మీకు వీలైతే నన్ను మోసం చేయండి: సోషియోటెక్నికల్ పెంటెస్ట్ నిర్వహించే లక్షణాలు
ఈ పరిస్థితిని ఊహించుకోండి. కోల్డ్ అక్టోబర్ ఉదయం, రష్యాలోని ఒక ప్రాంతంలోని ప్రాంతీయ కేంద్రంలో డిజైన్ ఇన్స్టిట్యూట్. HR డిపార్ట్మెంట్ నుండి ఒకరు ఇన్స్టిట్యూట్ వెబ్సైట్లోని ఖాళీ పేజీలలో ఒకదానికి వెళ్లి, రెండు రోజుల క్రితం పోస్ట్ చేసారు మరియు అక్కడ పిల్లి ఫోటోను చూశారు. ఉదయం త్వరగా విసుగు చెందడం మానేస్తుంది...
ఈ వ్యాసంలో, గ్రూప్-ఐబిలోని ఆడిట్ మరియు కన్సల్టింగ్ విభాగం యొక్క సాంకేతిక అధిపతి పావెల్ సుప్రన్యుక్, ఆచరణాత్మక భద్రతను అంచనా వేసే ప్రాజెక్ట్లలో సామాజిక సాంకేతిక దాడుల స్థలం, అవి ఎలాంటి అసాధారణ రూపాలను తీసుకోవచ్చు మరియు అటువంటి దాడుల నుండి ఎలా రక్షించాలి అనే దాని గురించి మాట్లాడుతున్నారు. వ్యాసం సమీక్ష స్వభావం కలిగి ఉందని రచయిత స్పష్టం చేశారు, అయితే, ఏదైనా అంశం పాఠకులకు ఆసక్తిని కలిగిస్తే, గ్రూప్-IB నిపుణులు వ్యాఖ్యలలోని ప్రశ్నలకు తక్షణమే సమాధానం ఇస్తారు.
పార్ట్ 1. ఎందుకు అంత తీవ్రమైనది?
మన పిల్లికి తిరిగి వద్దాం. కొంత సమయం తరువాత, HR విభాగం ఫోటోను తొలగిస్తుంది (ఇక్కడ మరియు దిగువన ఉన్న స్క్రీన్షాట్లు అసలు పేర్లను బహిర్గతం చేయకుండా పాక్షికంగా రీటచ్ చేయబడతాయి), కానీ అది మొండిగా తిరిగి వస్తుంది, అది మళ్లీ తొలగించబడుతుంది మరియు ఇది చాలాసార్లు జరుగుతుంది. పిల్లి చాలా తీవ్రమైన ఉద్దేశాలను కలిగి ఉందని, అతను వదిలివేయడం ఇష్టం లేదని HR విభాగం అర్థం చేసుకుంది మరియు వారు వెబ్ ప్రోగ్రామర్ నుండి సహాయం కోసం కాల్ చేస్తారు - సైట్ను సృష్టించి, దానిని అర్థం చేసుకున్న వ్యక్తి మరియు ఇప్పుడు దానిని నిర్వహిస్తున్నారు. ప్రోగ్రామర్ సైట్కి వెళ్లి, చికాకు కలిగించే పిల్లిని మరోసారి తొలగించి, అది హెచ్ఆర్ డిపార్ట్మెంట్ తరపునే పోస్ట్ చేయబడిందని తెలుసుకుని, హెచ్ఆర్ డిపార్ట్మెంట్ పాస్వర్డ్ కొంతమంది ఆన్లైన్ పోకిరీలకు లీక్ అయిందని భావించి, దానిని మారుస్తాడు. పిల్లి మళ్లీ కనిపించదు.
