5 BỘ GIÁO DỤC VÀ ĐÀO TAO TRƯỜNG ĐẠI HỌC QUY NHƠN ĐẶNG KỲ DUYÊN TIỂU LUẬN MÔN AN TOÀN VÀ BẢO MẬT THÔNG TIN ĐỀ TÀI NGHIÊN CỨU TẤN CÔNG SOCIAL ENGINEERING Chuyên ngành Khoa học máy tính Mã số 60480101 Khóa 23 Người hướng dẫn TS LẠI MINH TUẤN Bình Định Năm 2021 MỤC LỤC LỜI NÓI ĐẦU 3 CHƯƠNG 1 KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 4 1 1 Social Engeering là gì? 4 1 2 Nghệ thuật thao túng 5 1 3 Điểm yếu của mọi người 5 CHƯƠNG 2 PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 7 2 1 Phân loại kỹ thuật Social Egnieer.
BỘ GIÁO DỤC VÀ ĐÀO TAO TRƯỜNG ĐẠI HỌC QUY NHƠN ĐẶNG KỲ DUN TIỂU LUẬN MƠN AN TỒN VÀ BẢO MẬT THÔNG TIN ĐỀ TÀI: NGHIÊN CỨU TẤN CÔNG SOCIAL ENGINEERING Chuyên ngành: Khoa học máy tính Mã số: 60480101 Khóa: 23 Người hướng dẫn: TS LẠI MINH TUẤN Bình Định - Năm 2021 MỤC LỤC LỜI NĨI ĐẦU CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 1.1 Social Engeering gì? 1.2 Nghệ thuật thao túng 1.3 Điểm yếu người CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 2.1 Phân loại kỹ thuật Social Egnieering .7 2.1.1 Human-Based Socal Engineering 2.1.2 Computer-Based Social Engineering CHƯƠNG 3: CÁC BƯỚC TẤN CÔNG VÀ MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 10 3.1 Các bước công 10 3.1.1 Thu thập thông tin 10 3.1.2 Chọn mục tiêu .10 3.1.3 Tấn công 10 3.2 Các kiểu công phổ biến 11 3.2.1 Insider Attacks .11 3.2.2 Identity Theft 12 3.2.3 Phishing Attacks 12 3.2.4 Online Scams 12 3.2.5 URL Obfuscation 13 3.3 Các mối đe dọa Socal Engineering 13 3.3.1 Online Threats .13 3.3.2 Telephone-Based Threats 15 3.3.3 Waste Management Threats 16 3.3.4 Personal Approaches 17 3.3.5 Reverse Social Engineering 17 3.4 Biện pháp đối phó Social Engineering 18 CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 20 4.1 Xây dựng framework quản lý an ninh 20 4.2 Đánh giá rủi ro .21 4.3 Social engineering sách an ninh .23 CHƯƠNG 5: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 5.1 Sự nhận thức 5.2 Quản lý cố 5.3 Xem xét thực thi 5.4 Social Engineering mơ hình phân lớp phòng thủ chiều sâu KẾT LUẬN LỜI NÓI ĐẦU Với phát triển nhanh chóng mạng internet đặt biệt cơng nghệ mạng, kèm theo vấn đề bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm việc cần thiết cấp bách Bảo mật mạng hiểu cách bảo vệ, đảm bảo an toàn cho thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng tránh việc đánh cắp thông tin, đồng thời tăng tính bảo mật thơng tin cho mạng cao Đặc biệt với phát triển Internet với đời mạng xã hội vấn đề lừa đảo mạng diễn ngày phức tạp với đề tài “Nghiên cứu công Social Engineering” đưa cho thấy nhìn tổng quát tình hình an ninh mạng kỹ thuật công Social Engineering để từ có phương pháp phịng chống tốt CHƯƠNG 1: KỸ THUẬT TẤN CÔNG SOCIAL ENGINEERING 1.1 Social Engeering gì? Social engineering sử dụng ảnh hưởng thuyết phục để đánh lừa người dùng nhằm khai tác thơng tin có lợi cho công thuyết phục nạn nhân thực hành động Social engineer (người thực cơng việc công phương pháp social engineering) thường sử dụng điện thoại internet để dụ dỗ người dùng tiết lộ thơng tin nhạy cảm để có họ làm chuyện để chống lại sách an ninh tổ chức Bằng phuong pháp này, Social engineer tiến hành khai thác thói quen tự nhiên người dùng, tìm lỗ hổng bảo mật hệ thống Điều có nghĩa người dùng với kiến thức bảo mật cõi hội cho kỹ thuật công hành động Sau ví dụ kỹ thuật