Facebook Pixel
Searching...
فارسی
EnglishEnglish
EspañolSpanish
简体中文Chinese
FrançaisFrench
DeutschGerman
日本語Japanese
PortuguêsPortuguese
ItalianoItalian
한국어Korean
РусскийRussian
NederlandsDutch
العربيةArabic
PolskiPolish
हिन्दीHindi
Tiếng ViệtVietnamese
SvenskaSwedish
ΕλληνικάGreek
TürkçeTurkish
ไทยThai
ČeštinaCzech
RomânăRomanian
MagyarHungarian
УкраїнськаUkrainian
Bahasa IndonesiaIndonesian
DanskDanish
SuomiFinnish
БългарскиBulgarian
עבריתHebrew
NorskNorwegian
HrvatskiCroatian
CatalàCatalan
SlovenčinaSlovak
LietuviųLithuanian
SlovenščinaSlovenian
СрпскиSerbian
EestiEstonian
LatviešuLatvian
فارسیPersian
മലയാളംMalayalam
தமிழ்Tamil
اردوUrdu

نکات کلیدی

1. هکرها از آسیب‌پذیری‌ها در فناوری و روانشناسی انسانی سوءاستفاده می‌کنند

ضرب‌المثل درست است که سیستم‌های امنیتی باید هر بار پیروز شوند، در حالی که مهاجم تنها باید یک بار پیروز شود.

مهاجمان مداوم نقاط ضعف را پیدا می‌کنند. هکرهایی مانند اریک و رابرت نشان می‌دهند که حتی سیستم‌های به‌خوبی محافظت‌شده نیز با صرف زمان و تلاش کافی می‌توانند نفوذپذیر شوند. آن‌ها از آسیب‌پذیری‌های فناوری و روانشناسی انسانی سوءاستفاده می‌کنند و اغلب مهارت‌های مهندسی اجتماعی را با مهارت‌های فنی ترکیب می‌کنند.

رویکرد چندوجهی به هک. حملات موفق معمولاً شامل موارد زیر است:

  • سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری که وصله نشده‌اند
  • بهره‌برداری از سیستم‌های پیکربندی نادرست
  • استفاده از دانش یا دسترسی داخلی
  • به کارگیری مهندسی اجتماعی برای دستکاری کارکنان
  • ترکیب چندین تکنیک برای دور زدن دفاع‌های لایه‌ای

سازمان‌ها باید هوشیار باشند و استراتژی دفاع در عمق را اتخاذ کنند، زیرا مهاجمان تنها به یک نقطه ضعف نیاز دارند تا بتوانند یک شبکه کامل را به خطر بیندازند.

2. مهندسی اجتماعی ابزاری قوی در زرادخانه هکرهاست

مهندس اجتماعی از همان تکنیک‌های قانع‌کننده‌ای استفاده می‌کند که بقیه ما هر روز به کار می‌بریم. ما نقش‌هایی را به عهده می‌گیریم. سعی می‌کنیم اعتبار بسازیم. به تعهدات متقابل استناد می‌کنیم. اما مهندس اجتماعی این تکنیک‌ها را به شیوه‌ای دستکاری‌کننده، فریبنده و به شدت غیراخلاقی به کار می‌برد که اغلب تأثیرات ویرانگری دارد.

روانشناسی دستکاری. مهندسان اجتماعی از تمایلات انسانی برای:

  • کمک و اعتماد به دیگران
  • تبعیت از مقامات
  • جبران خدمات
  • اتخاذ تصمیمات سریع تحت فشار
  • اجتناب از درگیری یا شرمندگی

این آسیب‌پذیری‌های روانشناختی به مهاجمان اجازه می‌دهد تا با دستکاری کارکنان، تدابیر امنیتی فنی را دور بزنند و اطلاعات حساس را فاش کنند یا دسترسی غیرمجاز کسب کنند.

ایجاد اعتماد کاذب. مهندسان اجتماعی از تاکتیک‌های مختلفی برای ایجاد اعتبار و ارتباط استفاده می‌کنند:

  • جعل هویت کارکنان IT، مدیران یا سایر نقش‌های مورد اعتماد
  • نمایش دانش داخلی از سازمان
  • ایجاد حس فوریت یا ترس
  • سوءاستفاده از تمایل به کمک
  • افزایش تدریجی درخواست‌ها از کوچک به بزرگ

سازمان‌ها باید کارکنان را آموزش دهند تا این تاکتیک‌ها را شناسایی کنند و رویه‌های تأیید برای درخواست‌های حساس را پیاده‌سازی کنند.

3. حتی سیستم‌های به‌ظاهر امن نیز با پافشاری قابل نفوذ هستند

اگر یک چیز کار نمی‌کرد، من فقط سعی می‌کردم چیز دیگری را امتحان کنم زیرا می‌دانستم که چیزی وجود دارد که کار می‌کند. همیشه چیزی وجود دارد که کار می‌کند. فقط باید بفهمید که چه چیزی است.

پافشاری برای مهاجمان نتیجه می‌دهد. داستان‌های هکرهایی مانند اریک که دو سال تلاش کرد تا به سیستم یک شرکت نرم‌افزاری نفوذ کند، نشان می‌دهد که مهاجمان مصمم در نهایت اگر زمان و تلاش کافی داشته باشند، راهی برای نفوذ پیدا خواهند کرد. این پافشاری اغلب به آن‌ها اجازه می‌دهد تا آسیب‌پذیری‌های نادیده‌گرفته‌شده را کشف کنند یا چندین نقطه ضعف کوچک را به هم متصل کنند تا به اهداف خود برسند.

دفاع‌های لایه‌ای حیاتی هستند. برای مقابله با مهاجمان مداوم، سازمان‌ها باید موارد زیر را پیاده‌سازی کنند:

  • ممیزی‌های امنیتی منظم و تست نفوذ
  • نظارت و ثبت فعالیت‌های سیستم به‌طور مداوم
  • وصله‌گذاری سریع آسیب‌پذیری‌های شناخته‌شده
  • اصل حداقل امتیاز برای حساب‌های کاربری
  • تقسیم‌بندی شبکه‌ها و دارایی‌های حیاتی
  • آموزش منظم آگاهی امنیتی برای کارکنان

هیچ تدبیر امنیتی به‌طور کامل ایمن نیست، بنابراین یک رویکرد جامع و لایه‌ای برای سخت‌تر کردن نفوذها ضروری است.

4. تهدیدات داخلی خطرات قابل توجهی برای امنیت سازمانی ایجاد می‌کنند

فکر نمی‌کنم یک چیز خاصی وجود داشته باشد که بتوانید به یک جوان بگویید تا او را تغییر دهد، جز اینکه ارزش خود را درک کند و هرگز به راه کوتاه نرود.

افراد مورد اعتماد می‌توانند آسیب بزنند. داستان ویلیام و دنی، دو زندانی که به سیستم‌های کامپیوتری زندان خود نفوذ کردند، نشان می‌دهد که افراد با دسترسی داخلی می‌توانند خطرات امنیتی قابل توجهی ایجاد کنند. تهدیدات داخلی ممکن است ناشی از:

  • کارکنان ناراضی که به دنبال انتقام هستند
  • کارکنان مالی که اطلاعات را می‌فروشند
  • کارگران بی‌توجه که به‌طور تصادفی داده‌ها را افشا می‌کنند
  • مهندسان اجتماعی که کارکنان نیک‌نیت را دستکاری می‌کنند

کاهش خطرات داخلی. سازمان‌ها باید موارد زیر را پیاده‌سازی کنند:

  • کنترل‌های دسترسی سختگیرانه و اصل حداقل امتیاز
  • نظارت بر فعالیت‌های کاربر، به‌ویژه برای سیستم‌های حساس
  • بررسی‌های پیشینه و مجوزهای امنیتی مداوم
  • سیاست‌های واضح در مورد مدیریت داده‌ها و استفاده قابل قبول
  • آموزش منظم آگاهی امنیتی برای تمام کارکنان
  • رویه‌های خروج برای لغو دسترسی هنگام ترک کارکنان

فرهنگ آگاهی امنیتی و مسئولیت‌پذیری برای کاهش احتمال و تأثیر تهدیدات داخلی ضروری است.

5. تست نفوذ آسیب‌پذیری‌های پنهان در دفاع‌های شرکتی را آشکار می‌کند

هرگز نمی‌دانید که آیا آسیب‌پذیر هستید تا زمانی که برای شکست‌های امنیتی تست کنید.

ارزش هک اخلاقی. تست نفوذ، یا "پنتستینگ"، شامل حملات شبیه‌سازی‌شده به سیستم‌های یک سازمان برای شناسایی نقاط ضعف قبل از اینکه هکرهای مخرب از آن‌ها سوءاستفاده کنند، است. این تست‌ها اغلب موارد زیر را آشکار می‌کنند:

  • آسیب‌پذیری‌های نرم‌افزاری که وصله نشده‌اند
  • سیستم‌ها یا دستگاه‌های شبکه پیکربندی نادرست
  • سیاست‌های ضعیف رمز عبور یا روش‌های احراز هویت
  • آسیب‌پذیری‌های مهندسی اجتماعی
  • ضعف‌های امنیت فیزیکی

تست جامع حیاتی است. تست نفوذ مؤثر باید شامل موارد زیر باشد:

  • ارزیابی‌های شبکه داخلی و خارجی
  • تست برنامه‌های وب
  • ارزیابی امنیت شبکه‌های بی‌سیم
  • شبیه‌سازی‌های مهندسی اجتماعی
  • ارزیابی‌های امنیت فیزیکی

سازمان‌ها باید تست‌های نفوذ منظم انجام دهند و به سرعت به آسیب‌پذیری‌های شناسایی‌شده رسیدگی کنند، زیرا داستان‌های موجه و داستین دایک نشان می‌دهد که چگونه هکرهای ماهر می‌توانند به راحتی سیستم‌های به‌ظاهر امن را نفوذ کنند.

6. مؤسسات مالی هدف‌های اصلی حملات سایبری پیچیده هستند

اگر دو مؤسسه مالی توصیف‌شده در این فصل نشان‌دهنده نحوه حفاظت اکثر بانک‌های جهان از اطلاعات و وجوه مشتریان باشد، ممکن است همه ما تصمیم بگیریم که دوباره پول خود را در یک جعبه کفش زیر تخت پنهان کنیم.

بانک‌ها با چالش‌های منحصر به فردی مواجه هستند. مؤسسات مالی به دلیل پتانسیل کسب درآمد مستقیم، هدف‌های جذابی برای مجرمان سایبری هستند. حملات به بانک‌ها می‌تواند شامل موارد زیر باشد:

  • نفوذ به سیستم‌های بانکداری آنلاین
  • دستکاری شبکه‌های ATM
  • دسترسی به داده‌های مالی مشتریان
  • آغاز انتقال‌های پولی تقلبی
  • سوءاستفاده از سیستم‌های معاملاتی برای دستکاری بازار

امنیت چندلایه ضروری است. بانک‌ها باید موارد زیر را پیاده‌سازی کنند:

  • رمزنگاری قوی برای داده‌ها در حالت استراحت و در حال انتقال
  • احراز هویت چندعاملی برای مشتریان و کارکنان
  • سیستم‌های تشخیص تقلب در زمان واقعی
  • ممیزی‌های امنیتی منظم و تست نفوذ
  • آموزش جامع کارکنان در مورد پروتکل‌های امنیتی

داستان‌های هکرهایی که به بانک‌ها در استونی و جنوب ایالات متحده نفوذ کردند، نیاز به هوشیاری و بهبود مداوم در امنیت سایبری بخش مالی را برجسته می‌کند.

7. سرقت مالکیت معنوی می‌تواند عواقب ویرانگری داشته باشد

با ارزش‌ترین دارایی در هر سازمان چیست؟ نه سخت‌افزار کامپیوتری، نه دفاتر یا کارخانه‌ها، و نه حتی آنچه که در یک کلیشه شرکتی محبوب گفته می‌شود که "با ارزش‌ترین دارایی ما مردم ما هستند."

