Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Szabadulószoba a biztonságtudatosságért

2017. november 22., szerda 11:14

A májusi szerdai előadáson Oroszi Eszter előadását hallhattuk.  Az előadáson keresztül a felhasználók biztonságtudatosságának fejlesztésének egy új, kevésbé emlegetett módszerét ismerhettük meg, aminek a lényegi részét egy, a célnak megfelelően kialakított szabadulószoba jelenti.

Az előadó gyorsan összefoglalta, hogy a hagyományos IT security awareness tréningekkel a legnagyobb probléma, hogy a résztvevők alapvetően túlságosan passzívak, holott az interaktivitás fontossága olyan képesség kialakításában, mint az éberség, elengedhetetlen. Világos, hogy a hagyományos biztonságtudatosságot fokozó tréningek alapvetően unalmasak, mivel már ismert dolgokat mutatnak be, ami ugye kódoltan azt is jelenti, hogy hiába ismer elvben valaki egy bizonyos típusú kockázatot, közel sem biztos, hogy eléggé éber lesz, amikor valaki egy tényleges social engineering támadással próbálkozik.

Eszterék olyan szabadulószobát alakítottak ki, ahol a tréning résztvevői egy időre a támadó bőrébe bújhatnak, az irodaként kialakított szabadulószobában lényegében meg kell találniuk a továbblépéshez szükséges információkat, ami lehet akár egy aktatáskát nyitó kulcs megkeresése a fiókokban vagy éppen egy emlékeztetőt tartalmazó postit-cetli, amit a szoba hipotetikus alkalmazottja, esetleg megpróbált elrejteni. Egyszóval a játékosoknak minél ötletesebben kell turkálniuk használható információk után kutatva, amíg meg nem találják végül a zárolt munkaállomás feloldásához szükséges jelszót.

Szóba került, hogy a többség egész egyszerűen nem szeret turkálni, ami teljesen érthető, hiszen nem ahhoz szokott hozzá, hogy idegen helyen turkáljon. A szabadulószobát a játék közben persze felügyelni kell, így a játékosnak segítséget lehet nyújtani, ha esetleg elakadna az ötletelésben. Több apró siker pedig természetesen fokozza az egész játék élményszerűségét, emellett a játékosok amellett, hogy korábban tudtak róla, valóban tudatosul is bennük, hogy bárki lehet célpont, másrészt hiba vakon bízni a fizikai biztonságban. Azaz akár érzékeny információkat tartalmazó dokumentumokat elzáratlanul hagyni vagy egy munkaállomást lezáratlanul hagyni még akkor is rizikós, ha elvben az irodákba csak a cég alkalmazottjai léphetnek be.

Persze csak elvben, mivel sok-sok helyen mindegy, hogy beléptető kártyával lehet csak bemenni illetve átmenni egy-egy irodába, sok esetben még ez sem zárja ki a tailgating  és a piggybacking  módszerével kivitelezett bejutást. Emellett ahogy az minden, azonosítást igénylő helyen lenni szokott, több munkahelyen az alkalmazottak esetleg kölcsönadják a saját beléptetőkártyájukat. Ahogyan az sem zárható ki, hogy egy támadó új alkalmazottnak adja ki magát és azzal téveszt meg egy alkalmazottat, hogy a beléptetőkártyája valami miatt nem működik, így a feljogosított felhasználó inkább beengedi a sajátjával. A social engineering támadásoknál gyakran visszatérő elem, hogy a támadó az áldozat segítőkészségét használja ki, lévén, hogy alighanem gyakrabban fordul elő, hogy egy arra feljogosított alkalmazott nem tud bejutni valahova, mint annak, hogy kifinomult csalással jusson be valaki egy irodaépület valamelyik részébe. Hirtelen a Deloitte két reklámfilmje jutott eszembe, mindkét esetben a social engineering teremti meg a lehetőségét annak, hogy később a támadók sikeresen férhessenek hozzá egy, amúgy jól őrzött cég hálózatához.

Megjelent: 86 alkalommal
Értékelés:
(0 szavazat)

Média


A hozzászóláshoz be kell jelentkezned

Adminisztráció

Regisztrációt kizárólag ISACA tagoktól fogadunk el, így a regisztrációs folyamat során felkérjük Önt, hogy ISACA tagsági számát küldje meg számunkra!
Köszönjük!