私はDIO(防御的情報操作)の擁護者であり、ソーシャルエンジニアリングとサーバーセキュリティーとの関係について常に懸念してきました。スタッフメンバーに管理アクセス権を与えるには、この時代では、伝わるのが難しいという信頼が必要です。
従業員の活動を安全にして、無効なサーバーアクセスのリスクを軽減するために、現代の企業はどのような戦略を使用していますか自動化された方法で?
ソーシャルエンジニアリングを完全に防ぐことはできないため、被害の制限に取り組む必要があります。ソーシャルエンジニアリングは、何かをする特権を持っている人、または何か重要なことを知っている人にのみ機能します。機密情報と危険な特権を削除すると、セキュリティのフットプリントが大幅に減少します。
あなたが探しているのは、適切な認証と組み合わされた 職務分離 です。つまり、各ユーザーに、自分の仕事に必要な最小限の特権を与えますが、必要な特権を持つ上司にタスクまたは手順をエスカレートしたり、必要な特権を持つ代替部門に操作を渡したりすることができます。 IDを適用するための適切な認証メカニズムも提供します。
たとえば、銀行では、コールセンターのスタッフに与信限度を変更する機能を付与するが、トランザクションに不正のフラグを立てる機能は付与しない場合があります。詐欺部門はトランザクションにフラグを立てることができますが、与信限度を変更することはできません。さらに、コールセンターのスタッフは、ローンを直接承認することはできませんでしたが、ローンの申請書を上司に送信することができ、上司は申請書を承認または拒否できます。システムへのすべてのアクセスは、パスワードとハードウェアトークン(スワイプカード、RSAセキュアキーなど)によって最低限実施する必要があります。これにより、IDが実施され、一連の保管が証明されます。
特権のある場所(サーバールーム、SSH経由のログインなど)にアクセスするには、多要素認証が必要です。ソーシャルエンジニアリングはあなたが知っていることを知るのに効果的ですが、あなたが持っている、または持っているものを得るのにそれほど効果的ではありません。適切な物理的セキュリティと、2要素または3要素の認証を必要とするデジタル認証を使用してアクセスします。機密性の高い資産にアクセスする場合は、複数の従業員による多要素認証が必要です。
このすべてに加えて、どこでも監査ログを使用します。人が行うすべての変更はログに記録する必要があり、ログが破壊または改ざんされないようにするための適切な措置が取られています。これは問題を特定する方法を提供し、従業員が悪意のある何かをした場合に法的手段をあなたに残します。
プロセスを自動化する最良の方法は、ソーシャルエンジニアリングを不可能にすることです。たとえば、パスワードが保存されていない場合、「私のパスワードを教えてください」という量は機能しません。
人の介入を許可する必要がある場合は、標準手順の例外にフラグが立てられ、偏差の程度に比例して2階に押し上げられるようにしてください。私がスーパーマーケットにいるときは約3回に1度グリッチが発生し、チェッカーはスーパーバイザーに手を出して意味のない清算プロセスを実行する必要があります。それは日常的なことなので無意味に見えますが、ある種の詐欺が発生しないようにすることを意図していると思います。
ささいなことを言いたくありませんが、最適な自動化プロセスは、従業員に管理者アクセスを許可しないことです。
必要に応じて、必要に応じて権限を割り当て、業務を遂行します。誰かが管理者グループに割り当てられたときに、グローバルアラートを作成します。
これにより、1人のユーザーが実行できるダメージが制限され、ユーザーのアクションの監視を自動化したり、一時的な特権を割り当てるタイミングと方法を簡単に自動化したりできます。
煩わしくて不便ですが、基本的なことは最小限の特権です。
正直なところ、何かを自動化することは、ソーシャルエンジニアの攻撃を防ぐためにできる最も悪いことの1つだと思います。人間は動的なので、人間が社会的手法でシステムを危険にさらすのを防ぐために採用する戦略もそうです。
あなたの携帯電話プロバイダーに電話をかける場合を例にとろう。私の携帯電話プロバイダーが私の住所と生年月日を尋ねるだろうことを知っています。本質的に、これはセキュリティが不十分です。ターゲットを攻撃することを計画していた場合、その情報のみを調べる必要があるためです。従業員は単に彼らの前に置かれた質問をするドローンです。
より安全な(ただし、より厄介な)ソリューションは、セキュリティの質問を定期的に変更することです。さまざまな質問をしたり、6か月ごとに新しい(ランダムに選択された)セキュリティの質問に顧客に答えたりすることができます。
セキュリティを自動化する過去の取り組み( RSA攻撃 または Googleの2要素認証 を参照)は、期待よりも効果が低いことが証明されています。