مهندسی اجتماعی (امنیت). مهندسی اجتماعی ( به انگلیسی Social Engineering ) در بافتار امنیت اطلاعات به دستکاری روانشناختی افراد در انجام کارهای خاص یا افشای اطلاعات متمرکز است. این اصطلاح با مهندسی اجتماعی در علوم سیاسی از این نظر تفاوت دارد که مهندسی اجتماعی در علوم سیاسی تمرکزی روی افشای اطلاعات محرمانه ندارد. توجه به اینکه هیچ استاندارد خاصی برای دفاع و پیش گیری از حملات مهندسی اجتماعی وجود ندارد، بهترین راه برای دفاع، شناسایی سطوح مختلف دفاع و ایجاد سیاست های امنیتی دقیق و آموزش کارکنان در راستای دنبال کردن این سیاست ها می باشد. به طور کلی گام های کلیدی برای ایجاد دفاعی مؤثر در سازمان عبارتند از:
• شناسایی محرک های روانشناسی متقاعدسازی
• آشنایی با تکنیک های حمله مهندسی اجتماعی
• شناسایی سطوح مختلف دفاع
• استراتژی ها ی دفاع
به عبارت دیگر مهندسی اجتماعی به مجموعه ای از روش ها گفته می شود که با استفاده از آن ها، افراد را فریب می دهند و اطلاعات محرمانه آن ها را سرقت می کنند. به عبارت دقیق تر، مهندسی اجتماعی، مجموعه ای از روش ها است که در آن، بدون استفاده از تکنیک های فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیک های روانشناسی، آن ها را فریب داده و اطلاعات محرمانه شان را سرقت می کنند. [ ۱]
کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب پذیری ها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسک ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، به طوری که اگر هکری توانست از سطحی نفوذ کند، در لایه های دیگر به دام بیفتد از آنجایی که ثابت شده است حملات مهندسی اجتماعی بسیار موفقیت آمیز بوده اند، بنابراین داشتن استراتژی چند لایه ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله کننده با حملات بسیار خود بالاخره سعی می کند تا نقاط ضعیف را شناسایی کند و به همین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفته است.
هیچ سنگری بدون پایه های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست های آن است. سیاست های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می کند. این بنیان زمانی حیاتی تر می گردد که سیاست های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست های مشکوک را می آموزد. سیاست های تثبیت شده، کمک می کند که کاربر نهایی حس کند، چاره ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده اند که یکی از راه های مقاوم سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می باشد. سیاست های امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش می دهد. سیاست امنیتی باید حوزه های خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایه های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه اندازی حساب ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه ای مانند قدرت، حس مسئولیت و. . . کمک می کند. همچنین در سیاست ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. به طوری که اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.
این نوشته برگرفته از سایت ویکی پدیا می باشد، اگر نادرست یا توهین آمیز است، لطفا گزارش دهید: گزارش تخلف• شناسایی محرک های روانشناسی متقاعدسازی
• آشنایی با تکنیک های حمله مهندسی اجتماعی
• شناسایی سطوح مختلف دفاع
• استراتژی ها ی دفاع
به عبارت دیگر مهندسی اجتماعی به مجموعه ای از روش ها گفته می شود که با استفاده از آن ها، افراد را فریب می دهند و اطلاعات محرمانه آن ها را سرقت می کنند. به عبارت دقیق تر، مهندسی اجتماعی، مجموعه ای از روش ها است که در آن، بدون استفاده از تکنیک های فنی و تنها با آگاهی از شرایط افراد جامعه و تکنیک های روانشناسی، آن ها را فریب داده و اطلاعات محرمانه شان را سرقت می کنند. [ ۱]
کلید دفاع در برابر حملات مهندسی اجتماعی در آنست که بدانیم آسیب پذیری ها و تهدیدها چه چیزهایی هستند و سپس در برابر این ریسک ها به مقابله بپردازیم. دفاع باید چندین لایه حفاظتی داشته باشد، به طوری که اگر هکری توانست از سطحی نفوذ کند، در لایه های دیگر به دام بیفتد از آنجایی که ثابت شده است حملات مهندسی اجتماعی بسیار موفقیت آمیز بوده اند، بنابراین داشتن استراتژی چند لایه ای در این زمینه حیاتی خواهد بود، در برخی نقاط نیز استراتژی بیشتر از دفاع باید در نظرگرفته شود. زیرا حمله کننده با حملات بسیار خود بالاخره سعی می کند تا نقاط ضعیف را شناسایی کند و به همین دلیل است که سازمان باید در برابر حملات دفاعی محکم داشته باشد یا حداقل تشخیص دهد که مورد حمله قرار گرفته است.
هیچ سنگری بدون پایه های مستحکم و پایدار، دوام پیدا نخواهد کرد. اساس امنیت اطلاعات سیاست های آن است. سیاست های امنیتی، استانداردها و سطوح امنیتی شبکه را تعیین می کند. این بنیان زمانی حیاتی تر می گردد که سیاست های امنیتی بخواهد شبکه را از حملات مهندسی اجتماعی مصون بدارد. سیاست های مهندسی اجتماعی به کارمندان چگونگی پاسخ دهی به درخواست های مشکوک را می آموزد. سیاست های تثبیت شده، کمک می کند که کاربر نهایی حس کند، چاره ای جز مقاومت در برابر خواست هکران ندارد. کاربران نهایی نیز نباید نقش تصمیم گیرنده برای در اختیار گذاری اطلاعات، را داشته باشند. نکتهٔ جالب دیگری که در تئوری تحریک و تشویق وجود دارد، فرا شناخت می باشد. فراشناخت، توانمندی است که با آن از اندیشه و فرایند فکر کردن دیگران می توان آگاه شد. با توجه به مطالعات انجام شده دربارهٔ فراشناخت در تئوری تحریک، محققان به این نتیجه رسیده اند که یکی از راه های مقاوم سازی در برابر حملات، توسعه اعتماد به فکر، در کارمندان می باشد. سیاست های امنیتی واضح و روشن، خطر تأثیرگذاری متجاوزان بر روی کارمندان را کاهش می دهد. سیاست امنیتی باید حوزه های خاصی را مد نظر قرار دهند تا بتوانند به عنوان پایه های مقاومت مهندسی اجتماعی بحساب آیند. کنترل دسترسی به اطلاعات، راه اندازی حساب ها، تأیید دسترسی و تغییر در کلمات عبور باید در نظر گرفته شود. سیاست ها باید نظم و دسیپلین داشته باشند و به همگان ابلاغ شوند. سطح سیاست امنیت در دفاع، به دفاع کارمندان در برابر تحریکات روانشناسانه ای مانند قدرت، حس مسئولیت و. . . کمک می کند. همچنین در سیاست ها باید سطوح مسئولیت، برای اطلاعات یا دسترسی تعیین شوند. به طوری که اگر فرد اطلاعات در دسترسش را در اختیار دیگران قرار دهد، دیگر هیچ نقطهٔ سؤال برانگیزی باقی نماند.
wiki: مهندسی اجتماعی (امنیت)