Download
1 / 40
400 likes | 590 Views
Trần Tuấn Vũ 51004109 Nguyễn T uấn V ũ 51004205 Nguyễn Văn Luân 51001849 Nguyễn C ông M inh 51001949 Nguyễn Minh Hòa Hiếu 51000972. TỔNG QUAN VỀ SOCIAL ENGINEERING. Khái niệm về Social Engineering
E N D
Trần TuấnVũ51004109 Nguyễn TuấnVũ 51004205 NguyễnVănLuân51001849 NguyễnCôngMinh 51001949 Nguyễn Minh HòaHiếu51000972
TỔNGQUANVỀSOCIAL ENGINEERING Kháiniệm về Social Engineering Social engineering làlợidụngsự ảnhhưởng vàniềmtin đểlừamộtngườinào đónhằmmụcđíchlấycắpthông tinhoặcthuyếtphụcnạnnhân đểthựchiệnviệc gì đó.
TỔNGQUANVỀSOCIAL ENGINEERING Thủthuật Social Engineering • Social Engineering baogồmviệcđạtđượcnhữngthông tin mật hay truycậptráiphépbằngcáchxâydựngmốiquanhệvớimộtsốngười. • Kếtquảcủa social engineer làlừamộtngườinàođócungcấpthông tin cógiátrị hay sửdụngthông tin đó. • Nótácđộnglênphẩmchấtvốncócủa con người, chẳnghạnnhưmongmuốntrởthànhngườicóích, tin tưởngmọingườivàsợnhữngrắcrối.
TỔNGQUANVỀSOCIAL ENGINEERING Điểm yếu của con người • Con ngườithườngmắcphảinhiềuđiểmyếutrongcácvấnđềbảomật. • Đểđềphòngthànhcôngthìchúng ta phảidựavàocácchínhsáchtốtvàhuấnluyệnnhânviênthựchiệntốtcácchínhsáchđó. • Social engineering làphươngphápkhóphòngchốngnhấtvìnókhôngthểdùngphầncứng hay phầnmềmđểchốnglại.
PHÂNLOẠI SOCIAL ENGINEERING Design Human-based Social engineering : làviệctraođổigiữangườivớingườiđểlấyđượcthôngtin mongmuốn. Computer-based Social engineering: làsửdụngcácphầnmềmđểlấyđượcthông tin mongmuốn.
PHÂNLOẠI SOCIAL ENGINEERING Design Human-based Social engineering • Impersonation: hacker giả làmmột nhân viên hay người sử dụng hợp lệ trong hệ thống • Posing as Important User: hacker nắmlấyđặcđiểmcủamộtnhânviênquantrọng • Third-person Authorization: hacker lừagạtrằnganh ta có sự ủy quyền. • Technical Support: hacker giả làmnhàcungcấp, nhânviênkĩ thuậtvà tiếp cận với nạn nhân.
Design PHÂNLOẠI SOCIAL ENGINEERING Human-based Social engineering In Person: hackercốgắngđểthamquanvịtrímụctiêuvàquansáttìnhhình. • Dumpster Diving: tìmkiếmtrongthùngrác • Shoulder Surfing : thu thập password bằng cáchxem qua vai người khác khi họ đăng nhập vào hệ thống
Design PHÂNLOẠI SOCIAL ENGINEERING Computer-based Social engineering • Phising : gửi email yêucầuchứngthựcthông tin • Vishing : sựkếthợpcủa “voice” vàphishing, hacker gọiđiệnchonạnnhânthayvìgửi email
Design PHÂNLOẠI SOCIAL ENGINEERING Computer-based Social engineering Pop-up Windows : windows yêucầunhậplạiusernamevàpassword
Design PHÂNLOẠI SOCIAL ENGINEERING Computer-based Social engineering • Mail attachments: • Đầutiênlàmãđộchại: ẩntrong file đínhkèm email • Thứ hai : gởimột file đánhlừahỏi user đểxóa file hợppháp -> làmtắcnghẽnhệthốngmail • Websites: Một mưu mẹo để làm cho user không chú ý để lộ ra dữ liệu nhạycảm
Design PHÂNLOẠI SOCIAL ENGINEERING Computer-based Social engineering Interesting Software : Spyware hay Malware ( chẳng hạn nhưKeylogger) sẽ được cài đặt thông qua một chương trình độc hại ngụy trangdưới một chương trình hợp pháp.
