IRCERT - كارمندان، پايه اصلي امنيت يك شركت

صفحه اول > اخبار و هشدارها

كارمندان، پايه اصلي امنيت يك شركت

4 مارس 2005 - 14 اسفند 1383

كوين ميتنيك - هكر سابق كه شهرت بسياري دارد - درباره استراتژيهاي امنيتي كه بر روي فناوري ها تمركز مي كنند، هشدار داده است. وي مي گويد:“ آموزش كاربرانتان براي دادن پاسخ منفي، كمك زيادي به تامين امنيت شبكه شما مي كند.“

ميتنيك كه شهرت خود را مديون نفوذ به شبكه شركتهاي مهم و معتبر مانند موتورلا و نوكيا است، امروز در كنفرانسي كه توشيبا در ملبورن استراليا برگزار كرده بود، به سخنراني پرداخت. وي در سال 1995 توسط FBI دستگير شد و حدود 4 سال را پشت ميله هاي زندان سپري كرد. اما حالا از توانايي ها و دانش خود به عنوان يك مشاور امنيتي بهره مي گيرد.

بسياري از شركتها هزينه هاي سنگيني را صرف استفاده از فناوري هاي گوناگون جهت تامين امنيت شبكه خود مي كنند، اما ميتنيك اشاره كرد كه حتي محكمترين سدهاي فناوري نتوانسته اند وي را متوقف كنند. در واقع انجام عمليات برنامه ريزي شده مهندسي اجتماعي مي تواند در حمله و نفوذ به ضعيف ترين بخش امنيتي اكثر شركتها، ‌يعني كارمندان آنها، بسيار مؤثر باشد.

ميتنيك مي گويد:“ آنچه شما گاه در ميان زباله ها مي يابيد واقعا تعجب آور است. كاربران يادداشتها، طرح نامه ها، نتيجه چاپي سورس كد و مستندات پروژه اي كه بر روي آن كار مي كنند را دور مي اندازند. در بعضي موارد آنها حتي كلمات عبور و اطلاعات دسترسي را يادداشت مي كنند وبعدها در دورريز قرار مي دهند. حتي تقويمي كه شما ليست اسامي افرادي را كه با آنها صحبت كرده و يا با آنها ملاقات كرده ايد نيز مي تواند مورد سوء استفاده قرار گيرد.“

اين اطلاعات كمك شاياني به هكرها مي كند تا راهشان را به درون يك شركت باز كنند. آنها مي توانند خود را به جاي يك كارمند جا بزنند و با ميز اطلاعات داخلي تماس بگيرند و يا وانمود كنند كه يك شريك تجاري هستند. ميتنيك معتقد است از آنجايي كه مردم از گفتن كلمه “نه“ متنفرند، حتي زماني كه با يك غريبه مشكوك مواجه مي شوند، با صحبتهاي خود راه هكر را به گونه اي هموار مي كنند كه وي را به مراتب بيش از انجام حملات brute-force به شبكه هدف نزديك مي كند.

فهم راه كار چنين مشكلات امنيتي بسيار ساده است اما به سادگي قابل پياده سازي نيست: بايد براي موضوعاتي مانند برخورد با غريبه ها، مديريت اطلاعات و دسترسي بازديدكنندگان به مكانهاي فيزيكي سياستهاي امنيتي خاصي را مدون كرد. به كارمندان خود آموزش دهيد كه در شرايط مشكوك از اين سياستها پيروي كنند و به تمايل طبيعي خود كه همان درخواست هكر است، ‌پاسخ ندهند.