مهندسی اجتماعی (امنیت)

این مقاله شامل فهرستی از منابع، کتب مرتبط یا پیوندهای بیرونی است، اما به‌دلیل فقدان یادکردهای درون‌خطی، منابع آن همچنان مبهم هستند. لطفاً با افزودن یادکردهای دقیق‌تر، به بهبود این مقاله کمک کنید. (چگونگی و زمان حذف پیام این الگو را بدانید)

بخشی از یک مجموعه دربارهٔ
امنیت اطلاعات
رده‌های مرتبط با امنیت
امنیت رایانه امنیت خودرو جرایم سایبری قاچاق جنسی سایبری کلاهبرداری رایانه‌ای سایبرگدون سایبرتروریسم جنگ مجازی جنگ الکترونیک جنگ اطلاعاتی امنیت اینترنت موبایل سکوریتی امنیت شبکه محافظت در برابر کپی مدیریت حقوق دیجیتال
تهدیدها
آگهی‌افزار تهدیدهای پیشرفته و مستمر اجرای کد دلخواه درهای پشتی درهای پشتی سخت‌افزاری تزریق کد جرم‌افزار تزریق اسکریپت از طریق وبگاه کریپتوجکینگ بات‌نت‌ها نقص داده دانلود درایو-بای اشیاء کمکی مرورگر جرایم رایانه‌ای ویروس‌ها تراش‌دادن داده محروم‌سازی از سرویس شنود کلاهبرداری از طریق ایمیل رایانامه‌نگاری متقلبانه اکسپلویت کی‌لاگرها بمب‌های منطقی بمب‌های ساعتی فورک بمب‌ها زیپ بمب‌ شماره‌گیرهای تقلبی بدافزارها پی‌لود فیشینگ موتور چندشکلی ترفیع امتیازی باج‌افزار روت‌کیت‌ها بوت‌کیت‌ها ترس‌افزار شل‌کد اسپم مهندسی اجتماعی (امنیت) تراش‌دادن صفحه نمایش جاسوس‌افزار اشکال‌های نرم‌افزاری اسب‌های تروآ تروجان‌های سخت‌افزاری تروجان‌های کنترل از راه دور آسیب‌پذیری وب شل‌ها وایپر کرم‌ها تزریق اس‌کیوال نرم‌افزار امنیتی سرکش زامبی
محافظت
امنیت برنامه کدنویسی امن ایمن‌سازی پیش‌فرض ایمن‌سازی با طراحی مورد سوءاستفاده کنترل دسترسی در رایانه اصالت‌سنجی احراز هویت چندعاملی کسب اجازه نرم‌افزار امنیت رایانه نرم‌افزار ضدویروس سیستم عامل متمرکز بر امنیت امنیت داده‌محور مبهم‌سازی کد داده پوشانی رمزگذاری دیوار آتش سامانه تشخیص نفوذ تشخیص نفوذ مبتنی بر میزبان (HIDS) تشخیص ناهنجاری مدیریت اطلاعات و رویدادهای امنیتی (SIEM) درگاه امن موبایل محافظت از خود برنامه در زمان اجرا
ن ب و

مهندسی اجتماعی (به انگلیسی Social Engineering) در بافتار امنیت اطلاعات به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش‌گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. به‌طور کلی گام‌های کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:

• شناسایی محرک‌های روانشناسی متقاعدسازی
• آشنایی با تکنیک‌های حمله مهندسی اجتماعی
• شناسایی سطوح مختلف دفاع
• استراتژی‌ها ی دفاع

به عبارت دیگر مهندسی اجتماعی به مجموعه‌ای از روش‌ها گفته می‌شود که با استفاده از آن‌ها، افراد را فریب می‌دهند و اطلاعات محرمانه آن‌ها را سرقت می‌کنند. به عبارت دقیق‌تر، مهندسی اجتماعی، مجموعه‌ای از روش‌ها است که در آن، بدون استفاده از تکنیک‌های فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیک‌های روانشناسی، آن‌ها را فریب داده و اطلاعات محرمانه‌شان را سرقت می‌کنند.^[۱]

شناسایی سطوح مختلف دفاع[ویرایش]

کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب‌پذیری‌ها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسک‌ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، به‌طوری‌که اگر هکری توانست از سطحی نفوذ کند، در لایه‌های دیگر به دام بیفتد از آنجایی که ثابت شده‌است حملات مهندسی اجتماعی بسیار موفقیت‌آمیز بوده‌اند، بنابراین داشتن استراتژی چند لایه‌ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله‌کننده با حملات بسیار خود بالاخره سعی می‌کند تا نقاط ضعیف را شناسایی کند و به همین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفته‌است.

سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی[ویرایش]

هیچ سنگری بدون پایه‌های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست‌های آن است. سیاست‌های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می‌کند. این بنیان زمانی حیاتی تر می‌گردد که سیاست‌های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست‌های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست‌های مشکوک را می‌آموزد. سیاست‌های تثبیت شده، کمک می‌کند که کاربر نهایی حس کند، چاره‌ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می‌باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می‌توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده‌اند که یکی از راه‌های مقاوم‌سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می‌باشد. سیاست‌های امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش می‌دهد. سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه‌اندازی حساب‌ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و... کمک می‌کند. همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. به‌طوری‌که اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.

سطح پارامتر: آموزش آگاهی امنیتی برای همه[ویرایش]

پس از تثبیت سیاست‌های امنیتی، تمام کارمندان باید برای آگاهی‌های امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزه‌های امنیتی را به وجود می‌آورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاست‌هایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواست‌های مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهی‌های امنیتی خیلی پیچیده‌تر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. به‌طوری‌که هکر معروف Kevin Mitnick گفته‌است: «من هرگز از کسی نخواسته‌ام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیده‌تر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن می‌باشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیه‌ای نیاز خواهد داشت و از چه گفتگوهایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آن‌ها باید بدانند که چگونه در مقابل خواسته‌های غیرمجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامه‌های آموزشی نیز باید از سیاست‌های امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:

• باید بدانند که چه چیزی ارزشمند است.
• دوستان همیشه دوست نیستند.
• کلمات عبور، اطلاعات شخصی محسوب می‌شوند.
• یونیفرم گواه هیچ ارزش سازمانی نیست.

سطح سنگرگیری[ویرایش]

نه تنها تمام کارمندان باید آگاهی‌های امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشی‌ها، تحویل داران و مهندسان و ناظران سیستم را شامل می‌شود یا به‌طورکلی هر کسی که کار یاری‌رسانی و رویارویی با دیگران را در سازمان ایفا می‌کند. آموزش مقاومت منجر می‌شود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روش‌های آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیک‌های هک، قوی می‌کند.

• واکسیناسیون: این روش منطبق با ایدهٔ واکسیناسیون بوده، به‌طوری‌که ضعیف شدهٔ آن چیزی که هکرها از کارمندان می‌خواهند را، به کارمندان آموزش می‌دهیم. هکر نیز از روش‌های مشابه پیروی خواهد کرد؛ بنابراین واکسن از توسعه یک روش جلوگیری می‌کند.
• پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و به صورت پیام بگوش همه می‌رسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر می‌دهیم بلکه روش‌ها و چگونگی حمله را نیز بیان می‌کنیم.
• سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیب‌پذیریشان به‌طور غیرواقعی خوش بین هستند. این برداشت خیلی‌ها را از دیدن ریسک‌های به حق، دور می‌کند. اگر یکبار بتوانیم طی آموزش آن‌ها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار مؤثر خواهد بود.

سطح تثبیت و یادآوری[ویرایش]

دفاع چند لایه نیاز به یادآوری‌های متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی مؤثر خواهد بود. یادآوری‌های متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاست‌ها در نیروی پلیس اجرا می‌شود، به‌طوری‌که آن‌ها همواره به انسان‌ها یادآوری می‌کنند که چگونه همکارانشان طی عملیات مختلف کشته شده‌اند.

سطح غیررسمی: مین‌های زمینی مهندسی اجتماعی[ویرایش]

SELMها، تله‌هایی در سیستم هستند که حمله‌ها را آشکار کرده و از وقوع آن جلوگیری می‌کنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر می‌شود، مهاجم را زمین گیر کرده و حمله را متوقف می‌سازد. SELM به قربانی هشدار می‌دهد که حمله‌ای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایده‌ها آورده شده‌است:

• Justified-know-it-all: هکر هرگز به‌طور مستقیم وارد سازمان نمی‌شود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیل‌های متفاوتی برای کسب اطلاعات وجود دارد که می‌تواند از آن‌ها استفاده کند، مثل نامه‌های روی میزها، پرونده‌های درون فایل‌ها، لیست تلفن‌های شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری می‌کند و در صورت ملاحظهٔ رفتار مشکوک آن را گزارش دهد.
• ثبت متمرکز وقایع: داشتن لاگ‌های متمرکز، از تمام فعالیت‌های امنیتی انجام گرفته در شرکت، از حملات مؤثر جلوگیری می‌کند. مثلاً الگوهای حمله را ردیابی می‌کنند و سپس به بازشناسی آن‌ها می‌پردازند.
• تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، می‌بایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.

