我的书签
添加书签
移除书签10.3、对策
减轻社交工程攻击需要一系列的协同努力,包括如下儿点:
☆ 在组织内部制定简洁明了的安全草案,并坚持贯彻。
☆ 开展安全警惕培训。
☆ 制定简明规则以定义敏感信息的范畴。
☆ 制定简明规则,以规定无论何时都必须根据公司政策,核实要求限权行为的人员(限权行为指任何与计算机设备有关并不可预测后果的行为)。
☆ 制定信息分类政策。
☆ 培训雇员抵抗社交工程风险。
☆ 用安全评估测量雇员抵抗社交工程的灵敏度。其中最重要的步骤在于制定合适的安全草案并令雇员严格实施。下一节将讨论培训雇员抵抗社交工程风险和设计其方案时的一些基本要点。
☆ 培训指导方针
以下是用于培训的基本指导方针。
☆ 树立社交工程师可能随时并且会不断地攻击公司任意环节的意识。
许多人并未意识到社交工程的巨大威胁,甚至还有人从未意识到这种威胁。人们通常不会怀有被他人操纵和欺骗的防备心理,因此他们对社交工程也豪不设防。许多网络用户通过邮件收到自称尼日利亚政府的请求帮助,请求转移一大笔资金到美国,他们应允会给予帮助者一些现金回报。然后,你就会被通知要为这笔资金的转移交上大笔税费,你可能会因此分文不剩。近期,一位纽约妇女就上了此当。她为了付税费向自己的老板借了几十万美元。于是,她原本可以享受的购买游艇的快乐时光,现在却只能面对可能即将发生的牢狱之灾了。人们会经常上社交工程师的当,否则那些谎称尼日利亚的骗子们就会停止发邮件了。
☆ 用角色扮演的方法再现雇员们的无防御状态,并培训他们掌握抵抗社交工程的技巧。许多人都生活在完全防御的幻境下,他们认为自己足够聪明,绝不会被他人操纵、欺诈、哄骗和影响,他们相信只有“傻瓜”才会上当,有两种方法可以让雇员意识到并完全相信自己的无防御状态。其一可以通过再现社交工程攻击,使一些雇员受到模拟攻击,并开展讨论会让他们讨论经验。另外,也可以直接通过讨论社交工程案例来阐明攻击的有效力度,包括研习攻击的手法,分析成功攻击的原因以及讨论如何认识和抵抗攻击。
☆ 让受培训人员产生若在培训后仍令社交工程攻击成功的羞耻感。
培训过程中要强调每个雇员都有责任保护团体财产的安全。同时,培训设计者也应意识到,只有充分理解了安全草案的重要性,人们才会自觉遵循草案。安全意识培训中,培训人员应举出安全草案成功抵抗风险的案例,这才会令人们相信如果不遵循该草案,公司将面临危险。
强调成功的社交工程攻击会利用公司雇员及其朋友同事的个人信息,也同样重要。公司的人力资源数据库可能对确认盗贼身份至关重要。
不过最有效的内在动因还是人们都不愿被他人所操纵、欺诈、哄骗的心理,人们不想自己会愚蠢到中了他人的骗局。
如何对付社交工程师以下是在制定培训计划中应当遵循的基本观点:
☆ 当职员己发现或怀疑自己正在受到社交工程师的攻击时,职员应釆取更髙明的手段。读者应参阅大量安全手册,其中涵盖许多The Art of Deception中提供的安全措施。这些措施作为一种参考,读者应有选择性地釆用。一旦公司的工作流程得到发展并得以应用,信息就会在公司的局域网上公开,而且会立即生效。另一个关于防护措施的资源来自于Charles Cresson Wood关于发展信息安全技术的专题论文——Information Security Policies Madefa ……SanJose,CA:Baselinesoftware,2001)。
☆ 为职员制定简明的方针,阐明公司的敏感性信息。由于我们应用启发式模式来处理信息将耗费大量的时间,所以一旦涉及到敏感性信息时(如个人口令这样的商业机密),简明的方针就会凑效了。一旦职员发现要提供某些敏感性信息或计算机指令,他们可以通过查阅公司局域网上的安全指南来判断操作过程是否正确。
另外,对职员而言,明确和阐明以下观点是非常重要的:即使那些不被看作具有敏感性的信息对社交工程师也会有用,因为他们会从看上去没用的信息中搜集那些有价值的情报,从而再向职员提供信息时可能会使他们产生一种可信赖的幻觉。一个敏感项目中的经理的名字,土地开发公司的地理位置,专业职员使用计算机服务器的名称,以及机密项目中指定项目的名称都是有其各自的意义的,因而每个公司都要权衡是否需要购买抵制潜在安全威胁的业务。
仅仅从几个例子我们就可以看出,那些看上去并不重要的信息也是可以被黑客所运用的。The Art of Deception中的这些例子可以使培训者有效地明白这一点。
☆ 改进组织行为中的礼节方式——敢于说“不!”在对别人说“不”的时候,大多数人会感到尴尬或难为情。(目前市场上有种专为不好意思却要挂掉电话推销员打来电话的人而设计的产品。当电话推销员打来电话,使用者只需按下“*”键便可以挂掉电话,这时电话会对推销员说:“请原谅,这是管家电话,很抱歉我只能直接地告诉您,您的询问将被拒绝。”)我喜欢这句“很抱歉”。我认为这是种有趣的产品,因为它敢于说“不”,很多人需要买这样的电子设备,你愿意花50美元买这样的装置而免掉说“不”时的尴尬吗?
