இந்த சூழ்நிலையை கற்பனை செய்து பாருங்கள். குளிர் அக்டோபர் காலை, ரஷ்யாவின் பிராந்தியங்களில் ஒன்றின் பிராந்திய மையத்தில் வடிவமைப்பு நிறுவனம். மனிதவளத் துறையைச் சேர்ந்த ஒருவர், இன்ஸ்டிட்யூட்டின் இணையதளத்தில் உள்ள காலிப் பக்கங்களில் ஒன்றிற்குச் சென்று, இரண்டு நாட்களுக்கு முன்பு இடுகையிட்டார், அங்கு ஒரு பூனையின் புகைப்படத்தைப் பார்க்கிறார். காலை விரைவாக சலிப்பை நிறுத்துகிறது ...
இந்தக் கட்டுரையில், குரூப்-ஐபியின் தணிக்கை மற்றும் ஆலோசனைத் துறையின் தொழில்நுட்பத் தலைவரான பாவெல் சுப்ருன்யுக், நடைமுறை பாதுகாப்பை மதிப்பிடும் திட்டங்களில் சமூக தொழில்நுட்ப தாக்குதல்களின் இடம், அவை என்ன அசாதாரண வடிவங்களை எடுக்கலாம் மற்றும் அத்தகைய தாக்குதல்களுக்கு எதிராக எவ்வாறு பாதுகாப்பது என்பது பற்றி பேசுகிறார். கட்டுரை மதிப்பாய்வு இயல்புடையது என்று ஆசிரியர் தெளிவுபடுத்துகிறார், இருப்பினும், ஏதேனும் ஒரு அம்சம் வாசகர்களுக்கு ஆர்வமாக இருந்தால், குழு-IB நிபுணர்கள் கருத்துக்களில் உள்ள கேள்விகளுக்கு உடனடியாக பதிலளிப்பார்கள்.
பகுதி 1. ஏன் இவ்வளவு தீவிரம்?
எங்கள் பூனைக்கு திரும்புவோம். சிறிது நேரம் கழித்து, மனிதவளத் துறை புகைப்படத்தை நீக்குகிறது (இங்கேயும் கீழேயும் உள்ள ஸ்கிரீன் ஷாட்கள் உண்மையான பெயர்களை வெளிப்படுத்தாதபடி ஓரளவு மீட்டெடுக்கப்படுகின்றன), ஆனால் அது பிடிவாதமாகத் திரும்புகிறது, அது மீண்டும் நீக்கப்பட்டது, மேலும் இது பல முறை நடக்கும். பூனைக்கு மிகவும் தீவிரமான நோக்கங்கள் உள்ளன, அவர் வெளியேற விரும்பவில்லை என்பதை மனிதவளத் துறை புரிந்துகொள்கிறது, மேலும் அவர்கள் ஒரு வலை புரோகிராமரின் உதவிக்கு அழைக்கிறார்கள் - தளத்தை உருவாக்கி அதைப் புரிந்துகொண்டு இப்போது அதை நிர்வகிக்கும் நபர். புரோகிராமர் தளத்திற்குச் சென்று, எரிச்சலூட்டும் பூனையை மீண்டும் ஒருமுறை நீக்கி, அது மனிதவளத் துறையின் சார்பாகப் பதிவிடப்பட்டது என்பதைக் கண்டுபிடித்து, சில ஆன்லைன் போக்கிரிகளுக்கு HR துறையின் கடவுச்சொல் கசிந்துவிட்டது என்று அனுமானித்து, அதை மாற்றுகிறார். பூனை மீண்டும் தோன்றவில்லை.
உண்மையில் என்ன நடந்தது? இன்ஸ்டிட்யூட்டை உள்ளடக்கிய நிறுவனங்களின் குழுவைப் பொறுத்தவரை, குரூப்-ஐபி நிபுணர்கள் ரெட் டீமிங்கிற்கு நெருக்கமான வடிவத்தில் ஊடுருவல் சோதனையை நடத்தினர் (வேறுவிதமாகக் கூறினால், இது மிகவும் மேம்பட்ட முறைகள் மற்றும் கருவிகளைப் பயன்படுத்தி உங்கள் நிறுவனத்தின் மீதான இலக்கு தாக்குதல்களின் பிரதிபலிப்பாகும். ஹேக்கர் குழுக்களின் ஆயுதக் களஞ்சியம்). ரெட் டீமிங் பற்றி விரிவாகப் பேசினோம் . அத்தகைய சோதனையை நடத்தும் போது, சமூக பொறியியல் உட்பட, மிகவும் பரந்த அளவிலான முன் ஒப்புக்கொள்ளப்பட்ட தாக்குதல்களைப் பயன்படுத்தலாம் என்பதை அறிவது அவசியம். என்ன நடக்கிறது என்பதன் இறுதி இலக்கு பூனையை வைப்பது அல்ல என்பது தெளிவாகிறது. மற்றும் பின்வருபவை இருந்தன:
- இன்ஸ்டிட்யூட்டின் இணையதளம் இன்ஸ்டிட்யூட் நெட்வொர்க்கில் உள்ள சர்வரில் ஹோஸ்ட் செய்யப்பட்டது, மூன்றாம் தரப்பு சர்வர்களில் அல்ல;
- மனிதவளத் துறை கணக்கில் ஒரு கசிவு கண்டறியப்பட்டது (இமெயில் பதிவு கோப்பு தளத்தின் மூலத்தில் உள்ளது). இந்தக் கணக்கைக் கொண்டு தளத்தை நிர்வகிப்பது சாத்தியமற்றது, ஆனால் வேலைப் பக்கங்களைத் திருத்துவது சாத்தியம்;
- பக்கங்களை மாற்றுவதன் மூலம், உங்கள் ஸ்கிரிப்ட்களை ஜாவாஸ்கிரிப்ட்டில் வைக்கலாம். வழக்கமாக அவை பக்கங்களை ஊடாடச் செய்கின்றன, ஆனால் இந்த சூழ்நிலையில், அதே ஸ்கிரிப்டுகள் பார்வையாளரின் உலாவியில் இருந்து திருடலாம், இது மனிதவளத் துறையை புரோகிராமரிடமிருந்தும், புரோகிராமரை எளிய பார்வையாளரிடமிருந்தும் வேறுபடுத்துகிறது - தளத்தில் அமர்வு அடையாளங்காட்டி. பூனை ஒரு தாக்குதல் தூண்டுதலாகவும் கவனத்தை ஈர்க்கும் படமாகவும் இருந்தது. HTML இணையதள மார்க்அப் மொழியில், இது இப்படித் தெரிகிறது: உங்கள் படம் ஏற்றப்பட்டிருந்தால், JavaScript ஏற்கனவே செயல்படுத்தப்பட்டிருக்கும் மற்றும் உங்கள் உலாவி மற்றும் IP முகவரி பற்றிய தரவுகளுடன் உங்கள் அமர்வு ஐடி ஏற்கனவே திருடப்பட்டுள்ளது.
- திருடப்பட்ட நிர்வாகி அமர்வு ஐடி மூலம், தளத்திற்கான முழு அணுகலைப் பெறவும், PHP இல் இயங்கக்கூடிய பக்கங்களை ஹோஸ்ட் செய்யவும், எனவே சேவையக இயக்க முறைமைக்கான அணுகலைப் பெறவும், பின்னர் உள்ளூர் நெட்வொர்க்கை அணுகவும் முடியும், இது ஒரு முக்கியமான இடைநிலை இலக்காக இருந்தது. திட்டம்.
தாக்குதல் ஓரளவு வெற்றிகரமாக இருந்தது: நிர்வாகியின் அமர்வு ஐடி திருடப்பட்டது, ஆனால் அது ஐபி முகவரியுடன் இணைக்கப்பட்டது. எங்களால் இதைத் தவிர்க்க முடியவில்லை; எங்கள் தள சலுகைகளை நிர்வாகி சலுகைகளாக உயர்த்த முடியவில்லை, ஆனால் நாங்கள் எங்கள் மனநிலையை மேம்படுத்தினோம். நெட்வொர்க் சுற்றளவின் மற்றொரு பிரிவில் இறுதி முடிவு இறுதியில் பெறப்பட்டது.
பகுதி 2. நான் உங்களுக்கு எழுதுகிறேன் - வேறு என்ன? நான் உங்கள் அலுவலகத்தில் ஃபிளாஷ் டிரைவ்களை கைவிட்டு, அழைக்கிறேன்.
பூனையுடனான சூழ்நிலையில் என்ன நடந்தது என்பது சமூக பொறியியலுக்கு ஒரு எடுத்துக்காட்டு, மிகவும் கிளாசிக்கல் இல்லாவிட்டாலும். உண்மையில், இந்த கதையில் பல நிகழ்வுகள் இருந்தன: ஒரு பூனை, ஒரு நிறுவனம், மற்றும் ஒரு பணியாளர் துறை மற்றும் ஒரு புரோகிராமர் இருந்தது, ஆனால் "வேட்பாளர்கள்" என்று கூறப்படும் தெளிவுபடுத்தும் கேள்விகளைக் கொண்ட மின்னஞ்சல்களும் பணியாளர் துறைக்கு மற்றும் தனிப்பட்ட முறையில் எழுதப்பட்டன. தளப் பக்கத்திற்குச் செல்லும்படி அவர்களைத் தூண்டும் வகையில் புரோகிராமரிடம்.