అసలు ఏం జరిగింది? ఇన్స్టిట్యూట్ను కలిగి ఉన్న కంపెనీల సమూహానికి సంబంధించి, గ్రూప్-IB నిపుణులు రెడ్ టీమింగ్కు దగ్గరగా ఉన్న ఫార్మాట్లో చొచ్చుకుపోయే పరీక్షను నిర్వహించారు (మరో మాటలో చెప్పాలంటే, ఇది అత్యంత అధునాతన పద్ధతులు మరియు సాధనాలను ఉపయోగించి మీ కంపెనీపై లక్ష్యంగా చేసుకున్న దాడుల అనుకరణ. హ్యాకర్ సమూహాల ఆర్సెనల్). మేము రెడ్ టీమింగ్ గురించి వివరంగా మాట్లాడాము ఇక్కడ. అటువంటి పరీక్షను నిర్వహిస్తున్నప్పుడు, సోషల్ ఇంజనీరింగ్తో సహా చాలా విస్తృతమైన ముందస్తుగా అంగీకరించిన దాడులను ఉపయోగించవచ్చని తెలుసుకోవడం ముఖ్యం. ఏమి జరుగుతుందో దాని అంతిమ లక్ష్యం పిల్లిని ఉంచడం కాదని స్పష్టమైంది. మరియు ఈ క్రిందివి ఉన్నాయి:
ఇన్స్టిట్యూట్ యొక్క వెబ్సైట్ ఇన్స్టిట్యూట్ నెట్వర్క్లోని సర్వర్లో హోస్ట్ చేయబడింది మరియు థర్డ్-పార్టీ సర్వర్లలో కాదు;
HR డిపార్ట్మెంట్ ఖాతాలో లీక్ కనుగొనబడింది (ఇమెయిల్ లాగ్ ఫైల్ సైట్ యొక్క మూలంలో ఉంది). ఈ ఖాతాతో సైట్ను నిర్వహించడం అసాధ్యం, కానీ ఉద్యోగ పేజీలను సవరించడం సాధ్యమైంది;
పేజీలను మార్చడం ద్వారా, మీరు మీ స్క్రిప్ట్లను జావాస్క్రిప్ట్లో ఉంచవచ్చు. సాధారణంగా అవి పేజీలను ఇంటరాక్టివ్గా చేస్తాయి, కానీ ఈ పరిస్థితిలో, అదే స్క్రిప్ట్లు సందర్శకుల బ్రౌజర్ నుండి ప్రోగ్రామర్ నుండి HR విభాగాన్ని మరియు సాధారణ సందర్శకుడి నుండి ప్రోగ్రామర్ నుండి వేరు చేయగలవు - సైట్లోని సెషన్ ఐడెంటిఫైయర్. పిల్లి దాడి ట్రిగ్గర్ మరియు దృష్టిని ఆకర్షించే చిత్రం. HTML వెబ్సైట్ మార్కప్ భాషలో, ఇది ఇలా ఉంది: మీ చిత్రం లోడ్ చేయబడి ఉంటే, JavaScript ఇప్పటికే అమలు చేయబడింది మరియు మీ సెషన్ ID, మీ బ్రౌజర్ మరియు IP చిరునామాకు సంబంధించిన డేటాతో పాటు ఇప్పటికే దొంగిలించబడింది.
దొంగిలించబడిన అడ్మినిస్ట్రేటర్ సెషన్ IDతో, సైట్కు పూర్తి ప్రాప్యతను పొందడం, PHPలో ఎక్జిక్యూటబుల్ పేజీలను హోస్ట్ చేయడం మరియు సర్వర్ ఆపరేటింగ్ సిస్టమ్కు ప్రాప్యతను పొందడం మరియు ఆపై స్థానిక నెట్వర్క్కు ప్రాప్యత పొందడం సాధ్యమవుతుంది, ఇది ముఖ్యమైన ఇంటర్మీడియట్ లక్ష్యం ప్రాజెక్ట్.
దాడి పాక్షికంగా విజయవంతమైంది: అడ్మినిస్ట్రేటర్ సెషన్ ID దొంగిలించబడింది, కానీ అది IP చిరునామాతో ముడిపడి ఉంది. మేము దీన్ని అధిగమించలేకపోయాము; మేము మా సైట్ అధికారాలను నిర్వాహక అధికారాలకు పెంచలేకపోయాము, కానీ మేము మా మానసిక స్థితిని మెరుగుపరుచుకున్నాము. నెట్వర్క్ చుట్టుకొలతలోని మరొక విభాగంలో తుది ఫలితం చివరికి పొందబడింది.
పార్ట్ 2. నేను మీకు వ్రాస్తున్నాను - ఇంకా ఏమిటి? నేను కూడా కాల్ చేసి మీ ఆఫీసులో తిరుగుతున్నాను, ఫ్లాష్ డ్రైవ్లను వదులుతాను.
పిల్లితో పరిస్థితిలో ఏమి జరిగింది అనేది సామాజిక ఇంజనీరింగ్కు ఉదాహరణ, అయినప్పటికీ చాలా క్లాసికల్ కాదు. వాస్తవానికి, ఈ కథలో మరిన్ని సంఘటనలు ఉన్నాయి: ఒక పిల్లి, ఒక ఇన్స్టిట్యూట్, మరియు ఒక పర్సనల్ డిపార్ట్మెంట్ మరియు ప్రోగ్రామర్ ఉన్నారు, అయితే “అభ్యర్థులు” సిబ్బంది విభాగానికి స్వయంగా మరియు వ్యక్తిగతంగా వ్రాసిన ప్రశ్నలను స్పష్టం చేసే ఇమెయిల్లు కూడా ఉన్నాయి. సైట్ పేజీకి వెళ్లమని వారిని రెచ్చగొట్టడానికి ప్రోగ్రామర్కు.
