五種手段抵御社會(huì)工程攻擊

責(zé)任編輯:editor005

作者:nana

2017-01-11 14:46:00

摘自:安全牛

社會(huì)工程已成為75%普通黑客們的工具包,而對(duì)于成功的黑客,這個(gè)比例在90%以上。開(kāi)明的公司氛圍,會(huì)讓員工在覺(jué)得有“釣魚”嫌疑的時(shí)候發(fā)出質(zhì)疑,防止掉某些最具破壞性的攻擊——內(nèi)部人威脅。

社會(huì)工程已成為75%普通黑客們的工具包,而對(duì)于成功的黑客,這個(gè)比例在90%以上。

  ——約翰·邁克菲

突破防火墻很難;通過(guò)電話冒充技術(shù)支持很簡(jiǎn)單。動(dòng)機(jī)滿滿的黑客,極少會(huì)從一開(kāi)始就去嘗試用技術(shù)手段攻擊目標(biāo),他們更喜歡從人入手而不是去黑服務(wù)器。

顯然,要解決社會(huì)工程問(wèn)題,很大程度上應(yīng)將重點(diǎn)放在培訓(xùn)上。太多的公司都遵循“犯錯(cuò)就炒魷魚,我們來(lái)告訴你你啥時(shí)候飯了錯(cuò)”的策略,但這并不能完全免除IT員工的責(zé)任。我們可以看看下列很容易就能實(shí)現(xiàn)的一些措施。

 

1. 合理的訪問(wèn)控制

一般情況下,自由地共享信息是件好事,但真的有必要讓每個(gè)員工都有路由器管理員口令嗎?而另一個(gè)極端,是連工作所需的資源都禁止訪問(wèn),比如某科學(xué)家的辦公環(huán)境防火墻甚至不讓她訪問(wèn)“科學(xué)技術(shù)”類別。后一個(gè)案例中,該科學(xué)家認(rèn)為是IT部門造成了這個(gè)麻煩,但從個(gè)人角色和所處環(huán)境考慮,其實(shí)她也可以用重路由搞定的。

如果規(guī)則毫無(wú)意義,雇員就會(huì)繞開(kāi)它們,讓訪問(wèn)策略形同虛設(shè)。理想的信息策略應(yīng)是簡(jiǎn)短而全面的。例如,會(huì)計(jì)部門要能夠看到客戶數(shù)據(jù)庫(kù),但前臺(tái)接待員就沒(méi)必要也有這個(gè)權(quán)限了。

2. 給員工放權(quán)

這一條跟上一條看起來(lái)似乎是自相矛盾的。重點(diǎn)在于:黑客利用的就是面對(duì)實(shí)權(quán)人物時(shí)人們的焦慮,比如面對(duì)公司主管或律師時(shí)。如果雇員不夠膽拒絕請(qǐng)求,黑客就成功可期。

很多公司里的標(biāo)準(zhǔn)實(shí)踐就是:除了最常規(guī)的要求,不輕易接受任何電話請(qǐng)求;無(wú)論是誰(shuí)接到電話,都會(huì)問(wèn)對(duì)方姓名和公司——不是電話號(hào)碼,號(hào)碼是要查黃頁(yè)后回?fù)艿摹_@么做,就能知道對(duì)方是不是如聲稱的在某公司擔(dān)任某職務(wù)了。

3. 不斷強(qiáng)化

某種形式的正規(guī)強(qiáng)制培訓(xùn)無(wú)疑是不錯(cuò)的想法,但強(qiáng)迫人們坐到一個(gè)房間里聽(tīng)老師滔滔不絕1小時(shí),是不太可能讓他們積極轉(zhuǎn)變的。在鼠標(biāo)墊上打印郵件附件和U盤警示花不了幾個(gè)錢,同時(shí),每周一封簡(jiǎn)短的入侵案例研究郵件能起到很好的意識(shí)培訓(xùn)效果。

4. 社交媒體

大多數(shù)人會(huì)想都不想就把度假地點(diǎn)和孩子學(xué)校名稱給發(fā)布到網(wǎng)上。在黑客假裝是熟人的時(shí)候,問(wèn)題就來(lái)了。人們大多不好意思在聊天的時(shí)候問(wèn)對(duì)方“你誰(shuí)???”臉書、微信什么的當(dāng)然可以用,但一定要注意潛在的風(fēng)險(xiǎn),好好想想該怎么安全暢游社交網(wǎng)絡(luò)。

5. 外部幫助

有預(yù)算的話,請(qǐng)外援是個(gè)很有價(jià)值的選項(xiàng),或許就是一系列滲透測(cè)試和隨之而來(lái)的研討會(huì)。除了見(jiàn)識(shí)到陌生人獲取內(nèi)部信息是多么容易,由外部組織進(jìn)行的培訓(xùn)通常還會(huì)被以全新視角看待。

結(jié)論

淪為詐騙受害者的,很多都是接受過(guò)良好教育的聰明人,只不過(guò),沒(méi)能認(rèn)識(shí)到其中風(fēng)險(xiǎn)而已。幫助別人,是一種高尚而非常人性的沖動(dòng)——關(guān)鍵在于,要確保不能毫不懷疑地就把可能造成傷害的信息交到壞人手上。

如果員工和管理層不能相互倚賴,員工的不良情緒就可能切實(shí)傷害到公司安全。而鑒于所屬行業(yè),公司或許還要考慮諸如勒索等對(duì)高層發(fā)起的攻擊。開(kāi)明的公司氛圍,會(huì)讓員工在覺(jué)得有“釣魚”嫌疑的時(shí)候發(fā)出質(zhì)疑,防止掉某些最具破壞性的攻擊——內(nèi)部人威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)