در راهنمای مطالعه CISSP، مهندسی اجتماعی به این صورت تعریف شده‌است: «مهارتی است که به وسیله شخصی مجهول، برای بدست آوردن اعتماد افراد درون سازمان و تشویق آنها برای ایجاد تغییرات دلخواه در سیستم‌های IT و در جهت دستیابی به حق دسترسی استفاده می‌شود.» در نسخه انگلسیی زبان ویکی‌پدیا، مهندسی اجتماعی به این صورت تعریف شده‌است: :«مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست.»

کوین میتنیک(Kevin Mitnick) یکی از معروف‌ترین هکرهایی است که دلیل موفقیتش، استفاده از تکنیک‌های مهندسی اجتماعی بوده. وی کتابی را پس از آزادی از زندان درباره مهندسی اجتماعی تحت عنوان«هنر فریفتن» تالیف کرده که تعریف زیر از کتاب وی آورده شده‌است:

«مهندس اجتماعی انسانها را با روش‌های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می‌کند»

«مهندسی اجتماعی سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است، که به کمک مجموعه‌ای از تکنیک‌ها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد می‌کند.»

همان طور که در شکل نشان داده شده‌است، مهاجم به جای استفاده از روش‌های معمول و مستقیم نفوذ جمع آوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستم‌های سازمان و پایگاه داده‌های آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیک‌های فریفتن آنها، به جمع آوری اطلاعات در راستای دستیابی به خواسته‌های خود اقدام می‌کند.

منشا حمله‌های مهندسی اجتماعی

حمله‌های مهندسی اجتماعی از سه ناحیه سرچشمه می‌گیرند :

داخلی : اکثر تهدیدهای داخلی از سمت کارکنانی صورت می‌گیرد که می‌توانند به شخصه یا با استفاده از کارکنانی که به سیستم‌های IT سازمان دسترسی دارند، به جمع آوری اطلاعات حساس و مهم بپردازند. این افراد کارکنانی هستند که در سازمان از سطح محدودی از اعتماد برخوردارند و این موضوع امکان حمله را برای آنها ساده کرده‌است. این دسته شامل، کارکنان ناراضی، موقتی و کارگران، از قبیل مسئولین نظافت و پرسنل تعمیرات می‌باشند.

اشخاص مورد اعتماد : اینگونه تهدیدها از سمت اشخاصی است که با سازمان در یکسری از بنیان‌های قانونی و رسمی مرتبط می‌باشند. این افراد شامل پیمانکارها، مشاورین و شرکای سازمان هستند. اغلب، این اشخاص دارای سطح بالایی از اعتماد سازمان می‌باشند و بنابراین به داده‌های حساس و مهم سیستم‌های سازمان دسترسی دارند. با این حال، این قبیل مخاطرات پنهانی به ندرت در برنامه‌های امنیتی سازمان‌ها در نظر گرفته می‌شوند.

خارجی : این تهدیدها، از سمت انسان‌هایی است که هیچگونه ارتباطی با سازمان ندارند. این مجموعه شامل هکرها، رقبایی که در پی آشکارکردن اطلاعات محرمانه سازمان هستند و یا بزه کاران و دزدان می‌باشد. هیچ سطح اعتمادی بین این افراد و سازمان وجود ندارد، بنابراین آنها به دنبال ایجاد اعتماد کوتاه مدت با استفاده از تکنیک‌های مختلف مهندسی اجتماعی هستند مانند بازی کردن نقش فردی مختار درون سازمان مثل مدیر IT، تکنسین تعمیرات، کارمند درمانده و غیره.

چرخه حملات مهندسی اجتماعی

سارا گارتنر در مقاله‌ای راجع به روش‌های دفاع در مقابل حملات مهندسی اجتماعی، اذعان کرد هر جرمی دارای الگوی متداولی می‌باشد. برای مهندسی اجتماعی نیز الگویی وجود دارد، که قابل تشخیص و قابل جلوگیری می‌باشد. این الگو را به صورت چرخه‌ای در شکل نشان داده شده‌است. این چرخه شامل چهار مرحله، جمع آوری اطلاعات، برقراری ارتباطات بهره کشی و عمل و اجرا است، که مانند تکه‌های پازل به هم مرتبط و وابسته‌اند.

 

جمع آوری اطلاعات : مجموعه‌ای از تکنیک‌های مختلف، که توسط مهاجم برای جمع آوری اطلاعات درباره هدف، مورد استفاده قرار می‌گیرد. مهاجم با استفاده از این تکنیک‌ها به جمع آوری اطلاعات ساده اما مفیدی مانند لیست شماره تلفن‌ها، تاریخ تولد، نمودار سازمانی و… می‌پردازد، تا با استفاده از آنها به اطلاعات کلیدی و مورد هدف دست یابد.

برقراری ارتباطات : مهاجم در این مرحله از رضایت و میل شخص قربانی برای ایجاد اعتماد، در جهت برقرای ارتباط، سوء استفاده می‌کند. پس از برقراری ارتباط مهاجم خود را در موقعیت اعتماد قرار می‌دهد، تا بتواند از این موقعیت بهره برداری کند.

بهره کشی : قربانی در این مرحله تحت تاثیر اعتماد فرد مهاجم در جهت آشکار کردن اطلاعاتی چون پسورد یا انجام کارهایی که در حالت طبیعی انجام نمی‌داده، مانند ساختن شناسه کاربری برای فرد مهاجم و…، قرار می‌گیرد.

عمل و اجرا : زمانی که هدف، عمل خواسته شده از سمت مهاجم را انجام داد، چرخه پایان یافته و مهاجم به خواسته خود رسیده‌است.

هر مرحله چرخه مهندسی اجتماعی بسته به شرایط و تکنیک‌های مختلف مورد استفاده، منحصربه‌فرد می‌باشد. همچنین، هر مرحله به تکمیل و موفقیت مرحله قبل وابسته‌است. اغلب، برای انجام حمله‌ای موفق، این سیکل بارها تکرار می‌شود. زیرا برقراری ارتباط و جلب اعتماد کار ساده‌ای نیست. و مهاجم در این راه نیاز به جمع آوری اطلاعات کافی درباره سازمان، سیستم‌های موجود و کارکنانش دارد.

