Essendo un sostenitore della DIO (operazioni di informazione difensiva), sono sempre stato interessato all'ingegneria sociale e alla sua relazione con la sicurezza del server. Dare accesso amministrativo ai membri dello staff richiede fiducia che, al giorno d'oggi, è difficile da passare.
Quali strategie utilizzano le aziende moderne per garantire che le attività dei dipendenti siano sicure, riducendo il rischio di accesso server non valido in modo automatico ?
Non puoi impedire completamente l'ingegneria sociale, quindi devi lavorare sulla limitazione dei danni. L'ingegneria sociale funziona solo su persone che hanno il privilegio di fare qualcosa o di sapere qualcosa di importante. Se rimuovi le informazioni sensibili e i privilegi rischiosi, riduci in maniera massiccia il tuo impatto sulla sicurezza.
Quello che stai cercando è separazione dei compiti , combinato con un'autenticazione corretta. Cioè, tu dai a ciascun utente i privilegi minimi assoluti di cui hanno bisogno per svolgere il proprio lavoro, ma permetti loro di trasformare un'attività o una procedura a un superiore che abbia i privilegi richiesti, o di passare l'operazione a un dipartimento alternativo che abbia il privilegio richiesto. Fornisci inoltre meccanismi di autenticazione appropriati per rafforzare l'identità.
Ad esempio, in una banca potresti dare al personale del call center la possibilità di modificare il limite di credito, ma non la possibilità di contrassegnare una transazione come fraudolenta. Il reparto frodi sarebbe in grado di contrassegnare una transazione, ma non modificare il limite di credito. Inoltre, il personale del call center non ha potuto approvare un prestito direttamente, ma sarebbe in grado di inviare la richiesta di prestito al proprio responsabile, che può approvare o respingere la domanda. Tutti gli accessi al sistema devono essere implementati con una password e un token hardware (ad es. Carta magnetica, RSA Securekey, ecc.), In modo tale che l'identità venga applicata e sia possibile dimostrare una catena di custodia.
Per accedere a posizioni privilegiate (ad es. server room o un accesso tramite SSH) è necessario richiedere l'autenticazione a più fattori. L'ingegneria sociale è efficace nell'ottenere cose che conosci, ma non è neanche lontanamente così efficace nell'ottenere cose che hai o sono. Utilizzare la corretta sicurezza fisica e l'autenticazione digitale che richiede l'autenticazione a due o tre fattori per ottenere l'accesso. Nei casi in cui si accede a un asset altamente sensibile, è necessaria l'autenticazione a più fattori da più di un dipendente.
Oltre a tutto ciò, usa la registrazione di controllo ovunque. Ogni singolo cambiamento effettuato da una persona deve essere registrato, con le misure appropriate adottate per garantire che i registri non possano essere distrutti o falsificati. Questo fornisce un modo per identificare i problemi, e ti lascia con ricorso legale se un dipendente fa qualcosa di malevolo.
Il modo migliore per automatizzare il processo è rendere impossibile l'ingegneria sociale. Ad esempio, se le password non vengono memorizzate, non funzionerà alcuna quantità di "per favore, potresti dirmi la mia password".
Nei casi in cui è necessario consentire l'intervento umano, assicurarsi che le eccezioni alle procedure standard siano contrassegnate e spinte al livello superiore in proporzione al grado di deviazione. Circa ogni terza volta che sono in un supermercato, si verifica qualche problema tecnico e il controllore deve inviare un supervisore per fare un processo di compensazione senza senso. Sembra privo di significato perché è una routine, ma presumo che sia inteso a impedire che si verifichi un tipo di frode.
Non voglio sembrare banale, ma il miglior processo automatizzato è quello di non permettere ai tuoi dipendenti di accedere all'amministratore.
Assegna le autorizzazioni necessarie per svolgere il loro lavoro, quando ne hanno bisogno. Crea avvisi globali ogni volta che qualcuno viene assegnato a gruppi di amministratori.
Questo limita il danno che un utente può fare ed è più facile automatizzare il monitoraggio delle proprie azioni, nonché quando e come si assegnano i privilegi temporanei.
È fastidioso e scomodo, ma è fondamentale: minimi privilegi.
Sinceramente, penso che l'automazione di qualcosa sia una delle peggiori cose che puoi fare per prevenire un attacco di social engineer. Gli esseri umani sono dinamici, e come tali anche le strategie che impieghi per impedire a un umano di compromettere il tuo sistema con tecniche sociali.
Ad esempio, se chiami il tuo gestore di telefonia cellulare. So che il mio fornitore di telefoni cellulari chiederà il mio indirizzo e la data di nascita. Questo, in sostanza, è una scarsa sicurezza perché se avessi intenzione di attaccare un obiettivo tutto ciò che avrei bisogno di scoprire sarebbe quell'informazione. I dipendenti sono semplici droni che fanno domande davanti a loro.
Una soluzione più sicura (anche se più problematica) sarebbe quella di cambiare periodicamente le domande di sicurezza. Puoi chiedere una più ampia varietà di domande o chiedere ai clienti di rispondere a nuove domande di sicurezza (selezionate a caso) ogni 6 mesi.
Sforzi passati per automatizzare la sicurezza (vedi Attacco RSA o autenticazione a due fattori di Google ) hanno dimostrato di essere meno efficaci di quanto sperato.
Leggi altre domande sui tag authentication appsec defense social-engineering attack-prevention