கடிதங்களைப் பற்றி பேசுகிறது. சாதாரண மின்னஞ்சல், அநேகமாக சமூக பொறியியலை மேற்கொள்வதற்கான முக்கிய வாகனம், சில தசாப்தங்களாக அதன் பொருத்தத்தை இழக்கவில்லை மற்றும் சில நேரங்களில் மிகவும் அசாதாரணமான விளைவுகளுக்கு வழிவகுக்கிறது.
எங்கள் நிகழ்வுகளில் பின்வரும் கதையை நாங்கள் அடிக்கடி கூறுகிறோம், ஏனெனில் இது மிகவும் வெளிப்படுத்துகிறது.
பொதுவாக, சமூக பொறியியல் திட்டங்களின் முடிவுகளின் அடிப்படையில், நாங்கள் புள்ளிவிவரங்களைத் தொகுக்கிறோம், இது நமக்குத் தெரிந்தபடி, உலர்ந்த மற்றும் சலிப்பான விஷயம். பல சதவீத பெறுநர்கள் கடிதத்திலிருந்து இணைப்பைத் திறந்தனர், பலர் இணைப்பைப் பின்தொடர்ந்தனர், ஆனால் இந்த மூவரும் உண்மையில் தங்கள் பயனர்பெயர் மற்றும் கடவுச்சொல்லை உள்ளிட்டுள்ளனர். ஒரு திட்டத்தில், 100% க்கும் அதிகமான கடவுச்சொற்களை உள்ளிட்டோம் - அதாவது, நாங்கள் அனுப்பியதை விட அதிகமானவை வெளிவந்துள்ளன.
இது இப்படி நடந்தது: "அஞ்சல் சேவையில் மாற்றங்களை அவசரமாகச் சோதிக்க வேண்டும்" என்ற கோரிக்கையுடன், ஒரு மாநில கார்ப்பரேஷனின் CISO இலிருந்து ஒரு ஃபிஷிங் கடிதம் அனுப்பப்பட்டது. தொழில்நுட்ப ஆதரவைக் கையாளும் ஒரு பெரிய துறையின் தலைவரைக் கடிதம் சென்றடைந்தது. மேலாளர், உயர் அதிகாரிகளின் அறிவுறுத்தல்களை நிறைவேற்றுவதில் மிகவும் சிரத்தையுடன் இருந்தார் மற்றும் அனைத்து துணை அதிகாரிகளுக்கும் அனுப்பினார். அழைப்பு மையமே மிகப் பெரியதாக மாறியது. பொதுவாக, யாரோ ஒருவர் தங்கள் சக ஊழியர்களுக்கு "சுவாரஸ்யமான" ஃபிஷிங் மின்னஞ்சல்களை அனுப்பும் சூழ்நிலைகள் மிகவும் பொதுவான நிகழ்வாகும். எங்களைப் பொறுத்தவரை, இது ஒரு கடிதம் எழுதும் தரம் பற்றிய சிறந்த கருத்து.
சிறிது நேரம் கழித்து அவர்கள் எங்களைப் பற்றி கண்டுபிடித்தனர் (கடிதம் சமரசம் செய்யப்பட்ட அஞ்சல் பெட்டியில் எடுக்கப்பட்டது):
வாடிக்கையாளரின் அஞ்சல் அமைப்பில் உள்ள பல தொழில்நுட்பக் குறைபாடுகளைப் பயன்படுத்தி அஞ்சல் அனுப்பியதே தாக்குதலின் வெற்றிக்குக் காரணம். இணையத்தில் இருந்தும் கூட, அங்கீகாரம் இல்லாமல், அமைப்பின் எந்தவொரு அனுப்புநரின் சார்பாக எந்த கடிதத்தையும் அனுப்பக்கூடிய வகையில் இது கட்டமைக்கப்பட்டது. அதாவது, நீங்கள் ஒரு CISO, அல்லது தொழில்நுட்ப ஆதரவின் தலைவர் அல்லது வேறு யாரையாவது போல் நடிக்கலாம். மேலும், அஞ்சல் இடைமுகம், "அதன்" டொமைனில் இருந்து கடிதங்களைக் கவனித்து, முகவரி புத்தகத்திலிருந்து ஒரு புகைப்படத்தை கவனமாகச் செருகியது, இது அனுப்புநருக்கு இயல்பான தன்மையைச் சேர்த்தது.
