인터넷에서 가장 약한 부분은 무엇입니까? 모바일 오피스용 인터넷 방화벽, 바이러스 백신 소프트웨어, 원격 제어 PC 또는 노트북? 대부분의 보안 전문가들은 교활한 컴퓨터 해커가 일반적으로 특정 사용자에게 간단한 질문을 함으로써 거의 모든 네트워크를 해킹할 수 있다고 생각합니다.
그들은 각종 기술수단뿐만 아니라 사회공학의 개념으로 부정행위를 한다. 일반적으로 그들은 인간의 타고난 신뢰를 이용하여 타인의 욕망과 미지의 것들에 대한 호기심을 돕는다. 그들은 이러한 약점을 이용하여 사용자 이름과 비밀번호를 속여 각종 선진 기술을 채택한 보안 조치를 허위로 만들 것이다.
이런 상황에 대해 특별히 감성적인 인식이 없다면, 우리의 삽입' 해커가 자주 쓰는 5 수' 를 참고하여, 자신이 그런 상황에서 쉽게 속아 넘어갈 수 있을지 심사숙고해 볼 수 있다. 그러나 플러그인에서 다루는 기술은 해커가 유용한 정보를 엿보는 데 사용하는 방법의 일부일 뿐입니다.
사실, 컴퓨터 해커는 누구와도 얘기하지 않고도 대량의 정보를 얻을 수 있다. 회사 웹 사이트를 방문하여 회사의 리더십 직책, 재무 정보, 조직도, 이메일 주소 및 직원 전화 번호를 확인할 수 있습니다. 또한 조직도, 시장 계획, 메모, 인적 자원 설명서, 재무 제표, 회사 규정, 프로세스 지침 등 회사에서 버린 오래된 문서로부터 많은 가치 있는 것들을 선별합니다. 해커는 이 정보를 사용하여 직원으로 위장하거나, 고객이 회사 직원에게 전화를 걸거나, 이메일을 보내고, 상대방의 신뢰를 얻고, 결국 그들을 통해 회사 네트워크에 접속하는 등 회사 직원들의 신뢰를 얻습니다.
회사 직원으로부터 정보를 얻는 기술은 다음과 같습니다.
이해할 수 없는 많은 정보나 여러 가지 이상한 질문으로 직원의 사고를 현혹시켜 그가 도대체 무엇을 하고 싶은지 알 수 없게 한다. (존 F. 케네디, 공부명언)
해커는 의도적으로 당신에게 기술적인 고장을 설치한 다음, 당신의 신뢰를 얻기 위해 해결해 줄 것이다. (존 F. 케네디, 믿음명언) 이 방법을 역사회공학이라고 합니다.
강렬한 감정화, 심지어 위협적인 어조로 너에게 그의 지시에 복종하라고 명령하다.
◆ 당신이 저촉감을 느낀다면, 그는 몇 가지 작은 요구를 적당히 포기할 것이다. 이렇게 너는 너도 그의 요구를 만족시켜야 한다고 생각한다.
정보 및 기술을 공유하면서 수익을 요구하지 않고 (적어도 처음엔), 해커가 당신에게 무언가를 물어볼 때, 당신은 그들에게 말할 의무가 있다고 느낄 것이다. (존 F. 케네디, 지식명언)
◆ 당신과 같은 취미와 취미를 가진 척하고, 기회를 빌어 당신의 관심 그룹에 가입하십시오.
◆ 동료가 중요한 임무를 완수하도록 도울 수 있다고 거짓말한다.
◆ 우호적이고 이해관계가 전혀 없는 관계를 맺은 후, 당신에게서 회사 상용조항, 핵심 직원 이름, 서버, 앱 유형을 조금씩 얻는다.
또한 보안 문제의 상당 부분은 불만을 품은 직원이나 직원 (예: 회사의 고객이나 파트너) 이 노출해서는 안 되는 정보를 유출하는 경우가 많다는 점도 유의해야 합니다. 사람들은 항상 내부에서 오는 위험을 무시하는 경향이 있다.
물론 사회공학은 회사의 기밀 정보를 사취하는 데만 국한된 것은 아니다. 해커들은 종종 이 기술을 사용하여 개인 사용자의 신용 카드 번호, 사용자 이름 및 비밀번호를 사취하는데, 이 정보는 온라인 쇼핑에 사용할 수 있다. 그들이 흔히 사용하는 수법은 이메일과 허위 사이트를 통해 유명 대기업의 웹사이트를 방문하고 있다는 것을 사용자에게 납득시키는 것이다.