అక్షరాల గురించి మాట్లాడుతూ. సాధారణ ఇమెయిల్, బహుశా సోషల్ ఇంజనీరింగ్ని నిర్వహించడానికి ప్రధాన వాహనం, కొన్ని దశాబ్దాలుగా దాని ఔచిత్యాన్ని కోల్పోలేదు మరియు కొన్నిసార్లు అసాధారణ పరిణామాలకు దారి తీస్తుంది.
మా ఈవెంట్లలో మేము ఈ క్రింది కథనాన్ని తరచుగా చెబుతాము, ఎందుకంటే ఇది చాలా బహిర్గతం అవుతుంది.
సాధారణంగా, సోషల్ ఇంజనీరింగ్ ప్రాజెక్ట్ల ఫలితాల ఆధారంగా, మేము గణాంకాలను సంకలనం చేస్తాము, ఇది మనకు తెలిసినట్లుగా, పొడి మరియు బోరింగ్ విషయం. చాలా శాతం గ్రహీతలు లేఖ నుండి అటాచ్మెంట్ను తెరిచారు, చాలా మంది లింక్ను అనుసరించారు, అయితే ఈ ముగ్గురు వాస్తవానికి వారి వినియోగదారు పేరు మరియు పాస్వర్డ్ను నమోదు చేశారు. ఒక ప్రాజెక్ట్లో, మేము నమోదు చేసిన 100% కంటే ఎక్కువ పాస్వర్డ్లను అందుకున్నాము - అంటే, మేము పంపిన దానికంటే ఎక్కువ వచ్చాయి.
ఇది ఇలా జరిగింది: "మెయిల్ సర్వీస్లో మార్పులను అత్యవసరంగా పరీక్షించాలనే" డిమాండ్తో రాష్ట్ర కార్పొరేషన్ యొక్క CISO నుండి ఒక ఫిషింగ్ లేఖ పంపబడింది. సాంకేతిక మద్దతుతో వ్యవహరించే పెద్ద విభాగం అధిపతికి లేఖ చేరింది. ఉన్నతాధికారుల నుంచి వచ్చిన సూచనలను మేనేజరు చాలా శ్రద్ధగా పాటించి కింది అధికారులందరికీ పంపించారు. కాల్ సెంటర్ చాలా పెద్దదిగా మారింది. సాధారణంగా, ఎవరైనా తమ సహోద్యోగులకు "ఆసక్తికరమైన" ఫిషింగ్ ఇమెయిల్లను ఫార్వార్డ్ చేయడం మరియు వారు కూడా చిక్కుకోవడం చాలా సాధారణమైన సంఘటన. మాకు, లేఖ రాయడం యొక్క నాణ్యతపై ఇది ఉత్తమ అభిప్రాయం.
కొద్దిసేపటి తర్వాత వారు మా గురించి తెలుసుకున్నారు (లేఖ రాజీపడిన మెయిల్బాక్స్లో తీయబడింది):
క్లయింట్ యొక్క మెయిల్ సిస్టమ్లోని అనేక సాంకేతిక లోపాలను మెయిలింగ్ ఉపయోగించుకోవడం వల్ల దాడి విజయవంతమైంది. ఇది ఇంటర్నెట్ నుండి కూడా అనుమతి లేకుండా సంస్థ యొక్క ఏ పంపినవారి తరపున ఏదైనా లేఖలను పంపడం సాధ్యమయ్యే విధంగా కాన్ఫిగర్ చేయబడింది. అంటే, మీరు CISO, లేదా సాంకేతిక మద్దతు అధిపతి లేదా మరొకరిలా నటించవచ్చు. అంతేకాకుండా, మెయిల్ ఇంటర్ఫేస్, "దాని" డొమైన్ నుండి అక్షరాలను గమనిస్తూ, చిరునామా పుస్తకం నుండి జాగ్రత్తగా ఫోటోను చొప్పించింది, ఇది పంపినవారికి సహజత్వాన్ని జోడించింది.
