Bilgi güvenliği bağlamında sosyal mühendislik, eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik olarak insanların psikolojik manipülasyonudur. Bu, gizli bilgilerin ifşa edilmesiyle ilgili olmayan sosyal bilimlerdeki toplum mühendisliğinden farklıdır. Bilgi toplama, dolandırıcılık veya sistem erişimi amaçlı bir tür güven hilesi, genellikle daha karmaşık bir dolandırıcılık planındaki birçok adımdan biri olması nedeniyle geleneksel bir hileden farklıdır.12
Çalışan davranışının bilgi güvenliği üzerinde büyük etkisi vardır. "Örgüt Kültürü ve Bilgi Güvenliği Kültürü Arasındaki İlişkiyi Keşfetmek", bilgi güvenliği kültürünün şu tanımını sağlar: "ISC, her türden bilginin korunmasına katkıda bulunan bir kuruluştaki davranış kalıplarının toplamıdır."3
Andersson ve Reimers (2014), çalışanların kendilerini genellikle organizasyonun Bilgi Güvenliği "çabasının" bir parçası olarak görmediklerini ve genellikle organizasyonel bilgi güvenliğinin çıkarlarını göz ardı eden eylemler gerçekleştirdiklerini bulmuştur.4 Araştırmalar, Bilgi güvenliği kültürünün sürekli olarak geliştirilmesi gerektiğini gösteriyor. Bilgi güvenliği kültürünü yönetmek için beş adım atılması gerektiğini öne sürülür: Ön değerlendirme, stratejik planlama, operasyonel planlama, uygulama ve son değerlendirme.5
Tüm sosyal mühendislik teknikleri, bilişsel önyargılar olarak bilinen insan karar verme sürecinin belirli özelliklerine dayanır.7 Bazen bu önyargılar, bazıları aşağıda listelenmiş olan saldırı tekniklerini oluşturmak için çeşitli şekillerde kullanılır. Sosyal mühendislikte kullanılan saldırılar, çalışanların gizli bilgilerini çalmak için kullanılabilir. En yaygın sosyal mühendislik türü telefonla gerçekleşir. Sosyal mühendislik saldırılarına diğer bir örnek, şirket sırlarını çalarken fark edilmeyen görevliler olabilir.
Sosyal mühendisliğin bir örneği, şirket bültenine yardım masası numarasının değiştiğini söyleyen resmi görünümlü bir duyuru gönderen kişidir. Bu duyuruyu gören çalışanlar yardım istediğinde, birey onlardan şifrelerini ve kimliklerini sorar ve böylece şirketin özel bilgilerine erişme şansı kazanır. Sosyal mühendisliğin bir başka örneği, bilgisayar korsanının bir sosyal ağ sitesinde hedefle iletişime geçmesi olabilir. Bilgisayar korsanı yavaş yavaş hedefin güvenini kazanır ve ardından bu güveni parola veya banka hesabı ayrıntıları gibi hassas bilgilere erişim için kullanır.8
Sosyal mühendislik, büyük ölçüde Robert Cialdini tarafından oluşturulan altı ilkeye dayanır: karşılıklılık, bağlılık ve tutarlılık, sosyal kanıt, otorite, sempati, kıtlık.
Kuruluşlar, güvenlik risklerini şu yollarla azaltır:
Çalışan Eğitimi Çalışanları, konumlarıyla ilgili güvenlik protokolleri konusunda eğitmek.
Standart Çerçeve Çalışan / personel düzeyinde güven çerçeveleri oluşturmak (yani, hassas bilgilerin ne zaman / nerede / neden / nasıl ele alınacağını belirlemek ve personeli eğitmek)
Bilgilerin İncelenmesi Hangi bilgilerin hassas olduğunu belirleme ve sosyal mühendislik ve güvenlik sistemlerindeki arızalara (bina, bilgisayar sistemi vb.) raruz kalma durumunu değerlendirme.
Güvenlik Protokolleri Hassas bilgilerin işlenmesi için güvenlik protokolleri, politikaları ve prosedürleri oluşturma.
Olay Testi Güvenlik çerçevesi için habersiz, periyodik testlerin gerçekleştirilmesi.
Aşılama İkna girişimlerine benzer veya ilgili girişimlere maruz kalma yoluyla direnç aşılayarak sosyal mühendislik ve diğer hileli hileler veya tuzakları önlemek.9
Gözden Geçirme Yukarıdaki adımları düzenli olarak gözden geçirmek: bilgi bütünlüğüne yönelik hiçbir çözüm mükemmel değildir.10
Atık Yönetimi Kilitli çöp kutuları bulunan, anahtarları yalnızca atık yönetimi şirketi ve temizlik personeli ile sınırlı bir atık yönetimi hizmeti kullanmak.11
Bazı önlemler, sosyal mühendislik dolandırıcılıklarının kurbanı olma riskini azaltır:
Sosyal mühendisliğin başarı için belirlenmiş bir reçetesi olmasa ve yazılı olarak resmetmek zor olsa da, sosyal mühendislik kavramları ve uygulamaları televizyon ve filmlerdeki sahnelere uyarlanmıştır. Bu örnekler, böyle bir saldırının nasıl gerçekleştirilebileceğini göstermektedir.
Sosyal Mühendislik Sızma Testinin bir parçası olmalı mı?
"Tüketicilerin Telefon Kayıtlarının Korunması" , Elektronik Gizlilik Bilgi Merkezi ABD Ticaret, Bilim ve Ulaşım Komitesi . Erişim tarihi: 8 Şubat 2006.
Plotkin, Hal. Basına Not: Ön Yazı Zaten Yasadışı . 9 Eylül 2006'da alındı.
Şifreler için striptiz - MSNBC. MSN.com . 1 Kasım 2007'de alındı.
Orijinal kaynak: sosyal mühendislik. Creative Commons Atıf-BenzerPaylaşım Lisansı ile paylaşılmıştır.
Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture ." Australian Information Security Management Conference. ↩
Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge .publication date Mar 11, 2014 publication description INTED2014 (International Technology, Education, and Development Conference) ↩
Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing. ↩
Treglia, J., & Delia, M. (2017). Cyber Security Inoculation . Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4. ↩
Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing. ↩
Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240-241. ↩
Attack Techniques & Prevention Methods {{!}} Imperva | erişimtarihi = 18 Şubat 2020 | dil = İngilizce | çalışma = Learning Center | arşivurl = https://web.archive.org/web/20191219184343/https://www.imperva.com/learn/application-security/social-engineering-attack/ | arşivtarihi = 19 Aralık 2019 | ölüurl = evet }} ↩
Ne Demek sitesindeki bilgiler kullanıcılar vasıtasıyla veya otomatik oluşturulmuştur. Buradaki bilgilerin doğru olduğu garanti edilmez. Düzeltilmesi gereken bilgi olduğunu düşünüyorsanız bizimle iletişime geçiniz. Her türlü görüş, destek ve önerileriniz için iletisim@nedemek.page