Texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent

28 
esa hujumlarni amalga oshirishni sezilarli darajada osonlashtiradi. 
Elektron pochta tizimlarining ko‘plab foydalanuvchilari bunday holni 
bir papkadan ikkinchisiga qog‘ozlarni o‘tkazishning elektron analogi 
sifatida qabul qilishadi va xabarlarni qabul qilishda xotirjam bo‘lishadi. 
Tajovuzkor pochta orqali oddiy so‘rov yuborganida, uning qurboni 
ko‘pincha uning xatti-harakatlari haqida o‘ylamasdan ular so‘ragan ishni 
bajaradi. Elektron pochtalarda xodimlarni korporativ atrof-muhit 
muhofazasini buzishga undaydigan giperhavolalar bo‘lishi mumkin. 
Bunday havolalar har doim ham da’vo qilingan sahifalarga murojaat 
qilmaydi. 
Xavfsizlik choralarining aksariyati ruxsatsiz foydalanuvchilarning 
korporativ resurslardan foydalanishini oldini olish uchun ishlab 
chiqilgan. Buzg‘unchi tomonidan yuborilgan giperhavolaga murojaat 
orqali foydalanuvchining zararli dasturni korporativ tarmoqqa yuklashi 
ko‘plab himoya turlarini chetlab o‘tishga imkon beradi. Giperhavola, 
shuningdek, ma’lumot yoki yordamni talab qiladigan qalqib chiquvchi 
ilovalar bilan turli xostlarga murojaatni talab qilishi mumkin. 
Firibgarlikni va zararli hujumlarni oldini olishning eng samarali usuli - 
kutilmagan foydalanuvchining elektron pochtasi xabarlariga shubha 
bilan qarash. Ushbu yondashuvni butun tashkilotda tarqatish uchun 
xavfsizlik siyosatida belgilangan elektron pochtadan foydalanishning 
quyidagi elementlari kiritilishi kerak: 
-
hujjatlarga qo‘shimchalar; 
-
hujjatdagi giperhavolalar; 
-
shaxsiy yoki korporativ ma’lumotlarni kompaniya ichida 
so‘rash; 
-
shaxsiy yoki korporativ ma’lumotlarga kompaniya tashqarisidan 
keladigan so‘rovlar. 
Tezkor xabarlardan foydalanishga asoslangan tahdidlar. 
Tezkor 
xabar almashish – ma’lumotlarni uzatishning nisbatan yangi usuli. 
Ammo, u korporativ foydalanuvchilar orasida allaqachon mashhurlikka 
erishgan. Foydalanishning tezligi va qulayligi tufayli ushbu aloqa usuli 
turli xil hujumlar uchun keng imkoniyatlarni ochib beradi. 
Foydalanuvchilar unga telefon kabi qarashadi va uni bo‘lishi mumkin 
bo‘lgan dasturiy tahdidlar sifatida baholashmaydi. Tezkor xabarlar 
xizmatidan foydalanishga asoslangan hujumlarning ikkita asosiy turi - 
zararli dasturga havola va dasturning o‘zi haqida xabarning ko‘rsatilishi 
hisoblanadi. Tezkor xabarlar xizmatlarining xususiyatlaridan biri - 
aloqaning norasmiyligi, unda har qanday nomlarni moslashtirish 

