E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid
Kõige huvitavam sisse murdmise meetod on minu arust social engineering. Sihtmärgiks on inimene, ning keskendudakse psühholoogilistele trikkidele, mitte tehnoloogiale. Lisaks on inimloomusest tekkinud turvanõrkusi keerulisem tugevdada.
Antud rünnaku puhul keskendutakse tehnoloogiale vähe ning kasutatakse lihtsamaid võtteid. Nutiseadmete puhul saab näiteks kasutada notificationeid sõnumiga “Teie telefon on nakatunud pahavaraga, selle eemaldamiseks vajutage siia”. Tehnika kauged inimesed satuvad paanikasse, eriti kui neid teavitusi tuleb iga paari minuti tagant. Telefonidega natukene rohkem sina peal olev inimene saab aru, et tegemist on Chrome brauserilt tuleva teavitusega ning neid on lihtne välja lülitada. Klassikalisem lähenemine on kasutada kalastamis rünnnet (phishing). Ohvrile saadetakse audentese välimusega e-kiri, tihti on saadetud ka kiri näiliselt õigelt aadressilt. Kalastamine läheb USA ettevõtetele maksma aastas 3,7 miljonit dollarit aastas (1). Tehnoloogia poolsed lahendusteks on: kasutada mitme tasandilist autentimist ning uuendada regulaarselt viirusekaitset.
Koolitused on väga olulised, kuid korra aastas toimuvad koolitused kipuvad olema liiga pikad ning töötaja tähelepanu kaob. Soovituslik teha tihedamini väiksemaid koolitusi. Kordamine on väga oluline, seetõttu on soovitatav treening teha osaks töötamisest, ning soovitusi saata regulaarselt e-kirjadega, panna kaasa uudiskirjadele ning teadete tahvlitele. Treeningud peaksid olema interaktiivsed ning sisaldama erinevaid lugusid, mida läbimängida. Treenimise oluline osa on ka testimine, seetõttu peaks regulaarselt võõras inimene üritama siseneda tööruumidesse, otsima prügikastist tundliku informatsiooni, jätma laokile USB pulkasid. Kehastama IT inimest ning vaatama, kui lähedale on võimalik serveri ruumile jõuda. Oluline on muuta töötaja enesekindlaks, et ta julgeks võõrastelt küsida, kes nad on ning mida nad siin teevad. (2, 3)
Viimaseks aspektiks on reeglid, järgnevalt kirjeldan kõige enam soovitatavad. Võõrastelt tuleb lasta ennast tuvastada, et automaatselt osa kõrvalisi isikuid tuvastada. Kaotatud juurdepääsu kiipidest tuleb 12h jooksul teada anda haldusele, et need oleks võimalik kasutusest eemaldada. Kahtlasi e-kirju mitte avada ning need edasi saata kokkulepitud aadressile, et IT oleks võimalik neid analüüsida. Lisaks tuleb leppida kokku suhtlusstiil ning kanalid. See välistab situatsioonid kus “kiiresti on vaja teha üks ülekanne”.
Social engineeringu riski ei ole võimalik eemaldada, kuna rünnak on suunatud inimese vastu. Epideemia tõttu tekitab ettenägematuid olukordi, mida on võimalik pättidel ära kasutada. Kuid reeglitele kindlaks jäämine vähendab oluliselt riski andmelekkeks.
Kasutatud kirjandus:
1. https://www.securitymetrics.com/learn/5-tips-train-workforce-social-engineering
2. https://www.imperva.com/learn/application-security/social-engineering-attack/
3. https://www.securitymetrics.com/learn/5-tips-train-workforce-social-engineering
Antud rünnaku puhul keskendutakse tehnoloogiale vähe ning kasutatakse lihtsamaid võtteid. Nutiseadmete puhul saab näiteks kasutada notificationeid sõnumiga “Teie telefon on nakatunud pahavaraga, selle eemaldamiseks vajutage siia”. Tehnika kauged inimesed satuvad paanikasse, eriti kui neid teavitusi tuleb iga paari minuti tagant. Telefonidega natukene rohkem sina peal olev inimene saab aru, et tegemist on Chrome brauserilt tuleva teavitusega ning neid on lihtne välja lülitada. Klassikalisem lähenemine on kasutada kalastamis rünnnet (phishing). Ohvrile saadetakse audentese välimusega e-kiri, tihti on saadetud ka kiri näiliselt õigelt aadressilt. Kalastamine läheb USA ettevõtetele maksma aastas 3,7 miljonit dollarit aastas (1). Tehnoloogia poolsed lahendusteks on: kasutada mitme tasandilist autentimist ning uuendada regulaarselt viirusekaitset.
Koolitused on väga olulised, kuid korra aastas toimuvad koolitused kipuvad olema liiga pikad ning töötaja tähelepanu kaob. Soovituslik teha tihedamini väiksemaid koolitusi. Kordamine on väga oluline, seetõttu on soovitatav treening teha osaks töötamisest, ning soovitusi saata regulaarselt e-kirjadega, panna kaasa uudiskirjadele ning teadete tahvlitele. Treeningud peaksid olema interaktiivsed ning sisaldama erinevaid lugusid, mida läbimängida. Treenimise oluline osa on ka testimine, seetõttu peaks regulaarselt võõras inimene üritama siseneda tööruumidesse, otsima prügikastist tundliku informatsiooni, jätma laokile USB pulkasid. Kehastama IT inimest ning vaatama, kui lähedale on võimalik serveri ruumile jõuda. Oluline on muuta töötaja enesekindlaks, et ta julgeks võõrastelt küsida, kes nad on ning mida nad siin teevad. (2, 3)
Viimaseks aspektiks on reeglid, järgnevalt kirjeldan kõige enam soovitatavad. Võõrastelt tuleb lasta ennast tuvastada, et automaatselt osa kõrvalisi isikuid tuvastada. Kaotatud juurdepääsu kiipidest tuleb 12h jooksul teada anda haldusele, et need oleks võimalik kasutusest eemaldada. Kahtlasi e-kirju mitte avada ning need edasi saata kokkulepitud aadressile, et IT oleks võimalik neid analüüsida. Lisaks tuleb leppida kokku suhtlusstiil ning kanalid. See välistab situatsioonid kus “kiiresti on vaja teha üks ülekanne”.
Social engineeringu riski ei ole võimalik eemaldada, kuna rünnak on suunatud inimese vastu. Epideemia tõttu tekitab ettenägematuid olukordi, mida on võimalik pättidel ära kasutada. Kuid reeglitele kindlaks jäämine vähendab oluliselt riski andmelekkeks.
Kasutatud kirjandus:
1. https://www.securitymetrics.com/learn/5-tips-train-workforce-social-engineering
2. https://www.imperva.com/learn/application-security/social-engineering-attack/
3. https://www.securitymetrics.com/learn/5-tips-train-workforce-social-engineering
Comments
Post a Comment