உண்மையில், அத்தகைய தாக்குதல் ஒரு சிக்கலான தொழில்நுட்பம் அல்ல; இது அஞ்சல் அமைப்புகளில் உள்ள ஒரு அடிப்படைக் குறைபாட்டை வெற்றிகரமாகப் பயன்படுத்துவதாகும். இது சிறப்பு தகவல் தொழில்நுட்பம் மற்றும் தகவல் பாதுகாப்பு ஆதாரங்களில் தொடர்ந்து மதிப்பாய்வு செய்யப்படுகிறது, இருப்பினும், இவை அனைத்தையும் கொண்டிருக்கும் நிறுவனங்கள் இன்னும் உள்ளன. SMTP அஞ்சல் நெறிமுறையின் சேவைத் தலைப்புகளை யாரும் முழுமையாகச் சரிபார்க்க விரும்பாததால், அஞ்சல் இடைமுகத்தில் எச்சரிக்கை ஐகான்களைப் பயன்படுத்தி ஒரு கடிதம் பொதுவாக "ஆபத்து" க்காகச் சரிபார்க்கப்படுகிறது, இது எப்போதும் முழுப் படத்தையும் காட்டாது.
சுவாரஸ்யமாக, இதேபோன்ற பாதிப்பு மற்ற திசையிலும் செயல்படுகிறது: தாக்குபவர் உங்கள் நிறுவனத்தின் சார்பாக மூன்றாம் தரப்பு பெறுநருக்கு மின்னஞ்சல் அனுப்பலாம். எடுத்துக்காட்டாக, உங்கள் சார்பாக வழக்கமான கட்டணத்திற்கான விலைப்பட்டியலை அவர் பொய்யாக்க முடியும். மோசடி எதிர்ப்பு மற்றும் பணப் பட்டுவாடா சிக்கல்களைத் தவிர, சமூகப் பொறியியல் மூலம் பணத்தைத் திருடுவதற்கான எளிதான வழிகளில் இதுவும் ஒன்றாகும்.
ஃபிஷிங் மூலம் கடவுச்சொற்களைத் திருடுவதற்கு கூடுதலாக, ஒரு உன்னதமான சமூக தொழில்நுட்ப தாக்குதல் செயல்படுத்தக்கூடிய இணைப்புகளை அனுப்புகிறது. இந்த முதலீடுகள் அனைத்து பாதுகாப்பு நடவடிக்கைகளையும் முறியடித்தால், நவீன நிறுவனங்கள் பொதுவாக பலவற்றைக் கொண்டிருக்கின்றன, பாதிக்கப்பட்டவரின் கணினியில் தொலைநிலை அணுகல் சேனல் உருவாக்கப்படும். தாக்குதலின் விளைவுகளை நிரூபிக்க, குறிப்பாக முக்கியமான ரகசிய தகவல்களை அணுகும் வகையில் ரிமோட் கண்ட்ரோலை உருவாக்கலாம். அனைவரையும் பயமுறுத்துவதற்காக ஊடகங்கள் பயன்படுத்தும் பெரும்பாலான தாக்குதல்கள் இப்படித்தான் தொடங்குகின்றன என்பது குறிப்பிடத்தக்கது.
எங்கள் தணிக்கைத் துறையில், வேடிக்கைக்காக, தோராயமான புள்ளிவிவரங்களைக் கணக்கிடுகிறோம்: முக்கியமாக ஃபிஷிங் மற்றும் செயல்படுத்தக்கூடிய இணைப்புகளை அனுப்புவதன் மூலம், டொமைன் நிர்வாகி அணுகலைப் பெற்ற நிறுவனங்களின் சொத்துகளின் மொத்த மதிப்பு என்ன? இந்த ஆண்டு அது சுமார் 150 பில்லியன் யூரோக்களை எட்டியது.
ஆத்திரமூட்டும் மின்னஞ்சல்களை அனுப்புவதும், பூனைகளின் புகைப்படங்களை இணையதளங்களில் வெளியிடுவதும் மட்டும் சமூகப் பொறியியலின் முறைகள் அல்ல என்பது தெளிவாகிறது. இந்த எடுத்துக்காட்டுகளில், பல்வேறு வகையான தாக்குதல் வடிவங்களையும் அவற்றின் விளைவுகளையும் காட்ட முயற்சித்தோம். கடிதங்களுக்கு கூடுதலாக, சாத்தியமான தாக்குபவர் தேவையான தகவல்களைப் பெற அழைக்கலாம், இலக்கு நிறுவனத்தின் அலுவலகத்தில் இயங்கக்கூடிய கோப்புகளுடன் மீடியாவை (உதாரணமாக, ஃபிளாஷ் டிரைவ்கள்) சிதறடிக்கலாம், பயிற்சியாளராக வேலை பெறலாம், உள்ளூர் நெட்வொர்க்கில் உடல் அணுகலைப் பெறலாம். சிசிடிவி கேமரா நிறுவி என்ற போர்வையில். இவை அனைத்தும், எங்கள் வெற்றிகரமாக முடிக்கப்பட்ட திட்டங்களிலிருந்து எடுத்துக்காட்டுகள்.