వాస్తవానికి, అటువంటి దాడి అనేది ప్రత్యేకంగా సంక్లిష్టమైన సాంకేతికత కాదు; ఇది మెయిల్ సెట్టింగ్లలో చాలా ప్రాథమిక లోపాన్ని విజయవంతంగా ఉపయోగించుకుంటుంది. ఇది ప్రత్యేకమైన IT మరియు సమాచార భద్రతా వనరులపై క్రమం తప్పకుండా సమీక్షించబడుతుంది, అయినప్పటికీ, ఇవన్నీ కలిగి ఉన్న కంపెనీలు ఇప్పటికీ ఉన్నాయి. SMTP మెయిల్ ప్రోటోకాల్ యొక్క సేవా శీర్షికలను క్షుణ్ణంగా తనిఖీ చేయడానికి ఎవరూ ఇష్టపడరు కాబట్టి, మెయిల్ ఇంటర్ఫేస్లోని హెచ్చరిక చిహ్నాలను ఉపయోగించి ఒక లేఖ సాధారణంగా “ప్రమాదం” కోసం తనిఖీ చేయబడుతుంది, ఇది ఎల్లప్పుడూ మొత్తం చిత్రాన్ని ప్రదర్శించదు.
ఆసక్తికరంగా, ఇదే విధమైన దుర్బలత్వం ఇతర దిశలో కూడా పని చేస్తుంది: దాడి చేసే వ్యక్తి మీ కంపెనీ తరపున మూడవ పక్షం గ్రహీతకు ఇమెయిల్ పంపవచ్చు. ఉదాహరణకు, అతను మీ తరపున సాధారణ చెల్లింపు కోసం ఇన్వాయిస్ను తప్పుదారి పట్టించవచ్చు, మీది కాకుండా ఇతర వివరాలను సూచిస్తుంది. యాంటీ-ఫ్రాడ్ మరియు క్యాష్-అవుట్ సమస్యలతో పాటు, సోషల్ ఇంజనీరింగ్ ద్వారా డబ్బును దొంగిలించడానికి ఇది చాలా సులభమైన మార్గాలలో ఒకటి.
ఫిషింగ్ ద్వారా పాస్వర్డ్లను దొంగిలించడంతో పాటు, క్లాసిక్ సోషియోటెక్నికల్ దాడి ఎక్జిక్యూటబుల్ జోడింపులను పంపుతోంది. ఈ పెట్టుబడులు అన్ని భద్రతా చర్యలను అధిగమించినట్లయితే, వీటిలో ఆధునిక కంపెనీలు సాధారణంగా చాలా ఉన్నాయి, బాధితుడి కంప్యూటర్కు రిమోట్ యాక్సెస్ ఛానెల్ సృష్టించబడుతుంది. దాడి యొక్క పరిణామాలను ప్రదర్శించడానికి, ఫలితంగా రిమోట్ కంట్రోల్ ముఖ్యంగా ముఖ్యమైన రహస్య సమాచారాన్ని యాక్సెస్ చేయడానికి అభివృద్ధి చేయవచ్చు. మీడియా ప్రతి ఒక్కరినీ భయపెట్టేందుకు ఉపయోగించే దాడుల్లో అత్యధిక భాగం సరిగ్గా ఇలాగే ప్రారంభం కావడం గమనార్హం.
మా ఆడిట్ విభాగంలో, వినోదం కోసం, మేము ఉజ్జాయింపు గణాంకాలను గణిస్తాము: ప్రధానంగా ఫిషింగ్ మరియు ఎక్జిక్యూటబుల్ జోడింపులను పంపడం ద్వారా డొమైన్ అడ్మినిస్ట్రేటర్ యాక్సెస్ని పొందిన కంపెనీల ఆస్తుల మొత్తం విలువ ఎంత? ఈ ఏడాది అది దాదాపు 150 బిలియన్ యూరోలకు చేరుకుంది.
రెచ్చగొట్టే ఇమెయిల్లు పంపడం మరియు వెబ్సైట్లలో పిల్లుల ఫోటోలను పోస్ట్ చేయడం సోషల్ ఇంజనీరింగ్ పద్ధతులు మాత్రమే కాదని స్పష్టమైంది. ఈ ఉదాహరణలలో మేము వివిధ రకాల దాడి రూపాలను మరియు వాటి పర్యవసానాలను చూపించడానికి ప్రయత్నించాము. అక్షరాలతో పాటు, సంభావ్య దాడి చేసే వ్యక్తి అవసరమైన సమాచారాన్ని పొందడానికి కాల్ చేయవచ్చు, లక్ష్య సంస్థ కార్యాలయంలో ఎక్జిక్యూటబుల్ ఫైల్లతో మీడియాను (ఉదాహరణకు, ఫ్లాష్ డ్రైవ్లు) స్కాటర్ చేయవచ్చు, ఇంటర్న్గా ఉద్యోగం పొందండి, స్థానిక నెట్వర్క్కు భౌతిక ప్రాప్యతను పొందవచ్చు. CCTV కెమెరా ఇన్స్టాలర్ ముసుగులో. ఇవన్నీ, మా విజయవంతంగా పూర్తయిన ప్రాజెక్ట్ల నుండి ఉదాహరణలు.
