Al ser un defensor de DIO (operaciones de información defensiva), siempre me ha preocupado la ingeniería social y su relación con la seguridad del servidor. Dar acceso administrativo a los miembros del personal requiere la confianza de que, en la actualidad, es difícil de transmitir.
¿Qué estrategias utilizan las empresas modernas para garantizar que la actividad de los empleados sea segura, mitigando el riesgo de acceso no válido al servidor de forma automatizada ?
No puede impedir por completo la ingeniería social, por lo que necesita trabajar en la limitación de daños. La ingeniería social solo funciona con personas que tienen el privilegio de hacer algo o saber algo importante. Si elimina la información confidencial y los privilegios riesgosos, reducirá enormemente su huella de seguridad.
Lo que estás buscando es separación de funciones , combinado con la autenticación adecuada. Es decir, le da a cada usuario los privilegios mínimos absolutos que necesita para hacer su trabajo, pero les permite escalar una tarea o procedimiento a un superior que tenga los privilegios requeridos, o pasar la operación a un departamento alternativo que tenga el privilegio requerido. También proporciona mecanismos de autenticación adecuados para imponer la identidad.
Por ejemplo, en un banco puede otorgar al personal del centro de llamadas la capacidad de cambiar su límite de crédito, pero no la capacidad de marcar una transacción como fraudulenta. El departamento de fraude podría marcar una transacción, pero no cambiar su límite de crédito. Además, el personal del centro de llamadas no pudo aprobar un préstamo directamente, pero podría enviar la solicitud de préstamo a su gerente, quien puede aprobar o rechazar la solicitud. Todos los accesos al sistema deben hacerse cumplir con una contraseña y un token de hardware (por ejemplo, tarjeta magnética, RSA Securekey, etc.) como mínimo, para que la identidad se cumpla y se pueda probar una cadena de custodia.
Para acceder a ubicaciones privilegiadas (por ejemplo, sala de servidores o un inicio de sesión a través de SSH), debe requerir una autenticación multifactor. La ingeniería social es efectiva para obtener cosas que usted sabe, pero de ninguna manera tan efectiva para obtener cosas que tiene o es. Use la seguridad física y la autenticación digital adecuadas que requieren autenticación de dos o tres factores para obtener acceso. En los casos en los que se accede a un activo altamente sensible, se requiere la autenticación de múltiples factores de más de un empleado.
Además de todo esto, use el registro de auditoría en todas partes. Todos los cambios que realice una persona deben registrarse, y se deben tomar las medidas adecuadas para garantizar que los registros no se puedan destruir ni falsificar. Esto proporciona una manera de identificar problemas y lo deja con un recurso legal en caso de que un empleado haga algo malévolo.
La mejor manera de automatizar el proceso es hacer que la ingeniería social sea imposible. Por ejemplo, si las contraseñas no se almacenan, entonces no funcionará ninguna cantidad de "por favor podría decirme mi contraseña".
En los casos en que es necesario permitir la intervención humana, asegúrese de que las excepciones a los procedimientos estándar estén marcadas y subidas proporcionalmente al grado de desviación. Aproximadamente cada tercera vez que estoy en un supermercado, se produce algún problema técnico y el inspector tiene que saludar a un supervisor para que realice un proceso de compensación sin sentido. Parece sin sentido porque es rutinario, pero supongo que pretende evitar que ocurra algún tipo de fraude.
No quiero parecer trillado, pero el mejor proceso automatizado es no permitir que los empleados accedan a la administración.
Asigne permisos según sea necesario para que hagan su trabajo, cuando los necesiten. Cree alertas globales siempre que alguien esté asignado a grupos de administración.
Esto limita el daño que puede hacer un usuario y es más fácil automatizar el monitoreo de sus acciones, así como cuándo y cómo asigna privilegios temporales.
Es molesto e inconveniente, pero es fundamental: menos privilegios.
Sinceramente, creo que automatizar algo es una de las peores cosas que puedes hacer para evitar un ataque de ingeniero social. Los seres humanos son dinámicos, y como tal también lo hacen las estrategias que emplea para evitar que un humano comprometa su sistema con técnicas sociales.
Tome por ejemplo si llama a su proveedor de telefonía celular. Sé que mi proveedor de teléfono celular va a solicitar mi dirección y fecha de nacimiento. Esto, en esencia, es una seguridad deficiente porque si planeaba atacar un objetivo, todo lo que tendría que averiguar sería esa información. Los empleados son simplemente drones que hacen las preguntas que se les presentan.
Una solución más segura (aunque más problemática) sería cambiar periódicamente las preguntas de seguridad. Puede hacer una variedad más amplia de preguntas o pedir a los clientes que respondan preguntas de seguridad nuevas (seleccionadas al azar) cada 6 meses.
Esfuerzos anteriores para automatizar la seguridad (consulte Ataque RSA o autenticación de dos factores de Google ) Han demostrado ser menos eficaces de lo esperado.
Lea otras preguntas en las etiquetas authentication appsec social-engineering defense attack-prevention