سرقت مالکیت معنوی تهدیدی جدی است. داستان‌های هکرهایی مانند اریک و رابرت که به شرکت‌های نرم‌افزاری برای کد منبع آن‌ها حمله کردند، عواقب شدید سرقت مالکیت معنوی را نشان می‌دهد. این می‌تواند منجر به:

  • از دست دادن مزیت رقابتی
  • خسارات مالی ناشی از سرقت اسرار تجاری
  • آسیب به شهرت شرکت
  • عواقب قانونی و نظارتی
  • اختلال در عملیات تجاری

حفاظت از دارایی‌های معنوی. سازمان‌ها باید:

  • کنترل‌های دسترسی سختگیرانه برای داده‌های حساس پیاده‌سازی کنند
  • از ابزارهای جلوگیری از از دست رفتن داده (DLP) استفاده کنند
  • مالکیت معنوی ارزشمند را رمزنگاری کنند
  • نظارت بر خروج غیرمجاز داده‌ها را انجام دهند
  • آموزش منظم آگاهی امنیتی را انجام دهند
  • سیاست‌های واضحی در مورد مدیریت اطلاعات حساس ایجاد کنند

شرکت‌ها باید درک کنند که مالکیت معنوی آن‌ها اغلب با ارزش‌ترین دارایی آن‌هاست و باید به‌طور مناسب از آن محافظت کنند.

8. امنیت سایبری نیاز به رویکردی چندوجهی و پیشگیرانه دارد

اگر از شما خواسته شود که مراحل مهمی را برای دفاع در برابر آسیب‌پذیری‌های رایج که به مهاجمان اجازه ورود می‌دهد، نام ببرید، بر اساس داستان‌های این کتاب، برخی از انتخاب‌های شما چه خواهد بود؟

استراتژی امنیتی جامع. امنیت سایبری مؤثر شامل موارد زیر است:

  • ارزیابی‌های امنیتی منظم و تست نفوذ
  • وصله‌گذاری سریع آسیب‌پذیری‌های نرم‌افزاری
  • پیاده‌سازی روش‌های احراز هویت قوی
  • آموزش آگاهی امنیتی برای کارکنان
  • تقسیم‌بندی شبکه و کنترل‌های دسترسی
  • نظارت مداوم و برنامه‌ریزی برای پاسخ به حوادث
  • رمزنگاری داده‌ها و رویه‌های پشتیبان‌گیری

ذهنیت پیشگیرانه حیاتی است. سازمان‌ها باید:

  • از تهدیدات و آسیب‌پذیری‌های نوظهور مطلع باشند
  • به‌طور منظم سیاست‌های امنیتی را مرور و به‌روزرسانی کنند
  • تمرین‌های شبیه‌سازی برای آماده‌سازی در برابر حوادث انجام دهند
  • فرهنگ آگاهی امنیتی را در میان تمام کارکنان ترویج دهند
  • در هر دو زمینه فناوری و منابع انسانی برای امنیت سرمایه‌گذاری کنند

روش‌های متنوع حمله توصیف‌شده در سراسر کتاب بر نیاز به یک رویکرد جامع به امنیت سایبری تأکید می‌کند که به عوامل فنی و انسانی می‌پردازد.

9. هک اخلاقی نقش مهمی در بهبود تدابیر امنیتی ایفا می‌کند

من معتقدم که با افشای روش‌ها و تکنیک‌های رایج استفاده‌شده توسط هکرها برای نفوذ به سیستم‌ها و شبکه‌ها، می‌توانیم بر جامعه به‌طور کلی تأثیر بگذاریم تا به‌طور مناسب به این خطرات و تهدیدات ناشی از دشمنان ماهر رسیدگی کنند.

یادگیری از مهاجمان. هک اخلاقی و افشای مسئولانه آسیب‌پذیری‌ها به سازمان‌ها کمک می‌کند:

  • نقاط ضعف را شناسایی و اصلاح کنند قبل از اینکه هکرهای مخرب از آن‌ها سوءاستفاده کنند
  • ذهنیت و تاکتیک‌های مهاجمان واقعی را درک کنند
  • اثربخشی تدابیر امنیتی موجود را آزمایش کنند
  • دفاع‌های قوی‌تری در برابر تهدیدات در حال تحول توسعه دهند
  • آگاهی درباره اهمیت امنیت سایبری را افزایش دهند

تعادل بین افشا و امنیت. داستان‌های هکرهایی مانند آدریان لامو مسائل اخلاقی پیچیده‌ای را در مورد افشای آسیب‌پذیری‌ها برجسته می‌کند. سازمان‌ها و جامعه امنیتی باید با هم همکاری کنند تا:

  • دستورالعمل‌های واضحی برای افشای مسئولانه ایجاد کنند
  • برنامه‌های پاداش برای باگ و تحقیقات امنیتی را تشویق کنند
  • همکاری بین هکرهای اخلاقی و سازمان‌ها را ترویج دهند
  • چارچوب‌های قانونی را توسعه دهند که از تحقیقات امنیتی با حسن نیت محافظت کند
  • نیاز به شفافیت را با خطرات امنیتی بالقوه متعادل کنند

با پذیرش هک اخلاقی و یادگیری از تکنیک‌های مهاجمان، سازمان‌ها می‌توانند به‌طور قابل توجهی وضعیت امنیتی خود را بهبود بخشند و در برابر تهدیدات در حال تحول پیشی بگیرند.

آخرین به‌روزرسانی::

نقد و بررسی

3.90 از 5
میانگین از 3k+ امتیازات از Goodreads و Amazon.

کتاب هنر نفوذ با نظرات متنوعی مواجه شده و میانگین امتیاز آن ۳.۹۰ از ۵ است. خوانندگان از داستان‌های جذاب هک و بینش‌های ارائه شده در زمینه‌ی امنیت سایبری قدردانی می‌کنند، هرچند برخی جزئیات فنی را قدیمی می‌دانند. بسیاری از افراد به ارزش سرگرم‌کننده‌ی کتاب و توانایی آن در افزایش آگاهی درباره‌ی آسیب‌پذیری‌های دیجیتال اشاره می‌کنند. منتقدان به کمبود تاریخ‌های مشخص برای حوادث و گاهی توضیحات فنی مبهم اشاره دارند. به‌طور کلی، این کتاب به‌عنوان یک خواندنی ارزشمند برای علاقه‌مندان به امنیت اطلاعات شناخته می‌شود و ترکیبی از روایت‌های هیجان‌انگیز و مشاوره‌های عملی را ارائه می‌دهد.

درباره نویسنده

کوین دیوید میتنیک یک هکر سابق مشهور است که به مشاور امنیتی تبدیل شده است. او که زمانی به عنوان "مجرم سایبری مورد تعقیب" اف‌بی‌آی شناخته می‌شد، شهرت خود را به یک حرفه موفق به عنوان نویسنده و سخنران عمومی تبدیل کرد. میتنیک چندین کتاب در زمینه امنیت سایبری تألیف کرده است، از جمله هنر فریب و هنر نفوذ. او در برابر کنگره شهادت داده و در برنامه‌های تلویزیونی و رادیویی ملی متعددی حضور یافته است. تخصص او در هک و مهندسی اجتماعی، او را به یک مشاور و سخنران مورد تقاضا در کنفرانس‌های جهانی تبدیل کرده است. سفر میتنیک از یک هکر بدنام به یک کارشناس امنیتی محترم، جایگاه او را به عنوان یک شخصیت افسانه‌ای در دنیای امنیت سایبری تثبیت کرده است.

Other books by Kevin D. Mitnick

0:00
-0:00
1x
Dan
Andrew
Michelle
Lauren
Select Speed
1.0×
+
200 words per minute
Create a free account to unlock:
Bookmarks – save your favorite books
History – revisit books later
Ratings – rate books & see your ratings
Unlock unlimited listening
Your first week's on us!
Today: Get Instant Access
Listen to full summaries of 73,530 books. That's 12,000+ hours of audio!
Day 4: Trial Reminder
We'll send you a notification that your trial is ending soon.
Day 7: Your subscription begins
You'll be charged on Dec 12,
cancel anytime before.
Compare Features Free Pro
Read full text summaries
Summaries are free to read for everyone
Listen to summaries
12,000+ hours of audio
Unlimited Bookmarks
Free users are limited to 10
Unlimited History
Free users are limited to 10
What our users say
30,000+ readers
“...I can 10x the number of books I can read...”
“...exceptionally accurate, engaging, and beautifully presented...”
“...better than any amazon review when I'm making a book-buying decision...”
Save 62%
Yearly
$119.88 $44.99/yr
$3.75/mo
Monthly
$9.99/mo
Try Free & Unlock
7 days free, then $44.99/year. Cancel anytime.
Settings
Appearance
Black Friday Sale 🎉
$20 off Lifetime Access
$79.99 $59.99
Upgrade Now →