పార్ట్ 3. బోధన వెలుగు, కానీ నేర్చుకోనిది చీకటి
ఒక సహేతుకమైన ప్రశ్న తలెత్తుతుంది: బాగా, సరే, సోషల్ ఇంజనీరింగ్ ఉంది, ఇది ప్రమాదకరమైనదిగా కనిపిస్తోంది, అయితే వీటన్నింటి గురించి కంపెనీలు ఏమి చేయాలి? కెప్టెన్ స్పష్టమైన రెస్క్యూ వస్తుంది: మీరు మిమ్మల్ని మీరు రక్షించుకోవాలి, మరియు ఒక సమగ్ర పద్ధతిలో. రక్షణలో కొంత భాగం సమాచార రక్షణ, పర్యవేక్షణ, ప్రక్రియల సంస్థాగత మరియు చట్టపరమైన మద్దతు వంటి సాంకేతిక మార్గాల వంటి ఇప్పటికే క్లాసిక్ భద్రతా చర్యలను లక్ష్యంగా చేసుకుంటుంది, అయితే ప్రధాన భాగం, మా అభిప్రాయం ప్రకారం, ఉద్యోగులతో నేరుగా పని చేయడానికి నిర్దేశించబడాలి. బలహీనమైన లింక్. అన్నింటికంటే, మీరు సాంకేతికతను ఎంతగా బలోపేతం చేసినా లేదా కఠినమైన నిబంధనలను వ్రాసినా, ప్రతిదాన్ని విచ్ఛిన్నం చేయడానికి కొత్త మార్గాన్ని కనుగొనే వినియోగదారు ఎల్లప్పుడూ ఉంటారు. అంతేకాకుండా, నిబంధనలు లేదా సాంకేతికత ఏవీ వినియోగదారు యొక్క సృజనాత్మకతకు అనుగుణంగా ఉండవు, ప్రత్యేకించి అతను అర్హత కలిగిన దాడి చేసే వ్యక్తి ద్వారా ప్రాంప్ట్ చేయబడితే.
అన్నింటిలో మొదటిది, వినియోగదారుకు శిక్షణ ఇవ్వడం చాలా ముఖ్యం: అతని సాధారణ పనిలో కూడా సామాజిక ఇంజనీరింగ్కు సంబంధించిన పరిస్థితులు తలెత్తవచ్చని వివరించండి. మా ఖాతాదారుల కోసం మేము తరచుగా నిర్వహిస్తాము కోర్సులు డిజిటల్ పరిశుభ్రతపై - సాధారణంగా దాడులను ఎదుర్కోవడానికి ప్రాథమిక నైపుణ్యాలను బోధించే కార్యక్రమం.
సమాచార భద్రతా నియమాలను గుర్తుంచుకోవడం ఉత్తమమైన రక్షణ చర్యలలో ఒకటి కాదని నేను జోడించగలను, కానీ పరిస్థితిని కొంచెం నిర్లిప్త పద్ధతిలో అంచనా వేయడం:
నా సంభాషణకర్త ఎవరు?
అతని ప్రతిపాదన లేదా అభ్యర్థన ఎక్కడ నుండి వచ్చింది (ఇది ఇంతకు ముందెన్నడూ జరగలేదు మరియు ఇప్పుడు అది కనిపించింది)?
ఈ అభ్యర్థనలో అసాధారణమైనది ఏమిటి?
అక్షర ఫాంట్ యొక్క అసాధారణ రకం లేదా పంపినవారికి అసాధారణమైన ప్రసంగ శైలి కూడా దాడిని ఆపే సందేహాల గొలుసును సెట్ చేస్తుంది. సూచించిన సూచనలు కూడా అవసరం, కానీ అవి భిన్నంగా పని చేస్తాయి మరియు సాధ్యమయ్యే అన్ని పరిస్థితులను పేర్కొనలేవు. ఉదాహరణకు, థర్డ్-పార్టీ వనరులలో మీరు మీ పాస్వర్డ్ను నమోదు చేయలేరని సమాచార భద్రతా నిర్వాహకులు వాటిలో వ్రాస్తారు. "మీ", "కార్పొరేట్" నెట్వర్క్ వనరు పాస్వర్డ్ కోసం అడిగితే? వినియోగదారు ఇలా అనుకుంటున్నారు: "మా కంపెనీకి ఇప్పటికే ఒకే ఖాతాతో రెండు డజన్ల సేవలు ఉన్నాయి, మరొకటి ఎందుకు ఉండకూడదు?" ఇది మరొక నియమానికి దారి తీస్తుంది: బాగా నిర్మాణాత్మకమైన పని ప్రక్రియ నేరుగా భద్రతను కూడా ప్రభావితం చేస్తుంది: పొరుగు విభాగం మీ నుండి వ్రాతపూర్వకంగా మరియు మీ మేనేజర్ ద్వారా మాత్రమే సమాచారాన్ని అభ్యర్థించగలిగితే, "కంపెనీ యొక్క విశ్వసనీయ భాగస్వామి నుండి" ఒక వ్యక్తి ఖచ్చితంగా ఉండడు. ఫోన్ ద్వారా అభ్యర్థించవచ్చు - ఇది మీ కోసం ఇది అర్ధంలేనిది. మీ సంభాషణకర్త ఇప్పుడే ప్రతిదీ చేయమని లేదా “ASAP” అని కోరితే మీరు ప్రత్యేకంగా జాగ్రత్తగా ఉండాలి, ఎందుకంటే ఇది రాయడం ఫ్యాషన్. సాధారణ పనిలో కూడా, ఈ పరిస్థితి తరచుగా ఆరోగ్యకరమైనది కాదు, మరియు సాధ్యమయ్యే దాడుల నేపథ్యంలో, ఇది బలమైన ట్రిగ్గర్. వివరించడానికి సమయం లేదు, నా ఫైల్ని అమలు చేయండి!
వినియోగదారులు ఎల్లప్పుడూ ఏదో ఒక రూపంలో డబ్బుకు సంబంధించిన అంశాల ద్వారా సామాజిక సాంకేతిక దాడికి లెజెండ్లుగా టార్గెట్ చేయబడతారని మేము గమనించాము: ప్రమోషన్ల వాగ్దానాలు, ప్రాధాన్యతలు, బహుమతులు, అలాగే స్థానిక గాసిప్లు మరియు కుట్రలతో కూడిన సమాచారం. మరో మాటలో చెప్పాలంటే, సామాన్యమైన "ఘోరమైన పాపాలు" పనిలో ఉన్నాయి: లాభం కోసం దాహం, దురాశ మరియు అధిక ఉత్సుకత.
మంచి శిక్షణ ఎల్లప్పుడూ అభ్యాసాన్ని కలిగి ఉండాలి. ఇక్కడే పెనెట్రేషన్ టెస్టింగ్ నిపుణులు రెస్క్యూకి రావచ్చు. తదుపరి ప్రశ్న: మనం ఏమి మరియు ఎలా పరీక్షిస్తాము? గ్రూప్-IB వద్ద మేము ఈ క్రింది విధానాన్ని ప్రతిపాదిస్తాము: వెంటనే పరీక్ష యొక్క దృష్టిని ఎంచుకోండి: వినియోగదారులపై మాత్రమే దాడులకు సంసిద్ధతను అంచనా వేయండి లేదా మొత్తం కంపెనీ భద్రతను తనిఖీ చేయండి. మరియు సోషల్ ఇంజనీరింగ్ పద్ధతులను ఉపయోగించి పరీక్షించండి, నిజమైన దాడులను అనుకరించడం - అంటే అదే ఫిషింగ్, ఎక్జిక్యూటబుల్ డాక్యుమెంట్లు, కాల్లు మరియు ఇతర టెక్నిక్లను పంపడం.