公司设置的对付社交工程师的培训教程应把“重新定义礼节方式”作为其目标之一。这种新行为应包括礼貌地拒绝索取敏感性信息的要求,除非询问者的身份完全被证实。比如,培训应包括怎样回应提出的要求:“作为某公司的职员,我们双方都明了遵循安全协议的重要性,也希望您会理解在给您答复前不得不先核实您的身份。”
改进核实身份与职务的方法每个公司必须改进向职员索取信息者的身份与职务的核实方法。在任何情况下,核实过程取决于商业信息与行为的敏感性程度。随着办公室内的事务越来越多,必须对组织的安全需要与商业需要两者之间进行权衡。
这种培训不仅需要阐明显而易见的技术方法,而且也包括那些难以察觉的手段。比如Whurley使用名片来证实自己的身份(在上世纪70年代,侦探连续剧《Rockford的名片》中,在James Garner所扮演的男主角的车里有一个小型印刷机,所以他可以在任何场合下印制任何所需要的名片)。我们在The Art of Deception中给出了有关核实身份的方法。
☆ 采用顶级管理
当然,这差不多是种陈词滥调,每个重大项目都是以“项目是需要管理的支持才能成功”的理念而开始运作的。也许没有几家公司认为这种管理上的支持远远比安全更为重要。但是,随着时间的推移,这越发显得重要了。然而却因为对公司的效益作用不大,经常受到忽视。
但是事实表明,来自于公司上层的安全保障显得尤为重要。在相关的问题上,高层管理者应说明两条明确的原则:管理者不应要求职员,而回避任何安全方面的约束;职员也不应该因为遵循了安全约束而陷入困境,即使是主管直接要求回避安全约束。
值得注意:家里的操纵者——孩子许多孩子(或者大多数孩子?)具有惊人的操纵技能——正如大多社交工程师所拥有的技能一样——在大多数情况下,他们由于成长而变得更懂得人际交往,甚至父母也会成为他们的社交攻击目标。当孩子想尽情使坏时,他可以豪不留情地变得世故,那时他会很烦人却又很有趣。
当我和Bill Simon快要写完本书时,我亲眼目睹了一个孩子的社交工程师式的“攻击”。当我在达拉斯做生意时,我的女友Darci和她九岁的女儿Briannah与我生活在一起。在我们临走的前一天晚上,布莲娜因为非要去她挑好的饭店吃饭而发小孩脾气,结果受到了Darci一个不大不小的惩罚:暂时没收了她的掌上游戏机,并且惩罚她一天不能使用Darci的计算机玩游戏。
布莲娜开始忍了一会,然后逐渐地用不同方式来说服德西,想要回她的游戏机。当我回到酒店时,她仍然喋喋不休,孩子不断地磨人真的很让人心烦。而后我发现她试图做一个“社交工程师”。
“我好烦,能还我游戏机吗?”(这是一种请求而不是提问);
“除非让我玩,否则我会让你疯掉。”(又哭又叫);
“没有了游戏机,我在飞机上无所事事。”(以一种“连傻子都明白这个”的口气说)
“只要能玩一个游戏我就乖乖的,不行吗?!”(假装问题的保证);
“还我游戏机,我真的就听话了……”(非常真诚认真的);
“昨晚我很听话,为什么现在不让我玩?”(几乎绝望,还努力找理由);
“我不会不听话了(停顿),我现在可以玩了吗?”(“我不会不听话”——她以为我们有那么傻?);
“现在能还我吗?求你了!”(如果承诺无效,或许可怜的乞求能派上用场……);
“明天我要去上学了,现在要玩不了,以后就再也不能玩了。”(好吧,到底有多少种不同方式的”社交工程“?也许她能为这本书作点贡献)
“对不起,我错了,我能就玩一会吗?”(发自内心的承认错误是好的,但对想“操控行为”却不好使);
“是Kevin让我这么做的!”(我想有些黑客才会这么说!);
“没有游戏我真的很难过。”(什么都不起作用,开始渴望同情);
“我大半天没玩游戏了。”(换句话说,“要受多少苦才是尽头啊?”);
“玩游戏不花一分钱的。”(绝望地努力猜测:到底是什么原因让妈妈罚了这么长时间?错误的猜测);
“周末就是我生日了,还不让我玩游戏。”(又是想博得怜悯)!;
我们准备去机场,她还在继续:“我很烦机场的。”(在绝望中,厌倦被认为是愿以任何代价来避免的可怕之事,也许Briannah烦透顶了,她也许去画画或看书)
“三个小时的飞机,我什么事都干不了!”(虽然仍寄以希望,但她还是退却了,并翻开一本常带在身边的书);
“太暗了,看不见也写不了,如果能玩游戏,我可以看到屏幕。”(逻辑上是没人搭理的努力)
“至少让我上一下网?”(你心里一定会谅解一些吧?)
“你是世界上最好的妈妈!”(她还擅长夸奖和谄媚,凭借她缈茫的努力达到目的)
“真不公平!”(最后的一点努力)如果你想知道社交工程师怎样达到他们的目标,怎样使人们从理性到感性……就听听你的孩子是怎么说的吧!