사회공학의 역할에 대해 의구심을 품고 있다면, 적어도 경각심과 신중함을 유지해야 한다. 케빈 미트닉은 20 세기에 가장 악명 높은 해커 중 한 명이다. 그는 일찍이 여러 차례 언론에 기술보다는 인간성의 약점을 이용해 인터넷을 끊었다고 말했다.
한편, 대부분의 기업들은 보안 기술에 막대한 자금을 투입하는 것을 선호하지만, 직원 관리는 소홀히 하고 있다. 그러나, 대부분의 안전제품과 기술은 사회공학을 고려하지 않았다. 그럼 어떻게 대처해야 할까요?
두 가지 측면에서 이 문제를 해결해야 한다. 첫째, 회사 정보를 쉽게 유출할 수 있는 물리적 장소 (책상, 캐비닛, 웹 사이트 포함) 를 보호해야 한다. 둘째, 회사 직원에 대한 안전 예방 교육을 실시하고 명확한 규칙과 제도를 마련해야 한다.
물리적 공간의 안전은 비교적 간단한 부분일 수 있다. 다음은 몇 가지 중요한 팁으로, 대부분 위의 두 가지 측면 (물리적 보호 및 규정) 을 다루고 있습니다.
◆ 회사의 모든 직원과 방문객에게 배지나 기타 신분증을 착용하게 한다. 관광객에게 있어서, 반드시 누군가가 그들을 목적지까지 호송해야 한다.
◆ 어떤 서류를 수시로 잠가야 하는지, 어떤 서류를 분쇄기에 던져서 처리할 수 있는지 점검한다.
◆ 캐비닛은 잠그고 안전하고 감시할 수 있는 곳에 놓아야 한다.
◆ 모든 클라이언트 PC 를 포함한 모든 시스템이 암호로 보호되어 있는지 확인하고, 강력한 비밀번호를 사용하고 정기적으로 교체해야 합니다.
각 기계도 몇 분 동안 유휴 상태로 있다가 화면 보호기에 들어가도록 설정하고 화면 보호기 비밀번호를 설정해야 한다.
◆ 하드 드라이브의 파일에 기밀 정보가 포함되어 있는 경우 암호화하여 저장해야 합니다.
◆ 공개 * * * 홈페이지에 회사에 대한 정보를 너무 많이 공개하지 마세요. 좋은 보안 체계를 구축하고 직원들을 적절히 훈련시키는 것은 더욱 어렵다. 회사 직원들은 일반적으로 그들이 전파하는 정보가 큰 가치가 있다는 것을 인식하지 못한다. 낯선 사람의 정보 상담에 직면하도록 항상 교육해야지, 쉽게 속지 않도록 경계해야 한다.
직원을 훈련시키는 가장 좋은 방법은 교사가 훈련하기 전에 사회공학기술을 이용하여 그들의 입에서 가치 있는 정보를 추출한 다음, 교사들이 이러한 예를 부정적인 교재로 분석하여 설명하는 것이다.
어떤 정보라도 다른 사람에게 누설해서는 안 된다는 것을 사람들에게 알리기 위해 명확한 규칙과 제도를 마련해야 한다. (존 F. 케네디, 공부명언) 쓸모없는 정보 (예: 서버 이름, 회사 조직 구조, 일반적인 용어 등) 가 많이 있습니다. ) 해커에게 가치가 있다. 너의 규칙과 제도는 각종 정보에 대한 액세스 규칙과 취해야 할 안전 예방 조치를 규정해야 한다. 이런 규정을 위반한 행위에 대해서는 명확한 처벌 조치가 있어야 한다. 만약 당신이 상세하고 명확한 규칙과 제도를 제정한다면, 직원들이 회사 정보를 누설할 가능성은 낮아질 것입니다.
현재 사회공학을 전문으로 하는 도구는 드물지만, 일부 컨텐츠 필터링 툴과 메일 Frontier Matador 와 같은 스팸 방지 제품을 사용하여 직원들이 이메일을 통해 정보를 유출하거나 외부의 사기 메시지를 방지할 수 있습니다. 투우사는 일련의 특허 기술을 사용하여 의심스러운 이메일을 식별한다.
사회공학에 대항하는 것은 장기적이고 어려운 임무이다. 공격자는 전술을 지속적으로 개선하여 기존 예방 조치를 돌파하기 때문이다. 따라서 새로운 사기 방식이 등장하면, 당신은 가능한 한 빨리 새로운 규칙과 제도를 제정하여 예방해야 한다. (윌리엄 셰익스피어, 사기, 사기, 사기, 사기, 사기, 사기) 그리고 직원들에게 그들이 회사의 진정한 방화벽이라는 것을 계속 상기시켜야 합니다.
해커가 자주 쓰는 다섯 가지 수법.