பகுதி 3. கற்பித்தல் ஒளி, ஆனால் கற்காதது இருள்
ஒரு நியாயமான கேள்வி எழுகிறது: சரி, சரி, சமூக பொறியியல் உள்ளது, இது ஆபத்தானது, ஆனால் இதைப் பற்றி நிறுவனங்கள் என்ன செய்ய வேண்டும்? கேப்டன் வெளிப்படையான மீட்புக்கு வருகிறார்: நீங்கள் உங்களைப் பாதுகாத்துக் கொள்ள வேண்டும், மேலும் விரிவான முறையில். பாதுகாப்பின் சில பகுதி ஏற்கனவே உன்னதமான பாதுகாப்பு நடவடிக்கைகளை இலக்காகக் கொண்டது, அதாவது தொழில்நுட்ப வழிமுறைகள் தகவல் பாதுகாப்பு, கண்காணிப்பு, நிறுவன மற்றும் சட்டப்பூர்வ ஆதரவு செயல்முறைகள், ஆனால் முக்கிய பகுதி, எங்கள் கருத்துப்படி, ஊழியர்களுடன் நேரடியாக வேலை செய்ய வேண்டும். பலவீனமான இணைப்பு. எல்லாவற்றிற்கும் மேலாக, நீங்கள் தொழில்நுட்பத்தை எவ்வளவு வலுப்படுத்தினாலும் அல்லது கடுமையான விதிமுறைகளை எழுதினாலும், எல்லாவற்றையும் உடைக்க ஒரு புதிய வழியைக் கண்டுபிடிக்கும் ஒரு பயனர் எப்போதும் இருப்பார். மேலும், விதிமுறைகளோ அல்லது தொழில்நுட்பமோ பயனரின் படைப்பாற்றலின் பறப்போடு தொடராது, குறிப்பாக அவர் ஒரு தகுதிவாய்ந்த தாக்குதலால் தூண்டப்பட்டால்.
முதலாவதாக, பயனரைப் பயிற்றுவிப்பது முக்கியம்: அவரது வழக்கமான வேலைகளில் கூட, சமூக பொறியியல் தொடர்பான சூழ்நிலைகள் எழக்கூடும் என்பதை விளக்குங்கள். எங்கள் வாடிக்கையாளர்களுக்காக நாங்கள் அடிக்கடி நடத்துகிறோம் டிஜிட்டல் சுகாதாரம் - பொதுவாக தாக்குதல்களை எதிர்கொள்வதற்கான அடிப்படை திறன்களை கற்பிக்கும் நிகழ்வு.
சிறந்த பாதுகாப்பு நடவடிக்கைகளில் ஒன்று தகவல் பாதுகாப்பு விதிகளை மனப்பாடம் செய்வது அல்ல, ஆனால் நிலைமையை சற்று பிரிக்கப்பட்ட முறையில் மதிப்பிடுவது என்று நான் சேர்க்கலாம்:
- என் உரையாசிரியர் யார்?
- அவரது முன்மொழிவு அல்லது கோரிக்கை எங்கிருந்து வந்தது (இது இதற்கு முன்பு நடந்ததில்லை, இப்போது அது தோன்றியது)?
- இந்தக் கோரிக்கையில் அசாதாரணமானது என்ன?
