Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot



bet128/149
Sana10.09.2024
Hajmi
#270811
1   ...   124   125   126   127   128   129   130   131   ...   149
Bog'liq
kiberxavfsizlik-asoslari

8.2.2. Sosial injineriya yo’nalishlari 
Sosial injineriya bilan bog’liq tahdidlarni quyidagicha tasniflash mumkin: 
Telefon bilan bog’liq tahdidlar. 
Telefon hanuzgacha tashkilotlar ichida va ular 
o’rtasidagi aloqaning eng keng tarqalgan usullaridan biri hisoblanadi. Shuning 
uchun, u sosial injineriya uchun samarali vosita bo’lib qolmoqda. Telefonda 
gaplashayotganda, suhbatdoshning shaxsini tasdiqlashning imkoni yo’q. Bu 
hujumchilarga xodimga, xo’jayinga maxfiy yoki muhim tuyuladigan ma’lumotlarga 
ishonish mumkin bo’lgan har qanday shaxsni o’rniga bo’lish imkonini beradi. Bunda, 
zo’ravonlik qurbonini “yordam berishdan” boshqa imkoni qolmaydi. Hattoki, 
uyushtiriladigan suhbat ahamiyatsiz bo’lib ko’ringan taqdirda ham. 
Uyali 
telefondan 
foydalanuvchilarni 
pul 
o’g’irlashga 
qaratilgan 
firibgarlikning turli usullari mavjud. Bunga qo’ng’iroqlar yoki lotereyalardagi 
yutuqlar, SMS-xabarlar, xatolar orqali pulni qaytarish to’g’risida so’rovlar yoki 
jabrlanuvchining yaqin qarindoshlari muammoga duch kelganligi hamda ma’lum 
miqdordagi pulni zudlik bilan o’tkazish kerakligi haqidagi xabarlarni keltirish 
mumkin. 
Mazkur hollarda quyidagi xavfsizlik choralarini amalga oshirish talab etiladi: 
-
telefon qiluvchining shaxsini aniqlash; 
-
raqamni aniqlash xizmatidan foydalanish; 
-
SMS – xabardagi nomalum havolalarga e’tibor bermaslik. 
Elektron pochta bilan bog’liq tahdidlar.
Ko’pgina xodimlar har kuni 
korporativ va shaxsiy pochta tizimlarida o’nlab, hatto yuzlab elektron pochta 
xabarlarini qabul qilishadi. Albatta, bunday yozishmalar oqimi bilan har bir harfga 
etarlicha e’tibor berishning imkoni yo’q. Bu esa hujumlarni amalga oshirishni 
sezilarli darajada osonlashtiradi. Elektron pochta tizimlarining ko’plab 
foydalanuvchilari bunday holni bir papkadan ikkinchisiga qog’ozlarni o’tkazishning 
elektron analogi sifatida qabul qiladi va xabarlarni qabul qilishda xotirjam bo’lishadi. 
Tajovuzkor pochta orqali oddiy so’rov yuborganda, uning qurboni ko’pincha uning 
xatti-harakatlari haqida o’ylamasdan ular so’ragan narsani bajaradi. Elektron 


273 
pochtalarda xodimlarni korporativ atrof-muhit muhofazasini buzishga undaydigan 
giperhavolalar bo’lishi mumkin. Bunday havolalar har doim ham da’vo qilingan 
sahifalarga murojaat qilmaydi. 
Xavfsizlik choralarining aksariyati ruxsatsiz foydalanuvchilarning korporativ 
resurslardan foydalanishini oldini olish uchun ishlab chiqilgan. Agar buzg’unchi 
tomonidan yuborilgan giperhavolani bosish orqali foydalanuvchi zararli dasturni 
korporativ tarmoqqa yuklasa, bu ko’plab himoya turlarini chetlab o’tishga imkon 
beradi. Giperhavola, shuningdek, ma’lumot yoki yordamni talab qiladigan qalqib 
chiquvchi ilovalar bilan turli xostlarga murojaatni talab qilishi mumkin. 
Firibgarlikni va zararli hujumlarni oldini olishning eng samarali usuli - kutilmagan 
kiruvchi elektron pochta xabarlariga shubha bilan qarash. Ushbu yondashuvni butun 
tashkilotda tarqatish uchun quyidagi elementlarni o’z ichiga olgan xavfsizlik 
siyosatiga elektron pochtadan foydalanishning aniq prinsiplari kiritilishi kerak: 
-
hujjatlarga qo’shimchalar; 
-
hujjatdagi giperhavolalar; 
-
shaxsiy yoki korporativ ma’lumotlarni kompaniya ichiga so’rash; 
-
shaxsiy yoki korporativ ma’lumotlarga kompaniya tashqarisidan 
keladigan so’rovlar. 
Tezkor xabarlardan foydalanishga asoslangan tahdidlar. 
Tezkor xabar 
almashish - ma’lumotlarni uzatishning nisbatan yangi usuli. Ammo, u korporativ 
foydalanuvchilar orasida allaqachon mashhurlikka erishgan. Foydalanishning tezligi 
va qulayligi tufayli ushbu aloqa usuli turli xil hujumlar uchun keng imkoniyatlarni 
ochib beradi. Foydalanuvchilar unga telefon kabi qarashadi va uni potensial dasturiy 
tahdidlar sifatida baholashmaydi. Tezkor xabarlar xizmatidan foydalanishga 
asoslangan hujumlarning ikkita asosiy turi - zararli dasturga havola va dasturning 
o’zi haqida xabarning ko’rsatilishi hisoblanadi. Tezkor xabarlar xizmatlarining 
xususiyatlaridan biri - aloqaning norasmiyligi bo’lib, unda har qanday nomlarni 
moslashtirish qobiliyati bilan bir qatorda, bu omil tajovuzkorni boshqa odam bo’lib 
ko’rsatishga imkon beradi. Bu esa muvaffaqiyatli hujum qilish ehtimolini sezilarli 
darajada oshiradi. Agar kompaniya tezkor xabarlar sababli keladigan xarajatlarni 


274 
kamaytirish va boshqa afzalliklardan foydalanmoqchi bo’lsa, korporativ xavfsizlik 
siyosatida tegishli tahdidlardan himoya qilish mexanizmlarini ta’minlash kerak. 
Korporativ muhitda tezkor xabar almashish ustidan ishonchli boshqaruvga ega 
bo’lish uchun bir nechta talablar bajarilishi shart: 
-
tezkor xabarlar uchun bitta platformani tanlash; 
-
tezkor xabar yuborish xizmatini o’rnatishda xavfsizlik sozlamalarini 
aniqlash; 
-
yangi aloqalarni o’rnatish tamoyillarini aniqlash; 
-
parol tanlash standartlarini o’rnatish; 
-
tezkor xabarlardan foydalanish bo’yicha tavsiyalar berish. 
Sosial injineriyaning mutaxassislari tomonidan tashkilotlar uchun quyidagi 
asosiy himoya usullarini qo’llash tavsiya etiladi: 
-
muhim ma’lumotlar ko’rinishida bo’lgan zararsiz ko’rinadigan 
ma’lumotlar turlarini hisobga oladigan ishonchli ma’lumotlarni tasniflash siyosatini 
ishlab chiqish; 
-
ma’lumotlarni shifrlash yoki foydalanishni boshqarish yordamida 
mijoz ma’lumotlari xavfsizligini ta’minlash; 
-
xodimlarni sosial injinerni tanib olish ko’nikmalariga o’rgatish, ularni 
o’zlari tanimaydigan odamlar bilan muloqotda shubha bilan qarashni o’rgatish; 
-
xodimlar orasida parollarni almashishni yoki umumiy foydalanishni 
taqiqlash; 
-
shaxsan tanish bo’lmagan yoki biron-bir tarzda tasdiqlanmagan 
shaxsga bo’limga tegishli ma’lumotni berishni taqiqlash; 
-
maxfiy ma’lumotlardan foydalanishni so’raganlar uchun maxsus 
tasdiqlash muolajalaridan foydalanish.
Sosial injineriya hujumlarini oldini olishda ko’p hollarda kompaniyalar 
tomonidan murakkab ko’p darajali xavfsizlik tizimlari qo’llaniladi. Bunday 
tizimlarning ba’zi xususiyatlari va majburiyatlari quyida keltirilgan: 
-
Fizik xavfsizlik.
Kompaniya binolari va korporativ resurslarga kirishni 
cheklaydigan to’siqlar. Shuni unutmaslik kerakki, kompaniyaning resurslari, 


275 
masalan, kompaniya hududidan tashqarida joylashgan axlat konteynerlari fizik 
himoyalanmagan. 
-
Ma’lumotlar.
Biznes ma’lumotlari: qayd yozuvlari, pochta va 
boshqalar bo’lib, tahdidlarni tahlil qilish va ma’lumotlarni himoya qilish choralarini 
rejalashtirishda qog’oz, elektron ma’lumotlar tashuvchilar bilan ishlash 
tamoyillarini aniqlash kerak. 
-
Ilovalar
- foydalanuvchilar tomonidan boshqariladigan dasturlar. 
Atrofingizni himoya qilish uchun tajovuzkorlar elektron pochta dasturlari, tezkor 
xabarlar xizmati va boshqa dasturlardan qanday foydalanishlari mumkinligini ko’rib 
chiqishingiz kerak. 
-
Kompyuterlar
. Tashkilotda ishlatiladigan serverlar va mijoz tizimlari. 
Korporativ kompyuterlarda qaysi dasturlardan foydalanish mumkinligini 
ko’rsatadigan qat’iy tamoyillarni belgilab, foydalanuvchilarni o’zlarining 
kompyuterlariga to’g’ridan-to’g’ri hujumlardan himoya qilish. 
-
Ichki tarmoq
. Korxona tizimlariga o’zaro ta’sir qiladigan tarmoq bo’lib, 
u mahalliy, global yoki simsiz bo’lishi mumkin. So’nggi yillarda masofadan 
ishlaydigan usullarning ommalashishi sababli, ichki tarmoqlarning chegaralari 
sezilarli darajada o’zboshimchalik asosida kengaytirildi. Kompaniya xodimlari har 
qanday tarmoq muhitida xavfsiz ishlarni tashkil qilishda nima qilish kerakligini 
tushunishlari kerak. 
-
Tarmoq perimetri.
Kompaniyaning ichki tarmoqlari va tashqi, masalan, 
Internet yoki hamkor tashkilotlar tarmoqlari o’rtasidagi chegara. 
Sosial injineriyaga tegishli ko’plab hujumlar mavjud bo’lib, quyida ularning 
ayrimlari bilan tanishib chiqiladi. 

Download
1   ...   124   125   126   127   128   129   130   131   ...   149




Bosh sahifa
Aloqalar

    Bosh sahifa



Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot