ペブカック。 この言葉を聞いたことがない、起源 オタク しかし、コンピュータセキュリティの問題を解決するのに最も大きくて最も難しいもののXNUMXつを表すのはどれですか?
それは頭字語です、それは意味します キーボードと椅子の間に問題が存在する -つまり、問題はキーボードと椅子の間にあるということです。
他の人はそれを示すためにそれをHFと呼びます 人的要因、人間工学 -人的要因; さらに他の人は、漫画家のジョン・クロスナーが描いた、データセキュリティに関する有名な2006年の漫画に基づいて、デイブという名前を愛情を込めて使用しています。
すべては、危険で、明らかに無害であるが、排除することはできない、または少なくとも不便であることを示すためのものです。 知らないユーザー.
したがって、この記事には、この無意識のリスクを説明するという野心的な目標があり、各読者にリスクの認識を高める反省を刺激することを望んでいます。
だから、私たちのデイブ(Acme Farmaceutici SpAの人材従業員)が午前中にメールをチェックし、特定のFiammetta CanestrelliからLinkedINの連絡要求を受け取っていると想像してみてください。「デイブ、高校に何年いますか? 私は確かにあなたをよく覚えています、そして私はあなたを私の専門家のネットワークに入れたいです。」
デイブはフィアメッタをよく覚えていません-そのような特定の名前を持っているので奇妙です-しかし、彼女が彼を覚えているなら、なぜ近づかないのですか?
したがって、デイブはその招待状が魅力的であることに気付きます-おそらくプロフィールページで目立つ青い目のブルネットの画像のおかげで-メールリンクをクリックしました-彼は連絡先を確認するためにアクセスします...確かに中間者に注意を払っていませんリンクをクリックした後に接続が通過するサイト。
ブラウザのステータスバーにURLがXNUMX秒未満表示されたが、公式のLinkedINサイトにリダイレクトする前に、接続に関する多くの情報を傍受するシステムとして機能したサイト。
デイブが画像検索エンジンでその素敵な青い目を探していたら、フィアメッタのプロのプロフィールに加えて、アイライナー広告、モデルキャスティングエージェンシー、オンライン写真編集チュートリアルなど、何十もの結果が見つかりました...どれもフィアメッタではありません言及された。
代わりに、プロフィールにアクセスすると、彼の元学友とされる人物がサイバーセキュリティの分野で非常に立派な経験をしており、米国で最も重要な企業とXNUMX人の大学の修士号に何年も費やしていることがわかりました。 彼は彼の学友であったことをほとんどうれしく思います。
数日後、FacebookやInstagramでリクエストを見て幸せを感じました。そのおかげで、フィアメッタの写真は他のコンテキストでも増えています。クラブでの夜、海沿いの衣装を着たポートレート、からの全身スーツの写真もあります。彼はプロのプロフィールのそれを取ったに違いありません... 本当に素敵な女の子、デイブは考えています。
したがって、メッセンジャーを介して、パンや素晴らしい発酵製品の作り方に関する多くの記事が掲載されたFiammettaのブログにアクセスするためのリンクを受け取ったら、よく考えずにクリックしてください。
デイブが知らないのは、彼の行動の組み合わせが、パンデミックのために人的資源にリモート接続された彼の企業のPCで優れた可視性を持つように、青ではなく、女の子のものでさえない別の目が生まれたことです会社のシステム。AcmeFarmaceuticiSpA。
ブログから完全に気付かれない透明な方法でダウンロードされたソフトウェアのおかげで、XNUMXつの熟練した手がキーボード上で実行されます-コンピューターの妥協で訓練された頭脳によって導かれます。 東ヨーロッパから始まる接続は、デイブのラップトップまで追跡不可能なネットワークに滑り込み、ここからVPNを介して、ACMEが従業員データを管理するアプリケーションに到達します。 ACMEが人的資源の従業員に課す複雑なパスワードの使用のおかげですぐには操作できません...彼らが次のような個人的な使用に使用するもの以外 社会的ネットワーク.
しかし、この慣習を嫌い、ブラウザで直接システムにログインするためのパスワードを記憶しているDaveによって、非常に簡単になりました。そのため、複雑な15文字のシーケンスを常に覚えて入力する必要はありません。
また、ACME IT VPNにアクセスすることで、チャネルが安全であるため、ワンタイムパスワードが不要になることを感謝します。
翌月、ACMEのCISOは、彼のキャリアの中で最悪の電子メールのXNUMXつを受け取ります。 「私たちは従業員の完全なデータベースを持っています:個人データ、健康状態、職歴、そして緊急時に連絡する給与、ボーナス、家族の詳細。
48BTCの合計を受け取らなかった場合、20時間以内にこの情報が公開されます (現在、666千ユーロ以上、NdA)
ショックから回復した後、CISOは会社の危機管理部門を召喚し、この重大な事故がどのように起こったのかを説明する準備をします。 同社が長年にわたって行ってきたセキュリティ技術への法外な投資にもかかわらず.
企業の電子メールの保護を強化するための投資、 アンチマルウェア 最先端の認証保護システム、リモートの従業員を接続するためのVPN(パンデミックによって厳しくテストされています)、 侵入テスト そして、年にXNUMX回、つまり先月の最新の妥協のないテストを継続的に実施しました。
物理、データリンク、ネットワーク、トランスポート、セッション、プレゼンテーション、アプリケーションなど、異種システム間の相互接続と通信のためのISO / OSI参照モデルのXNUMXつのレベルすべてをカバーする保護。
すべて!
レベル8のXNUMXつの小さいが重要な欠陥を除いて:デイブ。