ஒரு வழக்கத்திற்கு மாறான எழுத்து எழுத்துரு அல்லது அனுப்புநருக்கு வழக்கத்திற்கு மாறான பேச்சு பாணி கூட தாக்குதலை நிறுத்தும் சந்தேகத்தின் சங்கிலியை அமைக்கலாம். பரிந்துரைக்கப்பட்ட வழிமுறைகளும் தேவை, ஆனால் அவை வித்தியாசமாக வேலை செய்கின்றன மற்றும் சாத்தியமான எல்லா சூழ்நிலைகளையும் குறிப்பிட முடியாது. எடுத்துக்காட்டாக, மூன்றாம் தரப்பு ஆதாரங்களில் உங்கள் கடவுச்சொல்லை உள்ளிட முடியாது என்று தகவல் பாதுகாப்பு நிர்வாகிகள் அவற்றில் எழுதுகிறார்கள். "உங்கள்", "கார்ப்பரேட்" நெட்வொர்க் ஆதாரம் கடவுச்சொல்லைக் கேட்டால் என்ன செய்வது? பயனர் நினைக்கிறார்: "எங்கள் நிறுவனத்தில் ஏற்கனவே ஒரே கணக்கில் இரண்டு டஜன் சேவைகள் உள்ளன, ஏன் மற்றொன்று இல்லை?" இது மற்றொரு விதிக்கு இட்டுச் செல்கிறது: நன்கு கட்டமைக்கப்பட்ட பணிச் செயல்முறை பாதுகாப்பையும் நேரடியாகப் பாதிக்கிறது: அண்டைத் துறை உங்களிடமிருந்து எழுத்துப்பூர்வமாகவும் உங்கள் மேலாளர் மூலமாகவும் மட்டுமே தகவல்களைக் கோர முடியும் என்றால், "நிறுவனத்தின் நம்பகமான கூட்டாளரிடமிருந்து" ஒரு நபர் நிச்சயமாக இருக்க மாட்டார். தொலைபேசி மூலம் அதைக் கோர முடியும் - இது உங்களுக்கு முட்டாள்தனமாக இருக்கும். உங்கள் உரையாசிரியர் எல்லாவற்றையும் இப்போதே செய்யுமாறு கோரினால் அல்லது "விரைவாக" எழுதுவது நாகரீகமாக இருந்தால் நீங்கள் குறிப்பாக எச்சரிக்கையாக இருக்க வேண்டும். சாதாரண வேலையில் கூட, இந்த நிலைமை பெரும்பாலும் ஆரோக்கியமாக இல்லை, மேலும் சாத்தியமான தாக்குதல்களின் முகத்தில், இது ஒரு வலுவான தூண்டுதலாகும். விளக்க நேரம் இல்லை, எனது கோப்பை இயக்கவும்!
விளம்பரங்கள், விருப்பத்தேர்வுகள், பரிசுகள், அத்துடன் உள்ளூர் கிசுகிசுக்கள் மற்றும் சூழ்ச்சிகள் என்று கூறப்படும் தகவல்களின் வாக்குறுதிகள்: பணம் தொடர்பான தலைப்புகளால் பயனர்கள் எப்போதும் சமூக தொழில்நுட்பத் தாக்குதலுக்கு இலக்காகக் கொண்டிருப்பதை நாங்கள் கவனிக்கிறோம். வேறு வார்த்தைகளில் கூறுவதானால், சாதாரணமான "கொடிய பாவங்கள்" வேலை செய்கின்றன: இலாபத்திற்கான தாகம், பேராசை மற்றும் அதிகப்படியான ஆர்வம்.
நல்ல பயிற்சி எப்போதும் பயிற்சியை உள்ளடக்கியதாக இருக்க வேண்டும். இங்குதான் ஊடுருவல் சோதனை நிபுணர்கள் மீட்புக்கு வர முடியும். அடுத்த கேள்வி: எதை, எப்படிச் சோதிப்போம்? குழு-IB இல் உள்ள நாங்கள் பின்வரும் அணுகுமுறையை முன்மொழிகிறோம்: உடனடியாக சோதனையின் மையத்தைத் தேர்ந்தெடுக்கவும்: பயனர்கள் மட்டுமே தாக்குதலுக்கான தயார்நிலையை மதிப்பிடுங்கள் அல்லது ஒட்டுமொத்த நிறுவனத்தின் பாதுகாப்பையும் சரிபார்க்கவும். மற்றும் சோஷியல் இன்ஜினியரிங் முறைகளைப் பயன்படுத்தி, உண்மையான தாக்குதல்களை உருவகப்படுத்துதல் - அதாவது, அதே ஃபிஷிங், இயங்கக்கூடிய ஆவணங்கள், அழைப்புகள் மற்றும் பிற நுட்பங்களை அனுப்புதல்.
முதல் வழக்கில், தாக்குதல் வாடிக்கையாளரின் பிரதிநிதிகளுடன், முக்கியமாக அதன் தகவல் தொழில்நுட்பம் மற்றும் தகவல் பாதுகாப்பு நிபுணர்களுடன் கவனமாக தயாரிக்கப்படுகிறது. புராணக்கதைகள், கருவிகள் மற்றும் தாக்குதல் நுட்பங்கள் சீரானவை. வாடிக்கையாளரே ஃபோகஸ் குழுக்கள் மற்றும் தாக்குதலுக்கான பயனர்களின் பட்டியல்களை வழங்குகிறார், அதில் தேவையான அனைத்து தொடர்புகளும் அடங்கும். பாதுகாப்பு நடவடிக்கைகளில் விதிவிலக்குகள் உருவாக்கப்படுகின்றன, ஏனெனில் செய்திகள் மற்றும் இயங்கக்கூடிய சுமைகள் பெறுநரை சென்றடைய வேண்டும், ஏனெனில் அத்தகைய திட்டத்தில் மக்களின் எதிர்வினைகள் மட்டுமே ஆர்வமாக இருக்கும். விருப்பமாக, நீங்கள் தாக்குதலில் குறிப்பான்களைச் சேர்க்கலாம், இதன் மூலம் இது ஒரு தாக்குதல் என்று பயனர் யூகிக்க முடியும் - எடுத்துக்காட்டாக, நீங்கள் செய்திகளில் இரண்டு எழுத்துப் பிழைகளைச் செய்யலாம் அல்லது கார்ப்பரேட் பாணியை நகலெடுப்பதில் தவறுகளை விடலாம். திட்டத்தின் முடிவில், அதே "உலர்ந்த புள்ளிவிவரங்கள்" பெறப்படுகின்றன: எந்த கவனம் குழுக்கள் காட்சிகளுக்கு பதிலளித்தன மற்றும் எந்த அளவிற்கு.