 

انگیزه‌ها

بهره برداری مالی : به دلایل گوناگون، افراد تحت تاثیر دستیابی به پول و ثروت می‌باشند. به عنوان مثال فرد ممکن است، باور داشته باشد که وی سزاوار دستمزد بیشتری است و یا نیاز به پول بیشتری برای عادات خارج از کنترلی چون قمار دارد.

نفع شخصی : مهاجم ممکن است خواستار دسترسی و ویرایش اطلاعات مربوط به خود، اعضای خانواده و دوستان باشد.

انتقام : بنابر دلایل قابل درک تنها توسط فرد مهاجم، وی ممکن است دوست، همکار، سازمان و یا مجموعه‌ای از افراد را برای ارضا کردن احساسات و شهوات خود در جهت انتقام یا کینه توزی مورد هدف قرار دهد.

فشارهای خارجی : مهاجم ممکن است از سمت دوستان، خانواده یا سندیکایی سازمان یافته، به دلایلی از قبیل بهره برداری مالی، منفعت شخصی و یا انتقام تحت فشار و تهدیدهای جانی و مالی بوده و چنین کاری را انجام دهد.

حس کنجکاوی : با توجه به خصایص انسانی به ذات این حس در دورن همه افراد وجود دارد.

تکنیک‌ها

تکنیک‌های مبتنی بر کامپیوتر

پنجره‌های Pop-Up

پیوست نامه‌های الکترونیکی

هرزنامه‌های زنجیره‌ای و فریب آمیز

وب‌گاه‌ها

بازیابی و تجزیه و تحلیل ابزارهای مستعمل

Phishing

تکنیک‌های مبتنی بر انسان

رویکرد مستقیم

جستجو در زباله‌ها

جعل هویت

سوءاستفاده از کاربران مهم

کارکنان پشتیبان فنی

کاربر درمانده

Shoulder Surfing

شایعه پراکنی

جاسوسی و استراق سمع

مهندسی اجتماعی معکوس

در تمام روش‌هایی که ذکر شده، مهاجم خود به سراغ هدف رفته و از وی کاری را درخواست می‌کند. اما در این روش، مهاجم شرایطی را فراهم می‌آورد تا فرد قربانی، از وی تقاضای کمک کند، به همین علت، این روش را مهندسی اجتماعی معکوس می‌نامند. مثال آن می‌تواند فردی باشد که در جاده‌ای خلوت در حال رانندگی است، ناگهان ماشین وی دچار مشکل می‌شود، و چون به ماشین‌های امدادی دسترسی ندارد، برای رفع مشکل از ماشین‌های گذری تقاضای کمک می‌کند. مهندسی اجتماعی معکوس در سه مرحله انجام می‌شود:

کارشکنی و خرابکاری : مهاجم پس از بدست آوردن دسترسی‌های ساده، سیستم کامپیوتری را دچار مشکل می‌کند ویا خراب جلوه می‌دهد. در نتیجه، کاربر سیستم، متوجه مشکل می‌شود و به دنبال کمک می‌گردد.

بازاریابی: در این مرحله مهاجم به نحوی خود را به کاربر معرفی می‌کند، یا از قبل معرفی کرده‌است. به عنوان مثال کارت ویزیت خود را در محل کار کاربر قرار داده ویا شماره تماس خود را با یک پیام اشتباه، بر روی پیغام گیر گذاشته‌است. بنابراین، مهاجم این اطمینان را خواهد داشت که کاربر با وجود خرابی و دیدن ردپای ناجی با وی تماس خواهد گرفت.

پشتیبانی و حمایت: در این مرحله مهاجم به حل مشکل کاربر خواهد پرداخت، با اطمینان از اینکه کاربر هیچ ظن وگمانی به وی ندارد و خود خواستار کمک از او شده‌است. مهاجم در این زمان به دو طریق اطلاعات را جمع آوری می‌کند، یا در همان زمان به جمع آوری اطلاعاتی که مورد نظرش می‌پردازد، که در این صورت ممکن است ردپای خرابکاری خود را بر جای بگذارد و دیگر فرصت دسترسی به سیستم برای وی فراهم نشود یا اینکه به ایجاد رابطه‌ای همرا با اعتماد می‌پردازد، تا امکان دسترسی مجدد به سیستم‌های سازمان، برای حمله‌های آینده را به وجود آورد.

با توجه به تکنیک‌هایی که ذکر شد، موفقیت آمیز بودن حمله مهندسی اجتماعی، مستلزم داشتن پیش زمینه خوب تحقیقاتی، بر روی سازمان مورد هدف و بدست آوردن تصویری از ساختار اولیه و حتی نام دپارتمان‌ها وکارکنان سازمان می‌باشد.

محرک‌های روانشناسی

از آنجایی که مهندسی اجتماعی، مبحثی اجتماعی و روانشناسی می‌باشد، بنابراین دانستن برخی از مباحث روانشناسی پشت سر آن، برای تدوین طرحی در مقابله با حملات مهندسی اجتماعی مفید می‌باشد. دکتر Robert Cialdinis که یکی از محققین در زمینه مسائل روانشناسی است، حدود ۳۰ سال در زمینه روش‌های متقاعد سازی به تحقیق و بررسی پرداخته و بخاطر مطالعات تخصصی اش در این زمینه، شهرت جهانی یافته‌است. وی دریافت که اصول پایه‌ای روانشناسی متقاعد سازی با محرک‌های موجود در درون همه انسان‌ها در ارتباط است. محرک‌ها، اصول روانشناسی می‌باشند که منجر به اثر گذاری و فریفتن دیگران می‌شود. تحریک و تحت تاثیر قرار دادن زیاد این محرک‌ها سبب می‌شود تا انسان‌ها قدرت منطق و تصمیم گیری خود را از دست بدهند. مهندسی اجتماعی از این موضوع برای رسیدن به خواسته‌های خود استفاده می‌کند. بدین ترتیب محرک‌های روانشناسی که در مهندسی اجتماعی استفاده می‌شوند، باید مورد بررسی قرار گیرند. دانستن این محرک‌ها، در تعیین سطوح دفاعی بطور چند لایه، علیه حملات مهندسی اجتماعی، کمک می‌کند.

