안중언님(Dizzypop)이 번역한 문서입니다.
개요
기업이나 회사내부에서 구성원들의 부주의로 인해 발생할 수 있는 사회적 공학기법에 의한 공격을 방지하기 위해
보안 관리자 입장에서 취할수 있는 몇가지 사항들입니다. (번역)
본문
이 소식은 사회공학에 관한 내용입니다. 사회공학분야의 몇 가지 위험에 대해 다룰 것이고 기업이나 회사가 그런 위험에 대해서 직원들이 더 나은 대처를 하게끔 도움을 줄 수 있는 것에 좀더 포커스가 맞춰질 것 입니다.
보안 의식 훈련 (Security Awareness Training)
가장 중요하지만 우리가 충분히 하지 못하는 것은 기본적인 보안 의식 훈련이다. 사원들은 이상해 보이는 특정 상황에 대해서 인식할 필요가 있다. 그것은 비록 그들이 받아들이길 원치 않거나 그 사실을 달가워 하지 않더라도, 그들이 보안 팀의 일원이라는 것을 이해해야 한다는 것이다. 모든 사원들은 그들의 업무가 무엇이든 상관없이 회사와 회사의 자산을 보호할 의무가 있다. 그것은 그들 업무의 일부이다. 만약 회사가 침해된 정보 때문에 문을 닫게 된다면 그들은 더 이상 고용을 할 수 없다. 계속 직원들이 돈을 벌 수 있고, 계속 직원들에게 임금을 지불하기 위해서 회사가 보장되어 있다는 것이 그들에게는 최고의 이익이다.
긍정 강화 - 칭찬이나 애정의 표현을 통해 의욕을 북돋거나 긍정적인 마인드를 고취시키는 것
(Positive Reinforcement)
우리가 보안이라는 것을 이야기 할 때, 얼마나 나쁜 것들을 일어날 수 있으며 얼마나 잘못된 것인지 또 누가 어떻게 옳지 않은 일은 해왔는지 말하는 것은 쉽다. 하지만 당신이 사원에게 보안 의식 훈련을 제공하려고 할 때 그것은 최고의 접근법은 아니다. 매니저는 고용인들에게 긍정적 강화를 하면서 교육을 시작하고 할 필요가 있다. 한 고용인이 좋은 일을 했을 때(뒷문으로 어떤 사람들이 들어가려고 했을 때 그 전에 다른 어떤 사람에게 그 행동을 알리는 것과 같은) 그것에 대해 보상을 해라. 다음과 같이 알려줘라 "잘했어요" "당신이 보안인식을 위해 했던 행동에 대해서 사보에 남기겠어요."
그들은 그것에 반응한다. 사람들은 긍정적으로 되는 것에(칭찬받고 인정받는 것과 같은) 반응한다. 그리고 또한 이것은 경쟁을 부른다 왜냐하면 Susan은 지금 James가 보안의식적인 사람으로 인정받은 것을 보았다. 그는 인정을 받아다. 그럼 그녀도 또한 인정받고 싶어하려고 한다. 그래서 그녀는 비 보안적인 누군가를 찾아내거나 무언가를 찾을 기회를 엿보고 있다. 그런 종류의 경쟁에 포커스를 맞추는 것은 중요하다. 사람들이 보안지향적이 되고 보안의식을 가지게 노력할 수 있도록 힘을 실어주는 것은 중요하다.
보안 이상(理想)들의 지속적인 강화 (Constant Reinforcement of Security Ideals)
(보안점검을 위해) 항상 침투테스트가 될 필요는 없다. 진심으로 말하지만 침투 테스트는 당신을 지켜주지 않는다. 보안 이상들의 지속적인 강화와 보안적인 행동들이 당신을 안전하게 지켜주는 것들이다. 책상 위를 깨끗이 하는 정책이 시행되었음을 확인하고 키보드 밑에 비밀번호를 적어 놓지 않거나 모니터에 붙어 있지 않은 것을 확인하는, 그런 것들을 실천하는 사원을 가지는 것이 이상적이다.
왜냐하면 심지어 당신이 (보안적이지 못한 것을)아무것도 찾아내지 않더라도 사람들은 알아차리고 즉시 깨닫는다 "오, 다른사람들은 공간적인 보안을 확인 하는 것에 신경 쓰고 있구나. 나도 내 주변 보안을 확인해야지, 왜냐하면 나는 부정적인 일로불려나가서 변명하기를 원치 않거든."
비록 그들이 (비 보안적인 것을)아무것도 찾아내지 못하더라고 그들은 수동적인 방법으로나마 보안 인식과 보안 의식 환경에대해서 알리고 있다. 이건 사람들이 매달 두 번째 화요일에 대충 짜맞출 수 있는 작은 것들이 아니다. (정기 보안 점검일이 점검 항목들을 짜맞추는 것 등) 그것은 지속적인 인식의 종류가 되어야 하며, 당신이 그러한 것을 보여주는 지속적인 환경이 되어야 한다.
평등 (Equality)
그리고 출입 레벨 포지션에 있어서 가장 낮은 메일관리 직원이나 청소직원에게 에서 부터 다른 출입 레벨의 포지션을 가지고있는 사람들에게는 무엇이 좋을까? 이건 회사 CEO 와 CIO 에게도 해당 된다. 최고 경영자들도 그런 종류의 이상들을 위해 생활해야 한다.
만약 회사가 침해되었다면, 그건 주로 CEO로 부터 발생한 것이다. 왜냐하면 침투자들이 공격할 때, 그들이 당신의 회사를 추적하려고 할 때 - 그들 우편부서를 추적하려고 하지 않는다, 그들은 일반 사무원이나 그와 비슷한 출입 레벨의 사람들을 추적하려고 하지 않는다. 그들은 CEO와 CIO를 추적하려고 한다. 왜일까? 왜냐하면 보통 최고 경영자들은 자신은 보안 정책에 적용되지 않는다고 간주하기 때문이다. 그들은 언제나 백신 프로그램 업데이트를 필요로 하지 않을 수도 있다 왜냐하면 그것들은 시스템에 충돌하거나 실행을 느리게 만들기 때문이다. 그들은 이중 인증 토큰을 사용할 필요가 없다, 단지 자신들의 비밀번호를 사용한다. 그들은 그 회사의 다른 모든 이들이 하는 것처럼 비밀번호의 최소길이나 특수문자를 가질 필요가 없다. 그들은 단지 접속을 쉽게 하기 위해 비밀번호가 자신의 성(姓)이기를 바란다.
그리고 회사가 침해되었을 때, 그들은 뒤를 돌아보지 않고 말한다. "오, 이런" "왜 당신은 내 자신으로부터 나를 보호하지 않은 건가요? 왜 내가 회사에 해를 입히는 것으로부터 나를 보호하는 당신 직무를 수행하지 않은 것인가요?" 그래서 그건 우리의 책임 중에 하나이다. 경영자들에게 아마도 그들이 정말 듣기 싫어할 수도 있는 얘기를 하는 것. 하지만 그건 우리가 해야 할 일이다. 왜냐하면 우리는 인적 요소로부터 회사를 보호하려고 노력하고 있기 때문이다.
사원들의 사회적 공학 (Socially Engineer Your Employees )
기본적으로 당신은 사회공학으로부터 회사를 보호하기 위해 사원들과 환경을 사회적으로 엔지니어하기를 원한다. 사람들에게무슨 일이 벌어지고 있는지 궁금해 하도록 좀더 의식하게 만들고 갑자기 사람들이 수상쩍어하게 환경을 바꿔라. 그들은 평소 같지 않은 것들에 대해서 질문해야만 한다.
보통 한 네트워크나 회사를 침해한 후, 대부분의 침해 테스트는, 여전히 침투자들을 허용하고 있지만 사람들의 표정이나 의심스러운 듯한 그들의 몸짓에 의해 발견되고 느껴진다. 나중에 침투 테스터는 말한다. "네, 꽤 안 좋은 뭔가가 있었던 거 알아요, 하지만 그는 이것을 해야만 했다고 말했다 , 저는 그를 시험하고 싶지 않았어요."
그들이 침투하려고 하는 다음 번이 확정되었다. 그리고 다음 번에는 이번 것이 예방접종의 일부가 될 것이다. 그들에게 자극을 줄 것이며, "이봐, 이건 잘못된 것 같군 당신에게 뭣 좀 물어보지"라고 당당히 말할 수 있는 종류의 용기를 북돋아 준다. 사람들은 경비를 부르거나 경찰을 부르거나 누군가를 부르는 것과 같은 상황에서 그들 자신도 단지 잘못된 것을 무시하는 것이 아닌 어떤 방식으로든 그것에 대한 반응을 해야 한다는 것을 이해할 필요가 있다. 그들이 그러한 상황에 반드시 정면으로 맞설 필요는 없지만 그 상황을 보고하는 것은 반드시 해야 하는 그들의 책임 중 일부이다.
[원문] 출처 - http://www.ehacking.net/2012/07/how-to-prevent-social-engineering.html
'기타번역문서' 카테고리의 다른 글
(보안동향) 적극적으로 악용되는 ProxyNotShell Exchange 버그에 대한 익스플로잇 공개 (0) | 2022.11.26 |
---|---|
[번역문서배포] iOS Application (In)Security (1) | 2012.12.30 |
[번역문서배포] Volatility Command 2.1 (0) | 2012.12.30 |
[번역 문서 배포] OWASP Top 10 for .NET developer (0) | 2012.12.29 |
[번역문서배포] ViaForensics 42+ Best Practice = Secure Mobile development for iOS and Android= (0) | 2012.12.29 |