Sosyal mühendislik - Denetim (1 Viewer)

Joined
Feb 13, 2020
Credits
0
Rating - 0%
Sosyal mühendislik saldırısı kavramı, doğası itibarıyla sürekli değişebilen bir saldırı tipi olduğu için, oluşturulan önlemlerin ve güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi, denetimlerle etkilerinin onaylanması gereklidir. Denetim süreci basitçe bir saldırganın yapması beklenenlerin tatbikatı şeklinde gelişmektedir.
Saldırılar,

bilgi toplama,ilişki kurma,istismar ve erişim

olmak üzere dört adım olarak modellenmektedir.



Bilgi toplama ve ilişki kurma adımlarında, iletişim kurulabilecek unsurlar belirlenir. Bunun için çoğu zaman edilgen bilgi toplamayla saldırıya yeterli bilgiye ulaşılabildiği görülmüştür. Kurumsal web sayfaları, arama motorları, haber grupları, forumlar, iş arama siteleri, sosyal ağ siteleri ve hatta sarı sayfalar yardımıyla kurum çalışanları ve kurum organizasyonu hakkında yeterli bilgi edinilebilir. Denetimler, bu ortamlar üzerinden ne kadar hassas bilginin alınabileceği üzerine yoğunlaşmalıdır.


Fiziksel erişim sağlamak için uygulanan yöntemler arasında, çalışan biri gibi davranmak (sahte kimlik kartı, giriş-çıkış saatleri arasında kalabalığa karışmak v.b.), çalışanların arkasından giriş yapmak (gerçek kartla açılan kapı kapanmadan girmek gibi), sağlayıcı ya da misafir gibi davranmak (postacı, tamirci v.b.), mesai saatleri dışında normal süreçlerin uygulanmadığı zamanlarda giriş yapmaya çalışmak bulunur. Bunun dışında, üstte belirtilen sosyal mühendislik yöntemleri de uygulanabilir. Bu tür denetimler çoğu zaman uygulanabilirlik açısından yasal sınırda gezindiğinden iyi tasarlanmış ve üst yönetimden onay alınmış olmalıdır.

Fiziksel erişimden sonra ya da ayrıca bilgiye erişim için de çeşitli metodlar uygulanabilir. Denetimciler tarafından sıkça uygulanan bilgiye erişim yöntemleri arasında çalışanları gizlice izlemek (omuz sörfü, kulak misafirliği v.b. ), ofis içindeki çöpleri karıştırmak, klavyelerin, telefonların altına, takvimlere ve ajandalara, post-it notlarına ve ortak kullanıma açık panolara göz atmak, ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma açmaya ikna etmek vardır.
 

RedSamuray

𝒪𝓁𝒹 𝒜𝓃𝒹 𝐹𝓇𝓊𝓈𝓉𝓇𝒶𝓉𝑒𝒹
Joined
Jun 30, 2020
Credits
157
Rating - 0%
Sosyal mühendislik saldırısı kavramı, doğası itibarıyla sürekli değişebilen bir saldırı tipi olduğu için, oluşturulan önlemlerin ve güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi, denetimlerle etkilerinin onaylanması gereklidir. Denetim süreci basitçe bir saldırganın yapması beklenenlerin tatbikatı şeklinde gelişmektedir.
Saldırılar,

bilgi toplama,ilişki kurma,istismar ve erişim

olmak üzere dört adım olarak modellenmektedir.



Bilgi toplama ve ilişki kurma adımlarında, iletişim kurulabilecek unsurlar belirlenir. Bunun için çoğu zaman edilgen bilgi toplamayla saldırıya yeterli bilgiye ulaşılabildiği görülmüştür. Kurumsal web sayfaları, arama motorları, haber grupları, forumlar, iş arama siteleri, sosyal ağ siteleri ve hatta sarı sayfalar yardımıyla kurum çalışanları ve kurum organizasyonu hakkında yeterli bilgi edinilebilir. Denetimler, bu ortamlar üzerinden ne kadar hassas bilginin alınabileceği üzerine yoğunlaşmalıdır.


Fiziksel erişim sağlamak için uygulanan yöntemler arasında, çalışan biri gibi davranmak (sahte kimlik kartı, giriş-çıkış saatleri arasında kalabalığa karışmak v.b.), çalışanların arkasından giriş yapmak (gerçek kartla açılan kapı kapanmadan girmek gibi), sağlayıcı ya da misafir gibi davranmak (postacı, tamirci v.b.), mesai saatleri dışında normal süreçlerin uygulanmadığı zamanlarda giriş yapmaya çalışmak bulunur. Bunun dışında, üstte belirtilen sosyal mühendislik yöntemleri de uygulanabilir. Bu tür denetimler çoğu zaman uygulanabilirlik açısından yasal sınırda gezindiğinden iyi tasarlanmış ve üst yönetimden onay alınmış olmalıdır.

Fiziksel erişimden sonra ya da ayrıca bilgiye erişim için de çeşitli metodlar uygulanabilir. Denetimciler tarafından sıkça uygulanan bilgiye erişim yöntemleri arasında çalışanları gizlice izlemek (omuz sörfü, kulak misafirliği v.b. ), ofis içindeki çöpleri karıştırmak, klavyelerin, telefonların altına, takvimlere ve ajandalara, post-it notlarına ve ortak kullanıma açık panolara göz atmak, ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma açmaya ikna etmek vardır.
bakalım kanka
 

Users who are viewing this thread

Top