سطح تهاجمی: پاسخ دهی به رویداد[ویرایش]

آخرین سطح دفاعی، پاسخ دهی به رویدادها می‌باشد. بدین ترتیب شبکه دیگر اجازه نمی‌دهد که مهاجم اجتماعی بتواند با کارمندان بی‌توجه به امنیت در سازمان، صحبت کند؛ بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، به‌طوری‌که حملات بتوانند سریع و مؤثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگ‌های رسیده از افرادی که درخواست‌های مشکوک داشته‌اند را شناسایی می‌کند.

استراتژی‌های دفاع[ویرایش]

آیا راه حل مؤثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر می‌باشد. ساده‌ترین دلیل این است که بدون توجه به آنکه چه کنترل‌هایی پیاده‌سازی شده‌اند، توجه داشته باشیم که همیشه در حمله‌های مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترل‌های کلیدی برای محافظت در برابر این حملات آورده شده‌است. همان‌طور که باید مد نظر داشته باشیم که چه کنترل‌هایی را باید پیاده‌سازی کنیم، همچنین باید اطمینان داشته باشیم که:

• موجب انقطاع فعالیت‌های روزمره نشود.
• به اندازه کافی تنومند باشد، به‌طوری‌که مانع تهاجم‌های موازی و گوناگون شود.
• کارمنان بتوانند بین حمله و فعالیت‌های روزمره، تمایز ایجاد کنند.

این کنترل‌های کلیدی عبارتند از:

سیاست‌های امنیتی[ویرایش]

سیاست‌های امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل می‌دهند. سیاست‌ها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاست‌ها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:

• استفاده از سیستم‌های کامپیوتری: پایش استفاده از نرم‌افزارها و سخت‌افزارهای خارج از استاندارد سازمان، پاسخ دهی به نامه‌های زنجیره‌ای و...
• بررسی و طبقه‌بندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه به خوبی طبقه‌بندی شده‌اند و محافظت می‌شوند.
• موارد امنیتی در مورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی به وجود نمی‌آورند.
• امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسی‌ها با استفاده از ادوات الکترونیکی، بیومتریکی و رویه‌های Sign-in
• دسترسی به اطلاعات: موارد استفاده از پسوردها، و ایجاد راهنمایی‌ها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسی‌ها و نیز دسترسی‌های راه دور از طریق مودم‌ها و...
• حفاظت در برابر ویروس‌ها: برای امن کردن سیستم‌ها و اطلاعات دربارهٔ ویروس‌ها و سایر تهدیدها می‌باشد.
• پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.
• انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملاً منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.
• بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاست‌های امنیتی.

مدیریت آگاهانه[ویرایش]

مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجه‌های حفاظتی مناسبی را برای مقابله با ریسک‌های مربوط اتخاذ کرد.

امنیت فیزیکی[ویرایش]

کنترل کلیدی برای ایجاد محدودیت در دسترسی‌های فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستم‌های کامپیوتری می‌باشد. به عنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، می‌توانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.

آموزش و آگاهی[ویرایش]

یک راه حل ساده برای ممانعت از حملات می‌باشد. برای مثال کارمند آگاه، می‌داند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامه‌های خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز می‌کند. این برنامه‌ها برای کاربران چک لیستی را فراهم می‌کند که بتوانند حمله‌های احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمان مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله می‌کنند. مثلاً منشی‌ها، گاردهای امنیتی و نظافتچی‌ها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاست‌های امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان می‌باشند. آن‌ها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آن‌ها داده شود که می‌توانند با غریبه‌ها چالش کرده و از آن‌ها کارت شناسایی بخواهند. برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستان‌های مهندسی اجتماعی باشد و به آن‌ها نشان داده شود که مهاجمان چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستان‌های موثق که چه اتفاقاتی برای قربانی‌های دیگر رخ داده‌است، مقاومت در برابر حمله‌های مهندسی اجتماعی را افزایش می‌دهد.

معماری صحیح زیرساخت‌های امنیتی[ویرایش]

معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه می‌دهد تا بر وظایف مهم خود تمرکز کنند. به عنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل می‌شود، مانع از تراوش اطلاعات از داخل به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکه‌ای خود را در شرایط مختلف بشناسد.

محدودیت در پراکندگی داده‌ها[ویرایش]

کاهش در میزان اطلاعاتی که در اختیار دیگران قرار می‌گیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. به عنوان مثال وب‌گاه‌ها، بانک‌های اطلاعاتی، ثبت نام‌های اینترنتی و سایر دسترسی‌های عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً به جای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوان‌های کاری و... را در اختیار گذارند.

