IRCERT - کارمندان، پایه اصلی امنیت یک شرکت

صفحه اول > اخبار و هشدارها

کارمندان، پایه اصلی امنیت یک شرکت

4 مارس 2005 - 14 اسفند 1383

کوین میتنیک - هکر سابق که شهرت بسیاری دارد - درباره استراتژیهای امنیتی که بر روی فناوری ها تمرکز می کنند، هشدار داده است. وی می گوید:“ آموزش کاربرانتان برای دادن پاسخ منفی، کمک زیادی به تامین امنیت شبکه شما می کند.“

میتنیک که شهرت خود را مدیون نفوذ به شبکه شرکتهای مهم و معتبر مانند موتورلا و نوکیا است، امروز در کنفرانسی که توشیبا در ملبورن استرالیا برگزار کرده بود، به سخنرانی پرداخت. وی در سال 1995 توسط FBI دستگیر شد و حدود 4 سال را پشت میله های زندان سپری کرد. اما حالا از توانایی ها و دانش خود به عنوان یک مشاور امنیتی بهره می گیرد.

بسیاری از شرکتها هزینه های سنگینی را صرف استفاده از فناوری های گوناگون جهت تامین امنیت شبکه خود می کنند، اما میتنیک اشاره کرد که حتی محکمترین سدهای فناوری نتوانسته اند وی را متوقف کنند. در واقع انجام عملیات برنامه ریزی شده مهندسی اجتماعی می تواند در حمله و نفوذ به ضعیف ترین بخش امنیتی اکثر شرکتها، ‌یعنی کارمندان آنها، بسیار مؤثر باشد.

میتنیک می گوید:“ آنچه شما گاه در میان زباله ها می یابید واقعا تعجب آور است. کاربران یادداشتها، طرح نامه ها، نتیجه چاپی سورس کد و مستندات پروژه ای که بر روی آن کار می کنند را دور می اندازند. در بعضی موارد آنها حتی کلمات عبور و اطلاعات دسترسی را یادداشت می کنند وبعدها در دورریز قرار می دهند. حتی تقویمی که شما لیست اسامی افرادی را که با آنها صحبت کرده و یا با آنها ملاقات کرده اید نیز می تواند مورد سوء استفاده قرار گیرد.“

این اطلاعات کمک شایانی به هکرها می کند تا راهشان را به درون یک شرکت باز کنند. آنها می توانند خود را به جای یک کارمند جا بزنند و با میز اطلاعات داخلی تماس بگیرند و یا وانمود کنند که یک شریک تجاری هستند. میتنیک معتقد است از آنجایی که مردم از گفتن کلمه “نه“ متنفرند، حتی زمانی که با یک غریبه مشکوک مواجه می شوند، با صحبتهای خود راه هکر را به گونه ای هموار می کنند که وی را به مراتب بیش از انجام حملات brute-force به شبکه هدف نزدیک می کند.

فهم راه کار چنین مشکلات امنیتی بسیار ساده است اما به سادگی قابل پیاده سازی نیست: باید برای موضوعاتی مانند برخورد با غریبه ها، مدیریت اطلاعات و دسترسی بازدیدکنندگان به مکانهای فیزیکی سیاستهای امنیتی خاصی را مدون کرد. به کارمندان خود آموزش دهید که در شرایط مشکوک از این سیاستها پیروی کنند و به تمایل طبیعی خود که همان درخواست هکر است، ‌پاسخ ندهند.