社交工程Social Engineering

这周读完了《欺骗的艺术》原名叫《The Art of Deception》。收获挺多的,想起以前有看过一部电影《没有绝对的安全》其中很多片段估计都参考了这本书。

我们常说的信息安全,大家可能都觉得如果有防病毒软件,有防火墙就够了。其实很多社工都不会去硬碰硬这些硬件,他们会从最薄弱的环节下手—人,他们利用人的天性(同情,权威,帮助等)来直接达到目的。该书举了很多例子,过来几十年其中一些例子仍然发生在现实生活中。比如被玩坏了的冒充老板的电话诈骗。在这里要区别一下社工和诈骗。诈骗主要针对的是个人,涉及到个人财务的损失,社工更多的是对信息的获取。现在公安系统也分支出来公安社工,主要是用来做案件中的信息侦查取证。诈骗的艺术说到底就像一把刀,可以用来杀人也可以用来救人。关键看你怎么用。

企业在防范社工这块有许多路要走,最主要的几点:

1.建立信息资料分类系统,把可公开资料,隐私资料和机密资料分类整理出来。

一个全面的信息安全程序通常从威胁评估开始:

  • 需要保护哪些企业信息资产?
  • 有哪些针对这些资产的具体威胁?
  • 如果这些潜在的威胁成为现实会对企业造成哪些损失?

不同资料的保密级别不同,处理程序也不同。资料对不同的人价值不同,在我们眼中毫无价值的资料,在社工眼中可能会变成有用的信息。员工需要验证对方身份的真实性。这个人是他所声称的那个人吗?还需要验证对方是否授权,你所需要知道这些信息,有没有被授权过?

2.定期做企业安全培训,可以在培训中模拟不同的角色来加深员工对社工的印象。培训对象不仅限于电脑和电话使用人员,应该包括所有人甚至门卫,清洁工(没错,这些都是最容易被忽视的一群人,也是最薄弱的一环)。

一个实用的信息安全知识与培训程序应当包含以下内容:

  • 描述攻击者怎样使用社会工程学技能行骗。
  • 社会工程师实现他们目标的方法。
  • 怎样识别可能的社会工程学攻击。
  • 处理可疑请求的程序。
  • 在哪里报告攻击企图或者成功的攻击。
  • 质疑提出可疑请求的人的重要性,不管他声称自己是何职位。

3.不定期做渗透测试。通过测试来评估企业信息安全风险程度并不断完善。

总结:对于安全永远心存敬畏,没有绝对的安全。

打赏

共有 0 条评论

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注