Protecting against social engineering attacks in a corporate environment
Authors
Date
2020Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Tämän Pro gradu –tutkielman tarkoitus on tutkia yritysten tapoja suojautua käyttäjän manipulointiin (eng. Social Engineering) pyrkiviltä hyökkäyksiltä. Tutkielma toteutettiin kirjallisuuskatsauksen ja haastatteluihin perustuvan kvalitatiivisen tutkimuksen keinoin. Tutkimuksen haastateltavat edustavat Suomen suurimpien yritysten tietoturvajohtoa. Työn kirjallisuuskatsaus tarkastelee käyttäjän manipulointia ilmiönä eri näkökulmista. Ensin määritellään käyttäjän manipulointi käsitteenä, minkä jälkeen tarkastellaan erilaisia käyttäjän manipulointiin tähtääviä hyökkäysmalleja ja metodeja. Hyökkäysmetodit luokitellaan taksonomisesti aiempaan kirjallisuuteen perustuen. Lopuksi tarkastellaan erilaisia keinoja suojautua käyttäjän manipulointiin tähtääviltä hyökkäyksiltä. Kirjallisuuskatsaus luo pohjan työn empiiriselle tutkimukselle, jossa tarkastellaan keinoja, joita yritykset ovat käyttöönottaneet sosiaaliselta manipuloinnilta suojautumiseen reaalimaailmassa. Tehdyn tutkimuksen perusteella käyttäjän manipulointi voidaan määritellä toiminnaksi, jossa ihmismielen heikkouksia hyväksikäyttämällä pyritään manipuloimaan uhria siten, että saataisiin tämä joko luovuttamaan arkaluontoista tietoa, tai sallimaan siihen pääsy. Tutkimuksen perusteella vaikuttaa siltä, että suomalaiset organisaatiot ovat suojautuneet käyttäjän manipuloinnilta melko hyvin. Kehityskohteita vaikuttaa kuitenkin olevan erityisesti käyttäjien koulutuksessa ja fyysisen turvallisuuden kontrolleissa.
...
The purpose of this Master’s thesis is to study the means of protecting against social engineering attacks in a corporate environment. The work is carried out by means of a literature review and a qualitative study, consisting of interviews with cybersecurity leaders in some of the biggest companies in Finland. The literature review part of this work discusses the phenomenon of Social Engineering (SE) from different viewpoints. At first, a definition for SE is formed. After that, an overview of different attack models and methods is discussed. Based on earlier research, a taxonomy of different attack methods is formed. Finally, protective measures against social engineering attacks are discussed. The literature review acts as a foundation for empirical research, which studies the actual protective measures organizations have implemented to protect themselves from social engineering attacks. Based on the conducted research, social engineering can be defined as the act of exploiting weaknesses in human psychology and thereby manipulating victims to either divulging or granting access to confidential information or data. Finnish organizations seem to have protected themselves against SE quite well, but there seems to be room for improvement especially in security training of personnel and physical security controls.
...




Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [23381]
Related items
Showing items with similar title or keywords.
-
Reducing the Time to Detect Cyber Attacks : Combining Attack Simulation With Detection Logic
Myllyla, Juuso; Costin, Andrei (FRUCT Oy, 2021)Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are ... -
Young People and the Dark Side of Social Media : Possible Threats to National Security
Norri-Sederholm, Teija; Riikonen, Reetta; Moilanen, Panu; Huhtinen, Aki-Mauri (Academic Conferences International, 2020)Social media is increasingly becoming a forum for criminality, misuse, and hate speech, as there are no filters or other controlling mechanisms to filter user-generated content.Furthermore, disinformation and propaganda ... -
Phishing attacks and mitigation tactics
Särökaari, Niklas (2020)Sosiaalinen hakkerointi, esimerkiksi kalastelu sekä erityisesti kohdennetut kalasteluhyökkäykset ovat edelleen yksi uhkatoimijoiden käytetyimmistä hyökkäystekniikoista. Kohdennetuilla kalasteluhyökkäyksillä hyökkääjä pyrkii ... -
Kalasteluviestintä ilmiönä ja kiireellisyyden kokemuksen vaikutus huijauksen onnistumiseen
Uusitalo, Minna (2019)Tässä tutkielmassa halutaan lisätä ymmärrystä kalasteluviestinnästä ilmiönä, sekä tarkastella kalasteluviesteissä käytettyjen, kiireellisyyden kokemusta lisäävien elementtien vaikutusta vastaanottajan toimintaan. Kiireellisyyden ... -
Attacking TrustZone on devices lacking memory protection
Stajnrod, Ron; Ben Yehuda, Raz; Zaidenberg, Nezer Jacob (Springer Science and Business Media LLC, 2021)ARM TrustZone offers a Trusted Execution Environment (TEE) embedded into the processor cores. Some vendors offer ARM modules that do not fully comply with TrustZone specifications, which may lead to vulnerabilities in the ...