công social engineering Kapil Raina kể lại, ông chuyên gia an ninh Verisign, câu chuyện xảy ông làm việc cơng ty khác trước đó: “Một buổi sáng vài năm trước, nhóm người lạ bước vào công ty với tư cách nhân viên công ty vận chuyển mà công ty có hợp động làm việc chung Và họ bước với quyền truy cập vào toàn hệ thống mạng cơng ty Họ làm điều cách nào? Bằng cách lấy lượng nhỏ thông tin truy cập từ số nhân viên khác công ty Đầu tiên họ tiến hành nghiên cứu tổng thể công ty từ hai ngày trước Tiếp theo họ giả vờ làm chìa khóa để vào cửa trước, nhân viên công ty giúp họ tìm lại Sau đó, họ làm thẻ an ninh để vào cổng công ty, nụ cười thân thiện, nhân viên bảo vệ mở cửa cho họ vào Trước họ biết trường phịng tài vừa có cơng tác xa, thơng tin ơng giúp họ cơng hệ thống Do họ đột nhập văn phịng giám đốc tài Họ lục tung thùng rác cơng ty để tìm kiếm tài liệu hữu ích Thơng qua lao cơng cơng ty, họ có thêm số điểm chứa tài liệu quan trọng cho họ mà rác người khác Điểm quan trọng cuối mà họ sử dụng giả giọng nói vị giám đốc vắng mặt Có thành họ tiến hành nghiên cứu giọng nói vị giám đốc Và thông tin ông giám đốc mà họ thu thập từ thùng rác giúp cho họ tạo tin tưởng tuyệt nhân viên Một công diễn ra, họ gọi điện cho phòng IT với vai trò giám đốc phòng tài chính, làm vẽ bị pasword, cần password Họ tiếp tục sử dụng thông tin khác nhiều kỹ thuật công giúp họ chiếm lĩnh toàn hệ thống mạng” Nguy hiểm kỹ thuật công quy trình thẩm định thơng tin cá nhân Thơng qua tường lửa, mạng riêng ảo, phần mềm giám sát mạng giúp rộng cơng, kỹ thuật công không sử dụng biện pháp trực tiếp Thay vào yếu tố người quan trọng Chính lơ nhân viên cơng ty kẻ công thu thập thông tin quan trọng 1.2 Nghệ thuật thao túng Social Engineering bao gồm việc đạt thông tin mật hay truy cập trái phép, cách xây dựng mối quan hệ với số người Kết social engineer lừa người cung cấp thơng tin có giá trị Nó tác động lên phẩm chất vốn có người, chẳng hạn mong muốn trở thành người có ích, tin tưởng người sợ rắc rối Social engineering vận dụng thủ thuật kỹ thuật làm cho người đồng ý làm theo mà Social engineer muốn Nó khơng phải cách điều khiển suy nghĩ người khác, khơng cho phép Social engineer làm cho người làm việc vượt tư cách đạo đức thơng thường Và hết, khơng dễ thực chút Tuy nhiên, phương pháp mà hầu hết Attackers dùng để công vào cơng ty Có loại thơng dụng: Social engineering việc lấy thông tin cần thiểt từ người phá hủy hệ thống Psychological subversion: mục đích hacker hay attacker sử dụng PsychSub (một kỹ thuật thiên tâm lý) phức tạp bao gồm chuẩn bị, phân tích tình huống, suy nghĩ cẩn thận, xác từ sử dụng giọng điệu nói, thường sử dụng quân đội 1.3 Điểm yếu người Mọi người thường mắc phải nhiều điểm yếu vấn đề bảo mật Để đề phịng thành cơng phải dựa vào sách tốt huấn luyện nhân viên thực tốt sách Social engineering phương pháp khó phịng chống khơng thể dùng phần cứng hay phần mềm để chống lại Một người truy cập vào phần hệ thống thiết bị vật lý vấn đề cấp điện trở ngại lớn Bất thơng tin thu thập dùng phương pháp Social engineering để thu thập thêm thơng tin Có nghĩa người khơng nằm sách bảo mật phá hủy hệ thống bảo mật Các chuyên gia bảo mật cho cách bảo mật giấu thông tin rẩt yếu Trong trường hợp Social engineering, hồn tồn khơng có bảo mật khơng thể che giấu việc sử dụng hệ thống khả ảnh hưởng họ tới hệ thống Có nhiều