ILMU KOMPUTER

Anda telah dilakukan, apa yang kebanyakan orang berpikir, adalah langkah-langkah besar menuju jaringan aman. Ini sebagian benar. Bagaimana dengan faktor-faktor lain?

Skenario: Anda bekerja di lingkungan perusahaan di mana Anda berada, setidaknya sebagian, yang bertanggung jawab untuk keamanan jaringan. Anda telah menerapkan firewall, virus dan spyware perlindungan, dan komputer Anda semua up to date dengan patch dan perbaikan keamanan. Anda duduk di sana dan berpikir tentang pekerjaan yang indah yang telah Anda lakukan untuk memastikan bahwa Anda tidak akan hack.

Anda telah dilakukan, apa yang kebanyakan orang berpikir, adalah langkah-langkah besar menuju jaringan aman. Ini sebagian benar. Bagaimana dengan faktor-faktor lain?

Pernahkah Anda berpikir tentang serangan rekayasa sosial? Bagaimana dengan pengguna yang menggunakan jaringan Anda setiap hari? Apakah Anda siap dalam menghadapi serangan orang-orang ini?

Percaya atau tidak, link terlemah dalam rencana keamanan Anda adalah orang yang menggunakan jaringan Anda. Untuk sebagian besar, pengguna tidak berpendidikan pada prosedur untuk mengidentifikasi dan menetralisir serangan rekayasa sosial. Apa yang akan menghentikan pengguna dari menemukan CD atau DVD di ruang makan siang dan membawanya ke workstation mereka dan membuka file? Disk ini bisa mengandung spreadsheet atau dokumen word processor yang memiliki makro berbahaya tertanam di dalamnya. Hal berikutnya yang Anda tahu, jaringan terganggu.

Masalah ini ada terutama dalam lingkungan di mana staf help desk reset password melalui telepon. Tidak ada yang menghentikan seseorang berniat membobol jaringan Anda dari menelepon help desk, berpura-pura menjadi seorang karyawan, dan meminta untuk memiliki ulang sandi. Kebanyakan organisasi menggunakan sistem untuk menghasilkan username, sehingga tidak terlalu sulit untuk mencari mereka.

Organisasi Anda harus memiliki kebijakan yang ketat di tempat untuk memverifikasi identitas pengguna sebelum reset password dapat dilakukan. Satu hal yang sederhana untuk dilakukan adalah untuk memiliki pengguna pergi ke help desk secara pribadi. Metode lainnya, yang bekerja dengan baik jika kantor Anda secara geografis jauh, adalah untuk menunjuk satu kontak di kantor telepon yang bisa untuk reset password. Cara ini semua orang yang bekerja di meja bantuan dapat mengenali suara orang ini dan tahu bahwa dia adalah yang mereka katakan.

Mengapa seorang penyerang pergi ke kantor atau membuat panggilan telepon ke help desk? Sederhana, biasanya jalur yang paling perlawanan. Tidak perlu menghabiskan berjam-jam mencoba masuk ke sistem elektronik ketika sistem fisik lebih mudah untuk mengeksploitasi. Lain kali Anda melihat seseorang berjalan melalui pintu belakang Anda, dan tidak mengenali mereka, berhenti dan bertanya siapa mereka dan apa yang mereka ada untuk. Jika Anda melakukan ini, dan itu terjadi untuk menjadi seseorang yang tidak seharusnya ada, sebagian besar waktu dia akan keluar secepat mungkin. Jika orang tersebut seharusnya ada maka ia kemungkinan besar akan mampu menghasilkan nama orang yang dia ada di sana untuk melihat.

Saya tahu Anda mengatakan bahwa saya gila, kan? Nah memikirkan Kevin Mitnick. Dia adalah salah satu hacker paling dihiasi sepanjang masa. Pemerintah AS pikir dia bisa bersiul nada ke telepon dan meluncurkan serangan nuklir. Sebagian besar hacking dilakukan melalui rekayasa sosial. Apakah dia melakukannya melalui kunjungan fisik ke kantor atau dengan membuat panggilan telepon, ia menyelesaikan beberapa hacks terbesar sampai saat ini. Jika Anda ingin tahu lebih banyak tentang dia Google nama atau membaca dua buku yang ditulisnya.

Ini di luar saya mengapa orang mencoba dan mengabaikan jenis serangan. Saya kira beberapa network engineer yang terlalu bangga jaringan mereka mengakui bahwa mereka bisa dilanggar begitu mudah. Atau apakah fakta bahwa orang tidak merasa mereka harus bertanggung jawab untuk mendidik karyawan mereka? Sebagian besar organisasi tidak memberikan departemen TI mereka yurisdiksi untuk mempromosikan keamanan fisik. Ini biasanya masalah bagi manajer bangunan atau fasilitas manajemen. Tidak ada yang kurang, jika Anda dapat mendidik karyawan Anda sedikit pun; Anda mungkin dapat mencegah pelanggaran jaringan dari serangan rekayasa fisik atau sosial.