మొదటి సందర్భంలో, దాడి కస్టమర్ యొక్క ప్రతినిధులతో, ప్రధానంగా దాని IT మరియు సమాచార భద్రతా నిపుణులతో కలిసి జాగ్రత్తగా తయారు చేయబడింది. లెజెండ్లు, సాధనాలు మరియు దాడి పద్ధతులు స్థిరంగా ఉంటాయి. కస్టమర్ స్వయంగా ఫోకస్ గ్రూపులు మరియు దాడి కోసం వినియోగదారుల జాబితాలను అందిస్తుంది, ఇందులో అవసరమైన అన్ని పరిచయాలు ఉంటాయి. భద్రతా చర్యలపై మినహాయింపులు సృష్టించబడతాయి, ఎందుకంటే సందేశాలు మరియు ఎక్జిక్యూటబుల్ లోడ్లు తప్పనిసరిగా స్వీకర్తకు చేరుకోవాలి, ఎందుకంటే అటువంటి ప్రాజెక్ట్లో ప్రజల ప్రతిచర్యలు మాత్రమే ఆసక్తిని కలిగి ఉంటాయి. ఐచ్ఛికంగా, మీరు దాడిలో మార్కర్లను చేర్చవచ్చు, దీని ద్వారా ఇది దాడి అని వినియోగదారు ఊహించవచ్చు - ఉదాహరణకు, మీరు సందేశాలలో కొన్ని స్పెల్లింగ్ లోపాలను చేయవచ్చు లేదా కార్పొరేట్ శైలిని కాపీ చేయడంలో దోషాలను వదిలివేయవచ్చు. ప్రాజెక్ట్ ముగింపులో, అదే "పొడి గణాంకాలు" పొందబడతాయి: ఏ దృష్టి సమూహాలు దృశ్యాలకు ప్రతిస్పందించాయి మరియు ఏ మేరకు ఉన్నాయి.
రెండవ సందర్భంలో, దాడి "బ్లాక్ బాక్స్" పద్ధతిని ఉపయోగించి సున్నా ప్రారంభ జ్ఞానంతో నిర్వహించబడుతుంది. మేము స్వతంత్రంగా కంపెనీ, దాని ఉద్యోగులు, నెట్వర్క్ చుట్టుకొలత గురించి సమాచారాన్ని సేకరిస్తాము, దాడి లెజెండ్లను సృష్టిస్తాము, పద్ధతులను ఎంచుకుంటాము, లక్ష్య సంస్థలో ఉపయోగించే సాధ్యమైన భద్రతా చర్యల కోసం వెతుకుతాము, సాధనాలను స్వీకరించడం మరియు దృశ్యాలను రూపొందించడం. మా నిపుణులు క్లాసిక్ ఓపెన్ సోర్స్ ఇంటెలిజెన్స్ (OSINT) పద్ధతులు మరియు గ్రూప్-IB యొక్క స్వంత ఉత్పత్తి - థ్రెట్ ఇంటెలిజెన్స్ రెండింటినీ ఉపయోగిస్తారు, ఇది ఫిషింగ్ కోసం సిద్ధమవుతున్నప్పుడు, క్లాసిఫైడ్ సమాచారంతో సహా చాలా కాలం పాటు కంపెనీకి సంబంధించిన సమాచారాన్ని అగ్రిగేటర్గా పని చేస్తుంది. వాస్తవానికి, దాడి అసహ్యకరమైన ఆశ్చర్యం కలిగించకుండా ఉండటానికి, దాని వివరాలు కస్టమర్తో కూడా అంగీకరించబడతాయి. ఇది పూర్తి స్థాయి వ్యాప్తి పరీక్షగా మారుతుంది, అయితే ఇది అధునాతన సామాజిక ఇంజనీరింగ్పై ఆధారపడి ఉంటుంది. ఈ సందర్భంలో తార్కిక ఎంపిక అంతర్గత వ్యవస్థలలో అత్యధిక హక్కులను పొందడం వరకు, నెట్వర్క్లో దాడిని అభివృద్ధి చేయడం. మార్గం ద్వారా, ఇదే విధంగా మేము సామాజిక సాంకేతిక దాడులను ఉపయోగిస్తాము రెడ్ టీమింగ్, మరియు కొన్ని వ్యాప్తి పరీక్షలలో. ఫలితంగా, కస్టమర్ ఒక నిర్దిష్ట రకమైన సామాజిక సాంకేతిక దాడులకు వ్యతిరేకంగా వారి భద్రత గురించి స్వతంత్ర సమగ్ర దృష్టిని అందుకుంటారు, అలాగే బాహ్య బెదిరింపులకు వ్యతిరేకంగా నిర్మించిన రక్షణ రేఖ యొక్క ప్రభావాన్ని (లేదా, దీనికి విరుద్ధంగా, అసమర్థత) ప్రదర్శిస్తారు.
ఈ శిక్షణను సంవత్సరానికి కనీసం రెండుసార్లు నిర్వహించాలని మేము సిఫార్సు చేస్తున్నాము. మొదట, ఏదైనా కంపెనీలో సిబ్బంది టర్నోవర్ ఉంది మరియు మునుపటి అనుభవాన్ని ఉద్యోగులు క్రమంగా మరచిపోతారు. రెండవది, దాడుల పద్ధతులు మరియు పద్ధతులు నిరంతరం మారుతూ ఉంటాయి మరియు ఇది భద్రతా ప్రక్రియలు మరియు రక్షణ సాధనాలను స్వీకరించవలసిన అవసరానికి దారితీస్తుంది.