29 
qobiliyati bilan bir qatorda, bu omil tajovuzkorni o‘zini boshqa odam 
bo‘lib ko‘rsatishiga imkon beradi. Bu esa muvaffaqiyatli hujum qilish 
ehtimolini sezilarli darajada oshiradi. Agar kompaniya tezkor xabarlar 
sababli keladigan xarajatlarni kamaytirish maqsadida boshqa 
afzalliklardan foydalanmoqchi bo‘lsa, korporativ xavfsizlik siyosatida 
tegishli tahdidlardan himoya qilish mexanizmlarini ta’minlashi kerak. 
Korporativ muhitda tezkor xabar almashish ustidan ishonchli 
boshqaruvga ega bo‘lish uchun quyidagi talablar bajarilishi shart: 
-
tezkor xabarlar uchun bitta platformani tanlash; 
-
tezkor xabar yuborish xizmatini o‘rnatishda xavfsizlik 
sozlamalarini aniqlash; 
-
yangi aloqalarni o‘rnatish tamoyillarini aniqlash; 
-
parol tanlash standartlarini o‘rnatish; 
-
tezkor xabarlardan foydalanish bo‘yicha tavsiyalar berish. 
Sotsial injineriya mutaxassislari tashkilotlar uchun quyidagi asosiy 
himoya usullarini qo‘llashni tavsiya etadilar: 
-
muhim ma’lumotlar ko‘rinishida bo‘lgan, zararsiz ko‘rinadigan 
ma’lumot turlarini hisobga oladigan ishonchli ma’lumotlarni tasniflash 
siyosatini ishlab chiqish; 
-
ma’lumotlarni shifrlash yoki foydalanishni boshqarish 
yordamida mijoz ma’lumotlari xavfsizligini ta’minlash; 
-
xodimlarni sotsial injineriya ko‘nikmalariga o‘rgatish, ularni 
o‘zlari tanimaydigan odamlar bilan muloqotiga shubha bilan qarashni 
o‘rgatish; 
-
xodimlar orasida parollarni almashishni yoki umumiy 
foydalanishni taqiqlash; 
-
shaxsan tanish bo‘lmagan yoki biron-bir tarzda tasdiqlanmagan 
shaxsga korxonaga tegishli ma’lumotlarni berishni taqiqlash; 
-
maxfiy ma’lumotlardan foydalanishni so‘raganlar uchun maxsus 
tasdiqlash muolajalaridan foydalanish. 
Sotsial injineriya hujumlarini oldini olishda ko‘p hollarda 
kompaniyalar tomonidan murakkab, ko‘p darajali xavfsizlik tizimlari 
qo‘llaniladi. Bunday tizimlarning ba’zi xususiyatlari va majburiyatlari 
quyida keltirilgan: 
Fizik xavfsizlik.
Kompaniya binolari va korporativ resurslardan 
foydalanishni cheklaydigan to‘siqlar. Unutmaslik kerakki, 
kompaniyaning resurslari, masalan, kompaniya hududidan tashqarida 
joylashgan axlat konteynerlari fizik himoyalanmagan. 

30 
Ma’lumotlar.
Biznes ma’lumotlari: qayd yozuvlari, pochta va 
boshqalar bo‘lib, tahdidlarni tahlillash va ma’lumotlarni himoya qilish 
choralarini rejalashtirishda qog‘oz, elektron ma’lumot eltuvchilari bilan 
ishlash tamoyillarini aniqlash kerak. 
Ilovalar
- foydalanuvchilar tomonidan boshqariladigan dasturlar. 
Atrofini himoya qilish uchun elektron pochta dasturlaridan, tezkor 
xabarlar xizmati va boshqa dasturlardan tajovuzkorlar qanday 
foydalanishlari mumkinligini ko‘rib chiqish kerak. 
Kompyuterlar
. Korporativ kompyuterlarda qaysi dasturlardan 
foydalanish mumkinligini ko‘rsatadigan qat’iy tamoyillarni belgilash, 
foydalanuvchilar kompyuterlariga to‘g‘ridan-to‘g‘ri hujumlardan 
himoya qilish. 
Ichki tarmoq
. Korxona tizimlariga ta’sir qiladigan tarmoq, u 
mahalliy, global yoki simsiz bo‘lishi mumkin. So‘nggi yillarda 
masofadan ishlaydigan usullarning ommaviylashi sababli, ichki 
tarmoqlarning chegaralari sezilarli darajada o‘zboshimchalik bilan 
kengaytirildi. Kompaniya xodimlari har qanday tarmoq muhitida xavfsiz 
ishlarni tashkil qilishda nima qilish kerakligini tushunishlari lozim. 
Tarmoq perimetri.
Kompaniyaning ichki tarmoqlari va tashqi, 
masalan, Internet yoki hamkor tashkilotlar tarmoqlari o‘rtasidagi 
chegara. 
Sotsial injineriyaga tegishli ko‘plab hujumlar mavjud, quyida 
ularning ayrimlari keltirilgan: 

Yüklə 5,01 Kb.

Dostları ilə paylaş: