چگونه مهندسی اجتماعی بر امنیت مرکز داده تاثیر می گذارد | دانش مرکز داده

یکی از تیم های مدیریت مرکز داده به سختی یاد گرفت که باگ ها می توانند یک تهدید باشند — یا به عبارت دقیق تر، افرادی که آنها را شکار می کنند. و ما در مورد اشکالات واقعی و شش پا صحبت می کنیم، نه از نوع کامپیوتری.

نوامبر گذشته زمانی شروع شد که NetSPI، یک شرکت تست نفوذ مستقر در مینیاپولیس، برای انجام آزمایشی توسط شرکتی که دارای چندین تاسیسات هم‌سکویی بود، استخدام شد. کار NetSPI این بود که از مهندسی اجتماعی برای نفوذ فیزیکی به مرکز داده استفاده کند تا بتواند به یکی از امکانات آنها دسترسی پیدا کند و در موقعیتی قرار گیرد که بتوانند به شبکه ها دسترسی داشته باشند.

Dalin McClellan، مشاور ارشد امنیتی در NetSPI گفت: “این یک مرکز بسیار امن بود.” “همه درها دارای اسکنر شبکیه چشم و نشان خوان هستند. و تله های انسان وجود دارد. از در وارد اتاق کوچکی می شوید و با دست تکان می دهید تا منتظر بمانید تا درب اول بسته شود قبل از اینکه بتوانید در دوم را باز کنید و وارد شوید.” این بدان معناست که تیم مک‌کللان نمی‌توانستند کسی را به داخل ساختمان تعقیب کنند. بدتر از آن، تنها دو کارمند در این مرکز کار می کنند، به اضافه یک نگهبان. غریبه ها بلافاصله بیرون می آمدند. مک‌کلن گفت: «به‌علاوه، ما فقط یک هفته فرصت داشتیم تا آماده شویم.

به طور معمول، آنچه که NetSPI در مورد این مرکز تحقیقات عمیق انجام می دهد، در مورد تمام بازدیدکنندگان خارجی که اجازه ورود دارند، اطلاعاتی را دریافت می کند، کپی هایی از ایمیل های ثابت جمع آوری می کند و نمونه ایمیل دریافت می کند، و از طریق رسانه های اجتماعی یا کانال های دیگر با کارمندان ارتباط برقرار می کند. آنها معمولاً با Google، وب‌سایت خود شرکت، LinkedIn شروع می‌کنند و سپس به یادگیری هر چیزی و هر چیزی که می‌توانند در مورد تسهیلات و افرادی که در آنجا کار می‌کنند ادامه می‌دهند.

او گفت: «و ما شناسایی فیزیکی انجام می‌دادیم، جایی که در یک ماشین بیرون از ساختمان می‌نشینیم و ورود و خروج کارمندان را تماشا می‌کردیم و رفت و آمد فروشندگان را تماشا می‌کردیم. “به طور معمول، این ممکن است تا چند هفته طول بکشد.”

اما مشتری فقط یک هفته به آنها فرصت داد.

McClellan گفت: «اولین فکر ما، تا آنجا که بهانه‌ها پیش می‌رود، این بود که متوجه شدیم این مرکز داده، تورهایی را به مشتریان جدید احتمالی ارائه می‌دهد که می‌توانید از طریق وب‌سایت آنها ترتیب دهید. بنابراین می‌خواستیم چند نفر را به یک تور بیاوریم و ببینیم که آیا می‌توانیم از هم جدا شویم و ببینیم به چه چیزی می‌توانیم دسترسی داشته باشیم.

NetSPI این ایده را از مشتری خود عبور داد، اما این ایده شروع کننده نبود. مک‌کلن گفت: «آنها گفتند که در این نمونه خاص، فروشنده ای که ما با او جفت می‌شویم، سابقه در دست گرفتن امنیت را دارد.» “و احتمال بازداشت یا جراحت زیاد است. این چیزی نیست که ما بخواهیم بشنویم. همیشه خطری وجود دارد، اما اشتهای ما برای آن نامحدود نیست.”

او گفت، بنابراین مشتری در نیمه راه با آنها ملاقات کرد، با ارائه اطلاعات پس زمینه ای که NetSPI معمولاً خودش به دست می آورد، مانند نام کارمندان، اطلاعات تماس آنها، نام فروشندگانی که معمولاً در سایت استفاده می شود، و ساعاتی که افراد کار می کردند. . “و اطلاعات کلی در مورد اینکه ارتباطات چگونه به نظر می رسد، امضاهای ایمیل چگونه به نظر می رسند، سربرگ ها چگونه به نظر می رسند، از چه اصطلاحاتی استفاده می کنند.”

سپس تیم NetSPI به تابلوی نقاشی برگشت. حالا فقط یکی دو روز مانده بود.

