כיצד למנוע ולמזער את הסיכון להתקפת הנדסה חברתית?

כשזה מגיע לפריצה, הדבר המסוכן ביותר במרבית החברות כנראה אינה רשת המחשבים שלהן אלא העובדים.

תוקפים העושים שימוש בהנדסה חברתית משתמשים בשיטות פסיכולוגיות שונות, כדי להערים על העובדים במטרה שיסמכו על הצד התוקף, או שהם מצליחים ליצור אצל העובד-המשתמש מצגת שווא של דחיפות וחרדה, שמטרתה הורדת החשדנות בצד השני, בכדי לחדור לארגון.

חברו הטוב ביותר של האקר הוא העובד הנחמד

אחת החולשות הגדולות ביותר באסטרטגיית אבטחת הסייבר של כל ארגון טמונה בטעויות אנוש.

התקפות הנדסה חברתית מנצלות את הפגיעות הזו, בכך שהן גורמות לאנשים ומשתמשים שאינם חושדים בדבר לפגוע באבטחה ולמסור מידע רגיש. מכאן שתפקידם של משתמשי הקצה בארגון באבטחה הוא קריטי. משתמשי הקצה הם אלה שיאלצו לעקוב ולבצע את הכללים ומדיניות אבטחת המידע שהוגדרה, לכן יש לוודא שמשתמשי הקצה מודעים לכללים, למדיניות ולמשמעותם – הבנה של משמעות הכללים והמדיניות תסייע ברתימת המשתמשים בארגון.

הדרך הטובה ביותר למנוע אירוע כתוצאה מתקיפה בשימוש הנדסה חברתית היא ללמוד את השיטות, הטריגרים הפסיכולוגיים והכלים הטכנולוגיים בהם משתמשים התוקפים – כך ניתן לעזור למשתמש לזהות אותן ולהימנע מהן.

משתמשת גם לתקיפות סייבר של ארגונים. הנדסה חברתית. אילוסטרציה: BigStock

כיצד למנוע/למזער התקפת הנדסה חברתית?

הנדסה חברתית מהווה איום קריטי לאבטחת הארגון, לכן יש לתת עדיפות למניעה והתקפות של התקפות אלה, כחלק מרכזי באסטרטגיית אבטחת הסייבר. מניעת התקפת הנדסה חברתית דורשת גישה הוליסטית לאבטחה, המשלבת כלי אבטחה טכנולוגיים עם הכשרה מקיפה למשתמשים ולצוות אבטחת המידע.

הנדסה חברתית אינה התקפה המבוססת על טכנולוגיה, אלא התקפה פסיכולוגית/התנהגותית, קשה עד בלתי ניתן לעצור אותה באמצעים טכניים בלבד. לכן הנושא מצריך חינוך והכשרת המשתמשים לעירנות וזיהוי התקפות מסוג זה.

הכשרה מקיפה בתחום הנדסה חברתית תאפשר למשתמש:

• לקבוע אם הודעת דואר אלקטרוני זויפה (ריחוף מעל שם השולח, כדי לוודא שכתובתו תואמת את כתובת הדוא"ל; בדיקת כתובת הדוא"ל; איתור שגיאות תוכן; ועוד…)
• להיות חשדן לגבי כל תקשורת לא רצויה – במיוחד ממישהו שהוא לא מכיר
• להימנע מהורדת קבצים (קישורים) מצורפים בדוא"ל חשודים
• לוודא שכתובת האתר בקישור חוקית (באמצעות ריחוף מעל הקישור)
• לבצע אימות זהותו של צד ג' לא מוכר, באמצעות שיטת יצירת קשר חלופית (למשל, באופן אישי או באמצעות התקשרות ישירה אליו), לפני שימסור מידע רגיש

פתרונות שונים בתחום הדרכה ומוכנות לאירועי סייבר מאפשרים לנהל בדיקות, לדוגמה: מתקפות דיוג מדומות, בהן נשלחות הודעות דוא"ל מזויפות למשתמשים במטרה לאמוד את כמות המשתמשים הנופלים לטקטיקות ההנדסה החברתית – לאחר מכן ניתן לאמן את המשתמשים שכשלו בהתאם לצורך.

בנוסף לאימון המשתמשים, יצירת תרבות חיובית בתחום אבטחת המידע אף היא מהווה נדבך קריטי להכלת מתקפות העושות שימוש בהנדסה חברתית, משום שהן יאפשרו למשתמשים להרגיש בנוח לדווח על עצמם, במידה שהם מאמינים שנפלו קורבן להתקפה, דבר שלא יעשו אם הם מודאגים מהעונש או מהשפלה פומבית בעת דיווח על בעיות כאלו ברגע שהן מתרחשות. באמצעות תרבות אבטחה חיובית ניתן למתן איומים, פעמים רבות לפני שאירע נזק רב מדי.

לבסוף, יישום כלי אבטחה טכנולוגיים שונים בתחום אבטחת המידע יעזור לנטרל מתקפות על הארגון ואף למזער נזק, במידה שתוקף הצליח לחדור לארגון או שבוצעה הפרה של כללי ומדיניות אבטחת המידע בארגון.

כלים טכנולוגיים אלו כוללים חומות אש לביצוע סגמנטציה נכונה, מסנני דואר זבל בדוא"ל, תוכנות אנטי וירוס ותוכנות זדוניות, כלי ניטור רשתות ואפליקציות, ניטור התנהגות משתמשים (UEBA), ניהול תיקונים (Patch Management) ואוטומציה של תגובה (SOAR).

הכותב הוא מהנדס פרה-סייל בחברת בינת תקשורת מחשבים