Design CÁCBƯỚCTẤNCÔNG TRONG SOCIAL ENGINEERING Thu thậpthôngtin
Design CÁCBƯỚCTẤNCÔNG TRONG SOCIAL ENGINEERING Chọnmụctiêu Mục tiêu thông thường là nhân viên hỗtrợ, được tập luyện để đưa rasự giúp đỡ và có thể thay đổipassword, tạo tài khoản, kích hoạt lạitài khoản,…
Design CÁCBƯỚCTẤNCÔNG TRONG SOCIAL ENGINEERING Tấncông : chúng ta gọi đó là “sựlường gạt” • Ego attack: dựa vào một vài đặcđiểm cơ bản của conngười. • Sympathy attacks: hacker thường giả vờ lànhân viên tập sự, một nhà thầu,hoặc một nhân viên mới của một nhà cung cấp hoặcđối tác chiến lược. • Intimidation attacks: hacker giả vờ là là một nhân vậtcó quyền, như là một người có ảnh hưởng trong tổ chức.
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Cácmốiđedọatrựctuyến (Online Threats) E-mail Threats
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Cácmốiđedọatrựctuyến (Online Threats) Pop -Up Applications and Dialog Boxes: nhúng một mailengine vào môi trường máy tính công ty thông qua đó hacker có thể bắt đầu phisinghoặc các tấn công khác vào email của cá nhân hay của công ty
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Cácmốiđedọatrựctuyến (Online Threats) Instant Mesaging
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Telephone-Based Threats Private Branch Exchange Hacker có 3 mục đích chính đề tấn công một PBX: • Yêu cầu thông tin , thường là thông qua việc giả dạng một người sử dụng hợp pháp,hoặc để truy cập vào các hệ thống điện thoại hoặc truy cập từ xa vào hệ thống máytính • Đạt quyền truy xuất để sử dụng miễn phí điện thoại • Đạt quyền truy xuất để giao tiếp với hệ thống mạng
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Telephone-Based Threats Service Desk: Bàn cung cấp dịch vụ -hoặc bàn trợ giúp – là một trong những p hòng thủ trụ cộtchống lại hacker, nhưng ngược lại nó cũng là mục tiêu cho các hacker social engineering
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Waste Management Threats Dumpster diving là một hoạt động có giá trị cho hacker. Giấy tờ vứt đi có thể chứathông tin mang lại lợi ích tức thời cho hacker, chẳng hạnnhưuser ID và số tài khoản bỏ đi,hoặc có thể phục vụ như là thông tin nền, như các biểu đồ tổ chức và danh sách điện thoại. Cácloại thông tin này là vô giá đối với hacker social engineering, bởi vì nó làm cho hắn ta có vẻđáng tin khi bắt đầu cuộc tấn công.
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Personal Approaches • Sự đe dọa • Sự thuyết phục • Sự mến mộ • Sự trợ giúp
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Personal Approaches • Virtual Approaches: Thông thường nhất, điều này sẽ diễn ra thông qua môi trường điện tử, mail, điệnthoại • Physical Approaches : hacker tiếpxúctrứctiếpvớimụctiêu. Hacker có thể được truy xuấttự do đến hệ thống máy tính trong công ty.
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Reverse Social Engineering • Hìnhthứcnàycóthểhiểulàmột user hợpphápcủahệthốnghỏisự giúpđỡ của hacker. • TấncôngRSEtiêubiểubaogồm 3 phầnchính: sựpháhoại, sựquảngcáo, sựgiúpđỡ.
