Protecting against social engineering attacks in a corporate environment

Abstract

Tämän Pro gradu –tutkielman tarkoitus on tutkia yritysten tapoja suojautua käyttäjän manipulointiin (eng. Social Engineering) pyrkiviltä hyökkäyksiltä. Tutkielma toteutettiin kirjallisuuskatsauksen ja haastatteluihin perustuvan kvalitatiivisen tutkimuksen keinoin. Tutkimuksen haastateltavat edustavat Suomen suurimpien yritysten tietoturvajohtoa. Työn kirjallisuuskatsaus tarkastelee käyttäjän manipulointia ilmiönä eri näkökulmista. Ensin määritellään käyttäjän manipulointi käsitteenä, minkä jälkeen tarkastellaan erilaisia käyttäjän manipulointiin tähtääviä hyökkäysmalleja ja metodeja. Hyökkäysmetodit luokitellaan taksonomisesti aiempaan kirjallisuuteen perustuen. Lopuksi tarkastellaan erilaisia keinoja suojautua käyttäjän manipulointiin tähtääviltä hyökkäyksiltä. Kirjallisuuskatsaus luo pohjan työn empiiriselle tutkimukselle, jossa tarkastellaan keinoja, joita yritykset ovat käyttöönottaneet sosiaaliselta manipuloinnilta suojautumiseen reaalimaailmassa. Tehdyn tutkimuksen perusteella käyttäjän manipulointi voidaan määritellä toiminnaksi, jossa ihmismielen heikkouksia hyväksikäyttämällä pyritään manipuloimaan uhria siten, että saataisiin tämä joko luovuttamaan arkaluontoista tietoa, tai sallimaan siihen pääsy. Tutkimuksen perusteella vaikuttaa siltä, että suomalaiset organisaatiot ovat suojautuneet käyttäjän manipuloinnilta melko hyvin. Kehityskohteita vaikuttaa kuitenkin olevan erityisesti käyttäjien koulutuksessa ja fyysisen turvallisuuden kontrolleissa.

The purpose of this Master’s thesis is to study the means of protecting against social engineering attacks in a corporate environment. The work is carried out by means of a literature review and a qualitative study, consisting of interviews with cybersecurity leaders in some of the biggest companies in Finland. The literature review part of this work discusses the phenomenon of Social Engineering (SE) from different viewpoints. At first, a definition for SE is formed. After that, an overview of different attack models and methods is discussed. Based on earlier research, a taxonomy of different attack methods is formed. Finally, protective measures against social engineering attacks are discussed. The literature review acts as a foundation for empirical research, which studies the actual protective measures organizations have implemented to protect themselves from social engineering attacks. Based on the conducted research, social engineering can be defined as the act of exploiting weaknesses in human psychology and thereby manipulating victims to either divulging or granting access to confidential information or data. Finnish organizations seem to have protected themselves against SE quite well, but there seems to be room for improvement especially in security training of personnel and physical security controls.