Notiunea de inginerie sociala se refera la tehnicile de a influenta si reformula, utilizand in principal, mecanismele de baza din psihologie, astfel incat, tinta va vedea si va intelege ceea ce „inginerul social” doreste ca tinta sa vada si sa inteleaga.
Un principiu fundamental al ingineriei sociale spune ca „omul este cea mai slaba veriga a unui sistem de securitate”.
Dincolo de tehnologia care ne protejeaza din ce in ce mai eficient, inducerea in eroare, sau cum este denumita in ingineria sociala, modificarea perceptiei tintei, reprezinta cheia de acces a oricarui sistem de securitate.
Securitatea este abordata ca un proces derulat in interiorul unei organizatii, iar acest proces nu tine doar de tehnologie ci si de factorul uman si mai ales de management.
Pericolul real privind bresele de securitate vine din zona profesionistilor orientati pe o tinta anume, cei cu sarcini precise, care vizeaza cel mai adesea avantajul concurential intr-un anume domeniu.
Tipare ale activitatii de inginerie sociala:
Cercetarea:
- reprezinta faza de analiza a informatiilor, care pot proveni din surse deschise, rapoarte anuale, materiale de marketing, articole, brevete inregistrate, web-site-uri specializate, discutii cu fosti angajati nemultumiti;
Dezvoltarea relatiei cu tinta:
- construirea unui limbaj adecvat tintei vizate, mascarea identitatii, utilizarea unui limbaj de specialitate, exploatarea calitătilor tintei: amabilitate, spirit de echipa, respectul fata de manageri, identificarea limitelor in care tinta este dispusa sa coopereze;
- cererile initiale trebuie sa fie rezonabile si cat mai putin stridente.
Exploatarea increderii:
- implicarea din ce in ce mai activa in furnizarea de informatii a colaboratorului;
- determinarea acestuia de a executa anumite operatiuni cerute de „inginerul social”, fara a constientiza faptul ca, in realitate, furnizeaza informaţii valoroase despre organizatia din care face parte;
- alternarea planului personal cu cel de interes, in functie de reactia colaboratorului si apelul la declansatoarele psihologice;
- o conversatie nu trebuie sa se termina niciodata brusc dupa obtinerea informatiei cheie.
Utilizarea informatiilor:
- Informatiile obtinute sunt folosite in etapele urmatoare, „inginerul social” fiind din ce in ce mai bine informat si raportandu-se tot mai mult la elemente concrete de actiune;
- folosirea progresivă a informatiei permite atacatorului sa actioneze fara sa „declanseze alarma”
- folosirea progresiva a informatiei se bazeaza pe un principiu cunoscut sub denumirea de „Principiul broastei fierte”, adica daca arunci intr-o oala cu apa clocotita o broasca, aceasta va sari imediat din oala, dar daca pui broasca intr-o oala cu apa rece iar oala o pui pe foc, broasca se va pacali si va ajunge sa fierba in acea oala. Acest princiu celebru reprezinta o metaforă a incapacității sau a dorinței oamenilor de a reacționa sau de a fi conștienți de amenințările care apar treptat, mai degrabă decât brusc.
Stergerea urmelor atacului derulat:
- tinta vizata nu trebuie sa poata face vreo conexiune cu adevaratul atacator. Victimele ciclului de inginerie sociala nu trebuie sa banuiasca absolut nimic;
- informatia obtinuta trebuie impachetata astfel incat cel ce o primeste sa poata beneficia de esenta datelor dar sa nu aiba elementele necesare identifcarii sursei sau lantului informational prin care aceasta a fost obtinuta.
De retinut:
-
auditul de securitate reprezinta o unealta utila pentru orice tip de organizatie, care trebuie folosita constant, cu repetare anuala, in vederea realizarii unor masuri eficiente de securitate.
Rolul managementului în auditul de securitate
Succesul oricarei companii in managentul securitatii este puternic condiționat de rolul si implicarea managementului în proiect.
Conducerea companiei trebuie să sprijine și să exprime acest demers pentru toate nivelurile organizației.
Conducerea organizatiei trebuie să delimiteze scopul și să definească sfera auditului de securitate.
Managementul trebuie sa selecteze o echipa calificata și să delege oficial autoritatea necesară pentru îndeplinirea misiunii.
În cele din urmă, conducerea trebuie să revizuiască concluziile echipei, sa decida ce recomandări trebuie implementate și apoi sa stabileasca ordinea priorităților pentru punerea în aplicare a recomandărilor rezultate in urma auditului de securitate.
Audit de Securitate
Discuta cu un consultant VerifiES
Securitate in Romania by VerifiES Security
Blogul nr 1 din industria de Securitate: Noutati si tendinte din industria de Securitate, Solutii de Securitate, Locuri de munca din industria de Securitate, Resurse utile, Topuri de Securitate
VerifiES Security– Eficienta in Securitate: Servicii Eficiente de Securitate la preturi corecte
Ajutam companiile in selectia si implementarea celor mai Eficiente Solutii de Securitate si celor mai potriviti Furnizori de Securitate.
Consultanta de securitate si optimizare bugete | Evaluare eficienta si eficacitate programe de securitate | Proiectare sisteme Securitate si incendiu | Audit servicii si solutii de Securitate | Evaluare si selectie furnizori Securitate | Evaluare de risc la securitate fizica | Implementare solutii de Securitate.