Keamanan Jaringan: Kerentanan Nyata

Skenario: Anda bekerja di lingkungan perusahaan di mana Anda, setidaknya sebagian, bertanggung jawab atas keamanan jaringan. Mereka memiliki firewall, perlindungan virus dan spyware, dan komputer mereka sudah diperbarui dengan tambalan dan perbaikan keamanan. Anda duduk di sana dan memikirkan tentang pekerjaan indah yang telah Anda lakukan untuk memastikan Anda tidak akan diretas.

Itu telah dilakukan, apa yang kebanyakan orang pikirkan, adalah langkah utama menuju jaringan yang aman. Ini sebagian benar. Bagaimana dengan faktor lainnya?

Pernahkah Anda memikirkan serangan manipulasi psikologis? Bagaimana dengan pengguna yang menggunakan jaringan Anda setiap hari? Apakah Anda siap menghadapi serangan orang-orang ini?

Percaya atau tidak, tautan terlemah dalam paket keamanan Anda adalah orang-orang yang menggunakan jaringan Anda. Sebagian besar, pengguna tidak mengetahui prosedur untuk mengidentifikasi dan menetralkan serangan manipulasi psikologis. Apa yang akan mencegah pengguna menemukan CD atau DVD di ruang makan, membawanya ke workstation mereka, dan membuka file? Disk ini mungkin berisi spreadsheet atau dokumen pengolah kata dengan makro berbahaya yang disematkan di dalamnya. Hal berikutnya yang Anda ketahui adalah bahwa jaringan Anda terganggu.

Masalah ini terjadi terutama di lingkungan di mana petugas meja bantuan mengatur ulang kata sandi melalui telepon. Tidak ada yang bisa menghentikan seseorang yang mencoba masuk ke jaringan Anda untuk menelepon pusat bantuan, berpura-pura menjadi karyawan, dan meminta pengaturan ulang kata sandi. Sebagian besar organisasi menggunakan sistem untuk menghasilkan nama pengguna, jadi tidak terlalu sulit untuk menguraikannya.

Organisasi Anda harus memiliki kebijakan yang ketat untuk memverifikasi identitas pengguna sebelum kata sandi dapat disetel ulang. Satu hal sederhana adalah meminta pengguna pergi ke meja bantuan secara langsung. Metode lain, yang berfungsi dengan baik jika kantor Anda secara geografis jauh, adalah dengan menunjuk kontak di kantor yang dapat menelepon untuk mengatur ulang kata sandi. Dengan cara ini, setiap orang yang bekerja di meja bantuan dapat mengenali suara orang ini dan mengetahui bahwa mereka adalah yang mereka katakan.

Mengapa penyerang pergi ke kantor Anda atau menelepon ke meja bantuan? Sederhana, biasanya jalur ini memiliki hambatan paling kecil. Anda tidak perlu menghabiskan waktu berjam-jam mencoba masuk ke sistem elektronik ketika sistem fisik lebih mudah untuk dieksploitasi. Lain kali Anda melihat seseorang berjalan melewati pintu di belakang Anda dan Anda tidak mengenalinya, berhentilah dan tanyakan siapa mereka dan untuk apa mereka ada di sana. Jika Anda melakukan ini, dan ternyata seseorang yang tidak seharusnya berada di sana, sering kali akan keluar secepat mungkin. Jika orang tersebut seharusnya ada di sana, kemungkinan besar Anda dapat menunjukkan nama orang yang ada di sana untuk ditemui.

Saya tahu Anda mengatakan saya gila, bukan? Nah, pikirkan Kevin Mitnick. Dia adalah salah satu peretas paling terkenal sepanjang masa. Pemerintah AS mengira dapat bersiul ke telepon dan meluncurkan serangan nuklir. Sebagian besar peretasan mereka dilakukan melalui rekayasa sosial. Entah itu melalui kunjungan fisik ke kantor atau menelepon, dia melakukan beberapa trik terbaik hingga saat ini. Jika Anda ingin tahu lebih banyak tentang dia, cari namanya di Google atau baca dua buku yang telah dia tulis.

Saya tidak mengerti mengapa orang mencoba mengabaikan jenis serangan ini. Saya kira beberapa insinyur jaringan terlalu bangga dengan jaringan mereka untuk mengakui bahwa mereka dapat dengan mudah dilanggar. Ataukah fakta bahwa orang tidak merasa mereka harus bertanggung jawab untuk mendidik karyawan mereka? Sebagian besar organisasi tidak memberikan departemen TI mereka yurisdiksi untuk mempromosikan keamanan fisik. Ini sering menjadi masalah bagi pengelola gedung atau manajemen fasilitas. Namun, jika Anda dapat mendidik karyawan Anda sedikit; Anda mungkin dapat mencegah pelanggaran jaringan karena serangan manipulasi fisik atau sosial.

Leave a Reply

Your email address will not be published. Required fields are marked *