Telegram Sapp Instagram Aparat tvhoshdar

مهندسی اجتماعی 4

مهندسی اجتماعی 4
تاريخ:يازدهم شهريور 1391 ساعت 00:00   |   کد : 1092
اهمیت آموزش کارمندان، بیشتر در مورد کارمندان گیشۀ اطلاعات مطرح می‌شود. با این وجود تمامی افراد متخصص، مدیر عامل و مدیر ارشد اجرایی در هر شرکت باید تحت آموزش دقیق درباره «چگونگی تشخیص اطلاعات محرمانه و درک روشن مسئولیت حفاظت از آن‌ها» قرار گیرند.

ایران هشدار-آموزش، آموزش و باز هم آموزش

اهمیت آموزش کارمندان، بیشتر در مورد کارمندان گیشۀ اطلاعات مطرح می‌شود. با این وجود تمامی افراد متخصص، مدیر عامل و مدیر ارشد اجرایی در هر شرکت باید تحت آموزش دقیق درباره «چگونگی تشخیص اطلاعات محرمانه و درک روشن مسئولیت حفاظت از آن‌ها» قرار گیرند. تمامی سازمان‌ها و شرکت‌ها باید امنیت کامپیوتر‌ها­یشان را در رأس تمامی امور قرار دهند؛ بدون در نظر گرفتن این­که کارمندان از کامپیو‌تر استفاده می‌کنند یا نه. نکتۀ حائز اهمیت این است که همۀ افراد در شرکت بدانند؛ چرا محرمانه نگه داشتن اطلاعات مهم است، این به نفع شرکت است که با دادن مسئولیت حفظ امنیت اطلاعات سیستم، به افراد، این موضوع را به آن‌ها آموزش دهند.همۀ افراد باید آموزش ببینند که چگونه اطلاعات محرمانه را امن و دور از دسترس نگه دارند. در همین راستا سیاست­های امنیتی را به آن‌ها ارائه دهید. همۀ کارمندان تازه وارد باید جهت‌گیری‌های امنیتی را یاد بگیرند.

برگزاری کلاس­های سالیانه، امکان آموزش اطلاعات جدید‌تر و به روز‌تر را برای کارمندان فراهم می‌کند. یک راه دیگر برای افزایش مشارکت، استفاده از یک خبرنامۀ ماهانه است. برای مثال آوردن مثال­ هایی در خبرنامه از حوادث واقعی دنیا که در غالب امنیت بیان شده و سپس بیان این­که چگونه این حوادث قابل پیشگیری است، بسیار سودمند خواهد بود. این مثال‌ها کاربران را در مورد خطرهای ساده پنداشتن مسائل امنیتی، آگاه می­ کند. سازمان‌ها و شرکت‌ها می‌توانند با استفاده از منابع تبلیغاتی مثل: فیلم‌ها، خبرنامه‌ها، بروشور‌ها، جزوه ­ها، نشانه‌ها، پوستر‌ها، لیوان چای تبلیغاتی، مداد‌ها و خودکار‌ها، پد موس‌ها، اسکرین سیور‌ها، تی‌شرتها و... ، برای آگاهی رساندن استفاده کنند.

تشخیص حمله مهندسی اجتماعی

به طور قطع، برای خنثی کردن یک حمله، توانایی سازماندهی کار‌ها برای مقابله با آن بسیار مهم است. نکته‌های خاصی که برای تشخیص یک حملۀ مهندسی اجتماعی باید توجه و رعایت شوند،عبارت است از:          

• عجله در افشای هویت؛

 • تهدید و ایجاد رعب و وحشت؛

 • اشتباهات کوچک (غلط املایی، اسامی بی‌معنی، سوالات عجیب و بی‌معنی) و درخواست اطلاعات ممنوع «جستجو برای چیزهایی که اضافه نشده».

سعی کنید، همانند یک هکر فکر کنید.

یک کار‌شناس مهندسی اجتماعی پیشنهاد داده است مردم خود را مثل داستان­ های شرلوک هلمز با کارهایی نظیر این­که چگونه با افراد رابطۀ صمیمانه برقرار کنند و سپس روی آن‌ها تأثیر گذارند، خواندن کتاب های روان‌شناسی و... آشنا کنند؛ زیرا برای آنکه بتوانند دشمنان خود را بشناسند، اول باید بتوانند با نوع تفکر آن­ها آشنا شوند.

شرکت‌ها می‌توانند با ارائه برنامه‌های مداوم، به افزایش آگاهی دربارۀ مسائل امنیتی، کمک کنند تا از خسارت ناشی از خطرهای امنیتی در امان باشند. اینترانت (شبکه داخلی سازمان) سازماندهی شده می‌تواند، منبع بسیار خوبی برای این رویکرد باشد، به­ خصوص اگر شامل خبرنامۀ آنلاین، یادآورندۀ ایمیل، بازی‌های آموزنده و پسورد قوی شود.
بزرگ‌ترین خطر این است که کارمند، به مسائل امنیتی توجهی نداشته باشد. هشدارهای مکرر در شرکت یک راه بسیار مطمئن برای پیشگیری از عدم توجه به مهندسی اجتماعی است که بعضی سازمان‌ها از آن استفاده می­ کنند.