cách để hoàn thành mục tiêu đề Cách đơn giản yêu cầu trực tiếp, đặt câu hỏi trực tiếp Mặc dù cách khó thành cơng, phương pháp dễ nhất, đơn giản Người biết xác họ cần Cách thứ hai, tạo tình mà nạn nhân có liên quan đến Với nhân tố khác cần yêu cầu xem xét, làm để nạn nhân dễ dàng dính bẩy nhất, attacker tạo lý thuyết phục người bình thường Attacker nỗ lực khả thành công cao, thông tin thu nhiều Khơng có nghĩa tình khơng dựa thực tế Càng giống thật khả thành công cao Một công cụ quan trọng sử dụng Social engineering trí nhớ tốt để thu thập kiện Đó điều mà hacker sysadmin trội hơn, đặc biệt nói đến vấn đề liên quan đến lĩnh vực họ CHƯƠNG 2: PHÂN LOẠI KỸ THUẬT SOCIAL ENGINEERING 2.1 Phân loại kỹ thuật Social Egnieering Social engineering chia thành hai loại phổ biến: Human-based: Kỹ thuật Social engineering liên quan đến tương tác người với người để thu thơng tin mong muốn Ví dụ phải gọi điện thoại đến phòng Help Desk để truy tìm mật Computer-based: Kỹ thuật liên quan đến việc sử dụng phần mềm để cố gắng thu thập thơng tin cần thiết Ví dụ bạn gửi email yêu cầu người dùng nhập lại mật đăng nhập vào website Kỹ thuật gọi Phishing (lừa đảo) 2.1.1 Human-Based Socal Engineering Kỹ thuật Human Based chia thành loại sau: Impersonation: Mạo danh nhân viên người dùng hợp lệ Trong kỹ thuật này, kẻ công giả dạng thành nhân viên công ty người dùng hợp lệ hệ thống Hacker mạo danh người bảo vệ, nhân viên, đối tác, để độp nhập công ty Một vào bên trong, chúng tiến hành thu thập thơng tin từ thùng rác, máy tính để bàn, hệ thống máy tính, hỏi thăm người đồng nghiệp Posing as Important User: Trong vai trò người sử dụng quan trọng người quản lý cấp cao, trưởng phòng, người cần trợ giúp lập tức, hacker dụ dỗ người dùng cung cấp cho chúng mật truy cập vào hệ thống Third-person Authorization: Lấy danh nghĩa cho phép người để truy cập vào hệ thống Ví dụ tên hacker nói anh ủy quyền giám đốc dùng tài khoản giám đốc để truy cập vào hệ thống Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật phương pháp cổ điển kỹ thuật cơng Social engineering Help-desk phịng hổ trợ kỹ thuật lập để giúp cho người dùng, mồi ngon cho hacker Shoulder Surfing kỹ thuật thu thập thông tin cách xem file ghi nhật ký hệ thống Thông thường đăng nhập vào hệ thống, trình đăng nhập ghi nhận lại, thơng tin ghi lại giúp ích nhiều cho hacker Dumpster Diving kỹ thuật thu thập thơng tin thùng rác Nghe có vẽ “đê tiện” phải lơi thùng rác người ta để tìm kiếm thơng tin, đại phải chấp nhận hi sinh Nói vui vậy, thu thập thơng tin thùng rác công ty lớn, thông tin mà cần thu password, username, filename thơng tin mật khác Ví dụ: Tháng năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận Oracle dùng đến dumpster diving để cố gắng tìm thơng tin Microsoft trường hợp chống độc quyền Danh từ “larrygate”, không hoạt động tình báo doanh nghiệp Một số thứ mà dumpster mang lại: (1).Sách niên giám điện thoại cơng ty – biết gọi sau dùng để mạo nhận bước để đạt quyền truy xuất tới liệu nhạy cảm Nó giúp có tên tư cách xác để làm nhân viên hợp lệ Tìm số gọi nhiệm vụ dễ dàng kẻ cơng xác định tổng đài điện thoại công ty từ sách niên giám (2).Các biểu đồ tổ chức; ghi nhớ; sổ tay sách công ty; lịch hội họp, kiện, kỳ nghỉ; sổ tay hệ thống; in liệu nhạy cảm tên đăng nhập password; ghi source code; băng đĩa; đĩa cứng hết hạn Phương pháp nâng cao kỹ thuật Social engineering Reverse Social Engineering (Social engineering ngược) Trong kỹ thuật này, hacker trở thành người cung cấp thông tin Điều khơng có ngạc nhiên, hacker nhân viên phịng help desk Người dùng bị password, yêu cầu nhân viên helpdesk cung cấp lại 2.1.2 Computer-Based Social Engineering Computer Based: sử dụng phần mềm để lấy thông tin mong muốn Có thể chia thành loại sau: Phising: Thuật ngữ áp dụng cho email xuất đến từ công ty kinh doanh, ngân hàng thẻ tín dụng u cầu chứng thực thơng tin cảnh báo xảy hậu nghiêm trọng việc không làm Lá thư thường chứa đường link đến trang web giả mạo hợp pháp với logo cơng ty nội dung có chứa form để yêu cầu username, password, số thẻ tín dụng số pin Vishing: Thuật ngữ kết hợp “voice” phishing Đây dạng phising, kẻ công trực tiếp gọi điện cho nạn nhân thay gởi email Người sử dụng nhận thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng Thông điệp hướng dẫn họ gọi đến số điện thoại để khắc phục vấn đề Sau gọi, số điện thoại kết nối người gọi tới hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng Và Voip tiếp tay đắc lực thêm cho dạng công giá rẻ khó giám sát gọi Voip Pop-up Windows: Một cửa sổ xuất hình nói với user kết nối cần phải nhập lại username password Một chương trình cài đặt trước kẻ xâm nhập sau email thơng tin đến website xa Mail attachments: Có hình thức thơng thường sử dụng Đầu tiên mã độc hại Mã luôn ẩn file đính kèm email Với mục đích user khơng nghi ngờ click hay mở file đó, ví dụ virus IloveYou, sâu Anna Kournikova(trong trường hợp file đính kèm tên AnnaKournikova.jpg.vbs Nếu tên file bị cắt bớt giống file jpg user không ý phần mở rộng vbs) Thứ hai có hiệu tương tự, bao gồm gởi file đánh lừa hỏi user để xóa file hợp pháp Chúng lập kế hoạch để làm tắc nghẽn hệ thống mail cách báo cáo đe dọa không tồn yêu cầu người nhận chuyển tiếp đến tất bạn đồng nghiệp họ Điều tạo hiệu ứng gọi hiệu ứng cầu tuyết Websites: Một mưu mẹo để làm cho user không ý để lộ liệu nhạy cảm, chẳng hạn password họ sử dụng nơi làm việc Ví dụ, website tạo thi hư cấu, đòi hỏi user điền vào địa email password Password điền vào tương tự với password sử dụng cá nhân nơi làm việc Nhiều nhân viên điền vào password giống với password họ sử dụng nơi làm việc, social engineer có username hợp lệ password để truy xuất vào hệ thống mạng tổ chức Interesting Software: Trong trường hợp nạn nhân thuyết phục tải cài đặt chương trình hay ứng dụng hữu ích cải thiện hiệu suất CPU, RAM, tiện ích hệ thống crack để sử dụng phần mềm có quyền Và Spyware hay Malware (chẳng hạn Keylogger) cài đặt thơng qua chương trình độc hại ngụy trang chương trình hợp pháp hacker viết trước, mối đe dọa lớn kỹ thuật công Social engineering sử dụng điện thoại Khơng dừng lại đó, VoIP phát triển, ngày có nhiều doanh nghiệp sử dụng VoIP Việc công vào mạng VoIP để nghe gọi điều mà hacker tiến tới Việc nghe gói trước phục vụ cho tổ chức an ninh, phòng chống tội phạm Nhưng bị hacker lợi dụng để nghe thông tin bàn thảo vị giám đốc 3.3.3 Waste Management Threats Dumpster diving hoạt động có giá trị cho hacker Giấy tờ vứt chứa thơng tin mang lại lợi ích tức thời cho hacker, chẳng hạn user ID số tài khoản bỏ đi, thông tin biểu đồ tổ chức danh sách điện thoại Các loại thông tin vô giá hacker social engineering, làm cho ta đáng tin bắt đầu công Phương tiện