استراتژی‌های رویارویی با حملات مهندسی اجتماعی[ویرایش]

استراتژی‌های مستند شده پاسخگویی، این اطمینان را به وجود می‌آورند که کارمند در شرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویه‌هایی پیروی کند. به عنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواست‌های مشکوک پاسخ نمی‌گوید.

استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری[ویرایش]

متداول‌ترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویه‌های اعتبار سنجی می‌باشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار ساده‌است. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید به‌طور کامل از اهمیت پسوردشان آگاه باشند و اگر به آن‌ها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمه‌ای در اختیار دیگران قرار می‌دهند. پسوردها باید در زمان‌های متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حل‌های تکمیلی دیگری چون PIN و ID کارت‌ها نیز برای حفظ دسترسی به سیستم‌های مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.

استفاده از رویه‌های احسن برای کاهش ریسک[ویرایش]

• برای سنجش وضعیت کارمندان و پیمانکاران، رویه‌های صحه گذاری باید مد نظر قرار گیرد.
• سیستم‌های طبقه‌بندی داده با چارچوب‌هایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.
• برای پیامدهای امنیتی تمامی کارمندان، برنامهٔ آموزشی گذاشته شود.
• پرسنل کلیدی باید آموزش‌هایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.
• تست‌های نفوذپذیری و اطمینان از اطلاعات به‌طور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.
• به‌طور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.
• به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل می‌دهند و در برابر آن مسئول هستند.
• تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلاً اگر فکر می‌کنند نامه‌ای مشکوک است، آن را باز نکنند.
• باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامه‌های زنجیره‌ای توضیح داده شود.
• به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرم‌افزارهای ضد ویروس استفاده کنند و آن را بروزرسانی کنند. نیز آگاه باشند که پیوست نامه‌های الکترونیکی و لینک‌های ناشناخته را باز نکنند.
• به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواست‌های نامعقول دارند، برخورد کنند.
• آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دوره‌های بروزرسانی وجود داشته باشد و به عنوان مثال در آن‌ها نمونه‌های جدید حملات مهندسی اجتماعی بیان شود.
• عمق دفاع در سیستم جزء مهمی در امنیت است و از حمله‌های چندگانه جلوگیری می‌کند. باید از چک کردن‌های دولایه یا سه لایه استفاده شود.
• باید ممیزی‌های مستمری وجود داشته باشد و رویه‌های امنیتی با استفاده از کارمندان همواره تست شود. مثلاً چک شود که دستگاه‌های غیرمجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.
• تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود می‌برند. کنترل شود.
• برای رسانه‌های مشکوک، مدیریت و برنامه‌ریزی وجود داشته باشد.

فرهنگ امنیت[ویرایش]

ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گام‌های زیر را در بر خواهد داشت:

• ایجاد آگاهی از حملات امنیتی در کارمندان
• فراهم‌سازی ابزارهای مقابله
• برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان

ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایه‌گذاری بلند مدت باید نگاه کرد که نیاز به تلاش مستمر، بهبود و نگهداری دارد.

بررسی اعتبار[ویرایش]

اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک می‌رود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:

• اعتبار سنجی مشخصات
• اعتبار سنجی رتبه کارمندی
• اعتبار سنجی «نیاز به دانستن»

مثالهایی از فرایندهای اعتبار سنجی عبارتند از:

• می‌بایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شماره‌هایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شماره‌های داده شده توسط فرد تماس گیرنده.
• از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.
• در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.
• در صورتی که تماس گیرنده ادعا کرد که شناسهٔ کاربری را گم کرده‌است، با او تماس گرفته شود تااحراز هویت صورت گیرد.
• دایرکتوری کابران بروز نگاه داشته شود.

چنین استراتژی‌های اعتبار سنجی فقط زمانی مؤثر خواهد بود که به عنوان سیاست‌های امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده می‌کند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد. اگر با کارمندان به‌طور مسالمت‌آمیزی رفتار نشود، آن‌ها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن می‌کند را از دست خواهند داد؛ بنابراین باید به آن‌ها آموزش داد تا به گونه‌ای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.

