Capítulo 10 Ingeniería social y otros enemigos

Capítulo 10

Ingeniería social y otros enemigos

LOS SIGUIENTES COMPTIA SECURITY + EXAM OBJETIVOS SON

CUBIERTO EN ESTE CAPÍTULO:

1.2 Comparar y contrastar tipos de ataques.

• Ingeniería social: phishing; Spear phishing; Ballenero; Vishing; Chupar rueda Interpretación; Basurero de buceo; Hombro de surf; Farsa; Ataque de pozo de agua; Principios (razones de efectividad): Autoridad; Intimidación; Consenso; Escasez; Familiaridad; Confiar; Urgencia

3.9 Explique la importancia de los controles de seguridad física.

• Encendiendo; Señales; Esgrima / puerta / jaula; Guardias de seguridad; Alarmas; Seguro; Asegure los gabinetes / recintos; Distribución protegida / Cableado protegido; Airgap Cepo; Jaula de Faraday; Tipos de bloqueo; Biometría; Barricadas / bolardos; Fichas / tarjetas; Controles ambientales (HVAC Pasillos fríos y calientes; Supresión de incendios); Cerraduras de cable; Filtros de pantalla; Cámaras Detección de movimiento; Registros; Detección infrarroja; Gestión de claves

5.7 Comparar y contrastar varios tipos de controles.

• Disuasorio; Preventivo; Detective; Correctivo; Compensación; Técnico; Administrativo; Físico

5.8 Ante un escenario, llevar a cabo la seguridad y privacidad de los datos practicas.

• Destrucción de datos y saneamiento de los medios: quema; Trituración Pulpa Pulverización Desmagnetización; Purga; Limpiando

• Etiquetado y manejo de la sensibilidad de los datos: confidencial; Privado; Público;

• Propiedad; PII; FI

• Roles de datos: propietario; Mayordomo / custodio; Oficial de privacidad

• Retención de datos Legal y cumplimiento

Mantener las computadoras y redes seguras implica más que solo los aspectos técnicos de los sistemas y redes. En muchos casos, el eslabón más débil es el usuario que tiene acceso a los datos y está menos que completa comprensión de los problemas de seguridad que pueden encontrar.

Como profesional de seguridad, debe abordar el problema de la falta de experiencia en seguridad utilizando una respuesta equilibrada tanto de un técnico como perspectiva empresarial. Es su responsabilidad mantener los datos seguros, y si eso significa capacitar a los usuarios además de implementar una seguridad de red más estricta, entonces, como Lady Macbeth lo expresó tan elocuentemente: "Atornille su coraje a la pegarse, y no fallaremos ".

Este capítulo lo ayudará a comprender las complejidades de administrar la seguridad. y los problemas relacionados con la ingeniería social, la seguridad física y los datos. Políticas.

Ingeniería social y seguridad física Terminología

Al igual que en el caso de los capítulos anteriores, hay una serie de definiciones y nomenclaturas que debes saber cuándo se trata de redes sociales ingeniería y seguridad física. Los siguientes términos (también se encuentran en glosario en línea) son aquellos a los que CompTIA le gusta usar y probar en esta categoría. Se proporcionan para facilitarle saber qué cada uno está destinado a transmitir.

Seguridad + Terminología

control administrativo Un control implementado a través de administración Políticas o procedimientos.

cable lock Un elemento de disuasión de seguridad física utilizado para proteger una computadora.

pasillos fríos Pasillos de la sala de servidores que expulsan el aire frío del piso.

controles de compensación Controles de brecha que completan la cobertura entre otros tipos de técnicas de mitigación de vulnerabilidad. (Donde hay agujeros en cobertura, los compensamos).

control Procesos o acciones utilizados para responder a situaciones o eventos.

tipos de control Medidas técnicas, físicas o administrativas implementadas para ayudar con la gestión de recursos.

eliminación de datos Deshacerse de / destruir medios ya no es necesario.

Controles de control detective que están destinados a identificar y caracterizar un incidente en progreso (por ejemplo, hacer sonar la alarma y alertar al administrador).

bucear en el basurero Buscar pistas en la basura, a menudo en forma de recortes de papel: para encontrar las contraseñas de los usuarios y otra información pertinente.

Jaula de Faraday Una malla de alambre eléctricamente conductor u otro conductor entretejido en una "jaula" que rodea una habitación y evita la electromagnética señales de entrar o salir de la habitación a través de las paredes.

extinción de incendios El acto de detener un incendio y evitar que extensión.

engaño Por lo general, un mensaje de correo electrónico de advertencia de algo que no es cierto, como un brote de un nuevo virus. Un engaño puede enviar a los usuarios al pánico y causar más daño que el virus.

pasillos calientes Un pasillo de la sala de servidores que elimina el aire caliente.

Suplantación de identidad que finge ser otra persona para obtener información. clasificación de información El proceso de determinar qué la información es accesible, para qué partes y para qué fines.

mantrap Un dispositivo, como una habitación pequeña, que limita el acceso a uno o un pocas personas Las mantraps generalmente usan cerraduras electrónicas y otras métodos para controlar el acceso.

Método PASS El método correcto para extinguir un incendio con un extintor: tirar, apuntar, apretar y barrer.

seguridad perimetral Seguridad configurada en el exterior de la red o servidor para protegerlo.

Tarjeta de verificación de identidad personal (PIV) requerida de federal empleados y contratistas para obtener acceso (físico y lógico) a recursos del gobierno.

Información de identificación personal (PII) Información que puede ser Se utiliza de forma exclusiva para identificar, contactar o localizar a una sola persona. Ejemplos incluir número de Seguro Social, número de licencia de conducir, huellas digitales y escritura.

phishing Una forma de ingeniería social en la que simplemente le preguntas a alguien para una información que te falta haciendo que parezca que es Una solicitud legítima. Comúnmente enviado por correo electrónico.

Controles físicos Controles y contramedidas de naturaleza tangible destinado a minimizar las intrusiones. controles preventivos Controles destinados a prevenir ataques o intrusiones.

Privacidad Un estado de seguridad en el que la información no es vista por partes no autorizadas sin el permiso expreso del parte involucrado. filtros de privacidad Pantallas que restringen la visualización de monitores solo a aquellos sentado frente a ellos.

Cámaras PTZ que pueden moverse, inclinarse y hacer zoom. información restringida Información que no está disponible para todos y a los cuales se les otorga acceso según algunos criterios. navegar por el hombro Ver a alguien cuando ingresan su nombre de usuario, contraseña o datos confidenciales.

Ingeniería social Un ataque que usa a otros engañándolos. Eso no se dirige directamente al hardware o software, sino que se dirige y Manipula a las personas.

Spear Phishing Una forma de phishing en la que el mensaje se hace para parece como si viniera de alguien que conoce y confía en lugar de un tercero informal.

Seguir a alguien por un punto de entrada. controles técnicos Controles que dependen de la tecnología. vishing Combina phishing con Voz sobre IP (VoIP).

Ataque de un pozo de agua Identificar un sitio que es visitado por aquellos que están atacando, envenenando ese sitio y luego esperando los resultados.

wetware Otro término para la ingeniería social. la caza de ballenas phishing solo grandes cuentas.

Entendiendo la Ingeniería Social

La ingeniería social es el proceso por el cual los intrusos obtienen acceso a su instalaciones, su red e incluso sus empleados explotando confiando en la naturaleza de las personas. Un ataque de ingeniería social puede provenir de alguien haciéndose pasar por un vendedor, o podría tomar la forma de un correo electrónico de un (supuestamente) ejecutivo viajero que indica que han olvidado cómo para iniciar sesión en la red o cómo ingresar al edificio durante el fin de semana. Sus a menudo es difícil determinar si el individuo es legítimo o tiene mala intenciones

Ocasionalmente, la ingeniería social también se conoce como wetware. Este término se usa porque es una forma de piratería que no requiere software o hardware, sino más bien la materia gris del cerebro.

Los ataques de ingeniería social pueden desarrollarse sutilmente. También son difíciles de detectar. Veamos algunos ataques clásicos de ingeniería social.

Alguien entra a su edificio con una chaqueta de laboratorio blanca con un logotipo. Él También tiene un kit de herramientas. Se acerca a la recepcionista y se identifica como un reparador de copiadoras de una importante empresa local de copiadoras. Él indica que él es aquí para hacer un servicio preventivo en su copiadora. En la mayoría de los casos, la recepcionista lo dejará pasar y le dirá la ubicación de la copiadora. Una vez que el "técnico" está fuera de la vista, la recepcionista probablemente no lo pensará un segundo. Su organización acaba de ser víctima de un ataque de ingeniería social. Los el atacante ahora ha penetrado su primera y posiblemente incluso su segunda capa de seguridad. En muchas oficinas, incluidas las oficinas orientadas a la seguridad, este individuo tendría acceso a toda la organización y podría pasar libremente donde quisiera. Este ataque no requirió ningún talento o habilidad en particular aparte de la capacidad de parecer un reparador de fotocopiadoras. La suplantación puede ir un largo camino para permitir

...