عندما يفكر معظم الناس في انتهاكات الأمن السيبراني ، فإنهم يتخيلون أن المتسللين يقومون بتكسير كلمات المرور أو استغلال نقاط الضعف. في الواقع ، فإن الأضعف في أي برنامج أمني هو العنصر البشري غالبًا. كمستشار للأمن السيبراني الذي تم تسليمه في ارتباطات أمنية هجومية تتضمن الهندسة الاجتماعية عن بُعد وجسدية ، دخلت في المباني دون شارة ، وخدع المستخدمون في النقر على رسائل البريد الإلكتروني التي تبدو حميدة ، وأقنعت الموظفين بالسماح لي بالوصول إلى أنظمة نقاط البيع ومحطات العمل لتنفيذ حمولة خالية خالية تحت أموال تحديثات التحديثات.
تم تصميم هذه التقييمات لمحاكاة هجمات العالم الحقيقي. ما تعلمته بمرور الوقت هو أنه حتى المنظمات ذات الدفاعات التقنية القوية يمكن أن تقع ضحية لهجوم هندسي اجتماعي بسيط عندما تفشل في بناء ثقافة من الشك والتحقق.
سأشارك بعض الملاحظات الرئيسية من هذا المجال ، والأهم من ذلك ، تقديم توصيات عملية حول كيفية تعزيز دفاعات مؤسستك ضد متجهات التهديد في الهندسة الاجتماعية.
الملاحظات الشائعة من المجال
1. يتم استغلال الثقة البشرية بسهولة
بغض النظر عن الصناعة أو حجم الشركة ، فإن الناس مفيدون بشكل عام بطبيعته. إنه جزء مما يجعلنا إنسانًا ، والمهاجمين يعرفون ذلك. سواء أكان الأمر مفتوحًا للباب لشخص غريب أو النقر على رابط يبدو أنه يأتي من زميل ، فإن هذه الإجراءات الصغيرة يمكن أن تؤدي إلى انتهاكات كبيرة.
2. “نحن لسنا هدف” هو افتراض خطير
يعتقد عدد مفاجئ من المنظمات أنها محصنة ضد الهجمات لأنها صغيرة أو لا تتعامل مع بيانات حساسة للغاية. لكن المهاجمين لا يستهدفون دائمًا شركات معينة ، وغالبًا ما يستغلون من يمنحهم أسهل طريقة فيها. في العديد من الارتباطات ، رأيت أعمالًا أصغر تتعرض للخطر بنجاح من خلال التصيد أو الانتحال ، فقط لاستخدامها كحجارة في الوصول إلى أهدافها الأكبر والأمنية.
3. غالبًا ما تفتقر إجراءات التحقق من العمق
في حين أن العديد من المنظمات لديها سياسات التحقق من الهوية في مكانها ، مثل طلب فحص الهوية للبائعين أو الزوار ، فإن التنفيذ الفعلي غالبًا ما يكون سطحيًا. في العديد من الارتباطات ، قدمت تعريفًا مزيفًا تم تمريره لمجرد أنه بدا شرعيًا وتصرفت بثقة. هذا يسلط الضوء على مشكلة أوسع: عندما لا يتم تدريب الموظفين على التدقيق الشامل لبيانات الاعتماد أو يشعرون بعدم الارتياح تحدي متجه التهديد البشري الذي يبدو أنه “ضوابط أمنية أساسية يمكن أن تفشل.
4. نقاط الضعف الأمنية البدنية
تعد كل من نقاط الضعف التي استغلتها. تفترض العديد من المنظمات أن أمن البناء الصلب ، ولكن يمكن أن يكون الدخول المادي سهلاً بشكل مدهش بدون عناصر التحكم الصحيحة. في أحد المشاركات ، دخلت مبنى لمجرد وضع سجادة في المدخل ، مما يمنع القفل المغناطيسي من الانخراط. في مكان آخر ، ادعت أنني بائع تكنولوجيا المعلومات ووصلت عن طريق الصدفة عندما كان العميل يتوقع شخص ما. لم يطلبوا هوية أو التحقق من أي شيء قبل السماح لي بالتجول بحرية.
5. الوعي الأمني وحده لا يكفي
الوحدات التدريبية السنوية والملصقات في غرفة الاستراحة لن تتوقف عن مهاجم مقنع. إذا لم يتم تمكين المستخدمين للتشكيك في السلوك المشبوه أو التصاعد المخاوف ، فلن يساعد حتى أفضل التدريب.
6. يمكن أن تخلق الممارسات البدنية المتراخية مخاطر كبيرة
في بعض الحالات ، وجدت مفاتيح مادية مخزنة في مرأى من الأقفال التي يتحكمون فيها ، أو كلمات المرور المكتوبة ونشرها بالقرب من الأطراف. هذه الإشراف تقوض حتى أفضل أنظمة الأمن.
لقطات العلبة
الحالة 1: “بائع الشبكة”
وصلت في الموقع بدعوى أنها من شركة شبكات معروفة هناك لإجراء فحص صيانة روتينية في مركز البيانات. دون التحقق من بيانات الاعتماد الخاصة بي أو تأكيد فريق تكنولوجيا المعلومات الخاص بهم ، منحني الموظفون الوصول إلى غرفة الخادم دون أي مرافقة ، ولم يتم طرح أي أسئلة.
الدرس: لا ينبغي أبدًا منح الوصول المادي إلى البنية التحتية الحرجة دون التحقق الصارم ، وسير العمل الواضحة للموافقة ، وسياسة مرافقة ، بغض النظر عن مدى روتين الطلب.
الدرس: يحتاج كل طلب وصول إلى عملية التحقق من الصحة التي لا يمكن تجاوزها بثقة أو إلحاح.
الحالة 2: فخ USB
تركت محركات أقراص USB المسمى داخل مساحات مكتب العملاء. قام الموظفون بتوصيلهم ، مما يؤدي إلى حمولة حمولة تم الإبلاغ عنها مرة أخرى إلى خادم القيادة والتحكم (C2) ، مما يوضح مدى سهولة الفضول في تجاوز الأمان.
الدرس: تدريب مستخدمي الإبلاغ عن الوسائط المشبوهة وفرض القيود الفنية على أجهزة USB.
الحالة 3: النجاح الذيل
ارتديت الأعمال التجارية مع شارة شارة (من شركة أخرى) ، تابعت الموظفين في المكتب. لا أحد تحدىني.
الدرس: تدريب الموظفين على مواجهة أفراد غير معروفين بأدب أو توجههم إلى الاستقبال.
بناء دفاعات أفضل
1. استراتيجية الدفاع الطبقات
- الضوابط المادية: نقاط دخول آمنة ، سياسات الشارة ، سجلات الزوار ، ومراجعات منتظمة للعناصر الضوئية المادية مثل أقفال الأبواب وتغطية المراقبة.
- الضوابط الإجرائية: التحقق متعدد الخطوات للإجراءات الحساسة ، وفحوصات الهوية الصارمة ، والمرافقات الإلزامية لجميع بائعي الطرف الثالث في المباني.
- الضوابط الفنية: تصفية البريد الإلكتروني ، حماية نقطة النهاية ، قيود USB.
- الاختبار: تقييم التصيد العادي والهندسة الاجتماعية البدنية.
2. تمكين موظفيك
- تعزيز ثقافة مدركة للأمن حيث يتم تشجيع الاستجواب.
- مكافأة الإبلاغ بدلاً من معاقبة الأخطاء.
- اجعل الأمن جزءًا من المحادثة اليومية.
- التأكيد على أهمية التشكيك في الأفراد الذين لا يرتدون شارة هوية واضحة.
3. تدريب مصمم خصيصًا
- استخدم أمثلة حقيقية من بيئتك الخاصة.
- توفير تحديثات متكررة الحجم.
- التدريب القائم على الأدوار يتحدث عن مخاطر عمل محددة.
- تعزيز أهمية سياسة مكتب نظيفة لتجنب المعلومات الحساسة.
عن بُعد مقابل المادي: الاختلافات الرئيسية
الهندسة الاجتماعية عن بعد ينطوي على التهاب الصيد ، والخداع ، والخضار ، والبريد الإلكتروني التجاري. تعتمد الدفاعات هنا اعتمادًا كبيرًا على:
- تصفية البريد الإلكتروني
- إجراءات التحقق من المتصل
- اليقظة الموظف
الهندسة الاجتماعية البدنية يتطلب مجموعة مختلفة من الضوابط:
- إدارة الوصول
- إجراءات الاستقبال
- تمكين الموظفين للتدخل
- تدقيقات منتظمة من الأقفال والشارات ولقطات الكاميرا وبروتوكولات الزوار في كثير من الحالات ، يستخدم المهاجم الأكثر خطورة على حد سواء.
الأخبار السارة
الشركات التي تمنعنا باستمرار القيام بثلاثة أشياء:
- اختبار دفاعاتهم بانتظام (ليس مرة واحدة فقط في السنة).
- تعامل مع الأمن كمشكلة إنسانية ، وليس مجرد تقنية.
- تعلم من الانتهاكات – حتى تلك المحاكاة.
هل يمكن لفريقك اكتشاف هجوم هندسي اجتماعي حقيقي؟ دعنا نتعرف على محاكاة آمنة ومسيطرة عليها تكشف عن نقاط الضعف قبل أن يفعل المجرمون. LevelBlue يمكن أن تساعد.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ويجب عدم تفسيرها على أنها نصيحة قانونية أو تنظيمية أو امتثال أو للأمن السيبراني. يجب على المنظمات استشارة محترفيها القانونيين أو الامتثال أو الأمن السيبراني فيما يتعلق بالالتزامات المحددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات والاستجابة المدارة من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية ، فهي ليست بديلاً لرصد الشبكات الشامل أو إدارة الضعف أو برنامج الأمن السيبراني الكامل.
