Сервисные службы компании слишком полезные?
Недавний обзор больше чем 900 ИТ-специалистов нашел, что сервисные службы предприятия — важный ресурс поиска неисправностей для сотрудников и клиентов подобно — является популярной целью хакеров, ищущих доступ к уязвимым данным компании.
Обзор безопасности и Частной жизни Сервисной службы 2013 года, проводимый интернет-компанией по обучению безопасности SANS, нашел, что в компаниях каждого размера, независимо от промышленности, персонал сервисной службы, оказывается, легкая добыча для социальных технических нападений.
Доверяй мне, я нуждаюсь в помощи
Социальная разработка, также известная как приведение в качестве отговорки или фишинг, является предназначенным нападением на человека или бизнес злонамеренным третьим лицом.
В этих типах нападений "инженер" симулирует быть кем-то еще в попытке мошеннически получить частную информацию о человеке или компании — что-либо от сетевых паролей до Номеров социального страхования к корпоративным документам.
Недавно, много социальных технических нападавших повернулись к прохождению сервисных служб компании, чтобы получить доступ к чуткой информации.
Сервисные службы ответственны за изменение паролей, восстанавливая почтовый доступ и расследуя проблемы возможности соединения — все из которых были бы полезны для злоумышленника.
Но прежде чем посетитель к сервисной службе может получить помощь, изменяющую пароль, например, он или она должен сначала передать меры по контролю за соблюдением соглашения идентичности оператора сервисной службы.
Эти меры безопасности — которые, как правило, включают вопросы об имени сотрудника, местоположении, адресе электронной почты или удостоверении личности сотрудника — то, что социальные инженеры считают настолько легкими обойти.
Как только нападавший обошел этот первый слой безопасности, он или она может получить доступ к более уязвимым данным, таким как информация, содержавшаяся в электронной почте.
"Поскольку сервисным службам приказывают помочь, они готовы к другим, которые хотят использовать в своих интересах их миссию", согласно SANS рассматривают. "В течение многих десятилетий сервисная служба была черным ходом к ресурсам корпоративной сети через социальную разработку".
Коммутируемый доступ - новый работник
В последние годы социальные технические нападения часто происходили по электронной почте кампании или на социальных сетях как Facebook и Твиттер.
Нападения на сервисные службы отмечают возвращение к более датированному виду социальной разработки: нападения по телефону.
[См. также: Самые странные 15 (и Самый забавный) Вопросы о Сервисной службе]
Но поскольку один ответчик обзора отметил, социально-технические нападения, выполненные по телефону, могут стать еще более опасными в возрасте социальной сети.
Сайты, такие как Facebook и LinkedIn могут поместить "частную" информацию в ненадежные руки и дать социальным инженерам еще больше боеприпасов, с которыми можно привести нападения на сервисные службы.
Например, социальному инженеру, желающему изобразить из себя сотрудника, вероятно, просто придется найти, что человек на Facebook или LinkedIn, чтобы узнать его или ее местоположение, адрес электронной почты или номер телефона, все из которых являются общими верительными грамотами, используемыми для проверки в сервисных службах.
Устаревшее Отставание
Это не просто, что у социальных инженеров есть более легкий предпринимающий времени атаки; сотрудникам сервисной службы также приходится тяжелее, парируя эти нападения.
Давление, чтобы решить как можно больше звонков за самое короткое количество времени вынуждает много сотрудников сервисной службы сократить углы когда дело доходит до протокола безопасности, говорилось в сообщении.
Несмотря на то, что большинство 900 ИТ-специалистов, опрошенных для исследования, идентифицировало социальную разработку как главную проблемную область для возможных компромиссов сервисной службы, много организаций все еще предпочитают полагаться на человеческие сервисные службы вместо автоматизированных инструментов.
Даже сброс пароля и проверки статуса, две общих услуги сервисной службы, которые могли легко быть автоматизированы, часто продолжают полагаться на человеческую помощь.
Кроме того, в возрасте Bring Your Own Device (BYOD), более трудно чем когда-либо для штата сервисной службы проверить, что сотрудник действительно, кем он или она утверждает, что был.
Использование сотрудника личных сотовых телефонов вместо настольных телефонов означает, что метод названия и местоположения проверки, которая является все еще наиболее распространенным типом проверки среди сервисных служб предприятия, все более и более неэффективный.
Обзор SANS предположил, что увеличенная автоматизация услуг сервисной службы могла бы быть ключом к сокращению некоторых слабых мест, которые приводят к нарушениям правил безопасности и краже личных данных.
Ответчики к обзору также заявили, что больше обучения относительно этой проблемы, а также больше высокотехнологичных методов проверки, могло оказаться полезным в происхождении социальных технических нападений на сервисные службы предприятия.
Следуй за Элизабет Палермо на Twitter @techEpalermo или на Google+.