کاهش ضرر با استفاده از بیمه[ویرایش]

سازمان می‌تواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان به‌دنبال سیاست‌ها و رویه‌هایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شده‌اند. نمونه‌ای از آن‌ها عبارتند از:

• سیاسست‌های ممیزی داخلی
• سیاست‌های پسورد گذاری
• سیاست‌های به‌کارگیری نیروهای انسانی و بررسی سابقهٔ پیشین آنها
• آگاهی امنیتی، برنامه‌های آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان
• تماس با فروشندگان و سایر تأمین کنندگان خارجی

بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترل‌ها و سیاست‌هایی که در محل اجرا می‌کنند، کاهش می‌دهند.

ممیزی پذیرش و کاربری سیاست‌ها[ویرایش]

تدوین استراتژی‌ها، سیاست‌ها و کارمندان آموزش دیده در صورتی‌که موافقتی با آن وجود نداشته باشد، کاملاً بی‌ارزش خواهد بود؛ بنابراین نیاز به ممیزی کاربری سیاست‌ها در سازمان می‌باشد. برای مثال، هنگامی‌که تضمین کیفیت برای پروژه‌ای اجرا می‌شود، یکی از گام‌ها، ارزیابی پذیرش سیاست‌های امنیتی در سازمان می‌باشد. برای مثال رویه‌های ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdesk، دربارهٔ پسورد، پشت تلفن یا از طریق نامه‌های رمزنگاری نشده، صحبت نمی‌کند. مدیران نیز باید به‌طور دوره‌ای دسترسی‌های کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسی‌های غیرلازم را ندارد. نقاط دسترسی نیز مانند درب‌ها و... باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل می‌شود که کارمندان سیاست‌های امنیتی را برای دسترسی به نقاط امن، رعایت می‌کنند. محل کار کارمندان نیز باید به‌طور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفته‌اند. محل‌های کار نیز خارج از زمان‌های کاری، باید همواره قفل باشند.

جستارهای وابسته[ویرایش]

• مهندسی اجتماعی
• امنیت اطلاعات
• امنیت
• مهندسی فناوری اطلاعات

منابع[ویرایش]

• «Social Engineering». Wikipedia
• Mikael Hermansson & Robert Ravne, “Fighting Social Engineering’’, March 2005 URL:www. dsv. su. se/en/seclab/pages/pdf-files/2005-x-۲۸۱.pdf
• Malcolm Allen, “The use of “Social Engineering” as a means of violating compute systems”,June2006 URL:https://web.archive.org/web/20030820115910/http://www.sans.org/rr/paper.php?id=529
• Wendy Arthurs, “A proactive defense to Social Engineering”, SANS Institute 2001 URL:https://web.archive.org/web/20031018025017/http://www.sans.org/rr/paper.php?id=511
• Tims, Rick “Social Engineering: Policies and Education a Must” SANS Institute, February۱۶٬۲۰۰۱ URL:https://web.archive.org/web/20011221100455/http://www.sans.org/infosecFAQ/social/policies.htm
• David Gragg, “A multi-level defense against Social Engineering”, December 2002 URL: http://www. sans. org/rr/papers/۵۱/۹۲۰.pdf
• NISCC Briefing “Social engineering against information systems: what is it and how do you protect yourself?, ۰۲ June 2006 URL:www.cpni.gouk/docs/SocialEngineering08a۰۶.pdf
• Radha Gulati, “The Threat of Social Engineering and Your Defence Against It”, SANSInstitute2003 URL:http://www.sans.org/rr/papers/index^{[پیوند مرده]}. php?id=۱۲۳۲
• Granger, Sarah. “Social Engineering Fundamentals, Part I: Hacker Tactics”, December 8, 2001 URL:http://www.securityfocus.com/infocus/1527
• Granger, Sarah. “Social Engineering Fundamentals, Part II: Combat Strategies”. January ۹٬۲۰۰۲ URL:http://www.securityfocus.com/infocus/1533
• Sara Gartner “There Are No Secrets: Social Engineering and Privacy” URL:http://www.gartner.com/gc/webletter/security/issue1/index.html
• Michael Bruck, “A Little-Known Security Threat” URL:https://web.archive.org/web/20050404190454/http://www.entrepreneur.com/article/0,4621,309221,00.html
• Lemos, Robert. “Mitnick teaches ‘Social Engineering’. ” July 17, 2000. ZDNet News. URL:http://zdnet.com.com/2100522261. html?legacy=zdnn
• McDowell, Mindi. “Avoiding Social Engineering and Phishing Attacks”, US-CERT Cyber Security TipST04–014. URL:http://www.us-cert^{[پیوند مرده]}. gov/cas/tips/ST04–014.html
• Jason Hiner, “Change your company’s culture to combat Social Engineering attacks”, May 30, 2002 URL:https://archive.today/20130102151420/http://articles.techrepublic.com.com/5100-1035_11-1047991.html