معامله متقابل

در روابط اجتماعی، معامله کردن رفتاری کاملاً شناخته شده به حساب می‌آید. اگر کسی هدیه‌ای به ما بدهد یا قول انجام دادن کاری، ما خود را مدیون وی دانسته و این محبت را به نحوی جبران می‌کنیم. حتی اگر آنچه دریافت کرده‌ایم، مورد درخواستمان نباشد نیز ممکن است، کاری را انجام بدهیم و یا هدیه‌ای را به وی تقدیم کنیم که بسیار پر بها باشد. این محرک روانشناسی، کاربردهای خوبی بخصوص در مهندسی اجتماعی معکوس دارد. بطوریکه مهاجم بعنوان ناجی در شرایطی که مشکلی به وجود آمده‌است، ظاهر شده و مشکل را حل می‌کند. در برخی مواقع حتی قبل از اینکه مشکلی را حل کند، قربانی خود را مدیون او می‌داند. این شرایط برای مهاجم، شرایط ایده‌آل محسوب می‌گردد.

قدرت

انسانها در برابر قدرت مشروط اند! تحقیق زیر این گرایش را بطور کامل نشان می‌دهد. از پرستاران بیست و دو مرکز پرستاری، توسط فردی به عنوان پزشک، که تابحال ندیده بودند، خواسته شد که مقدار وعده دارویی بیشتری را به مریضان بدهند. پرستاران بدون بررسی و درمیان گذاردن موضوع با سرپرستار، وعده دارویی را حتی تا دو برابر افزایش دادند. این مثال نشان می‌دهد که انسانها چنین کارهای خطرناک و عجیبی را برای مراجع قدرت انجام می‌دهند. و در این راستا اثر رئیس یا مدیر قلابی بر روی فرد می‌تواند بسیار قابل توجه باشد. این محرک زمانی که تعیین حقانیت مرجع قدرت کمی چالش برانگیز باشد، استفاده می‌شود زیرا در این شرایط به راحتی می‌توان خود را جای هر فردی که دارای قدرت است، معرفی کرد. به عنوان مثال مهاجم می تواند با عنوان واحد امنیتی و حفاظتی از کاربران بخواهد اطلاعاتی خاص رایانه یا منابعی از سیستم خود را به اشتراک بگذارند.

هماهنگی و یکپارچگی

انسانها گرایش به آن دارند که تعهداتشان را انجام دهند. گرچه آن تعهد در نگاه اول خیلی منطقی به نظر نیاید. برای بسیاری، انجام کاری که به آنها گفته شده‌است، نشانهٔ یکپارچگی می‌باشد حتی اگر به درستی آن، شک داشته باشند. این تمایل آنچنان زیاد است که گاهی انسانها به باورهای زیر دستانشان هم عمل می‌کنند. مثلاً اگر هکر درباره مرخصی با کارمندان صحبت کند، طبق این محرک می‌تواند از غیاب آنها سود جویی نماید. جنبهٔ دیگری از محرک یکپارچگی آنست که افراد این گرایش را دارند که بدون هیچ دلیل محکمی باور کنند دیگران نگرش مثبتشان را راجع به آنها می‌گویند. این گرایش‌ها و باورها بر این اساس است که دیگران در ابراز احساساتشان حقیقت را خواهند گفت.

کمیابی

این محرک بیان می‌کند که تمایل ما بیشتر به سمت فرصت‌هایی است که به سختی و با تلاش بسیار به دست آمده‌اند. مثال واضحی از این محرک در زمانی است که به مشتری می‌گوییم از فلان محصول خاص، تعداد محدودی باقی‌مانده‌است و مشتری در زمان کوتاه تری آن را می‌خرد. فن «تعداد محدود» روزانه هزاران بار توسط فروشندگان بکار می‌رود. محرک کمیابی، به همراه فن «آخرین مهلت» نیز بکار برده می‌شود. بطوریکه فروشنده بیان می‌کند یک پیشنهاد فروش خاص تا زمان محدودی ادامه خواهد داشت. به این ترتیب به مشتری فشاری را وارد کرده تا در زمان کوتاه، تصمیمی عجولانه و به نفع فروشنده اتخاذ کند. این محرک همچنین بر این اصل روانشناسی استوار است که وقتی دسترسی به چیزی محدود است، احساس می‌کنیم آزادیمان را از دست می‌دهیم در حالیکه ما همواره تمایل به حفظ آزادی خودمان، داریم. بنابراین در بدست آوردن اقلام کمیاب بیشتر سعی می‌کنیم. فاکتور دیگری که بر قدرت محرک کمیابی می‌افزاید، ترکیب آن با عنصر رقابت می‌باشد. ما همواره بیشتر مجذوب اقلام کمیابی می‌شویم که بر سر آن رقابت هم وجود دارد.

زیبایی دوستی

انسان‌ها تمایل بسیاری در پذیرش درخواست از سمت کسانی را دارند که دوست داشتنی هستند. به بیان ساده تر انسان‌ها پاسخ مثبت را به کسانی می‌دهند که دوستشان دارند و می‌شناسند. مهاجمانی که به دلایل مختلف به دنبال جلب موافقت شخصی، برای انجام کاری هستند، از این محرک استفاده می‌کنند. محققان فاکتورهای گوناگونی که بر محرک زیبایی دوستی اثر می‌گذارند را شناسایی کرده‌اند. در بسیاری از مطالعات جذابیت ظاهری بعنوان فاکتور اصلی شناخته شده‌است. به طور کلی انسان‌های جذاب بسیار سریع تر مورد دوست داشتن قرار می‌گیرند. فاکتور دیگر شباهت می‌باشد. به طور کلی ما انسانهایی را دوست خواهیم داشت که به ما شباهت داشته باشند. شباهت می‌تواند ابعاد گوناگونی داشته باشد. مانند شباهت در عقائد، پس زمینه زندگی و کاری، شخصیت، شیوه زندگی و غیره. عنصر شباهت در ایجاد علاقه بسیار اثر گذار می‌باشد در حالیکه بسیاری از افراد، اثر آن را دست کم می‌گیرند.

