残念ながら、これでは十分ではありません。 この素晴らしいシステムは、ユーザーの参加によってのみ有用な何かをすることができます。 そして、この相互作用
コンピューターを持っている人は、すべての最大の脅威を抱えています。
多くの場合、人々はセキュリティ対策のシステムにおける最も弱いリンクであることが判明し、後者の非効率性の原因は常に彼らです。
セキュリティの観点から、数学は申し分なく、
コンピューターは脆弱であり、ネットワークは一般に粗末であり、人々はただ嫌です。
ブルース・シュナイアー「秘密と嘘。 デジタル世界のデータセキュリティ
イントロ
情報 -会社の最も重要な資産の1つです。 情報は、企業の企業秘密、すなわち 既存または考えられる状況下で、収益を増やし、不必要な費用を避け、商品、作品、サービスの市場での地位を維持するか、会社にその他の商業的利益をもたらします。 したがって、このような情報は保護する必要があります。
人々はどの会社でも働いているため、すべての組織プロセスに対する人的要因の影響は必然的に生じます。 機密情報を保護するプロセスを含む。
人的要因は安定した表現であり、この人が現代のテクノロジーを使用する場合、情報問題の潜在的かつ関連するソース(原因)としての人の精神能力を示します。
セキュリティ体制の違反に関連する人間の行動は、意図的な行動と意図しない行動という2つの大きなカテゴリに分類できます。
意図的なアクションには、従業員による情報の盗難、情報の変更、またはその破壊(サボタージュ)が含まれます。 これは極端な場合であり、事後、内務官を巻き込んで対処する必要があります。
意図しないアクションには、ストレージメディアの損失、過失による情報の破壊または歪みが含まれます。 人は、自分の行動が営業秘密制度の違反につながることに気付かない。
また、不注意な行動には、間違った人々への「助け」、またはいわゆるソーシャルエンジニアリングが含まれます。 従業員が自分の行動が営業秘密制度に違反することを目的としていることに気付かないとき、同時に、彼にこれを行うように頼む人は、彼が制度に違反していることを明確に知っています。
ソーシャルエンジニアリングは、技術的な手段を使用せずに情報または情報ストレージシステムに不正にアクセスする方法(攻撃)です。 この方法は、ヒューマンファクターの弱点の使用に基づいており、非常に効果的です。 攻撃者は、たとえば、標的の従業員に関する情報を収集したり、通常の電話を使用したり、従業員を装った組織に入ることで情報を取得します。 攻撃者は、会社の従業員に電話して(技術サービスを装って)パスワードを取得し、コンピューターシステムの小さな問題を解決する必要性を挙げます。 このトリックは非常に頻繁にパスします。 この場合の最も強力な武器は、攻撃者の心地よい声と演技能力です。 一連の電話の後に従業員の名前を見つけ、会社のWebサイトやその他のオープン情報(レポート、広告など)で経営者の名前を調べます。 技術サポートとの会話で本名を使用して、攻撃者は自分のリモートアクセスアカウントではサイト上の重要な会議に参加できなかったという話をします。 この方法のもう1つの助けは、組織のゴミ箱、仮想ゴミ箱、ラップトップコンピューターの盗難、およびその他のストレージメディアの調査です。 この方法は、攻撃者が特定の企業を標的にした場合に使用されます。
ソーシャルエンジニアリング技術
すべてのソーシャルエンジニアリング手法は、意思決定を行う人々の特性に基づいています。
Pretextは、プリコンパイルされたスクリプト(pretext)に従って実行されるアクションです。 その結果、ターゲット(被害者)は特定の情報を提供するか、特定のアクションを実行する必要があります。 このタイプの攻撃は通常、電話で使用されます。 多くの場合、この手法は単なる嘘以上のものであり、目標への信頼を確保するために、予備調査(たとえば、パーソナライズ:従業員の名前、役職、および取り組んでいるプロジェクトの名前を見つける)が必要です。
フィッシングは、機密情報を不正に取得することを目的とした手法です。 通常、攻撃者は、特定の情報または特定のアクションの「検証」を要求する-銀行または支払いシステムからの公式の手紙によって偽造された電子メールをターゲットに送信します。 この手紙には通常、公式のページを模倣した偽のWebページへのリンクが含まれており、会社のロゴとコンテンツ、および自宅の住所から銀行カードのPINコードまでの機密情報を要求するフォームが含まれています。
トロイの木馬 :この手法は、好奇心、またはターゲットの欲望を利用します。 攻撃者は、添付ファイルに重要なアンチウイルス更新を含む電子メールを送信するか、従業員に最新の侵害情報を送信します。 この手法は、ユーザーが添付ファイルを盲目的にクリックする限り有効です。
