Detection of vulnerabilities of the computer systems and networks using social engineering techniques
dc.contributor.author | Tsurkan, Oksana | |
dc.contributor.author | Herasymov, Rostyslav | |
dc.date.accessioned | 2020-05-28T12:04:23Z | |
dc.date.available | 2020-05-28T12:04:23Z | |
dc.date.issued | 2018 | |
dc.description.abstract | Information protection in computer systems and networks is focused on preserving its confidentiality properties of, integrity and availability from various inherently adverse impacts. Potentially possible adverse effects are interpreted as a threat. To prevent or complicate the possibility of realizing threats and reducing potential losses, a system of information protection measures is created and maintained in a healthy state. Such a system includes a computing system, physical environment, staff, and information. One of the most vulnerable elements of such system is staff. Within the framework of the socio-engineering approach, staff vulnerability is interpreted as its weaknesses, needs, mania (passions), hobbies. Manipulating them allows one to gain unauthorized access to information without destroying and distorting its main system-forming qualities. This is reflected in such forms as fraud, deception, scam, intrigue, hoax, provocation. The use of each of these manipulation forms is preceded by the determination of its content by careful planning, organization, and control. These actions are the basis of social engineering methods. Their use is aimed at imitating the actions of the information security violator, which are aimed at staff. This allows to assess the level of staff skills in the information security field and, as a result, to identify information vulnerabilities in computer systems and networks. The methods of social engineering used for this are divided into two groups, in particular, remote social engineering and personal contact. Methods of remote social engineering are implemented by means of modern telecommunications. In addition, the second group of methods involves the establishment of personal contact with the object of influence. In the end, it becomes possible not only to identify, neutralize, but also to prevent information vulnerabilities in computer systems and networks with the introduction of social engineering methods. Therefore, firstly, its protection is ensured taking into account the requirements of the information security policy; secondly, the rules of conduct of the staff are established, regulated by the job descriptions; thirdly, training is held to increase the persistence of employees stereotypes of the organization. | en |
dc.description.abstractru | Защита информации в компъютерных системах и сетях ориентирована на сохранение ее свойств конфиденциальности, целосности и доступности от разнообразных по своей сути неблагоприятных влияний. Потенциально возможные неблагоприятные влияния толкуются как угроза. Для предотвращения или усложнения возможности реализации угроз, уменьшения потенциальных убытков создается и поддерживается в дееспособном состоянии система мероприятий защиты информации. Такая система включает вычеслительную систему, физическую среду, персонал и информаци. Одним из наиболее уязвимых елементов такой системы является персонал. В рамках социоинженерного подхода уязвимости персонала толкуются как его слабости, потребности, мании (пристрастия), увлечения. Манипулируя ними позволяет получить несанкционированые доступ к информации без разрушения и перекручивания главных для него системообразующих качеств. Это отображается в таких формах как мошенничество, обман, афера, интрига, мистификация, провокация. Использованию каждой из этих форм манипулирования предшедствует определение ее сущьности путем тщательного планирования, организации и контроля. Данные действия являются основой методов социальной инженерии. Их использование ориентировано на имитацию действий нарушителя информационной безопасности, которые направленны на перснал. Это позволяет оценить уровень квалификации персонала в области обеспечения информационной безопасности и, как следствие, выявить уязвимости информации в компьютерных системах и сетях. Используемые для этого методы социальной инженерии делятся на две группы, в частности, удаленной социальной инженерии и личного контакта. Методы удаленной социальной инженерии реализуется средствами современных телекоммуникаций. Кроме этого вторая группа методов предполагает установление личного контакта с объектом влияния. В конечном итоге, становится возможным не только выявление, нейтрализация, но и предотвращение уязвимостей информации в компьютерных системах и сетях с использованием методов социальной инженерии. Следовательно, во- первых, обеспечивается ее защита с учетом требований политики информационной безопасности; во-вторых, устанавливаются правила поведения персонала, регламентированные должностными инструкциями; в-третьих, проводятся тренинги направленные на повышение стойкости стереотипов сотрудников организации. | ru |
dc.description.abstractuk | Захист інформації в комп’ютерних системах і мережах орієнтований на збереження її властивостей конфіденційності, цілісності та доступності від різноманітних за своєю сутністю несприятливих впливів. Потенційно можливі несприятливі впливи тлумачаться як загроза. Для запобігання або ускладнення можливості реалізацій загроз, зменшення потенційних збитків створюється та підтримується у дієздатному стані система заходів захисту інформації. Така система включає обчислювальну систему, фізичне середовище, персонал та інформацію. Одним із найбільш уразливих елементів такої системи є персонал. У рамках соціоінженерного підходу вразливості персоналу тлумачаться як його слабкості, потреби, манії (пристрасті), захоплення. Маніпулювання ними дозволяє отримати несанкціонований доступ до інформації без руйнування та перекручування головних для нього системоутворюючих якостей. Це відображається в таких формах як шахрайство, обман, афера, інтрига, містифікація, провокація. Використанню кожної з означених форм маніпулювання передує визначення її змісту шляхом ретельного планування, організування та контролювання. Означені дії є основою методів соціальної інженерії. Їх використання орієнтовано на імітування дій порушника інформаційної безпеки, що направлені на персонал. Це дозволяє оцінити рівень кваліфікації персоналу в області забезпечення інформаційної безпеки та, як наслідок, виявити вразливості інформації в комп’ютерних системах і мережах. Методи соціальної інженерії, що використовуються для цього, поділяються на дві групи. Зокрема, віддаленої соціальної інженерії та особистого контакту. Методи віддаленої соціальної інженерії реалізуються засобами сучасних телекомунікацій. Крім цього, друга група методів передбачає встановлення особистого контакту з об’єктом впливу. В кінцевому випадку, стає можливим не тільки вплив, нейтралізування, але й запобігання уразливостям інформації в комп’ютерних системах і компонентах з використанням методів соціальної інженерії. Як наслідок, по-перше, забезпечується її захист з урахуванням вимог політики інформаційної безпеки; по-друге, встановлюються правила поведінки персоналу, що регламентуються посадовими інструкціями; по-третє, проводяться тренінги, що направлені на підвищення стікості стереотипів персоналу в організації. | uk |
dc.format.extent | Pp. 43-50 | en |
dc.identifier.citation | Tsurkan, O. Detection of vulnerabilities of the computer systems and networks using social engineering techniques / Oksana Tsurkan, Rostyslav Herasymov // Information Technology and Security. – 2018. – Vol. 6, Iss. 2 (11). – Pp. 43–50. – Bibliogr.: 9 ref. | en |
dc.identifier.doi | https://doi.org/10.20535/2411-1031.2018.6.2.153489 | |
dc.identifier.uri | https://ela.kpi.ua/handle/123456789/33828 | |
dc.language.iso | en | en |
dc.publisher | Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute” | en |
dc.publisher.place | Kyiv | en |
dc.relation.ispartof | Information Technology and Security : Ukrainian research papers collection, 2018, Vol. 6, Iss. 2 (11) | en |
dc.subject | vulnerabilities | en |
dc.subject | computer systems and networks | en |
dc.subject | behavioural model | en |
dc.subject | social engineering | en |
dc.subject | social engineering techniques | en |
dc.subject | уразливість | uk |
dc.subject | комп’ютерні системи та компоненти | uk |
dc.subject | модель поведінки | uk |
dc.subject | соціальна інженерія | uk |
dc.subject | методи соціальної інженерії | uk |
dc.subject | уязвимость | ru |
dc.subject | компьютерные системы и компоненты | ru |
dc.subject | модель поведения | ru |
dc.subject | социальная инженерия | ru |
dc.subject | методы социальной инеженерии | ru |
dc.subject.udc | 004.056.53 | en |
dc.title | Detection of vulnerabilities of the computer systems and networks using social engineering techniques | en |
dc.title.alternative | Виявлення уразливостей комп’ютерних систем і мереж методами соціальної інженерії | uk |
dc.title.alternative | Обнаружение уязвимостей компъютерных систем и сетей методами социальной инженерии | ru |
dc.type | Article | en |
Файли
Контейнер файлів
1 - 1 з 1
Вантажиться...
- Назва:
- ITS2018-6-2_04.pdf
- Розмір:
- 572.32 KB
- Формат:
- Adobe Portable Document Format
- Опис:
Ліцензійна угода
1 - 1 з 1
Ескіз недоступний
- Назва:
- license.txt
- Розмір:
- 9.06 KB
- Формат:
- Item-specific license agreed upon to submission
- Опис: