Social engineering Social engineering Emberek manipulálása (meggy!zése, megtévesztése), nem technikai eszközökkel tevékenységek végrehajtására bizalmas információk kiadására komputer rendszerek biztonságát érint! cselekményekhez kapcsolódóan 2
Technikák Ürügy gyártás Csali Elterelés, eltérítés Phising (adathalászat) Valamit valamiért 3 Ürügy gyártás Olyan helyzet, scenárió megteremtése és végrehajtása, melyben az áldozattól olyan bizalmas információk megszerezhet!k, melyeket normál körülmények között nem lehetne legtöbbször hamis megszemélyesítéssel el!zetes felkészülés, bennfentes infók szükségesek 4
Elterelés, eltérítés Corner game, átirányítás Áldozat rávétele arra, hogy információt, árut ne az eredeti célszemélynek, célhelyre juttasson el 5 Phising Privát, személyes információk megszerzése hozzáférési adatok (account, jelszó) leggyakrabban email, fake website segítségével elektronikusan nagy tömegben (spam) 6
Csali Vonzó formába csomagolt trójai megoldások fizikai média, vonzó infoscent-" linkek kiváncsiság, kapzsiság kihasználása 7 Quid pro quo Valamit valamiért Ellentételezésért (pl. segítség, ajándék) cserébe bizalmas infók kiadása Fordított social engineering a támadó olyan problémás helyzetet alakít ki, melyben az áldozat az! segítségét kéri 8
Még néhány fogalom Candy security (M&Ms) megoldások védelmen? Kukabúvárkodás kív"l er!s, belül gyenge biztonsági mi van, ha mégis átjutnak a küls! Security through obscurity eltitkolásra épített védelem mi van, ha infoszivárgás van? szenzitív info megfelel! megsemmisítése 9 Gyakori módszerek saját (technikai) alkalmazottnak adja ki magát partner cég alkalmazottjának adja ki magát magas pozícióban lév!nek adja ki magát ingyenes szoftvert, javítást ajánl vírusok, trójai programok küldése bejelentkezést kér valamilyen (ál)rendszerbe új munkatársnak adja ki magát, segítséget kér általa el!idézett probléma megoldásában segít regisztrációt igényl! rendszert üzemeltet 10
A social engineering szociológiája (pszichológiája) Kihasználható emberi tulajdonságok szánalom, kedvesség, stressz, szimpátia, naivitás, kapzsiság, felel!tlenség, hiúság emberi reakciók kiszámíthatósága Motivációk bosszúvágy, irányítás, kínzás, pénzügyi nyereség Módszerek személytelenség, barátságosság, ismer!sség Lehet!ségek túlterheltség, zavar, szórakozottság kihasználása 11 A jó social engineer Kedves, udvarias, meggy!z! megszerzése) kiválasztása) (eljárások, technikai adatok) Kell!en hidegvér" Gyors kapcsolat épít! képesség" (bizalom Jó emberismerettel rendelkezik (áldozatok Bennfentes információkkal rendelkezik 12
Támadásra utaló jelek Nincs pontos azonosítás, elérhet!ség Rendkívüli kérések S"rg!s intézkedési igények következményekkel fenyegetés Hivatali hatalommal fenyegetés Túlzott barátkozás, bizalmaskodás Együtt m"ködés hiánya esetén negatív 13 Leggyakoribb célpontok Az információk értékét nem ismer! alkalmazottak Különleges hozzáféréssel rendelkez!k Gyártók és beszállítók Speciális szervezeti egységek (HR, pénzügy) 14
Sebezhet!séget növel! tényez!k nagy alkalmazotti létszám több telephely információk biztonsági képzés hiánya nyilvánosan elérhet! telefonmellék adat/információ klasszifikálás hiánya incidens jelentési/reagálási eljárások hiánya 15 Megel!zés, védekezés Megfelel! biztonság politika kidolgozása alkalmazottakkal megismertetése betartattatása alkalmazottak képzése eljárások szabályozása alkalmazott technikai megoldások kockázat minimalizálása 16
A biztonság politika elemei Utasítások, el!írások az információt véd! magatartáshoz Kockázat felmérés védend! er!források, fenyegetések, lehetséges károk Irányelvek kialakítása Eljárások kialakítása technológiai háttér (automatikus eljárások, ellen!rzés) 17 Irányelvek Adatosztályozás adatok min!sítése titkos, privát, bels!, nyilvános adatok tulajdonosai, felel!sök Felhasználók osztályozása nem ellen!rzött személy, megbízható személy, kezességet vállaló, privilégizált felhasználók 18
Irányelvek (folyt.) Ellen!rzési és hitelesítési eljárások személy státuszának ellen!rzése információ-hozzáférés jogossága Ellen!rzési megoldások hívószám kijelzés, visszahívás, kezességvállalás, jelszó, kihívás-válasz, biometrikus azonosítás alkalmazotti nyilvántartások, biztonságos ellen!rz! csatornák 19 Irányelvek (folyt.) Információ-közlés, kiszolgáltatás szabályozása alkalmazottak ellen!rzése harmadik (igényl!) fél ellen!rzése min!sített információk továbbításának technikai szabályozása elektronikus és fizikai dokumentumok kezelése 20
Irányelvek (folyt.) Egyéb biztonsági szabályozás Telefon használat (hívás átirányítás, hivószám kijelzés, telefonközpont beállítások, jogosultságok) Alkalmazotti azonosítók (kit"z!k) vendégek azonosítás Behatolás jelentési eljárások Területek fizikai védelme számítási és kommunikációs infrastruktúra (szerel! szekrények, kábel rendez!k, szerver terem) 21 IT biztonsági szabályozás Speciálisan kezelend! kérdések felhasználói fiókok kezelése frekvencia, formai el!írások) alkalmazott, kontakt személyek adatai support kérdések, helpdesk m"ködése jelszó politika (megváltozatási hálózati eszközök kérdése (hozzáférési pontok, hosztok csatlakoztatása) felhasználó jogosultságok kiosztása privilégizált hozzáférések szabályozása 22
Rendszergazdai irányelvek Hozzáférési jogosultságok megváltoztatása Távoli hozzáférésekkel kapcsolatos kérdések Küls! technikai személyzet hozzáférési kérdései Alkalmazott autentikációs megoldások Operációs rendszerek beállításai Biztonsági frissítések telepítése Küls! adatmentések kriptográfiai védelme Antivírus szoftverek menedzsmentje 23 Rendszergazdai irányelvek (folyt.) Alapértelmezett jelszavak Szoftver telepítések szabályozása Sikertelen bejelentkezési kísérletek kezelése Rendszer leállítások, indítások szabályozása Vezeték nélküli hálózati hozzáférések szabályozása Bels! rendszerekre vonatkozó információ kiadása Logok elemzése, behatolás detektálás 24