استفاده از مهندسی اجتماعی برای نقض امنیت فیزیکی

McClellan گفت: “ما شروع به بررسی لیست فروشنده کردیم و متوجه شدیم که آنها از یک برند ملی کنترل آفات بسیار شناخته شده استفاده می کنند.” “یکی از مشاورانی که با آنها کار می کنیم همین شرکت را داشت تا در خانه خود کار کند و آنها تمام ایمیل های تایید را داشتند. ما آن ایمیل ها را گرفتیم و آنها را تغییر دادیم و سپس یک ایمیل جعلی ارسال کردیم که به نظر می رسید از طرف یکی از آنها آمده است. کارمندان مرکز داده و آن را برای کارمند دیگر در مرکز داده ارسال کرد.”

در این ایمیل آمده بود که شرکت کنترل آفات روز جمعه می آید، که به سختی می توان آنها را در برنامه قرار داد و مطمئن شد که آنها همه چیز مورد نیاز خود را دارند. روز بعد، ایمیلی دریافت کردیم که در آن نوشته شده بود: «عالی، به نظر خوب می‌رسد». آنها متوجه نبودند که ایمیل تقلبی است.»

مک‌کلن و تیمش چند روز بعد را در حال دویدن گذراندند. آنها پیراهن هایی با ظاهر اصلی درست کردند. آنها کامیونی را کرایه کردند که مارک، مدل و رنگ مناسبی داشت و یک لوگوی مغناطیسی شرکت را برای گذاشتن در کنار آن گرفتند. سپس به یک فروشگاه سخت افزار رفتند و یک نردبان، کیسه ابزار و سایر تجهیزاتی که ممکن است یک فرد کنترل کننده آفات استفاده کند، اجاره کردند.

او گفت: «ما ظاهراً کاملاً قانونی به نظر می رسیدیم، حتی اگر کمتر از 200 دلار برای همه چیز خرج کردیم.

آنها از دروازه ورودی به تأسیسات که توسط یک حصار هشت فوتی احاطه شده بود، ایستادند. مک کلنان گفت: “اما به نگهبان هشدار داده شده بود که ما آنجا خواهیم بود و دروازه را برای ما باز کرد.”

او گفت: «سپس مردی که به او ایمیل زدیم بیرون ما را دید، شبکیه چشمش را اسکن کرد و ما را در کل ساختمان همراهی کرد.

همه کامپیوترها داخل قفس بودند و اجازه دسترسی مستقیم به آنها را نداشتند. “ما تلاش کردیم، اما کارمند گفت نه – اما او به ما اجازه داد تا برای بررسی آفات وارد کاشی های سقف شویم، جایی که نصب میکروفون، دوربین فیلمبرداری یا اتصال یک دستگاه به کابل ها آسان بود.” مک کلن گفت که تیمش هیچ یک از این کارها را انجام نداده است. هدف از این تعامل خاص، آزمایش تعامل با افراد در سایت بود، نه هک کردن شبکه‌ها.

او افزود: «ما ارزیابی‌های تیم قرمز را انجام می‌دهیم که مهندسی اجتماعی تنها گام اول است. “اگر این یک ارزیابی تیم قرمز بود، ما این کار را انجام می‌دادیم، دستگاهی را در آنجا رها می‌کردیم، وارد شبکه آن‌ها می‌شدیم، سپس کارهای هکری فنی بیشتری انجام می‌دادیم. اما برای این آزمایش، تمرکز فقط روی افراد بود.”

این تیم چند ساعتی را در اطراف ساختمان قدم زدند، به داخل سقف ها، زیر تخته های کف، در هر گوشه و کنار ساختمان نگاه کردند.

او گفت: «در نهایت مرکز داده را ترک کردیم، در کامیون نشسته بودیم و تصمیم گرفتیم که این موضوع را کمی جلوتر ببریم. “بنابراین دوباره با مخاطب خود تماس گرفتیم و به او گفتیم که مدارکی برای امضای آنها داریم و پرسیدیم که آیا چاپگری دارند که بتوانیم از آن استفاده کنیم. او ما را به داخل بازگرداند و اعتبارنامه‌ای را به ما داد تا وارد شبکه WiFi شویم.”

او افزود که شبکه وای فای مهمان به خوبی تقسیم بندی شده است. به عنوان مثال، هیچ دسترسی مستقیمی به داده های مشتری وجود نداشت. اما هنوز جای پا و مکانی برای شروع بود.»

شبکه مهمان همچنین به چاپگر دسترسی نداشت، بنابراین آنها به کارمند ایمیلی با اسناد پیوست ارسال کردند تا کارمند بتواند آنها را باز کند و آنها را چاپ کند. او گفت: «اگر این یک تعامل تیم قرمز بود، ممکن بود چیزی برای راه‌اندازی بدافزار و دسترسی به آن وجود داشته باشد.