많은 사람들이 당신에게 고액 보너스를 받을 수 있는 기회를 주겠다고 약속한 이메일을 받았습니다. 당신이 해야 할 일은 등기표를 작성하는 것입니다 (사용자 이름과 비밀번호를 적어 주세요). 놀랍게도, 상당수의 사람들이 이런 메일에 회신하는데, 그 중 상당수는 회사 네트워크에 로그인할 때 사용한 사용자 이름과 비밀번호와 정확히 같은 사용자 이름과 비밀번호를 기입한다. 해커는 한 회사의 10 여명의 직원에게 이런 이메일을 보내면 두세 개의 인터넷 로그인 비밀번호를 쉽게 얻을 수 있다.
때때로 컴퓨터가 네트워크 연결이 끊어졌다는 대화 상자를 팝업하고 네트워크 연결을 재개하기 위해 사용자 이름과 암호를 다시 입력하라고 요청합니다. 첨부 파일에서 보안 업그레이드 프로그램을 실행해야 한다는 내용의 e-메일이 Microsoft 로부터 온 것처럼 보일 수 있습니다. 이 대화 상자와 메일의 합법성을 의심한 적이 있습니까?
나가서 담배 한 대 피우고 채팅에 가입할 때 최근 회사 메일 서버 고장에 대해 이야기할 수 있습니다. 대기업의 경우, 당신은 모든 직원을 알지 못할 수도 있으며, 이 채팅하는 사람들은 정체불명의 해커 한두 명과 뒤섞여 있을 가능성이 높다. (윌리엄 셰익스피어, 스튜어트, 자기관리명언)
(4) 갑자기 한 남자가 당신의 사장의 컴퓨터를 보러 와서 (마침 사장이 없을 수도 있음) 사장의 Outlook 에 문제가 있다고 말했다. 이 이유는 합리적으로 들린다. Outlook 소프트웨어는 확실히 문제가 자주 발생하는데, 왜 사장이 없을 때 꼭 수리해야 합니까?
때때로 당신은 총재 조수라고 주장하는 여성으로부터 전화를 받아 개인이나 회사에 대한 정보를 알려 줄 때가 있다. (조지 버나드 쇼, 자기관리명언) 그녀는 회사 지도자의 이름을 외치거나 회사 직원만 알고 있는 정보를 무심코 공개하여 의심을 해소할 것이다.
2. 네트워크의 사회적 문제 해결
/download/%BC% C6% CB% E3% bb% fa% C9% F3% BC% C6% B4% F3% BD% B2% cc% B3 % BC% C6% CB% E3% bb% fa% C9% F3% BC% C6% B4% F3% BD% B2% cc% B3-4-%BC
소셜네트워크서비스 (SNS) 에서는 사람 간의 교류가 방화벽 외부에 있는 경우가 많기 때문에 고용주가 교류의 내용을 통제할 수 없기 때문에 소셜네트워크서비스 (SNS) 는 안전과 준수의 악몽이 될 수 있다. 예를 들어, 직원들이 일상적인 교류에서 서로의 업무에 대해 이야기할 때 아직 공개되지 않은 프로젝트가 노출될 수 있습니다.
"이것은 미래에 숨겨진 위험을 초래할 수 있습니다. 클릭합니다 부국은행 수석 부사장 겸 수석 시스템 설계자 여선춘이 말했다. 그가 걱정하는 것은 직원들이 민감한 정보를 회사 통제 범위를 벗어나는 소셜네트워크서비스 (SNS) 에 올려놓을 수 있다는 점이다. 이 회사는 거의 무력하다.
기업 소셜네트워크서비스가 등장해 이런 우려를 해소했다. "엔터프라이즈급 데이터 및 어플리케이션 보안이 필요합니다." SelectMinds 의 버크비치는 이렇게 말합니다. "우리는 충분한 자유로운 교류와 비교적 보수적인 기업들 사이에 균형을 맞춰야 합니다. 이러한 교류가 자유토크쇼가 아니라는 것을 그들에게 보증해 줄 필요가 있습니다." 이러한 신중한 접근 방식은 SelectMinds 가 많은 대형 회계 및 금융 회사와 협력 관계를 맺는 데 도움이 됩니다.
그러나 SelectMinds 는 소규모로만 성공을 거두었습니다. 일부 회사들은 여전히 관리자에게 절대 통제권을 제공할 수 없는 앱을 사용하지 않는다.
국가 정보부 A 공간이 직면한 안보 도전은 혀를 내두르게 한다. 이는 16 개의 다른 보안 체크포인트를 통과하고 16 개의 다른 방화벽을 통과해야 하는 데스크톱 클라이언트가 아닌 웹 기반 소셜 네트워킹 사이트를 선택했기 때문입니다. 그러나 후자의 방법을 선택하더라도 브라우저와 보안 인트라넷에 저장된 민감한 데이터는 높은 "관심" 을 불러일으킬 수밖에 없습니다.
