در آگاهیرسان «مهندسی اجتماعی (۱)» به معرفی موضوع مهندسی اجتماعی و ذکر مهمترین انواع حملات آن پرداخته شد. در این نسخه از این مجموعه آگاهیرسانی به ذکر اصلیترین روشها و راهکارها برای مقابله با حملات مهندسی اجتماعی خواهیم پرداخت.
پیش از بیان روشهای دفاعی در برابر حملات مهندسی اجتماعی، لازم است تا کلیاتی را در مورد این دسته از حملات یادآور شویم. ویژگی بارز حملات مهندسی اجتماعی، هدف آنها یعنی افراد (مردم عادی، نیروهای انسانی یک سازمان و غیره) است؛ لذا قابل پیشبینی است که راهکارهای مناسب دفاع در برابر این حملات، باید توصیهها و دستورالعملهایی باشند که توسط افراد (و نه سیستمهای امنیتی و نرمافزارها و سختافزارها) اجرا میشود.
در بسیاری از حملات مهندسی اجتماعی (نظیر حملات صیادی و دستاویزسازی)، مهاجم مستقیم به سراغ قربانی رفته و به صورت شفاهی یا کتبی با وی گفتگو میکند تا او را فریب داده و اطلاعات لازم را از وی دریافت نماید. لذا اکثر راهکارهای دفاعی در برابر حملات مهندسی اجتماعی بر همین موضوع تاکید داشته و به افراد گوشزد مینمایند تا در هنگام ارتباط با دیگران به چه موضوعاتی توجه داشته باشند تا خطر مواجهه با حملات مهندسی اجتماعی کاهش یابد. در ادامه به ذکر اصلیترین روشهای دفاعی خواهیم پرداخت:
1- آموزش مهمترین اصل است
اولین و مهمترین اصل در مقابله با مهندسی اجتماعی، آگاهی تکتک افراد و فرهنگسازی مناسب است. افراد آگاه به سادگی میتوانند حملات مهندسی اجتماعی را خنثی کنند. فرهنگسازی در برابر حملات مهندسی اجتماعی میتواند در سطوح مختلفی انجام شود؛ از سطوح بسیار ساده و ابتدایی نظیر آموزشهای والدین به فرزندان، تا سطوح بسیار پیشرفته در سازمانهای اطلاعاتی و امنیتی. مسئله اصلی، افزایش سطح آگاهی افراد و آمادگی ذهنی آنها در این موارد است:
2- آگاه باشید که چه اطلاعاتی را منتشر میکنید
موضوع آموزش و فرهنگسازی در زمان مواجهه با حملات مهندسی اجتماعی، موضوع مهمی است که در بخش قبل بیان شد؛ اما موضوع دیگر، آگاهی افراد در زمانهای دیگر، به خصوص در زمان انجام فعالیتهای روزمره و شخصی است. مهاجمانی که با اهداف جدی اقدام به حمله مهندسی اجتماعی میکنند، معمولا از قبل افرادی را هدفگیری کرده و اقدام به جمعآوری اطلاعات در مورد آنها مینمایند. در چنین موقعیتهایی است که حتی رفتارهای روزمره افراد میتواند به عنوان ابزاری برای جلب اعتماد و یا تعیین فرصت مناسب حمله توسط مهاجمین مورد استفاده قرار گیرد. لذا باید آگاهی داشته باشیم که در صحبتهای روزمره خود با دیگران و یا در شبکههای اجتماعی، چه اطلاعاتی را از خودمان (نه از گروه، سازمان یا غیره) منتشر میکنیم و به بیانی دیگر، چه اندازه به افراد ناآشنا اجازه میدهیم تا ما را بشناسند!
3- اطلاعات و داشتههای خود را بشناسید
شناسایی داشتهها و اطلاعات حساس، معمولا به عنوان یکی از فعالیتهای پایه امنیتی در هر سازمانی انجام میشود؛ خواه در سطح کوچک (مثل اطلاعات حساب مالی یک خانواده) و خواه در سطوح پیشرفته (مثل اطلاعات محرمانه و سری یک سازمان اطلاعاتی و نظامی). اما باید توجه داشت که تنها اطلاعات حساس نیست که نیاز به مراقبت و پنهانبودن از دیدهای بیرونی دارند؛ چرا که گاهی اوقات با وجود آنکه از اطلاعات اصلی و حساس مراقبت میشود، اطلاعات دیگری که به صورت مستقیم حائز اهمیت نبوده و به چشم نمیآیند، مورد استفاده مهاجمین مهندسی اجتماعی قرار میگیرند. برای مثال، در یک سازمان ممکن است به شدت از اطلاعات مالی حفاظت شود تا به هیچ طریقی به دست افراد غیرمسئول نرسد و همچنین به تمام مسئولین گوشزد شده تا در مورد اطلاعات مالی به هیچکس حرفی نزنند. در چنین شرایطی، حملات مهندسی اجتماعی که مستقیما به دنبال کسب اطلاعات مالی شرکت از افراد باشند شکست خواهند خورد؛ اما هنوز راه نفوذ و دسترسی به این اطلاعات باز است! یک تیم مهاجم، میتواند با ترکیبی از مهندسی اجتماعی و حملات امنیتی فنی (هک و نفوذ) این کار را انجام دهد. به این صورت که اطلاعات غیرمستقیم نظیر نام و نسخه نرمافزارهایی که در سازمان از آنها استفاده میشود را از طریق مهندسی اجتماعی استخراج کرده و حال، با دانستن این اطلاعات به سراغ هک و نفوذ میروند. بنابراین باید بر اساس مطالعات علمی و تجربه، بدانیم که علاوه بر اطلاعات محرمانه و حساس، چه اطلاعات دیگری ممکن است مورد استفاده مهاجمین قرار گیرد. این کار نیازمند مشورت با متخصصین حوزههای امنیتی است و بدون تجربیات و دانش فنی امنیت رایانهای، نمیتوان شناخت درستی از اطلاعات قابل استفاده توسط مهاجمین داشت. در نهایت این اطلاعات را نیز در زمره اطلاعات داخلی طبقهبندی کرده و به افراد آموزش دهیم تا علاوه بر خویشتنداری در برابر افشای اطلاعات حساس، از افشای این اقلام اطلاعاتی نیز خودداری نمایند.
4- سیاستهای امنیتی تدوین کنید
در نهایت، باید توجه داشت که این تلاشها به صورت مدیریتشده و سیستماتیک صورت گرفته و در نهایت، سیاستهای مدونی برای رفتار امن افراد تهیه شده و آگاهیرسانی به آنها نیز بر اساس همین سیاستهای صورت گیرد. تنها در این صورت است که میتوان اطمینان داشت تلاشها ثمربخش هستند. نکتهای که در این خصوص حائز اهمیت است، پایبندی افراد به پیروی از سیاستها و دستورالعملها است. حتی اگر امنیت رایانهای را در دیگر بخشها بتوان با سامانههای کنترل دسترسی، دیوار آتش و از این دست ابزارها فراهم کرد، در حوزه مهندسی اجتماعی بدون پایبندی افراد و التزام آنها به سیاستهای امنیتی به هیچ عنوان امکانپذیر نیست.