Социальная инженерия (безопасность)
В контексте информационной безопасности социальная инженерия — это психологическое манипулирование людьми, заставляющее их совершать действия или разглашать конфиденциальную информацию . Это отличается от социальной инженерии в социальных науках, которые не касаются разглашения конфиденциальной информации. Тип обмана с целью сбора информации, мошенничества или доступа к системе, он отличается от традиционного «аферы» тем, что часто является одним из многих шагов в более сложной схеме мошенничества. [1]
Это также было определено как «любое действие, которое побуждает человека совершить действие, которое может отвечать или не отвечать его интересам». [2]
Примером социальной инженерии является использование функции «забыли пароль» на большинстве веб-сайтов, требующих входа в систему. Неправильно защищенная система восстановления пароля может быть использована для предоставления злоумышленнику полного доступа к учетной записи пользователя, в то время как первоначальный пользователь потеряет доступ к учетной записи.
Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции могут помочь различным сегментам организации работать эффективно или работать против эффективности информационной безопасности внутри организации. «Изучение взаимосвязи между организационной культурой и культурой информационной безопасности» дает следующее определение культуры информационной безопасности: «ISC — это совокупность моделей поведения в организации, которые способствуют защите информации всех видов». [3]
Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» организации в области информационной безопасности и часто предпринимают действия, которые игнорируют интересы организации в области информационной безопасности. [4] Исследования показывают, что культура информационной безопасности нуждается в постоянном совершенствовании. В статье «Культура информационной безопасности от анализа к изменению» авторы отметили, что «это бесконечный процесс, цикл оценки и изменения или обслуживания». Они предполагают, что для управления культурой информационной безопасности необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, внедрение и постоценка. [5]
Все методы социальной инженерии основаны на определенных атрибутах человеческого процесса принятия решений, известных как когнитивные предубеждения . [6] [7] Эти предубеждения, иногда называемые «ошибками в аппаратном обеспечении человека», используются в различных комбинациях для создания методов атак, некоторые из которых перечислены ниже. Атаки, используемые в социальной инженерии, могут использоваться для кражи конфиденциальных данных сотрудников. Наиболее распространенный тип социальной инженерии происходит по телефону.Другие примеры атак социальной инженерии - преступники, изображающие из себя истребителей, пожарных и технических специалистов, чтобы остаться незамеченными, когда они крадут секреты компании.