اثر گذاری شدید

محرک تاثیر شدید، فرد را از نظر روحی و روانی در شرایطی قرار می‌دهد که دیگر نمی‌تواند بطور منطقی فکر کند. اگر قربانی در شرایط شدید تعجب، هیجان، توقع یا عصبانیت قرار گیرد، دیگر بطور معمولی به این شرایط نگاه نمی‌کند. فرد مهاجم از همان ابتدا با بیان یکسری صحبت‌ها سعی می‌کند روی افراد شدیداً تاثیر بگذارد و این محرک را در آنها تقویت کند. اثر شدید تنها به هیجان، ترس و اضطراب محدود نمی‌شود، بلکه در نتیجهٔ قول اهداء پاداشی چند هزار دلاری یا تهدید به آنکه شغل فرد وابسته به تصمیم شخص خاصی است، می‌تواند ایجاد گردد. ایجاد تشنج‌های شدید در احساسات، موجب حواسپرتی در قربانی شده و توانایی وی را در ارزیابی و تصمیم گیری، مختل می‌کند. کج خیالی پدیده‌ای است که در ارتباط با تاثیر شدید بیان می‌شود. بدینگونه که انتظار برای رسیدن به پاداشی ارزنده، تمام تفکرات منطقی فرد را از مدار خارج می‌کند، در حالیکه اصلاً به این موضوع توجه ندارد که دستیابی یه این پاداش، کاملاً دور از دسترس بوده و سرابی بیش نیست.

بارگذاری اضافی

باورهای غلط درصورتیکه در لابلای خیل باورهای صحیح ترکیب شوند و بسیار سریع و پشت سر هم به فرد منتقل شوند، بدون هیچگونه بررسی مورد توافق و پذیرش وی قرار می‌گیرند. این محرک روانشناسی، بارگذاری اضافی نامیده می‌شود. سر و کار داشتن با حجم بالایی از اطلاعات در زمان کوتاه، بر روی عملکرد منطقی انسان اثر گذاشته و بارگذاری اضافی حسی را بوجود می‌آورد. پردازش حجم بالایی از اطلاعات عقل انسانها را زایل کرده بطوریکه اطلاعات غلط را بدون ارزیابی جذب می‌کنند. بحث و گفتگو نیز در صورتیکه از منظر غیر قابل انتظاری صورت پذیرد، منجر به بارگذاری اضافی می‌شود. قربانی برای تجزیه و تحلیل موضوع از منظر جدید، نیاز به فرصت دارد در حالیکه فرصتی به وی داده نمی‌شود. بدین ترتیب توانایی فرد در پردازش و تجزیه و تحلیل یافته‌ها تقلیل یافته و تمامی گفته‌ها را می‌پذیرد.

روابط فریبنده

محرک روانشناسی دیگر، برقراری ارتباط با قربانی و بهره کشی از وی می‌باشد. یک راه انجام آن به اشتراک گذاردن اطلاعات و بحث در مورد دشمن مشترک است. هنگامی که رابطه‌ای بوجود می‌آید، راه‌هایی برای سوء استفاده از رابطه نیز وجود خواهند داشت. بهترین مثال آن حمله به AOL، بوده‌است، که هکر با بخش پشتیبانی در حدود یک ساعت به گفتگو پرداخته و در خلال گفتگو به وی می‌گویدکه می‌خواهد اتومبیلش را بفروشد، سپس نامه‌ای آلوده را به صندوق الکترونیکی فرد فرستاده و توسط آن نرم‌افزاری را بر روی کامپیوتر فرد نصب می‌کند که نفوذ به شبکه AOL را برای وی تسهیل می‌کند.

حس مسئولیت و وظیفه‌شناسی اخلاقی

محرک حس مسئولیت، زمانی بوجود می‌آید که فرد فکر می‌کند به تنهایی مسئول عملکردش می‌باشد. این محرک را به همراه وظیفه‌شناسی اخلاقی، خیلی خوب می‌توان به کار برد. محرک وظیفه‌شناسی اخلاقی، زمانی بوجود می‌آید که فرد تصور می‌کند برای نجات کارمندان یا سازمان تلاش می‌کند و یا اینکه در حال مبرا کردن خود از اتهامی است. به قربانی این محرک، این حس القا می‌شود که مسئول تصمیمی است، که در شکست یا موفقیت سازمان موثر است. مثلاً با تصمیم فرد ممکن است کارمندی از کار برکنار شود. این تصمیم گیری برای اکثر انسانها خیلی سخت بوده و فرد برای آنکه مسئولیت این تصمیم گیری را نپذیرد، با فرد هکر سازش خواهد کرد.

دفاع در برابر مهندسی اجتماعی

دفاع در مقابل حملات مهندسی اجتماعی سخت تر از دفاع در برابر سایر مخاطرات امنیتی بوده و جزء سخت‌ترین نوع دفاع‌ها خواهد بود. زیرا انسان‌ها، رفتارها و عکس العمل‌های آنها بسیار پیچیده و غیر قابل پیش بینی می‌باشد. بنابراین برای دفاع در مقابل حملات مهندسی اجتماعی، ابتدا نیاز به شناسایی محرک‌های روانشناسی متقاعدسازی و سپس تکنیک‌های مورد استفاده در حملات داریم. با توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست‌های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست‌ها می‌باشد. به طور کلی گام‌های کلیدی برای  ایجاد دفاعی موثر در سازمان عبارتند از:

شناسایی محرک‌های روانشناسی متقاعدسازی

آشنایی با تکنیک‌های حمله مهندسی اجتماعی

شناسایی سطوح مختلف دفاع

استراتژی‌ها ی دفاع

شناسایی سطوح مختلف دفاع

کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب پذیری‌ها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسک‌ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، بطوریکه اگر هکری توانست از سطحی نفوذ کند، در لایه‌های دیگر به دام بیفتد از آنجایی که ثابت شده‌است حملات مهندسی اجتماعی بسیار موفقیت آمیز بوده‌اند، بنابراین داشتن استراتژی چند لایه‌ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله کننده با حملات بسیار خود بالاخره سعی می‌کند تا نقاط ضعیف را شناسایی کند و بهمین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد و یا حداقل تشخیص دهد که مورد حمله قرار گرفته‌است.

سطح پایه‌ای: سیاست‌های امنیتی در برابر مهندسی اجتماعی

هیچ سنگری بدون پایه‌های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست‌های آن است. سیاست‌های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می‌کند. این بنیان زمانی حیاتی تر می‌گردد که سیاست‌های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست‌های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست‌های مشکوک را می‌آموزد. سیاست‌های تثبیت شده، کمک می‌کند که کاربر نهایی حس کند، چاره‌ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده  برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می‌باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می‌توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده‌اند که یکی از راه‌های مقاوم سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می‌باشد. سیاست‌های امنیتی واضح و روشن، خطر تاثیر گذاری متجاوزان بر روی کارمندان را کاهش می‌دهد. سیاست امنیتی باید حوزه‌های خاصی را مد نظر قرار دهند تا بتوانند بعنوان پایه‌های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه اندازی حساب‌ها، تایید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست‌ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه‌ای مانند قدرت، حس مسئولیت و… کمک می‌کند. همچنین در سیاست‌ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. بطوریکه اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سوال برانگیزی باقی نماند.

سطح پارامتر: آموزش آگاهی امنیتی برای همه

پس از تثبیت سیاست‌های امنیتی، تمام کارمندان باید برای آگاهی‌های امنیتی آموزش ببینند. سیاست امنیتی همانگونه که انگیزه‌های امنیتی را بوجود می‌آورند، چارچوب آموزش را نیز تعیین خواهند کرد. سیاست‌هایی که با تفکر تدوین شده باشند و به کارمندان آموزش داده شده باشند در پاسخگویی کارمندان به درخواست‌های مختلف، متجاوزان تمایز ایجاد خواهند کرد. آگاهی‌های امنیتی خیلی پیچیده تر از آنست که به کارمندان بگوییم که پسوردشان را به کسی ندهند. بطوریکه هکر معروف Kevin Mitnick گفته‌است: «من هرگز از کسی نخواسته‌ام که پسوردش را به من بدهد.» نکته در اینجاست که هدف هکر پیچیده تر بوده و سعی در ایجاد اطمینان در فرد و سوء استفاده از آن می‌باشد. کارمندان باید آگاه باشند که مهاجم مهندسی اجتماعی به چه اطلاعات اولیه‌ای نیاز خواهد داشت و از چه گفتگوهایی در راه رسیدن به آن استفاده خواهد کرد. همچنین کارمندان باید بدانند چگونه اطلاعات محرمانه را تشخیص دهند و مسئولیتشان را در قبال محافظت از آن بدانند. آنها باید بدانند که چگونه در مقابل خواسته‌های غیر مجاز «نه» بگویند و چه زمانی برای گفتن این کلمه مناسب است! برنامه‌های آموزشی نیز باید از سیاست‌های امنیتی پیروی کند. اما چند نکتهٔ کلیدی وجود دارد که تمام کاربران باید به آن توجه داشته باشند:

باید بدانند که چه چیزی ارزشمند است.

دوستان همیشه دوست نیستند.

کلمات عبور، اطلاعات شخصی محسوب می‌شوند.

یونیفرم گواه هیچ ارزش سازمانی نیست.

سطح سنگر گیری

نه تنها تمام کارمندان باید آگاهی‌های امنیتی را آموزش ببینند، بلکه در دفاع چند لایه، باید آموزش مقاومت برای پرسنل کلیدی نیز وجود داشته باشد. پرسنل کلیدی پرسنل راهنمایی، خدمات به مشتریان، منشی‌ها، تحویل داران و مهندسان و ناظران سیستم را شامل می‌شود یا بطورکلی هر کسی که کار یاری رسانی و رویارویی با دیگران را در سازمان ایفا می‌کند. آموزش مقاومت منجر می‌شود که کارمندان از متقاعد شدن وافشای اطلاعات مورد نیاز هکر، دوری جویند. روش‌های آموزش مقاومت در ادبیات روانشناسی اجتماعی وجود دارد و کاربران را در برابر تکنیک‌های  هک، قوی می‌کند.

واکسیناسیون: این روش منطبق با ایدهٔ واکسیناسیون بوده، بطوریکه ضعیف شدهٔ آن چیزی که هکرها از کارمندان می‌خواهند را، به کارمندان آموزش می‌دهیم. هکر نیز از روش‌های مشابه پیروی خواهد کرد. بنابراین واکسن از توسعه یک روش جلوگیری می‌کند.

پیش آگاهی: قبل از آنکه اتفاقی رخ دهد در مورد آن اخطار داده و بصورت پیام بگوش همه می‌رسانیم، در اخطار نه تنها از امکان حمله مهاجم اجتماعی خبر می‌دهیم بلکه روش‌ها و چگونگی حمله را نیز بیان می‌کنیم.

سنجش واقعیت: یکی از دلایل آموزش آگاهی امنیتی به این خاطر است که همگان نسبت به آسیب پذیریشان بطور غیر واقعی خوش بین هستند. این برداشت خیلی‌ها را از دیدن ریسک‌های به حق، دور می‌کند. اگر یکبار  بتوانیم طی آموزش آنها را فریب دهیم و سپس نشان دهیم که چقدر آسیب پذیرند، آموزش بسیار موثر خواهد بود.

سطح تثبیت و یادآوری

دفاع چند لایه نیاز به یادآوری‌های متمادی از اهمیت آگاهی دارد. تلنگری کوتاه مدت برای مقابله با نفوذگر، فقط در زمان کوتاهی موثر خواهد بود. یادآوری‌های متوالی و خلاقانه، برای هشیاری افراد از خطرهای موجود، مورد نیاز است. یکی ازبهترین سیاست‌ها در نیروی پلیس اجرا می‌شود، بطوریکه آنها همواره به انسان‌ها یادآوری می‌کنند که چگونه همکارانشان طی عملیات مختلف کشته شده‌اند.

سطح غیر رسمی: مین‌های زمینی مهندسی اجتماعی

SELMها، تله‌هایی در سیستم هستند که حمله‌ها را آشکار کرده و از وقوع آن جلوگیری می‌کنند. درست مثل میدان مین در صحنهٔ نبرد. همانگونه که مین در صورت مقابله با متجاوز منفجر می‌شود، مهاجم را زمین گیر کرده و حمله را متوقف می‌سازد. SELM به قربانی هشدار می‌دهد که حمله‌ای در حال صورت گرفتن است و وضعیت امنیتی جدیدی را باید در پی گرفت. در زیر چند نمونه از این ایده‌ها آورده شده‌است:

Justified-know-it-all: هکر هرگز بطور مستقیم وارد سازمان نمی‌شود تا به گشت و گذار در آن بپردازد، بلکه در سازمان و جاهای مختلف آن، آنقدر پتانسیل‌های متفاوتی برای کسب اطلاعات وجود دارد که می‌تواند از آنها استفاده کند، مثل نامه‌های روی میزها، پرونده‌های درون فایل‌ها، لیست تلفن‌های شرکت و غیره. یک راه حل مناسب آنست که فردی با عنوان JKIA، این وظیفه را داشته باشد که در سازمان بچرخد و ببیند چه کسی، چه کاری می‌کند و در صورت ملاحظهٔ رفتار مشکوک آن را گزارش دهد.

ثبت متمرکز وقایع: داشتن لاگ‌های متمرکز، از تمام فعالیت‌های امنیتی انجام گرفته در شرکت، از حملات موثر جلوگیری می‌کند. مثلاً الگوهای حمله را ردیابی می‌کنند وسپس به بازشناسی آن‌ها می‌پردازند.

تماس مجدد: در این روش اگر فردی درخواست پسورد کرد، می‌بایست از او شماره اش خواسته شود و پس از چک کردن شماره وی با دایرکتوری موجود در سازمان، با او تماس گرفته و اطلاعات به او داده شود.

سطح تهاجمی: پاسخ دهی به رویداد

آخرین سطح دفاعی، پاسخ دهی به رویدادها می‌باشد. بدین ترتیب شبکه دیگر اجازه نمی‌دهد که مهاجم اجتماعی بتواند با کارمندان بی توجه به امنیت در سازمان، صحبت کند. بنابراین نیاز است که فرایندهای پاسخ دهی کاملاً معین باشند تا کارمندان به محض آنکه به فرد یا رفتاری مشکوک شدند، بتوانند آن را به گوش همگان برسانند. برای اثر بخشی بیشتر، باید فرد یا بخشی را برای رهگیری دقیق این رویدادها داشته باشیم، بطوریکه حملات بتوانند سریع و موثرتر شناسایی شوند. این فرد همان شخصی خواهد بود که لاگ‌های رسیده از افرادی که درخواست‌های مشکوک داشته‌اند را شناسایی می‌کند.

استراتژی‌های دفاع

آیا راه حل موثری برای محافظت در برابر حملات مهندسی اجتماعی وجود دارد؟ پاسخ خیر می‌باشد. ساده‌ترین دلیل این است که بدون توجه به آنکه چه کنترل‌هایی پیاده سازی شده‌اند، توجه داشته باشیم که همیشه در حمله‌های مهندسی اجتماعی، فاکتور انسانی وجود خواهد داشت. در زیر لیستی از کنترلهای کلیدی برای محافظت در برابر این حملات آورده شده‌است. همانطور که باید مد نظر داشته باشیم که چه کنترل‌هایی را باید پیاده سازی کنیم، همچنین باید اطمینان داشته باشیم که:

موجب انقطاع فعالیت‌های روزمره نشود.

به اندازه کافی تنومند باشد، بطوریکه مانع تهاجم‌های موازی و گوناگون شود.

کارمنان بتوانند بین حمله و فعالیت‌های روزمره، تمایز ایجاد کنند.

این کنترلهای کلیدی عبارتند از:

سیاست‌های امنیتی

سیاست‌های امنیتی مستند و در دسترس، استانداردهای مرتبط با آن و خطوط راهنما، بنیان استراتژی امنیتی خوب را تشکیل می‌دهند. سیاست‌ها باید به زبان غیر فنی مستند شده؛ گستره و محتوای آن در هر حوزه مشخص شده باشد. در کنار هر سیاست نیز خطوط راهنما و استانداردهای لازم برای پذیرش سیاست‌ها مشخص شده باشد. برای مثال، سیاست امنیتی باید موارد زیر را پوشش دهد:

استفاده از سیستم‌های کامپیوتری: پایش استفاده از نرم‌افزارها و سخت‌افزارهای خارج از استاندارد سازمان، پاسخ دهی به نامه‌های زنجیره‌ای و…

بررسی و طبقه بندی اطلاعات: برای حصول اطمینان از اینکه اطلاعات محرمانه بخوبی طبقه بندی شده‌اند و  محافظت می‌شوند.

موارد امنیتی درمورد پرسنل: پایش کارمندان جدید یا افرادی که کارمند سازمان نیستند، برای آنکه مطمئن شویم تهدید امنیتی بوجود نمی‌آورند.

امنیت فیزیکی: برقرای امنیت فیزیکی با ایجاد محدودیت در دسترسی‌ها با استفاده از ادوات الکترونیکی، بیومتریکی و رویه‌های Sign-in

دسترسی به اطلاعات: موارد استفاده از پسوردها، و ایجاد راهنمایی‌ها برای تولید پسوردهای امن، حسابرسی و صحه گذاری بر دسترسی‌ها و نیز دسترسی‌های راه دور از طریق مودم‌ها و…

حفاظت در برابر ویروس‌ها: برای امن کردن سیستم‌ها و اطلاعات درباره ویروس‌ها و سایر تهدیدها می‌باشد.

پذیرش، آگاهی و آموزش امنیت اطلاعات: برای اطمینان از اینکه کارمندان از تهدیدها و اقدامات تلافی جویانه آگاهی دارند.

انهدام اسناد اطلاعاتی: باید اطلاعات محرمانه کاملاً منهدم شوند، نه اینکه مستقیم داخل سطل زباله ریخته شوند.

بازبینی و نظارت: برای اطمینان از انطباق سازمان با سیاست‌های امنیتی.

مدیریت اگاهانه

مدیران باید نقش خود را بدانند تا اینکه قادر باشند تعیین کنند چه چیزی نیاز به محافظت دارد و چرا! این درک باید وجود داشته باشد تا بتوان سنجه‌های حفاظتی مناسبی را برای مقابله با ریسک‌های مربوطه اتخاذ کرد.

امنیت فیزیکی

کنترل کلیدی برای ایجاد محدودیت در دسترسی‌های فیزیکی کارمندان، پیمانکاران و بازدیدکنندگان به تسهیلات و سیستم‌های کامپیوتری می‌باشد. بعنوان مثال برای جلوگیری از حضور نابجای افراد در جاهای ممنوعه، می‌توانیم از پلاکاردهایی برای نمایش رتبه هر فرد استفاده کنیم.

