چکیده
مهندسی اجتماعی نوعی حمله است که در تلاش برای دستکاری کارکنان برای افشای اطلاعات محرمانه و یا انجام اقداماتی است که امنیت سازمانها را تهدید میکند. هدف این مقاله مطالعه هر دو عامل فردی و سازمانی است که بر آگاهی امنیت اطلاعات کارکنان تاثیر میگذارند و اینکه چگونه این امر منجر به تمایل به مقاومت در برابر حملات مهندسی اجتماعی میشود. مدل تحقیق پیشنهادی با استفاده از دادههای نظرسنجی از ۱۳۶ کارمند تایید شدهاست. نتایج تجربی نشان میدهد که رهبری و تمایل به رفتار پرخطر بر آگاهی از امنیت اطلاعات کارکنان تاثیر میگذارد. آگاهی از امنیت اطلاعات به عنوان یک عامل مرکزی برای امنیت اطلاعات تایید شد که به موجب آن ارتقا آگاهی از امنیت اطلاعات به عنوان یک جنبه مهم برای حفاظت از یک شرکت در برابر حملات بالقوه نشان داده میشود. تاثیر آگاهی از امنیت اطلاعات بر نگرش، کنترل رفتار درک شده و هنجار ذهنی در زمینه تاثیر غیر مستقیم بر نیت مقاومت در برابر مهندسی اجتماعی، بر اهمیت این عامل تاکید میکند.
1- مقدمه
اهمیت رو به رشد اطلاعات دیجیتال نه تنها فرصتها بلکه خطرات امنیتی را نیز ارائه میدهد. گسترش پلت فرمهای شبکههای اجتماعی، مهاجمان را قادر میسازد تا اطلاعات شخصی کارمندان را از طریق رد پای آنلاین خود جمعآوری کنند. سپس اطلاعات بهدستآمده به این شیوه میتواند برای تسهیل حملات به یک سازمان مورد استفاده قرار گیرد [۱]. همانطور که انسانها تصمیمگیری میکنند و مسئولیت را بر عهده میگیرند، عامل انسانی سهم مهمی در جنبه امنیت اطلاعات دارد [۲]. حتی قویترین اقدامات حفاظتی فنی در صورتی بیفایده هستند که یک مهاجم بتواند با موفقیت بر کارکنان تاثیر بگذارد [۳]. مهندسی اجتماعی شکلی از حمله است که در آن افراد به عمد برای افشای اطلاعات محرمانه یا انجام اقدامات مورد نظر مهاجم که امنیت فرد یا شرکت را تهدید میکند، دستکاری میشوند [۴]. حملات مهندسی اجتماعی شامل جنبههای فیزیکی، اجتماعی و فنی است که در مراحل مختلف یک حمله مورد استفاده قرار میگیرند. حتی اگر چنین حملهای در ابتدا ناموفق باشد، هر گونه بینش در مورد فرایندهای فردی و امنیت سازمانی میتواند برای حملات آینده مورد استفاده قرار گیرد. این پدیده برداشت نامیده میشود [۵]. مهندسان اجتماعی از تکنیکهایی مانند سرقت آنلاین (هدف دار) [۶ - ۸]، بهانه جویی [۶، ۹]، جستجو در زباله ها [۷]، بالای سر کسی ایستادن (نگاه کردن پسورد از روی دست اشخاص هنگام تایپ کردن) [۷، ۹]، مهندسی معکوس (اجتماعی) [۶، ۷]، گودال آب [۷]، طعمه کردن [۷]، یا جعل هویت کارکنان [۶، ۹] برای دستیابی به دادههای شخصی یا سیستمهای ایمن استفاده میکنند. کارمندان با کمبود دانش در مورد چنین خطرات امنیتی از جمله بزرگترین خطرات در شرکت هستند [۱۰]. برای اطمینان از امنیت اطلاعات، اقداماتی برای ارتقا آگاهی از امنیت اطلاعات کارکنان ضروری است [۳، ۱۱، ۱۳].
Abstract
Social engineering is a form of attack trying to manipulate employees to make them disclose confidential information or perform actions that threatens the security of organizations. The goal of this paper is to study both individual and organizational factors that affect information security awareness of employees and how this leads to intention to resist social engineering attacks. The proposed research model is validated using survey data of 136 employees. The empirical results suggest that leadership and the tendency toward risky behavior are influencing information security awareness of employees. Information security awareness was confirmed as a central factor for information security, whereby the promotion of awareness for information security is indicated as an important aspect to protect a company from potential attacks. The impact of information security awareness on attitude, perceived behavior control and subjective norm in addition to the indirect effect on the intention to resist social engineering, underline the importance of this factor.
1. Introduction
The growing importance of digital information presents not only opportunities but also security risks. The spread of social networking platforms enables attackers to collect personal data of employees via their online footprints. The information obtained in this manner can then be used to facilitate attacks on an organization [1]. As humans make decisions and bear responsibility, the human factor is making an important contribution to the aspect of information security [2]. Even the strongest technical protective measures are useless if an attacker can successfully influence employees [3]. Social engineering is a form of attack in which people are deliberately manipulated to divulge confidential information or to perform actions desired by the attacker that threaten the security of the person or the company [4]. Social engineering attacks include physical, social and technical aspects that are used in the various phases of an attack. Even if such an attack is initially unsuccessful, any insight into individual and organizational security processes can be used for future attacks. This phenomenon is called harvesting [5]. Social engineers use techniques such as (spear) phishing [6–8], pretexting [6,9], dumpster diving [7], shoulder surfing [7,9], reverse (social) engineering [6,7], waterholing [7], baiting [7], or staff impersonation [6,9] to gain access to personal data or secured systems. Employees with a lack of knowledge about such security risks are among the biggest risks in the company [10]. To ensure information security, measures are necessary to promote employees‘ information security awareness [3,11–13].
چکیده
1- مقدمه
۲- پیشینه و فرضیهها
۳- مطالعه تجربی
3-1- طراحی پرسشنامه و جمعآوری اطلاعات
3-2- ویژگیهای نمونه
3-3- ارزیابی مدل
4- بحث
۵- نتیجهگیری
منابع
Abstract
1. Introduction
2. Background and Hypotheses
3. Empirical Study
3.1. Questionnaire design and data collection
3.2. Sample characteristics
3.3. Model Evaluation
4. Discussion
5. Conclusion
References