Keamanan jaringan-kerentanan nyata - Skenario: Anda bekerja di lingkungan perusahaan di mana Anda berada, setidaknya sebagian, bertanggung jawab untuk keamanan jaringan. Anda telah menerapkan firewall, virus dan spyware perlindungan, dan komputer Anda adalah semua up to date dengan patch dan perbaikan keamanan. Anda duduk di sana dan berpikir tentang pekerjaan indah telah Anda lakukan untuk memastikan bahwa Anda tidak dapat hacked.
Keamanan jaringan-kerentanan nyata |
Anda telah melakukan, kebanyakan orang berpikir, apakah langkah-langkah utama menuju jaringan aman. Hal ini sebagian benar. Apa tentang faktor-faktor lain?
Pernahkah Anda berpikir tentang serangan rekayasa sosial? Apa tentang pengguna yang menggunakan jaringan Anda setiap hari? Apakah Anda siap dalam menghadapi serangan oleh orang-orang ini?
Percaya atau tidak, link yang paling lemah dalam rencana keamanan Anda adalah orang yang menggunakan jaringan Anda. Untuk sebagian besar, pengguna tidak berpendidikan pada prosedur untuk mengidentifikasi dan menetralisir serangan rekayasa sosial. Apa yang akan menghentikan pengguna dari menemukan CD atau DVD di ruang makan siang dan membawanya ke workstation mereka dan membuka file? Disk ini bisa berisi sebuah spreadsheet atau pengolah kata dokumen yang telah makro jahat tertanam di dalamnya. Hal berikutnya yang Anda tahu, jaringan Anda terganggu.
Masalah ini ada terutama di lingkungan dimana bantuan meja staf reset password melalui telepon. Tidak ada yang menghentikan seseorang berniat melanggar ke dalam jaringan Anda dari panggilan help desk, berpura-pura menjadi seorang karyawan, dan meminta untuk memiliki password reset. Kebanyakan organisasi menggunakan sistem untuk menghasilkan nama pengguna, sehingga tidak sangat sulit untuk memikirkan mereka keluar.
Organisasi Anda harus memiliki kebijakan ketat untuk memverifikasi identitas pengguna sebelum password reset dapat dilakukan. Satu hal yang sederhana untuk dilakukan adalah untuk memiliki pengguna yang pergi ke help desk secara pribadi. Aplikasi Kamera Tembus Pandang Metode lain, yang bekerja dengan baik jika kantor Anda berada jauh geografis, adalah untuk menetapkan satu kontak di kantor yang dapat telepon untuk password reset. Dengan cara ini setiap orang yang bekerja pada help desk dapat mengenali suara orang ini dan tahu bahwa ia adalah yang mereka katakan mereka adalah.
Mengapa seorang penyerang pergi ke kantor Anda atau membuat panggilan telepon ke help desk? Sederhana, ianya biasanya jalan setidaknya perlawanan. Ada tidak perlu untuk menghabiskan berjam-jam mencoba untuk masuk ke sistem elektronik ketika sistem fisik lebih mudah untuk mengeksploitasi. Waktu berikutnya Anda melihat seseorang berjalan melalui pintu di belakang Anda, dan tidak mengenali mereka, berhenti dan bertanya siapa mereka dan apa yang mereka di sana untuk. Jika Anda melakukan ini, dan ini terjadi untuk menjadi seseorang yang tidak seharusnya berada di sana, sebagian besar waktu ia akan keluar secepat mungkin. Jika orang seharusnya tidak kemudian ia kemungkinan akan mampu menghasilkan nama orang yang dia ada di sana untuk melihat.
Saya tahu Anda katakan bahwa saya gila, kanan? Yah memikirkan Kevin Mitnick. Dia adalah salah satu paling dihiasi hacker sepanjang masa. Pemerintah AS mengira ia bisa peluit nada ke telepon dan meluncurkan serangan nuklir. Sebagian besar nya hacking dilakukan melalui rekayasa sosial. Apakah ia melakukannya melalui fisik kunjungan ke kantor atau dengan membuat panggilan telepon, dia mencapai beberapa hacks terbesar sampai saat ini. Jika Anda ingin tahu lebih banyak tentang dia Google namanya atau membaca dua buku ia menulis.
Itu adalah di luar saya mengapa orang-orang mencoba dan mengabaikan jenis serangan. Saya rasa beberapa insinyur jaringan terlalu bangga jaringan mereka untuk mengakui bahwa mereka bisa dilanggar begitu mudah. Atau apakah itu kenyataan bahwa orang tidak merasa mereka harus bertanggung jawab untuk mendidik karyawan mereka? Kebanyakan organisasi tidak memberikan mereka departemen TI yurisdiksi untuk mempromosikan keamanan fisik. Hal ini biasanya masalah bagi manajer gedung atau fasilitas manajemen. Tidak ada yang kurang, jika Anda dapat mendidik karyawan Anda sedikit; Anda mungkin dapat mencegah pelanggaran jaringan dari fisik atau serangan rekayasa sosial.