آموزش و آگاهی

یک راه حل ساده برای ممانعت از حملات می‌باشد. برای مثال کارمند آگاه، می‌داند که نباید اطلاعاتی که خارج از حیطهٔ اختیاراتش است را در اختیار دیگران قرار دهد. برنامه‌های خوب آگاهی بخش و آموزنده، بر روی رفتارهای لازم تمرکز می‌کند. این برنامه‌ها برای کاربران چک لیستی را فراهم می‌کند که بتوانند حمله‌های احتمالی مهندسی اجتماعی را شناسایی کنند. مهاجمین مهندسی اجتماعی، عمدتاً به کارمندانی که در معرض گفتگوی مستقیم هستند، حمله می‌کنند. مثلاً منشی‌ها، گاردهای امنیتی و نظافتچی‌ها. چنین کارمندانی، اطلاعات و دانش فنی نداشته و از سیاست‌های امنیتی و از حساسیت و محرمانگی اطلاعات برای سازمان آگاه نیستند. این حس باید برای تمام کارمندان ایجاد شود که مسئول امنیت سازمان می‌باشند. آنها باید از همان روز اول خود را جزء پروسه امنیت سازمان بدانند و باید این اعتماد به نفس به آنها داده شود که می‌توانند با غریبه‌ها چالش کرده و از آنها کارت شناسایی بخواهند.  برنامهٔ آموزشی کارمندان، باید دربرگیرنده معرفی داستانهای مهندسی اجتماعی باشد و به آنها نشان داده شود که مهاجمین چگونه سعی در کشف اطلاعات مهم و حتی ساده دارند. بیان داستانهای موثق که چه اتفاقاتی برای قربانی‌های دیگر رخ داده‌است، مقاومت در برابر حمله‌های مهندسی اجتماعی را افزایش می‌دهد.

معماری صحیح زیرساخت‌های امنیتی

معماری هوشمندانه زیر ساخت امنیتی، به پرسنل اجازه می‌دهد تا بر وظایف مهم خود تمرکز کنند. بعنوان مثال باید مطمئن شویم که دیوارهٔ آتش با همان دقتی که مانع تهاجم از خارج به داخل می‌شود، مانع از تراوش اطلاعات از داخل  به خارج نیز خواهد شد. همچنین مدیر باید، رفتار محیط شبکه‌ای خود را در شرایط مختلف بشناسد.

محدودیت در پراکندگی داده‌ها

کاهش در میزان اطلاعاتی که در اختیار دیگران قرار می‌گیرد، حملات مهندسی اجتماعی را بدون نتیجه خواهد گذاشت. بعنوان مثال وب‌گاه‌ها، بانک‌های اطلاعاتی، ثبت نامهای اینترنتی و سایر دسترسی‌های عمومی فقط باید اطلاعاتی کلی را در اختیار دیگران قرار دهند. مثلاً بجای قراردان نام کارمندان؛ از نام شرکت، شمارهٔ تلفن، عنوان‌های کاری و…. را در اختیار گذارند.

استراتژی‌های رویارویی با حملات مهندسی اجتماعی

استراتژیهای مستند شده پاسخگویی، این اطمینان را به وجود می‌آورند که کارمند درشرایط ای که تحت فشار است، دقیقاً بداند که باید از چه رویه‌هایی پیروی کند. بعنوان مثال، اگر کارمند درخواستی را دریافت کرد، صحت آن را قبل از عمل به آن دستورالعمل، برررسی کند و اگر قبلاً به آن درخواست عمل کرده بود، باید رئیس را از این موضوع مطلع کند. از این به بعد، این مسئولیت رئیس است که مطمئن شود هیچ کارمند دیگری به درخواست‌های مشکوک پاسخ نمی‌گوید.

استراتژی‌های محافظت از پسورد و روش‌های صحه گذاری

متداول‌ترین اطلاعاتی که مهاجم مهندسی اجتماعی سعی در آگاهی از آن دارد، دانستن رویه‌های اعتبار سنجی می‌باشد. به محض اینکه پسورد کارمندی لو برود، هکر کنترل اوضاع را در دست خواهد گرفت و به سازمان ضرر خواهد رساند. سیاست پسورد بسیار ساده‌است. دربارهٔ پسورد هرگز، نه تنها در تلفن بلکه هر زمان دیگر صحبت نکنید. کاربران باید بطور کامل از اهمیت پسوردشان آگاه باشند و اگر به آنها آموزش لازم داده نشود آن را بدون هیچ فکر و واهمه‌ای در اختیار دیگران قرار می‌دهند. پسوردها باید در زمانهای متوالی تعویض شوند و قوانین پسورد توسط مدیران ارشد به کارمندان القاء شود. البته راه حل‌های تکمیلی دیگری چون PIN و ID کارت‌ها نیز برای حفظ دسترسی به سیستم‌های مهم وجود دارد. البته باید توجه کرد که اولین اقدام هر هکر آن خواهد بود که در اولین فرصت PINها را عوض کند.

استفاده از رویه‌های احسن برای کاهش ریسک

برای سنجش وضعیت کارمندان و پیمانکاران، رویه‌های صحه گذاری باید مد نظر قرار گیرد.

سیستم‌های طبقه بندی داده با چارچوب‌هایی برای آزادسازی اطلاعات در هر سطح، تدوین شود.

برای پیامدهای امنیتی تمامی کارمندان، برنامهٔ آموزشی گذاشته شود.

پرسنل کلیدی باید آموزش‌هایی برای مقاومت در برابر حملات مهندسی اجتماعی ببینند.

تست‌های نفوذ پذیری و اطمینان از اطلاعات بطور مستمر، برای توسعه آگاهی و بازخورد سریع از کارمندان گرفته شود.

بطور مستمر و اتفاقی، مانورهای مهندسی اجتماعی در سازمان انجام شود.

به کارمندان آموزش داده شود که قسمت حیاتی از سیستم امنیتی را تشکیل می‌دهند و در برابر آن مسئول هستند.

تمام کارمندان باید از حملات مهندسی اجتماعی آگاه باشند. تا خود قاضی خود باشند و مثلاً اگر فکر می‌کنند نامه‌ای مشکوک است، آن را باز نکنند.

باید به تمام کارمندان فنی مفاهیم اسب تراوا و نامه‌های زنجیره‌ای توضیح داده شود.

به تمام کاربران سیستم اطلاعاتی باید آموزش داده شود که چگونه از نرم‌افزارهای ضد ویروس استفاده کنند و آن را بروز رسانی کنند. نیز آگاه باشند که پیوست نامه‌های الکترونیکی و لینک‌های ناشناخته را باز نکنند.

به کارمندان آموزش داده شود که چگونه مودبانه با افرادی که دارای قدرت بالاتری هستند ولی درخواست‌های نا معقول دارند، برخورد کنند.

آگاهی باید همواره در سطح بالایی قرار گیرد. به همین دلیل باید دوره‌های بروزرسانی وجود داشته باشد و بعنوان مثال در آن‌ها نمونه‌های جدید حملات مهندسی اجتماعی بیان شود.

عمق دفاع در سیستم جزء مهمی در امنیت است و از حمله‌های چندگانه جلوگیری می‌کند. باید از چک کردن‌های دولایه یا سه لایه استفاده شود.

باید ممیزی‌های مستمری وجود داشته باشد و رویه‌های امنیتی با استفاده از کارمندان همواره تست شود. مثلاً چک شود که دستگاه‌های غیر مجاز به سیستم اطلاعاتی سازمان، متصل نشده باشند.

تهدیدهای درونی شناسایی شوند. پیمانکاران و دانشی را که کارمندان هنگام ترک سازمان با خود می‌برند. کنترل شود.

برای رسانه‌های مشکوک، مدیریت و برنامه ریزی وجود داشته باشد.

فرهنگ امنیت

ایجاد فرهنگ امنیت اطلاعات در سازمان، فرایندی است اثر بخش که گامهای زیر را در بر خواهد داشت:

ایجاد آگاهی از حملات امنیتی در کارمندان

فراهم سازی ابزارهای مقابله

برقراری ارتباطات دو طرفه میان پرسنل امنیت، مدیران و کارمندان

ایجاد فرهنگ امنیت، امری زمان بر بوده و به آن با عنوان سرمایه گذاری بلند مدت باید نگاه کرد که نیاز به تلاش  مستمر، بهبود و نگه داری دارد.

بررسی اعتبار

اعتبارسنجی مدارک و احراز هویت باید در سازمان نهادینه شود و برای تمام کسانی که به ادعا یا سمتشان شک  می‌رود مورد استفاده قرار گیرد؛ چه یونیفرم سازمان را پوشیده باشد و چه ادعا کند که در حالت اضطراری هستند. بررسی اعتبار سه مرحله دارد:

اعتبار سنجی مشخصات

اعتبار سنجی رتبه کارمندی

اعتبار سنجی «نیاز به دانستن»

مثالهایی از فرایندهای اعتبار سنجی عبارتند از:

می بایست با شخص تماس گیرنده، برای چک کردن شماره تماس و شناسایی او تماس گرفته شود. اگر ممکن بود، بهتر است از شماره‌هایی استفاده شود که در دایرکتوری سازمان وجود دارند و نه از شماره‌های داده شده توسط فرد تماس گیرنده.

از کارمندان معتمد خواسته شود که اعتبار سنجی را انجام دهند.

در برخی موارد بهتر است تماس گیرنده را در حالت انتظار قرار داده و از سرپرست درخواست کمک شود.

در صورتی که تماس گیرنده ادعا کرد که شناسهٔ کاربری را گم کرده‌است، با او تماس گرفته شود تااحراز هویت صورت گیرد.

دایرکتوری کابران بروز نگاه داشته شود.

چنین استراتژی‌های اعتبار سنجی فقط زمانی موثر خواهد بود که بعنوان سیاست‌های امنیتی توسط مدیر ارشد پشتیبانی شوند. از آنجایی که مهندس اجتماعی از توانایی دسترسی افراد به اطلاعات، سوء استفاده می‌کند؛ بنابراین اگر کسی مدیر ارشد را برای احراز هویتش به چالش بیندازد، نباید او را سرزنش کرد. اگر با کارمندان بطور مسالمت آمیزی رفتار نشود، آنها توانایی و دلگرمی خود را در چالش کشیدن هر کسی که ادعای ارشد بودن می‌کند را از دست خواهند داد. بنابراین باید به آنها آموزش داد تا به گونه‌ای دوستانه از دیگران بخواهند که خودشان را به سازمان بشناسانند.

کاهش ضرر با استفاده از بیمه

سازمان می‌تواند خود را در برابر حملات امنیتی، بیمه کند. بیمه کنندگان در سازمان به‌دنبال سیاست‌ها و رویه‌هایی هستند که برای کاهش تهدیدهای امنیتی در پیش گرفته شده‌اند. نمونه‌ای از آنها عبارتند از:

سیاسست‌های ممیزی داخلی

سیاست‌های پسورد گذاری

سیاست‌های بکارگیری نیروهای انسانی و بررسی سابقهٔ پیشین آنها

آگاهی امنیتی، برنامه‌های آموزشی و نیازهای پذیرش برای کارمندان و غیر کارمندان

تماس با فروشندگان و سایر تامین کنندگان خارجی

بیمه گران نگران محصولات یا کارمندان برای کاهش حملات نیستند، بلکه حملات را با کنترل‌ها و سیاست‌هایی که در محل اجرا می‌کنند، کاهش می‌دهند.

ممیزی پذیرش و کاربری سیاست‌ها

تدوین استراتژی‌ها، سیاست‌ها و کارمندان آموزش دیده در صورتیکه موافقتی با آن وجود نداشته باشد، کاملاً بی ارزش خواهد بود. بنابراین نیاز به ممیزی کاربری سیاست‌ها در سازمان می‌باشد. برای مثال، هنگامیکه تضمین کیفیت برای پروژه‌ای اجرا می‌شود، یکی از گام‌ها، ارزیابی پذیرش سیاست‌های امنیتی در سازمان می‌باشد. برای مثال رویه‌های ممیزی خاصی باید وجود داشته باشد تا مطمئن شویم کارمند Helpdeskk، دربارهٔ پسورد، پشت تلفن یا از طریق نامه‌های رمزنگاری نشده، صحبت نمی‌کند. مدیران نیز باید بطور دوره‌ای دسترسی‌های کارمندانشان را بازنگری کنند. ممیزی امنیتی نیز باید اطمینان حاصل کند که افراد دیگر دسترسی‌های غیر لازم را ندارد. نقاط دسترسی نیز مانند درب‌ها و… باید همواره مانیتور شوند. بدین ترتیب اطمینان حاصل می‌شود که کارمندان سیاست‌های امنیتی را برای دسترسی به نقاط امن، رعایت می‌کنند. محل کار کارمندان نیز باید بطور تصادفی مورد بازرسی قرار گیرد تا مطمئن شویم اسناد محرمانه در کمدهای امن قرار گرفته‌اند. محل‌های کار نیز خارج از زمانهای کاری، باید همواره قفل باشند.

منبع :

ویکی پدیا