Design CÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING So sánh SE và RSE
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Xâydựngmột framework quảnlý an ninh Mộtkhungquảnlý an ninhxácđịnhmộtcáinhìntổngquancácmốiđedọacóthểxảyrađốivớitổchứctừ social engineering vàcấppháttêncôngviệccóvaitròchịutráchnhiệmchoviệcxâydựngchínhsáchvàthủtụcđểlàmgiảmbớtcácmốiđedọanày
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Xâydựngmột framework quảnlý an ninh • Security sponsor: Quảnlýcấpcao • Security manager: Nhânviêncấpđộquảnlý • IT security officer: Độingũnhânviênkỹthuật • Facilities security officer: chịutráchnhiệmchopháttriểnvùngvàthựcthichínhsáchvàthủtụcbảomật • Security awareness officer: chịu trách nhiệm cho sựphát triển và thực thi chiến dịch nâng cao nhận thức về an ninh • Security Steering Committee: đạidiệncho ban cốvấntrongcôngty
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Xâydựngmột framework quảnlý an ninh
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Đánhgiárủiro Phânloạirủirobaogồm • Bímậtthông tin • Sựtínnhiệmkinhdoanh • Sựsẵnsàngkinh do anh • Tàinguyên • Chi phí
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Social engineering trongchínhsáchan ninh Một cá nhân IT và quản lý công ty phải phát triển và giúp đỡ thực thi một chính sáchan ninh có hiệu quả trong tổ chức. Đôi khi, trọng tâm của chính sách an ninh là sự điềukhiển công nghệ sẽ giúp bảo vệ chống lại các mối đe dọa về công nghệ, chẳng hạn virus vàworm. Điều khiển công nghệ giúp bảo vệ các công nghệ, chẳng hạn các tập tin dữ liệu, tậptin chương trình, và hệ điều hành. Security Steering Committee có vùng an ninh cốt lõi vàđánh giá rủi ro mà nó phải ủy quyền sự phát triển của tài liệu kinh doanh, tiến trình, thủ tục.
THIẾTKẾ SỰ PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING • Social engineering trongchínhsách an ninh
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Sau khi bạn viết và đồng ý với chính sách an ninh, bạn phải thực hiện các chính sách dànhcho nhân viên và bắt họ tuân theo. Mặc dù bạn có thể thực thi các điều khiển kỹ thuật mà khôngcần sự hiểu biết của nhân viên, bạn phải có được sự hỗ trợ của họ nếu bạn muốn thực thi sự phòngvệ thành công.
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Sự nhận thức
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Quảnlýsựcố Để quản lý sự cố, nhân viên service desk phải có một quy trình báo cáo s ự cố linhhoạt mà ghi lại các thông tin dưới đây: Tên mục tiêu,Khu vực mục tiêu, Ngày,Yếu tố tấn công,Mô tả tấn công,Kết quả tấn công,Hiệu quả tấn công,Các kiến nghị Bằngcáchghilạicácsựcố, cóthểxácđịnhcácmẫuvàcóthểngănchặncáccuộctấncôngsaunày.
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Xem xét sự thực thi Khixemxétlạimặt an ninh, nócóthểtrởnênquánhạycảmđốivớivôsốcácmốiđedọatiềmtàng
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Social Engineering và mô hình phân lớp phòng thủ chiều sâu Mô hình phân lớp phòng thủ chiều sâu phân loại các giải pháp bảo mật chống cácyếu tố tấn công –những vùng điểm yếu –mà hacker có thể sử dụng để đe dọa môi tr ườngmáy tính
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Social Engineering và mô hình phân lớp phòng thủ chiều sâu • Chínhsách, thủtục, nhậnthức • Bảomậtvậtlý • Dữliệu:thôngtin kinhdoanh –tàikhoản, e-mail, … • Ứngdụng: • Host: các máy tính server và client được sử dụng trong tổ chức • Mạngnộibộ: • Chu vi: điểmtiếpxúcgiữamạngnộibộvàmạngbênngoài
THỰC THI PHÒNGVỆ CHỐNGLẠICÁCMỐIĐEDỌATỪ SOCIAL ENGINEERING Design Social Engineering và mô hình phân lớp phòng thủ chiều sâu
