تر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. بطوریکه هکر معروف Kevin Mitnick گفته‌است: «من هرگز از کسی نخواسته‌ام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیده‌تر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن می‌باشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیه‌ای نیاز خواهد داشت و از چه گفتگوهایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آنها باید بدانند که چگونه در مقابل خواسته‌های غیرمجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامه‌های آموزشی نیز باید از سیاست‌های امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:

  • باید بدانند که چه چیزی ارزشمند است.
  • دوستان همیشه دوست نیستند.
  • کلمات عبور، اطلاعات شخصی محسوب می‌شوند.
  • یونیفرم گواه هیچ ارزش سازمانی نیست.

سطح سنگر گیری[ویرایش]

نه تنها تمام کارمندان باید آگاهی‌های امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشی‌ها، تحویل داران و مهندسان و ناظران سیستم را شامل می‌شود یا بطورکلی هر کسی که کار یاری رسانی و رویارویی با دیگران را در سازمان ایفا می‌کند. آموزش مقاومت منجر می‌شود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روش‌های آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیک‌های هک، قوی می‌کند.

  • واکسیناسیون: این روش منطبق با ایدهٔ واکسیناسیون بوده، بطوریکه ضعیف شدهٔ آن چیزی که هکرها از کارمندان می‌خواهند را، به کارمندان آموزش می‌دهیم. هکر نیز از روش‌های مشابه پیروی خواهد کرد؛ بنابراین واکسن از توسعه یک روش جلوگیری می‌کند.
  • پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و بصورت پیام بگوش همه می‌رسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر می‌دهیم بلکه روش‌ها و چگونگی حمله را نیز بیان می‌کنیم.
  • سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیب پذیریشان بطور غیر واقعی خوش بین هستند. این برداشت خیلی‌ها را از دیدن ریسک‌های به حق، دور می‌کند. اگر یکبار بتوانیم طی آموزش آنها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار مؤثر خواهد بود.

سطح تثبیت و یادآوری[ویرایش]

دفاع چند لایه نیاز به یادآوری‌های متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی مؤثر خواهد بود. یادآوری‌های متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاست‌ها در نیروی پلیس اجرا می‌شود، بطوریکه آنها همواره به انسان‌ها یادآوری می‌کنند که چگونه همکارانشان طی عملیات مختلف کشته شده‌اند.

سطح غیررسمی: مین‌های زمینی مهندسی اجتماعی[ویرایش]

SELMها، تله‌هایی در سیستم هستند که حمله‌ها را آشکار کرده و از وقوع آن جلوگیری می‌کنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر می‌شود، مهاجم را زمین گیر کرده و حمله را متوقف می‌سازد. SELM به قربانی هشدار می‌دهد که حمله‌ای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایده‌ها آورده شده‌است:

  • Justified-know-it-all: هکر هرگز بطور مستقیم وارد سازمان نمی‌شود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیل‌های متفاوتی برای کسب اطلاعات وجود دارد که می‌تواند از آنها استفاده کند، مثل نامه‌های روی میزها، پرونده‌های درون فایل‌ها، لیست تلفن‌های شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری می‌کند و در صورت ملاحظهٔ رفتار مشکوک آن را گزارش دهد.
  • ثبت متمرکز وقایع: داشتن لاگ‌های متمرکز، از تمام فعالیت‌های امنیتی انجام گرفته در شرکت، از حملات مؤثر جلوگیری می‌کند. مثلاً الگوهای حمله را ردیابی می‌کنند وسپس به بازشناسی آن‌ها می‌پردازند.
  • تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، می‌بایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.

سطح تهاجمی: پاسخ دهی به رویداد[ویرایش]

آخرین سطح دفاعی، پاسخ دهی به رویدادها می‌باشد. بدین ترتیب شبکه دیگر اجازه نمی‌دهد که مهاجم اجتماعی بتواند با کارمندان بی‌توجه به امنیت در سازمان، صحبت کند؛ بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، بطوریکه حملات بتوانند سریع و موثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگ‌های رسیده از افرادی که درخواست‌های مشکوک داشته‌اند را شناسایی می‌کند.

استراتژی‌های دفاع[ویرایش]

آیا راه حل مؤثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر می‌باشد. ساده‌ترین دلیل این است که بدون توجه به آنکه چه کنترل‌هایی پیاده‌سازی شده‌اند، توجه داشته باشیم که همیشه در حمله‌های مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترلهای کلیدی برای محافظت در برابر این حملات آورده شده‌است. همان‌طور که باید مد نظر داشته باشیم که چه کنترل‌هایی را باید پیاده‌سازی کنیم، همچنین باید اطمینان داشته باشیم که:

  • موجب انقطاع فعالیت‌های روزمره نشود.
  • به اندازه کافی تنومند باشد، بطوریکه مانع تهاجم‌های موازی و گوناگون شود.
  • کارمنان بتوانند بین حمله و فعالیت‌های روزمره، تمایز ایجاد کنند.