lưu giữ điện tử chí cịn hữu ích cho hacker Nếu cơng ty, khơng có quy tắc quản lý chất thải bao gồm sử dụng phương tiện thơng tin dư thừa, tìm thấy tất loại thơng tin ổ đĩa cứng, CD, DVD khơng cịn sử dụng Nhân viên phải hiểu đầy đủ tác động việc ném giấy thải phương tiện lưu trữ điện tử vào thùng rác Sau di chuyển rác thải ngồi cơng ty, tính sở hữu trở thành không rõ ràng pháp luật Dumpster diving khơng coi bất hợp pháp hồn cảnh, phải đưa lời khun xử lý rác thải Luôn cắt thành miếng nhỏ giấy vụn xóa phá hủy phương tiện có từ tính Nếu có loại chất thải lớn khó để đặt vào máy hủy, chẳng hạn niên giám điện thoại, có kỹ thuật vượt khả user để hủy nó, phải phát triển giao thức cho việc vứt bỏ Nên đặt thùng rác vùng an tồn mà khơng tiếp cận với cơng cộng Bên cạnh quản lý chất thải bên cần phải quản lý chất thải bên Chính sách bảo mật thường khơng ý vấn đề này, thường giả định phép vào công ty phải đáng tin cậy Rõ ràng, điều lúc Một biện pháp có hiệu để quản lý giấy thải đặc tả việc phân loại liệu Bạn xác định loại giấy khác dựa thông tin định cách thức nhân viên quản lý vứt bỏ họ Ví dụ phân thành loại: Bí mật cơng ty, riêng tư, văn phịng, cơng cộng 3.3.4 Personal Approaches Cách rẻ đơn giản cho hacker lấy thông tin hỏi trực tiếp Cách tiếp cận thơ lỗ rõ ràng, tảng thủ đoạn đánh lừa bí mật Có cách tiếp cận minh chứng thành công social engineer: o Sự đe dọa: cách tiếp cận bao gồm mạo danh người có thẩm quyền để ép buộc mục tiêu làm theo yêu cầu o Sự thuyết phục: hình thức thơng thường thuyết phục gồm có nịnh hót hay cách nói quen tồn nhân vật tiếng o Sự mến mộ: cách tiếp cận thủ đoạn dài hơi, người cấp đồng nghiệp xây dựng mối quan hệ để lấy lòng tin, chí, thơng tin từ mục tiêu o Sự trợ giúp: với cách tiếp cận này, hacker tỏ sẵn sàng giúp mục tiêu Sự trợ giúp cuối địi hỏi mục tiêu tiết lộ thơng tin cá nhân giúp hacker đánh cắp nhận dạng mục tiêu Bảo vệ user chống lại loại tiếp cận cá nhân khó khăn Nó phụ thuộc nhiều vào nhận thức nhân viên Việc phát triển môi trường làm việc cộng đồng tin cậy làm giảm mức độ thành công hacker Thường xuyên tổ chức chương trình tập huấn mức độ rủi ro an ninh cho nhân viên cách tốt giúp họ nâng cao nhận thức, chống lại kiểu công 3.3.5 Reverse Social Engineering Là hình thức cao social engineering, giải khó khăn phổ biến social engineering bình thường Hình thức mơ tả user hợp pháp hệ thống hỏi hacker câu hỏi cho thơng tin Trong RSE, hacker cho có vị trí cao user hợp pháp, người thực mục tiêu Để thực công RSE, kẻ cơng phải có hiểu biết hệ thống ln ln phải có quyền truy xuất trước cấp cho anh ta, thường social engineering bình thường tiến hành Tấn cơng RSE tiêu biểu bao gồm phần chính: phá hoại, quảng cáo, giúp đỡ Sau đạt quyền truy xuất phương tiện khác, hacker phá hoại workstation cách làm hư station, làm cho hư hỏng Với phong phú thông báo lỗi, chuyển tham số/tùy chọn, chương trình giả mạo thực việc phá hoại Người sử dụng thấy trục trặc sau tìm kiếm giúp đỡ Để người user gọi tới, kẻ cơng phải quảng bá ta có khả sửa lỗi Sự quảng bá bao gồm đặt thẻ kinh doanh giả mạo xung quanh văn phịng hay chí cung cấp số điện thoại để gọi đến thông báo lỗi Một thơng báo lỗi ví dụ có thể: ** ERROR 03 - Restricted Access Denied ** - File access not allowed by user Consult with Mr Downs at (301) 555-1414 for file permission information Trong trường hợp này, user gọi “Mr Downs” đề giúp đỡ, tiết lộ thông tin tài khoản mà khơng nghi ngờ tính hợp pháp “Mr Downs” Phương pháp khác quảng bá bao gồm social engineering Một ví dụ điều hacker gọi đến mục tiêu thông báo với họ số điện thoại hỗ trợ kỹ thuật thay đổi, sau hacker đưa cho họ số riêng Phần thứ ba ( dễ nhất) công RSE cho hacker giúp đỡ giải vấn đề Bởi hacker kẻ chủ mưu phá hoại, vấn đề dễ dàng để sửa, mục tiêu khơng nghi ngờ người giúp đỡ ta thể user am hiểu hệ thống Trách nhiệm hacker lấy thông tin tài khoản từ mục tiêu giúp đỡ họ Sau thông tin đạt được, hacker giải vấn đề sau kết thúc trị chuyện với mục tiêu 3.4 Biện pháp đối phó Social Engineering Để xác định phương pháp đối phó với Social Engineering điều quan trọng kỹ thuật phòng thủ cơng Nó có liên quan đến vấn đề xã hội nên việc phịng chống có chút rắc rối tư cách người Có số cách để làm điều Chính sách (policy) an ninh cơng ty định vấn đề an tồn hệ thống Bạn cần đặt quy định, giới hạn quyền truy cập cho nhân viên công ty Huấn luyện tốt cho nhân viên an ninh điều cần thiết Khi nhân viên bạn hiểu vấn đề an ninh, họ tự trách rủi ro trước có can thiệt phòng an ninh Vấn đề người khơng quan trọng Vì kỹ thuật cơng chủ yếu liên quan đến tư tưởng người Sự lơ nhân viên, lòng tin nhân viên nguy an toàn cho hệ thống Xây dựng framework quản lý an ninh: Phải xác định tập hợp mục đích an ninh social engineering đội ngũ nhân viên người chịu trách nhiệm cho việc phân phối mục đích Đánh giá rủi ro: Các mối đe dọa mức độ rủi ro cho công ty khác Ta phải xem xét lại mối đe dọa social engineering hợp lý hóa mối nguy hiểm tổ chức Social engineering sách an ninh: Phát triển văn thiết lập sách thủ tục quy định nhân viên xử trí tình mà cơng social engineering Bước giả định sách bảo mật có, bên ngồi mối đe dọa social engineering Nếu khơng có sách bảo mật, cần phải phát triển chúng CHƯƠNG 4: THIẾT KẾ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 4.1 Xây dựng framework quản lý an ninh Một khung quản lý an ninh xác định nhìn tổng quan mối đe dọa xảy tổ chức từ social engineering cấp phát tên cơng việc có vai trị chịu trách nhiệm cho việc xây dựng sách thủ tục để làm giảm bớt mối đe dọa Cách tiếp cận khơng có nghĩa bạn phải sử dụng nhân viên có chức đảm bảo an ninh tài sản công ty Security sponsor Quản lý cấp cao, người cung cấp chứng thực cần thiết để đảm bảo tất nhân viên tham gia nghiêm chỉnh bảo mật cho công ty Security manager Nhân viên cấp độ quản lý, người có trách nhiệm cho bố trí phát triển bảo dưỡng sách bảo mật IT security officer Đội ngũ nhân viên kỹ thuật chịu trách nhiệm cho phát triển sở hạ tầng thực thi sách thủ tục bảo mật Facilities security officer Một thành viên đội thiết bị chịu trách nhiệm cho phát triển vùng thực thi sách thủ tục bảo mật Security awareness officer Một thành viên đội ngũ quản lý nhân viên – thường từ phận phát triển nhân hay nguồn nhân lực – người chịu trách nhiệm cho phát triển thực thi chiến dịch nâng cao nhận thức an ninh Security Steering Committee – đại diện cho ban cố vấn công ty Như ứng viên lựa chọn cho hệ thống an ninh, Security Steering Committee cần phải thiết lập mục tiêu cốt lõi cho khung quản lý an ninh Nếu khơng có tập định nghĩa mục tiêu, khó để khuyến khích tham gia nhân viên đo mức độ thành công dự án Nhiệm vụ ban đầu Security Steering Committee xác định rủi ro social engineering tồn công ty Security Steering Committee cần phải xác định vùng tồn nguy với cơng ty Q trình bao gồm yếu tố công xác định giấy tờ yếu tố riêng biệt công ty, chẳng hạn sử dụng terminal công cộng hay thủ tục quản lý văn phịng Ví dụ: Company Social Engineering Attack Vector Vulnerabilities 4.2 Đánh giá rủi ro Tất yêu cầu an ninh để đánh giá mức độ rủi ro mà công tiến hành công ty Mặc dù việc đánh giá rủi ro cần phải kỹ lưỡng, khơng phải cần tiêu tốn nhiều thời gian Dựa công việc làm xác định yếu tố cốt lõi khung quản lý an ninh Security Steering Committee, bạn phân loại ưu tiên rủi ro Phân loại rủi ro bao gồm: Bí mật thơng tin Sự tín nhiệm kinh doanh Sự sẵn sàng kinh doanh Tài ngun Chi phí Có thể thiết lập ưu tiên cách xác định rủi ro tính tốn chi phí để làm giảm bớt rủi ro – giảm bớt rủi ro tốn nhiều chi phí xảy rủi ro, không hợp lý Giai đoạn đánh giá rủi ro hữu ích phát triển sau sách an ninh Ví dụ: Steering Committee Security Requirement and Risk Matrix 4.3 Social engineering sách an ninh Một cá nhân IT quản lý công ty phải phát triển giúp đỡ thực thi sách an ninh có hiệu tổ chức Đơi khi, trọng tâm sách an ninh điều khiển công nghệ giúp bảo vệ chống lại mối đe dọa công nghệ, chẳng hạn virus worm Điều khiển công nghệ giúp bảo vệ công nghệ, chẳng hạn tập tin liệu, tập tin chương trình, hệ điều hành Security Steering Committee có vùng an ninh cốt lõi đánh giá rủi ro mà phải ủy quyền phát triển tài liệu kinh doanh, tiến trình, thủ tục Ví dụ: Steering Committee Procedure and Document Requirements CHƯƠNG 5: THỰC THI SỰ PHÒNG VỆ CHỐNG LẠI CÁC MỐI ĐE DỌA TỪ SOCIAL ENGINEERING 5.1 Sự nhận thức Khơng có thay cho vận động nhận thức tốt bạn thực thi yếu tố social engineering sách an ninh Phải đào tạo nhân viên đề họ hiểu sách, hiểu phải có nó, biết làm để phản ứng lại công nghi ngờ Yếu tố then chốt công social engineering tin tưởng – mục tiêu tin tưởng hacker Để chống lại hình thức cơng này, phải kích thích chủ nghĩa hồi nghi lành mạnh nhân viên điều ngồi việc bình thường gây tin tưởng họ với sở hạ tầng IT hỗ trợ công ty Các yếu tố vận động nhận thức phụ thuộc vào cách bạn trao đổi thông tin cho nhân viên cơng ty Bạn chọn cấu đào tạo, họp không quan trọng, poster, kiện khác để cơng bố sách an ninh Càng tăng cường nội dung sách, thành cơng thực thi Mặc dù khởi đầu nhận thức an ninh với kiện lớn, điều quan trọng giữ an tồn bật chương trình nghị quản lý nhân viên 5.2 Quản lý cố Khi công social engineering xảy ra, chắn nhân viên service desk biết làm cách để xử lý cố Các giao thức phản ứng lại nên tồn thủ tục liên quan đến sách an ninh, quản lý cố nghĩa sử dụng công để khởi đầu cho việc xem xét lại an ninh Bảo mật hành trình khơng phải điểm đến yếu tố cơng ln thay đổi Mỗi cố cung cấp đầu vào cho xem xét liên tục bảo mật mơ hình hồi đáp cố, hình minh họa đây: Khi cố xảy ra, Security Steering Committee xem xét tương ứng rủi ro hay thay đổi cơng ty tạo hay làm sách thủ tục dựa kết thu thập Tất sửa đổi cần tuân thủ sách an ninh cho cơng ty thay đổi theo tiêu chuẩn quản lý Để quản lý cố, nhân viên service desk phải có quy trình báo cáo cố linh hoạt mà ghi lại thông tin đây: o Tên mục tiêu o Khu vực mục tiêu o Ngày o Yếu tố công o Mô tả công o Kết công o Hiệu công o Các kiến nghị Bằng cách ghi lại cố, xác định mẫu ngăn chặn cơng sau 5.3 Xem xét thực thi Khi xem xét lại mặt an ninh, trở nên nhạy cảm vô số mối đe dọa tiềm tàng Chính sách an ninh phải trì đánh giá doanh nghiệp làm kinh doanh Nếu đề xuất bảo mật có ảnh hưởng xấu đến lợi nhuận hay linh động thương mại tổ chức, cần phải đánh giá lại rủi ro Bạn phải đạt cân bảo mật tính khả dụng thực thi Đó điều quan trọng để đánh giá danh tiếng cơng ty có ý thức bảo mật có lợi ích thương mại Nó khơng ngăn cản hacker, mà cịn cải thiện profile kinh doanh cơng ty với khách hàng đối tác 5.4 Social Engineering mô hình phân lớp phịng thủ chiều sâu Mơ hình phân lớp phòng thủ chiều sâu phân loại giải pháp bảo mật chống yếu tố công – vùng điểm yếu – mà hacker sử dụng để đe dọa mơi trường máy tính Các yếu tố cơng bao gồm: o Chính sách, thủ tục, nhận thức: văn quy định bạn phát triển để quản lý tất lĩnh vực bảo mật, chương trình giáo dục mà để đảm bảo đội ngũ nhân viên biết, hiểu, thực thi quy định o Bảo mật vật lý: rào cản mà quản lý truy cập đến tài sản tài nguyên Điều quan trọng để nhớ yếu tố sau cùng; ví dụ, bạn đặt giỏ rác bên ngồi cơng ty, sau chúng bên ngồi bảo mật vật lý công ty o Dữ liệu: thông tin kinh doanh – tài khoản, e-mail, … xem xét mối đe dọa, phải bao gồm hard soft copy tài liệu kế hoạch bảo mật liệu o Ứng dụng: chương trình chạy user Phải đánh giá hacker social engineering phá vỡ chương trình nào, chẳng hạn e-mail IM o Host: máy tính server client sử dụng tổ chức Sự trợ giúp đảm bảo bạn bảo vệ user chống lại công trực tiếp vào máy tính cách xác định chặt chẽ nguyên tắc đạo phần mềm để sử dụng máy tính làm quản lý thiết bị bảo mật, chẳng hạn user IDs password o Mạng nội bộ: hệ thống mạng mà hệ thống máy tính cơng ty truyền thơng Nó local, wireless, WAN Các mạng nội trở nên “nội bộ” vài năm qua, với hoạt động nhà di động phổ biến Vì phải làmcho chắn user hiểu họ phải làm việc bảo mật tất môi trường nối mạng o Chu vi: điểm tiếp xúc mạng nội mạng bên ngoài, chẳng hạn Internet hay hệ thống mạng phụ thuộc vào đối tác kinh doanh, phần extranet Các công social engineering thường cố gắng xuyên thủng chu vi để khởi đầu công vào liệu, ứng dụng, host xuyên qua hệ thống mạng nội Khi thiết kế phòng vệ, mơ hình phịng vệ chiều sâu giúp hình dung lĩnh vực kinh doanh bị đe dọa Mơ hình khơng đặc tả mối đe dọa social engineering, lớp phải nên có phịng vệ KẾT LUẬN Social engineering kỹ thuật xã hội, dùng mối quan hệ người để thu thập tin cần thiết phục vụ cho công phía sau Quan trọng kỹ thuật dựa vào điểm yếu người Các bước thực công Social engineering là: Thu thập thông tin, chọn mục tiêu, công Các kiểu cơng phổ biến kể đến như: Insider Attack, Indentify Theft, Online Scam, Phising… Và cuối để phịng chống lại kiểu cơng này, khơng có cách hiểu cách giáo dục cho nhân viên bạn thù đoạn lừa đảo để họ tự cảnh giác ... nhân viên an ninh điều cần thiết Khi nhân viên bạn hiểu vấn đề an ninh, họ tự trách rủi ro trước có can thiệt phòng an ninh Vấn đề người khơng quan trọng Vì kỹ thuật công chủ yếu liên quan đến tư... IloveYou, sâu Anna Kournikova(trong trường hợp file đính kèm tên AnnaKournikova.jpg.vbs Nếu tên file bị cắt bớt giống file jpg user khơng ý phần mở rộng vbs) Thứ hai có hiệu tương tự, bao gồm gởi... thông tin tổ chức nhân viên tổ chức Các tổ chức có khuynh hướng đưa q nhiều thơng tin lên website họ phần chiến lược kinh doanh Thông tin thường mô tả hay đưa đầu mối nhà cung cấp ký kết; danh