پاسخ به حمله‌های مهندسی اجتماعی

هنگامی که یک کارمند با موضوعی مشکوک برخورد کرد، باید گزارشی کامل، در خصوص نحوه ایجاد و طراحی این مهندسی اجتماعی را تهیه کند. این مسئله که شخصی مسئولیت رویارویی با این حوادث را بپذیرد بسیار حائز اهمیت است؛ مخصوصاً یکی از اعضای تیم مدیریت بحران  .(IRT) (البته در صورتی­که در شرکت چنین شخصی وجود داشته باشد).

همچنین آن کارمند باید به افراد دیگری که در شغلی مشابه، مشغول خدمت هستند، هشدار دهد. در ادامه، تیم مدیریت بحران یا اشخاصی که مسئولیت ردیابی را بر عهده دارند (یکی از اعضای تیم امنیتی یا مسئولان سیستم) می‌توانند، خنثی کردن حمله را هماهنگ و اجرا کنند. در انتها باید گفت این نکته حائز اهمیت است که یکی از راه های  پیشرفت و افزایش کارایی شرکت، این است که سازمان‌های امنیتی، باید مسئله مهندسی اجتماعی را در رأس امور خود قرار دهند و از نمایشگاه­ های مختلف و کنفرانس های مرتبط استفاده کنند؛ همچنین سازمان‌ها به­ طور مکرر باید به کارمندان حسابرسی تأکید کنند که امنیت به طور همیشگی باقی نمی‌ماند و باید آن را ارتقاء داد.

جدول زیر بعضی از راه‌های نفوذ رایج و راهکارهای جلوگیری از آن را به نمایش گذاشته است.

منطقه خطر

کارهای هک

استراتژی مبارزه

گیشه اطلاعات

جعل هویت و متقاعد سازی

آموزش به کارمندان که هیچ­گاه پسورد و اطلاعات را پشت تلفن فاش نکنند.

ورودی ساختمان

دسترسی فیزیکی غیر مجاز

گیت ورودی کنترل شونده، آموزش کارمندان و افسر نگهبان

دفتر کار

کمین کردن برای بدست آوردن اطلاعات

رمز عبور خود را هنگامی که کسی کنار شما ایستاده وارد نکنید و در صورتی که عجله دارید، این کار را سریع انجام دهید.

گیشه اطلاعات

جعل هویت در تماس با گیشه اطلاعات

همۀ کارمندان باید با یک PIN خاص برای گیشه اطلاعات داشته باشد

 

دفتر کار

قدم زدن و جستجو در محوطه شرکت برای پیدا کردن دفتر کاری که قفل نیست.

همۀ مهمانان باید تا درب محل  ورود همراهی شوند

دبیر خانه

اضافه کردن مطالب جعلی

دبیرخانه را قفل و بررسی کنید.

تلفن­خانه

تلاش برای دستیابی و حذف تجهیزات و اضافه کردن یک پروتکل برای دزدیدن داده های محرمانه

اتاق تلفن، سرور و . . . را همیشه قفل کنید و تجهیزات امنیتی آن را به روز نگه دارید.

تلفن و انشعابات آن

دزدیدن خط تلفن برای دسترسی به اطلاعات

کنترل کردن تلفن­های خارجی و راه دور، ردیابی تماس ها و نپذیرفتن تماس های بیرونی

زباله ها

زباله گردی

همۀ زباله ها را در مکان امن و مطمئن قرار دهید، اطلاعات مهم را خرد و امها کنید و داده­های مغناطیسی را پاک کنید.

اینترنت و اینترانت

ایجاد و اضافه کردن نرم افزارهای بیهوده در اینترنت یا اینترانت برای دزدیدن رمز عبور

آگاهی مداوم از تغییرات سیم و شبکه، آموزش استفاده از رمز عبور

دفتر کار

دزدیدن اسناد خاص و مهم

اسناد و مدارک را نشانه گذاری کنید و آن­ها را رمز گذاری کنید.

روان­شناسی

متقاعد سازی و جعل هویت

کارمندان را موظف به انجام و آگاهی از برنامه های آموزشی کنیم.


  راه های پیشگیری واقع­ بینانه

بله پیشگیری واقع­ بینانه یک وظیفۀ مهم و اساسی است. باید واقع گرا باشیم، اکثر شرکت‌ها منابع مالی و یا انسانی برای انجام همۀ اموری که در جدول بالا گفته شده را ندارند. به هر حال، مقداری از هزینه‌ای که برای جلوگیری از خلع‌های ایجاد شده در شبکه صرف می‌شود؛ قابل بازگشت است، ولی تهدید واقعی و جدی است.

ما با بیان این نکات قصد نداریم که به کارمندان گیشه اطلاعات بگوییم دربرخورد با مراجعین خشن و بدبین باشند، فقط از آن ها درخواست می­ کنیم که با توجه و دقت بیشتری عمل کنند و مسئولیت پذیر باشند. این امر با داشتن روحیۀ قوی و رعایت نکات مهندسی اجتماعی و امنیتی در حفظ اطلاعات امکان­پذیر می ­باشد.

Share

آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 

دسترسی ها
  info@iranhoshdar.ir

   کلیه حقوق این سایت متعلق به وبسایت iranhoshdar.ir می باشد و استفاده از مطالب آن با ذکر منبع بلامانع است.