Computersicherheit - 8-Methoden zur Verhinderung von Social-Engineering-Angriffen




Social Engineering in seiner Grundform ist Hacker Talk, um Computerbenutzer aus ihrem Benutzernamen und Passwort heraus zu manipulieren. Social Engineering geht weit über Benutzernamen und Passwörter hinaus. Ein gut geplanter Social-Engineering-Angriff kann Unternehmen zerstören. Alle verheerenden Informationsdiebstähle haben eine Art Social-Engineering-Angriff eingesetzt. Social Engineering ist so effektiv, weil Computeradministratoren und Sicherheitsexperten ihre ganze Zeit damit verbringen, Systeme zu patchen und nicht Mitarbeiter über Informationssicherheit zu schulen. Informationssicherheit geht über das Patchen von Computern hinaus und ist eine Kombination aus physischer Sicherheit, Computer- / Netzwerkrichtlinie und Mitarbeiterschulung.

In diesem Artikel werden viele der allgemeinen Sicherheitslücken beschrieben, die Informationsdiebe ausnutzen, und wie Sie sie verhindern können.

1. Informationen zu Websites



Unternehmenswebsites sind der beste Ausgangspunkt für das Sammeln von Informationen. Häufig gibt ein Unternehmen alle Namen, E-Mail-Adressen, Positionen und Telefonnummern seiner Mitarbeiter an, damit jeder sie sehen kann. Sie möchten die Anzahl der auf einer Website aufgeführten Mitarbeiter und Telefonnummern begrenzen. Außerdem sollten aktive Live-Links zu E-Mail-Adressen von Mitarbeitern vermieden werden. Ein häufiger Fehler ist, dass der E-Mail-Benutzername eines Unternehmens mit der Netzwerkanmeldung übereinstimmt. Beispiel: E-Mail-Adresse von [Email protected] hat einen Benutzernamen von jsmith für das Netzwerk mit demselben Kennwort für E-Mail und das Netzwerk.

2. Telefonbetrug



Jemanden am Telefon zu betrügen ist sehr einfach. Die Mitarbeiter des Unternehmens müssen geschult werden, höflich, aber vorsichtig zu sein, wenn sie Anrufern telefonische Informationen geben. Ein Hacking-Betrug ist, dass ein Hacker eine Firma anruft, die sich als Computerverkäufer ausgibt. Die Verkäufer fragen die Sekretärin, über welchen Computertyp sie verfügen, über ein drahtloses Netzwerk und welche Betriebssysteme sie betreiben. Hacker können diese Informationen verwenden, um ihren Angriff auf das Netzwerk zu planen. Weisen Sie Ihre Mitarbeiter an, alle IT-bezogenen Fragen an den technischen Support weiterzuleiten.

3. Fremdfirmen



Externe Auftragnehmer sollten eine Sicherheitsverbindung haben, um ihre Aktivitäten zu überwachen. Die Sicherheitsbeauftragten sollten über die vom Auftragnehmer auszuführenden Arbeiten, den Einsatzbereich, die Identität des Auftragnehmers und darüber informiert werden, ob der Auftragnehmer Gegenstände vom Arbeitsplatz entfernen wird.

4. Müllcontainertauchen



Der einfachste Weg, Informationen über irgendjemanden zu erhalten, besteht darin, den Müll zu durchsuchen. In jedem Fall sollten Aktenvernichter eingesetzt oder ein Zerkleinerungsdienst beauftragt werden. Außerdem sollte sich der Müllcontainer an einem sicheren Ort befinden und überwacht werden.

5. Sekretärinnen



Sie sind Ihre erste Verteidigungslinie. Trainieren Sie sie, um niemanden in Ihr Gebäude zu lassen, es sei denn, sie sind sicher, wer sie sind. Überwachungskameras sollten im Haupteingang und auch außerhalb des Gebäudes angebracht werden. Ein Dieb, der Ihr Netzwerk überprüft, prüft, ob er beim Betreten des Gebäudes herausgefordert wird. Kameras können dabei helfen, Muster und verdächtige Personen zu identifizieren.

6. KEINE PASSWÖRTER



Stellen Sie sicher, dass die technische Abteilung Sie niemals anruft oder Sie per E-Mail nach Ihrem Benutzernamen oder Passwort fragt. Wenn jemand anruft und nach einem Passwort oder Benutzernamen fragt, werden überall rote Flaggen angezeigt.

7. ABMELDEN



Social-Engineering-Angriffe bringen den Hacker in das Gebäude und finden in der Regel viele Arbeitsplätze, an denen sich der Benutzer nicht abgemeldet hat. Machen Sie es sich zur Unternehmensrichtlinie, dass sich alle Benutzer jedes Mal von ihren Arbeitsstationen abmelden müssen, wenn sie diese verlassen. Wenn die Richtlinie nicht befolgt wird, sollte der Mitarbeiter schriftlich oder angedockt bezahlt werden. Machen Sie die Arbeit eines Hackers nicht einfacher als es bereits ist.

8 . Schulung



Informationssicherheitstraining ist ein Muss für Unternehmen jeder Größe. Informationssicherheit ist ein mehrschichtiger Ansatz, der von der physischen Struktur des Gebäudes bis zur Konfiguration der einzelnen Arbeitsstationen reicht. Je mehr Schichten Ihr Sicherheitsplan hat, desto schwieriger ist es für einen Informationsdieb, seine Mission zu erfüllen.