مک کللان گفت که این پایان آزمایش بود. سپس با مشتری خود تماس گرفتیم، به آنها اطلاع دادیم که اوضاع چگونه پیش رفته است، وسایلمان را جمع کردیم و بدون اینکه کسی در سایت واقعاً بداند که اتفاق غیرعادی رخ داده است، سایت را ترک کردیم.

پس از مرگ در مورد نقض امنیت فیزیکی

نکته مهم این تعامل این بود که مشتری سیاست های خوبی برای کارمندان و مشتریان داشت، اما برای فروشندگان نه. علاوه بر این، برخی از کنترل های امنیتی ایمیل نیز کمک می کند.

تیم McClellan با ثبت نام دامنه جدید بسیار شبیه به نام دامنه واقعی مشتری، ایمیل را از یک کارمند به کارمند دیگر جعل کرد. او گفت: “اگر آنها از نزدیک نگاه می کردند، یک حرف اضافی در دامنه ای که ما استفاده می کردیم، می دیدند.” اما از دست دادن آن آسان است.

با این حال، ابزارهای امنیتی ایمیل وجود دارد که می تواند به گیرندگان کمک کند تا متوجه شوند ایمیل از منبع خارجی است.

علاوه بر این، سرویس‌هایی وجود دارند که به دنبال ثبت نام دامنه هستند و در صورت ثبت نام دامنه مشابه به شرکت‌ها هشدار می‌دهند.

McClellan می گوید: «این کنترل ها قطعاً می تواند یک مهاجم را کند کند، اما نمی تواند یک مهاجم را متوقف کند. “اگر یک مهاجم به اندازه کافی متمرکز و اختصاص داده شده باشد، در نهایت ایمیلی را به صندوق ورودی کارکنان ارسال می کند.”

بنابراین، به گفته او، مهم‌ترین راه‌حل این بود که یک سیاست فروشنده محکم اعمال شود. ترجیحاً یک سیستم جداگانه برای ردیابی بازدیدهای محل توسط فروشندگان که شامل بررسی اعتبار است. او گفت: «تقلب کردن آن بسیار دشوارتر است.

در نهایت، احتمالاً کسی باید مستقیماً با فروشنده کنترل آفات تماس می گرفت تا تأیید کند.

مک‌کلن اذعان کرد: «این یک مرحله زمان‌بر است. اما وقتی در مورد مکانی بسیار امن صحبت می‌کنید، مکانی که در آن به اسکنرهای شبکیه چشم و تله‌های انسان نیاز دارید، احتمالاً باید زمان بیشتری را صرف تأیید هویت افرادی کنید که وارد ساختمان می‌شوند.»

مراحل بعدی برای امنیت مرکز داده

McClellan گفت: مهمترین کاری که مشتریان باید پس از آزمایشی مانند این انجام دهند، مجازات نکردن کارکنانی است که در معرض کلاهبرداری قرار گرفتند. فکر فوری این است — اوه، آن شخصی که به شما کمک کرده اخراج خواهد شد. اما این بدترین کاری است که در آن لحظه می توانید انجام دهید.

او گفت که تست های نفوذ نباید تنبیهی باشد. او گفت: «هدف از این آزمایش‌ها یافتن نقص در کنترل‌ها، سیاست‌های شما، در فرآیندهای آموزشی و بهبود امنیت شما است. “و شما فقط پول زیادی برای ارائه آموزش های واقعا ارزشمند به کارمندانی که با تست نفوذ شما تعامل داشتند، در برخورد با یک مهاجم غیرمجاز که سعی می کرد وارد ساختمان شود، پرداخت کرده اید. دانستن اینکه چه احساسی دارد، چگونه به نظر می رسد، نمی باشد. چیزی است که یک شخص می تواند به خوبی در رایانه یاد بگیرد. تجربه بهترین آموزشی است که می توانید دریافت کنید.”

اگر شرکتی آن کارمند را اخراج کند، کارمندی که به تازگی تجربه بسیار ارزشمندی کسب کرده است، در عوض کارمند آن تجربه را به شغل بعدی خود خواهد برد.

او گفت: “و شما هیچ ارزشی از آن دریافت نخواهید کرد.”

در عوض، کارمندان باید نتایج آزمایش را ببینند و بفهمند که چه اتفاقی افتاده است، اما با احترام

او گفت: «به کارمندان فداکاری نشان دهید. “آنها را مدافع امنیت قرار دهید. این شخص اکنون آموزش دیده ترین فرد در سازمان شما در نحوه تشخیص مهندسی اجتماعی است. آن شخص را مدافع خود، سفیر خود برای امنیت، به ویژه در اطراف مردم کنید. برای من، این بهترین است. نتیجه احتمالی آزمون مهندسی اجتماعی.”

او گفت دفعه بعد که چنین اتفاقی بیفتد، پرچم‌های قرمز فوراً بالا می‌آیند و کارمندان می‌دانند که چگونه واکنش مناسب نشان دهند.