இரண்டாவது வழக்கில், தாக்குதல் "கருப்பு பெட்டி" முறையைப் பயன்படுத்தி பூஜ்ஜிய ஆரம்ப அறிவுடன் மேற்கொள்ளப்படுகிறது. நிறுவனம், அதன் ஊழியர்கள், நெட்வொர்க் சுற்றளவு பற்றிய தகவல்களை நாங்கள் சுயாதீனமாக சேகரிக்கிறோம், தாக்குதல் புனைவுகளை உருவாக்குகிறோம், முறைகளைத் தேர்ந்தெடுக்கிறோம், இலக்கு நிறுவனத்தில் பயன்படுத்தப்படும் சாத்தியமான பாதுகாப்பு நடவடிக்கைகளைப் பார்க்கிறோம், கருவிகளை மாற்றியமைக்கிறோம் மற்றும் காட்சிகளை உருவாக்குகிறோம். எங்கள் வல்லுநர்கள் கிளாசிக் ஓப்பன் சோர்ஸ் நுண்ணறிவு (OSINT) முறைகள் மற்றும் குரூப்-ஐபியின் சொந்த தயாரிப்பு - த்ரெட் இன்டெலிஜென்ஸ் ஆகிய இரண்டையும் பயன்படுத்துகின்றனர், இது ஃபிஷிங்கிற்குத் தயாராகும் போது, வகைப்படுத்தப்பட்ட தகவல்கள் உட்பட, நீண்ட காலத்திற்கு ஒரு நிறுவனத்தைப் பற்றிய தகவல்களைத் திரட்டும் அமைப்பாகும். நிச்சயமாக, தாக்குதல் ஒரு விரும்பத்தகாத ஆச்சரியமாக மாறாமல் இருக்க, அதன் விவரங்களும் வாடிக்கையாளருடன் ஒப்புக் கொள்ளப்படுகின்றன. இது ஒரு முழு அளவிலான ஊடுருவல் சோதனையாக மாறும், ஆனால் இது மேம்பட்ட சமூக பொறியியலை அடிப்படையாகக் கொண்டது. இந்த வழக்கில் தர்க்கரீதியான விருப்பம், உள் அமைப்புகளில் மிக உயர்ந்த உரிமைகளைப் பெறுவது வரை, பிணையத்திற்குள் ஒரு தாக்குதலை உருவாக்குவதாகும். மூலம், இதே வழியில் நாம் சமூக தொழில்நுட்ப தாக்குதல்களைப் பயன்படுத்துகிறோம் , மற்றும் சில ஊடுருவல் சோதனைகளில். இதன் விளைவாக, வாடிக்கையாளர் ஒரு குறிப்பிட்ட வகை சமூக தொழில்நுட்ப தாக்குதல்களுக்கு எதிராக அவர்களின் பாதுகாப்பைப் பற்றிய ஒரு சுயாதீனமான விரிவான பார்வையைப் பெறுவார், அத்துடன் வெளிப்புற அச்சுறுத்தல்களுக்கு எதிராக கட்டமைக்கப்பட்ட தற்காப்புக் கோட்டின் செயல்திறனை (அல்லது, மாறாக, பயனற்ற தன்மை) நிரூபிப்பார்.
இந்த பயிற்சியை வருடத்திற்கு இரண்டு முறையாவது நடத்த பரிந்துரைக்கிறோம். முதலாவதாக, எந்தவொரு நிறுவனத்திலும் ஊழியர்களின் வருவாய் உள்ளது மற்றும் முந்தைய அனுபவம் படிப்படியாக ஊழியர்களால் மறக்கப்படுகிறது. இரண்டாவதாக, தாக்குதல்களின் முறைகள் மற்றும் நுட்பங்கள் தொடர்ந்து மாறிக்கொண்டே இருக்கின்றன, இது பாதுகாப்பு செயல்முறைகள் மற்றும் பாதுகாப்பு கருவிகளை மாற்றியமைக்க வேண்டிய அவசியத்திற்கு வழிவகுக்கிறது.