این کنترلهای کلیدی عبارتند از:

سیاست‌های امنیتی[ویرایش]

سیاست‌های امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل می‌دهند. سیاست‌ها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاست‌ها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:

  • استفاده از سیستم‌های کامپیوتری: پایش استفاده از نرم‌افزارها و سخت‌افزارهای خارج از استاندارد سازمان، پاسخ دهی به نامه‌های زنجیره‌ای و...
  • بررسی و طبقه‌بندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه بخوبی طبقه‌بندی شده‌اند و محافظت می‌شوند.
  • موارد امنیتی درمورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی بوجود نمی‌آورند.
  • امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسی‌ها با استفاده از ادوات الکترونیکی، بیومتریکی و رویه‌های Sign-in
  • دسترسی به اطلاعات: موارد استفاده از پسوردها، و ایجاد راهنمایی‌ها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسی‌ها و نیز دسترسی‌های راه دور از طریق مودم‌ها و...
  • حفاظت در برابر ویروس‌ها: برای امن کردن سیستم‌ها و اطلاعات دربارهٔ ویروس‌ها و سایر تهدیدها می‌باشد.
  • پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.
  • انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملاً منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.
  • بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاست‌های امنیتی.

مدیریت آگاهانه[ویرایش]

مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجه‌های حفاظتی مناسبی را برای مقابله با ریسک‌های مربوطه اتخاذ کرد.

امنیت فیزیکی[ویرایش]

کنترل کلیدی برای ایجاد محدودیت در دسترسی‌های فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستم‌های کامپیوتری می‌باشد. بعنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، می‌توانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.

آموزش و آگاهی[ویرایش]

یک راه حل ساده برای ممانعت از حملات می‌باشد. برای مثال کارمند آگاه، می‌داند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامه‌های خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز می‌کند. این برنامه‌ها برای کاربران چک لیستی را فراهم می‌کند که بتوانند حمله‌های احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمین مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله می‌کنند. مثلاً منشی‌ها، گاردهای امنیتی و نظافتچی‌ها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاست‌های امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان می‌باشند. آنها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آنها داده شود که می‌توانند با غریبه‌ها چالش کرده و از آنها کارت شناسایی بخواهند. برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آنها نشان داده شود که مهاجمین چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستانهای موثق که چه اتفاقاتی برای قربانی‌های دیگر رخ داده‌است، مقاومت در برابر حمله‌های مهندسی اجتماعی را افزایش می‌دهد.

معماری صحیح زیرساخت‌های امنیتی[ویرایش]

معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه می‌دهد تا بر وظایف مهم خود تمرکز کنند. بعنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل می‌شود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکه‌ای خود را در شرایط مختلف بشناسد.

محدودیت در پراکندگی داده‌ها[ویرایش]

کاهش در میزان اطلاعاتی که در اختیار دیگران قرار می‌گیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. بعنوان مثال وب‌گاه‌ها، بانک‌های اطلاعاتی، ثبت نامهای اینترنتی و سایر دسترسی‌های عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً بجای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوان‌های کاری و... را در اختیار گذارند.

استراتژی‌های رویارویی با حملات مهندسی اجتماعی[ویرایش]

استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود می‌آورند که کارمند درشرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویه‌هایی پیروی کند. بعنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواست‌های مشکوک پاسخ نمی‌گوید.

استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری[ویرایش]

متداول‌ترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویه‌های اعتبار سنجی می‌باشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار ساده‌است. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آنها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمه‌ای در اختیار دیگران قرار می‌دهند. پسوردها باید در زمانهای متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حل‌های تکمیلی دیگری چون PIN و ID کارت‌ها نیز برای حفظ دسترسی به سیستم‌های مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.