실제로 이 영역은 의심스러운 예외 검색을 찾는 등 트래픽 패턴을 관찰하여 보안을 보장할 수 있습니다. 웨이트하이머는 "우리는 결코 방심해서는 안 된다" 고 강조했다. "이것은 정보를 훔치는 악몽이다. 나쁜 벌레 한 마리가 기어들어오면 얼마나 많은 물건을 훔칠 수 있는지 스스로에게 물어봐야 한다. 그럼에도 불구하고 수익은 여전히 위험보다 크다. 클릭합니다 그는 말했다.
동시에 소셜 네트워크의 위험은 기업 보안 공급업체를 참여시키기에 충분하지 않습니다. MessageGate 마케팅 부사장인 로버트 피스 (Robert Pease) 는 이메일 필터링 회사인 MessageGate 가 자사의 비즈니스 플랫폼을 소셜 네트워킹 사이트로 확장할 수 있었다고 말했지만, 그럴 필요는 없다고 판단했습니다.
물론, 모든 소셜 사이트 도구가 페이스북과 Linkedin 의 커뮤니티 중심 접근 방식을 따르는 것은 아닙니다. Visible Path 가 그 중 하나입니다. 20 년 전에 개발된 통계 기술을 통해 Visible Path 의 소프트웨어 제품은 정보 출처 확인, 달력, 전화 및 e-메일에 기록된 개인 활동 수집 및 분석, 정보 수신 및 전송 비율, 개인 통신 기간 등 다양한 방법으로 관계의 강도를 식별할 수 있습니다.
Visible Path CEO 인 안토니 브리든 (Antony Brydon) 은 "사업가들이 하는 다양한 거래에 대해 매우 우려하고 있다" 고 말했다. Visible Path 는 비즈니스 리서치 기관인 Hoover's Connect 와 협력하여 사용자가 Hoover 데이터베이스의 회사 및 개인과 어떻게 연락할 수 있는지 알려 줍니다. 이것이 바로 이른바 6 도 분리 개념이다. Linkedin 의 방법도 비슷하다. 친구의 친구를 잠재적인 인맥으로 삼는 것이다.
노스루프 그루먼은 거의 65,438+00 년 동안 미국 주 및 기타 여러 국가에서 65,438+020,000 명의 직원을 연결하는 소셜네트워크서비스 (SNS) 와 같은 시스템을 구축했습니다.
노스루프는 이를' 실천 커뮤니티' 라고 부르며, 직원들은 특정 주제나 기술을 중심으로 시스템 엔지니어링 엘리트 팀에서 신입 사원 커뮤니티에 이르기까지 회사의 거의 모든 구성원을 포괄하고 있다. 이러한 커뮤니티에는 커뮤니티와 관련된 문서 및 팀 구성원의 자세한 목록이 포함되어 있습니다. 진정한 공동 작업에는 전자 메일 배포 목록도 필요하지만, 이는 이러한 교류를 촉진하는 커뮤니티의 임무입니다. 노스롭의 지식 관리 책임자인 스콧 샤프파르가 말했다.
"실천 공동체" 가 중요한 역할을 했다. 예를 들어, 시스템 엔지니어링 팀은 현재 엔지니어링 절차, 경력 개발 및 채용 프로세스를 표준화하기 위해 노력하고 있습니다. 이 시스템을 통해 일본 손님에게 통역을 제공하는 통역을 찾았다. 일에 곤혹스럽고 어찌할 바를 모르는 신입사원도 경험을 모으고 교류할 수 있는 곳이 생겼다. 가장 흥미로운 것은 노스롭이 국방부 어플리케이션에서 일반적으로 사용되는 Ada 코드를 잘 아는 프로그래머를 지역사회를 통해 연간 5 만 달러의 채용 비용을 절감할 수 있다는 점이다. (윌리엄 셰익스피어, Northorop, Northern Exposure (미국 TV 드라마), 스포츠명언)
과거에는 젊은이들이 소셜 네트워킹 사이트의 발전 추세를 추진했습니다. 오늘날 비즈니스 인사와 IT 엘리트들도 속도를 높이고 있습니다. 물론 소셜네트워크서비스의 단점은 분명하고 불가피한 것이지만, 대부분의 기업에게는 그 엄청난 가치가 여전히 발굴되어야 한다. (윌리엄 셰익스피어, 윈스턴, 소셜 네트워크, 소셜 네트워크, 소셜 네트워크, 소셜 네트워크, 소셜 네트워크, 소셜 네트워크, 소셜 네트워크)