தாக்குதல்களிலிருந்து பாதுகாப்பதற்கான தொழில்நுட்ப நடவடிக்கைகள் பற்றி நாம் பேசினால், பின்வருபவை மிகவும் உதவுகின்றன:
- இணையத்தில் வெளியிடப்பட்ட சேவைகளில் கட்டாய இரண்டு காரணி அங்கீகாரம் இருப்பது. சிங்கிள் சைன் ஆன் சிஸ்டம் இல்லாமல், பாஸ்வேர்டு ப்ரூட் ஃபோர்ஸிலிருந்து பாதுகாப்பு இல்லாமல், பல நூறு பேர் கொண்ட நிறுவனத்தில் இரண்டு காரணி அங்கீகாரம் இல்லாமல் 2019ல் இதுபோன்ற சேவைகளை வெளியிடுவது, "என்னை உடைக்க" என்ற திறந்த அழைப்புக்கு சமம். சரியாக செயல்படுத்தப்பட்ட பாதுகாப்பு திருடப்பட்ட கடவுச்சொற்களை விரைவாகப் பயன்படுத்துவதை சாத்தியமற்றதாக்கும் மற்றும் ஃபிஷிங் தாக்குதலின் விளைவுகளை அகற்றுவதற்கு நேரம் கொடுக்கும்.
- அணுகல் கட்டுப்பாட்டைக் கட்டுப்படுத்துதல், கணினிகளில் பயனர் உரிமைகளைக் குறைத்தல் மற்றும் ஒவ்வொரு பெரிய உற்பத்தியாளரால் வெளியிடப்படும் பாதுகாப்பான தயாரிப்பு உள்ளமைவுக்கான வழிகாட்டுதல்களைப் பின்பற்றுதல். இவை பெரும்பாலும் இயற்கையில் எளிமையானவை, ஆனால் மிகவும் பயனுள்ள மற்றும் கடினமான நடவடிக்கைகளை செயல்படுத்துகின்றன, ஒவ்வொருவரும் ஒரு பட்டம் அல்லது இன்னொருவர், வேகத்திற்காக புறக்கணிக்கிறார்கள். மேலும் சில மிகவும் அவசியமானவை, அவை இல்லாமல் எந்த பாதுகாப்பு வழிமுறைகளும் சேமிக்கப்படாது.
- நன்கு கட்டமைக்கப்பட்ட மின்னஞ்சல் வடிகட்டுதல் வரி. ஆண்டிஸ்பேம், சாண்ட்பாக்ஸ்கள் மூலம் டைனமிக் சோதனை உட்பட தீங்கிழைக்கும் குறியீட்டிற்கான இணைப்புகளின் மொத்த ஸ்கேனிங். நன்கு தயாரிக்கப்பட்ட தாக்குதலானது, வைரஸ் தடுப்பு கருவிகளால் இயங்கக்கூடிய இணைப்பு கண்டறியப்படாது என்பதாகும். சாண்ட்பாக்ஸ், மாறாக, ஒரு நபர் அவற்றைப் பயன்படுத்துவதைப் போலவே கோப்புகளைப் பயன்படுத்தி எல்லாவற்றையும் தனக்குத்தானே சோதிக்கும். இதன் விளைவாக, சாண்ட்பாக்ஸில் செய்யப்பட்ட மாற்றங்களால் சாத்தியமான தீங்கிழைக்கும் கூறு வெளிப்படும்.
- இலக்கு தாக்குதல்களுக்கு எதிரான பாதுகாப்பு வழிமுறைகள். ஏற்கனவே குறிப்பிட்டுள்ளபடி, கிளாசிக் வைரஸ் தடுப்பு கருவிகள் நன்கு தயாரிக்கப்பட்ட தாக்குதலின் போது தீங்கிழைக்கும் கோப்புகளைக் கண்டறியாது. மிகவும் மேம்பட்ட தயாரிப்புகள் நெட்வொர்க்கில் நிகழும் நிகழ்வுகளின் மொத்தத்தை தானாகவே கண்காணிக்க வேண்டும் - ஒரு தனிப்பட்ட ஹோஸ்ட்டின் மட்டத்திலும், நெட்வொர்க்கில் உள்ள போக்குவரத்து மட்டத்திலும். தாக்குதல்களின் போது, நிகழ்வுகளின் மிகவும் சிறப்பியல்பு சங்கிலிகள் தோன்றும், இந்த வகையான நிகழ்வுகளை நீங்கள் கண்காணித்திருந்தால் அவற்றைக் கண்காணிக்கலாம் மற்றும் நிறுத்தலாம்.
அசல் கட்டுரை "தகவல் பாதுகாப்பு/ தகவல் பாதுகாப்பு" #6, 2019 இதழில்.
ஆதாரம்: www.habr.com