Travel apple :この攻撃方法は、トロイの木馬を改造したもので、物理メディアを使用することで構成されています。 攻撃者は、メディアが簡単に見つかる場所(廊下、エレベーター、駐車場)に感染したCDまたはメモリカードを投げることができます。 運送業者は公式として偽造され、好奇心をそそるように設計された署名が添付されています。
例:攻撃者は、会社のロゴと会社の公式Webサイトへのリンクを備えたCDを投げて、「Salary of senior management Q1 2010」というマークを付けます。 ディスクはエレベーターの床またはロビーに置いておくことができます。 無知な従業員は、好奇心を満たすためにディスクを取り出してコンピューターに挿入できます。
現状についてQui :攻撃者は、会社に電話をかけ、技術サポート担当者として自己紹介して、技術的な問題があるかどうかを尋ねることができます。 それらが存在する場合、それらを「解決」するプロセスで、ターゲットは攻撃者が悪意のあるソフトウェアを起動できるコマンドを入力します。
リバースソーシャルエンジニアリング。
リバースソーシャルエンジニアリングの目標は、目標自体を「ヘルプ」のために攻撃者に向けることです。 このため、攻撃者は次の手法を適用できます。
サボタージュ :被害者のコンピューターに可逆的な問題を引き起こす。
広告 :攻撃者は被害者に「コンピューターに問題がある場合は、この番号に電話してください」というような広告を出します(これは出張や休暇中の従業員に当てはまります)。
対策
ソーシャルエンジニアリングから保護する最も基本的な方法は、トレーニングを使用することです。 なぜなら 警告された者は武装しています。 そして、無知は、順番に、責任を免除されません。 すべての会社の従業員は、情報を開示することの危険性とそれを防ぐ方法を認識する必要があります。
さらに、会社の従業員は、対談者とどのトピックについて話すか、対談者を正確に認証するためにどの情報を彼から得る必要があるかについて、明確な指示を持っている必要があります。
以下に役立つルールをいくつか示します。
1.すべてのユーザーパスワードは会社の所有物です。 雇用当日にすべての従業員に説明する必要があります。たとえば、インターネットサイトでの承認など、他の目的に使用できないパスワードは使用できません(すべてのパスワードを頭に入れておくのは難しいことがわかっています。アクセスコード、したがって、彼はしばしば異なる状況に同じパスワードを使用します)。
ソーシャルエンジニアリングでこのような脆弱性をどのように悪用できますか? 会社の従業員がフィッシングの被害者になったとしましょう。 その結果、特定のWebサイトでの彼のパスワードが第三者に知られるようになりました。 このパスワードが会社で使用されているものと一致する場合、会社自体に潜在的なセキュリティリスクがあります。
原則として、会社の従業員がフィッシングの被害者になる必要さえありません。 許可されているサイトが必要なレベルのセキュリティを持っているという保証はありません。 したがって、潜在的な脅威は常に存在します。
2.すべての従業員は、訪問者とどのように行動するかを指導されるべきです。 訪問者とその伴奏者の身元を確認するには、明確なルールが必要です。 訪問者が常に会社の従業員の1人でなければならない場合。 会社の従業員が建物内を一人でうろうろしている訪問者に会った場合、その訪問者が建物のこの部分にいた理由と彼が護衛されている場所を正確に見つけるために必要な指示が必要です。
3.電話で直接会って本当に必要な情報のみを正確に開示するための規則と、何かを要求する誰かが会社の有効な従業員であるかどうかを確認する手順が必要です。 情報のほとんどが攻撃者によって会社の従業員と直接通信して取得されることは秘密ではありません。 また、大企業では従業員がお互いを知らない可能性があるという事実を考慮する必要があるため、攻撃者は簡単に助けを必要とする従業員のふりをすることができます。
記載されているすべての措置は非常に簡単ですが、ほとんどの従業員は、これらの措置と、企業秘密の非開示に関する義務に署名するときに割り当てられた責任レベルを忘れています。 会社は技術的な方法で情報セキュリティを確保するために膨大な財源を費やしていますが、従業員がソーシャルエンジニアに対抗する手段を講じておらず、セキュリティサービスが会社の従業員の警戒を定期的にチェックしていない場合、これらの技術的手段は回避できます。 したがって、情報セキュリティの確保を目的とした資金は無駄になります。
PSトピックが興味深い場合、次のトピックでは、ソーシャルエンジニアリングの方法に関連するマイナスの影響を最小限に抑えるのに役立つ方法と手順について詳しく説明します。