మేము దాడుల నుండి రక్షించడానికి సాంకేతిక చర్యల గురించి మాట్లాడినట్లయితే, కిందివి చాలా సహాయపడతాయి:
ఇంటర్నెట్లో ప్రచురించబడిన సేవలపై తప్పనిసరి రెండు-కారకాల ప్రమాణీకరణ ఉనికి. సింగిల్ సైన్ ఆన్ సిస్టమ్లు లేకుండా, పాస్వర్డ్ బ్రూట్ ఫోర్స్ నుండి రక్షణ లేకుండా మరియు అనేక వందల మంది వ్యక్తుల కంపెనీలో రెండు-కారకాల ప్రామాణీకరణ లేకుండా అటువంటి సేవలను 2019లో విడుదల చేయడం “నన్ను విచ్ఛిన్నం చేయండి” అనే బహిరంగ కాల్తో సమానం. సరిగ్గా అమలు చేయబడిన రక్షణ దొంగిలించబడిన పాస్వర్డ్లను త్వరగా ఉపయోగించడం అసాధ్యం చేస్తుంది మరియు ఫిషింగ్ దాడి యొక్క పరిణామాలను తొలగించడానికి సమయం ఇస్తుంది.
యాక్సెస్ నియంత్రణను నియంత్రించడం, సిస్టమ్లలో వినియోగదారు హక్కులను తగ్గించడం మరియు ప్రతి ప్రధాన తయారీదారు విడుదల చేసే సురక్షిత ఉత్పత్తి కాన్ఫిగరేషన్ కోసం మార్గదర్శకాలను అనుసరించడం. ఇవి తరచుగా ప్రకృతిలో సరళమైనవి, కానీ చాలా ప్రభావవంతమైనవి మరియు చర్యలను అమలు చేయడం కష్టం, ప్రతి ఒక్కరూ, ఒక డిగ్రీ లేదా మరొకటి, వేగం కొరకు నిర్లక్ష్యం చేస్తారు. మరియు కొన్ని చాలా అవసరం, అవి లేకుండా రక్షణ మార్గాలు సేవ్ చేయబడవు.
చక్కగా నిర్మించిన ఇమెయిల్ ఫిల్టరింగ్ లైన్. యాంటిస్పామ్, శాండ్బాక్స్ ద్వారా డైనమిక్ టెస్టింగ్తో సహా హానికరమైన కోడ్ కోసం జోడింపుల మొత్తం స్కానింగ్. బాగా సిద్ధమైన దాడి అంటే ఎక్జిక్యూటబుల్ అటాచ్మెంట్ యాంటీవైరస్ సాధనాల ద్వారా గుర్తించబడదు. శాండ్బాక్స్, దీనికి విరుద్ధంగా, ఒక వ్యక్తి వాటిని ఉపయోగించే విధంగానే ఫైల్లను ఉపయోగించి ప్రతిదానికీ తన కోసం పరీక్షిస్తుంది. ఫలితంగా, శాండ్బాక్స్ లోపల చేసిన మార్పుల ద్వారా సాధ్యమయ్యే హానికరమైన భాగం బహిర్గతమవుతుంది.
లక్షిత దాడుల నుండి రక్షణ సాధనాలు. ఇప్పటికే గుర్తించినట్లుగా, క్లాసిక్ యాంటీవైరస్ సాధనాలు బాగా సిద్ధం చేయబడిన దాడిలో హానికరమైన ఫైల్లను గుర్తించవు. అత్యంత అధునాతన ఉత్పత్తులు నెట్వర్క్లో సంభవించే ఈవెంట్ల మొత్తాన్ని స్వయంచాలకంగా పర్యవేక్షించాలి - వ్యక్తిగత హోస్ట్ స్థాయిలో మరియు నెట్వర్క్లోని ట్రాఫిక్ స్థాయిలో. దాడుల విషయంలో, మీరు ఈ రకమైన సంఘటనలపై దృష్టి కేంద్రీకరించినట్లయితే, మీరు ట్రాక్ చేయబడి, ఆపివేయబడే చాలా లక్షణమైన సంఘటనల గొలుసులు కనిపిస్తాయి.
అసలు వ్యాసం ప్రచురించిన పత్రికలో “సమాచార భద్రత/ సమాచార భద్రత” #6, 2019.