استفاده از رویه‌های احسن برای کاهش ریسک[ویرایش]

  • برای سنجش وضعیت کارمندان و پیمانکاران، رویه‌های صحه گذاری باید مد نظر قرار گیرد.
  • سیستم‌های طبقه‌بندی داده با چارچوب‌هایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.
  • برای پیامدهای امنیتی تمامی کارمندان، برنامهٔ آموزشی گذاشته شود.
  • پرسنل کلیدی باید آموزش‌هایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.
  • تست‌های نفوذ پذیری و اطمینان از اطلاعات بطور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.
  • بطور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.
  • به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل می‌دهند و در برابر آن مسئول هستند.
  • تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلاً اگر فکر می‌کنند نامه‌ای مشکوک است، آن را باز نکنند.
  • باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامه‌های زنجیره‌ای توضیح داده شود.
  • به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرم‌افزارهای ضد ویروس استفاده کنند و آن را بروز رسانی کنند. نیز آگاه باشند که پیوست نامه‌های الکترونیکی و لینک‌های ناشناخته را باز نکنند.
  • به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواست‌های نا معقول دارند، برخورد کنند.
  • آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دوره‌های بروزرسانی وجود داشته باشد و بعنوان مثال در آن‌ها نمونه‌های جدید حملات مهندسی اجتماعی بیان شود.
  • عمق دفاع در سیستم جزء مهمی در امنیت است و از حمله‌های چندگانه جلوگیری می‌کند. باید از چک کردن‌های دولایه یا سه لایه استفاده شود.
  • باید ممیزی‌های مستمری وجود داشته باشد و رویه‌های امنیتی با استفاده از کارمندان همواره تست شود. مثلاً چک شود که دستگاه‌های غیرمجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.
  • تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود می‌برند. کنترل شود.
  • برای رسانه‌های مشکوک، مدیریت و برنامه‌ریزی وجود داشته باشد.

فرهنگ امنیت[ویرایش]

ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گامهای زیر را در بر خواهد داشت:

  • ایجاد آگاهی از حملات امنیتی در کارمندان
  • فراهم سازی ابزارهای مقابله
  • برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان

ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایه‌گذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگه داری دارد.

بررسی اعتبار[ویرایش]

اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک می‌رود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:

  • اعتبار سنجی مشخصات
  • اعتبار سنجی رتبه کارمندی
  • اعتبار سنجی «نیاز به دانستن»

مثالهایی از فرایندهای اعتبار سنجی عبارتند از:

  • می‌بایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شماره‌هایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شماره‌های داده شده توسط فرد تماس گیرنده.
  • از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.
  • در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.
  • در صورتی که تماس گیرنده ادعا کرد که شناسهٔ کاربری را گم کرده‌است، با او تماس گرفته شود تااحراز هویت صورت گیرد.
  • دایرکتوری کابران بروز نگاه داشته شود.

چنین استراتژی‌های اعتبار سنجی فقط زمانی مؤثر خواهد بود که بعنوان سیاست‌های امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده می‌کند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد. اگر با کارمندان بطور مسالمت آمیزی رفتار نشود، آنها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن می‌کند را از دست خواهند داد؛ بنابراین باید به آنها آموزش داد تا به گونه‌ای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.

کاهش ضرر با استفاده از بیمه[ویرایش]

سازمان می‌تواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان به‌دنبال سیاست‌ها و رویه‌هایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شده‌اند. نمونه‌ای از آنها عبارتند از:

  • سیاسست‌های ممیزی داخلی
  • سیاست‌های پسورد گذاری
  • سیاست‌های بکارگیری نیروهای انسانی و بررسی سابقهٔ پیشین آنها
  • آگاهی امنیتی، برنامه‌های آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان
  • تماس با فروشندگان و سایر تأمین کنندگان خارجی

بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترل‌ها و سیاست‌هایی که در محل اجرا می‌کنند، کاهش می‌دهند.

ممیزی پذیرش و کاربری سیاست‌ها[ویرایش]

تدوین استراتژی‌ها، سیاست‌ها و کارمندان آموزش دیده در صورتیکه موافقتی با آن وجود نداشته باشد، کاملاً بی‌ارزش خواهد بود؛ بنابراین نیاز به ممیزی کاربری سیاست‌ها در سازمان می‌باشد. برای مثال، هنگامیکه تضمین کیفیت برای پروژه‌ای اجرا می‌شود، یکی از گام‌ها، ارزیابی پذیرش سیاست‌های امنیتی در سازمان می‌باشد. برای مثال رویه‌های ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، دربارهٔ پسورد، پشت تلفن یا از طریق نامه‌های رمزنگاری نشده، صحبت نمی‌کند. مدیران نیز باید بطور دوره‌ای دسترسی‌های کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسی‌های غیرلازم را ندارد. نقاط دسترسی نیز مانند درب‌ها و... باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل می‌شود که کارمندان سیاست‌های امنیتی را برای دسترسی به نقاط امن، رعایت می‌کنند. محل کار کارمندان نیز باید بطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفته‌اند. محل‌های کار نیز خارج از زمانهای کاری، باید همواره قفل باشند.

جستارهای وابسته[ویرایش]

منابع[ویرایش]