防止雇员遭受社会工程学攻击
[ 2007-03-25 02:55:29 | 作者: sun ]
虽然我们确实在继续受到病毒、蠕虫、间谍软件和其它各种形式的恶意软件的威胁,但是,整个安全的状况在改善。防火墙已经取得了进步,更多的企业采取了更好的补丁管理措施,而且入侵防御和入侵检测等技术正在更广泛的应用。随着安全的这种增长,黑客在做什么呢?
黑客被迫在做攻击者过去做过的事情:把目标对准薄弱的环节。这个薄弱环节就是社会工程学的所在。社会工程学是一种危险的攻击机制,因为它不直接对目标实施攻击。社会工程学在IT领域被定义为一种说服人的技巧。据市场研究公司Gartner的一篇研究报告称,70%的以上的非授权访问信息系统是内部雇员所为,95%的以上的这种入侵导致了严重的金融损失。
你也许会想,这些数字表明许多遭受这种损失的公司都有坏雇员。但是,实际情况并非如此。许多雇员都是社会工程学攻击的受害者。一个社会工程学攻击者能够以多种方式向雇员展开攻击。Robert Cialdini撰写的“劝说的科学与实践”一书介绍了这些方法。这本书列出了社会工程学使用的六种主要方法。这些方法包括:
·经验不足:通过建立紧迫感操纵雇员。
·权威:根据权威的承诺欺骗雇员。例如,“你好,是服务台吗?我是为高级副总裁工作的,他需要立即重新设置他的口令。”
·一致性:人们喜欢平衡和秩序。例如,当人们问我们过的如何时,我们一般都回答说“很好!”。
·社会确认:根据这种想法,一个人可以做这个事情,其他人也可以做。例如,你曾看到酒吧服务员的装满了钱的罐子吗?这也许会让你想到如果每一个人都在往里放钱,你也应该那样做!
·回报:如果有人给你一个纪念品或者一个小礼物,你就要考虑回赠一些东西。
采取什么措施才能防止你的雇员被利用呢?第一,制定政策和程序。政策应该解决设置账户的规则、如何批准访问和改变口令的批准程序等问题。政策还应该解决人们担心的一些物理方面的问题,如碎纸片、锁、访问控制和如何陪同和监视访问者等。
第二,进行教育和培训。如果雇员不了解政策规定或者没有对这些政策规定的应用进行过培训,政策就毫无用处。如果雇员理解安全政策的目的以及忽略这些安全政策可能给公司带来的负面影响,雇员就会更好地遵守公司的这些政策。必须要对雇员进行培训,让他们知道如何报告安全突破事件。
最后,检验和监督遵守政策的情况。审计和定期检验有助于使政策结构更有效率。经常巡查各个部门并且寻找暴露的口令或者敏感的信息。检验也许还可以包括给雇员或者服务台打电话,看看是否能够强迫他们向你提供口令。当雇员遵守政策的时候,应该对于他们良好的安全行为给予奖励。通过遵守上述三个简单的步骤,你将极大的提高粉碎社会工程学攻击的能力。
黑客被迫在做攻击者过去做过的事情:把目标对准薄弱的环节。这个薄弱环节就是社会工程学的所在。社会工程学是一种危险的攻击机制,因为它不直接对目标实施攻击。社会工程学在IT领域被定义为一种说服人的技巧。据市场研究公司Gartner的一篇研究报告称,70%的以上的非授权访问信息系统是内部雇员所为,95%的以上的这种入侵导致了严重的金融损失。
你也许会想,这些数字表明许多遭受这种损失的公司都有坏雇员。但是,实际情况并非如此。许多雇员都是社会工程学攻击的受害者。一个社会工程学攻击者能够以多种方式向雇员展开攻击。Robert Cialdini撰写的“劝说的科学与实践”一书介绍了这些方法。这本书列出了社会工程学使用的六种主要方法。这些方法包括:
·经验不足:通过建立紧迫感操纵雇员。
·权威:根据权威的承诺欺骗雇员。例如,“你好,是服务台吗?我是为高级副总裁工作的,他需要立即重新设置他的口令。”
·一致性:人们喜欢平衡和秩序。例如,当人们问我们过的如何时,我们一般都回答说“很好!”。
·社会确认:根据这种想法,一个人可以做这个事情,其他人也可以做。例如,你曾看到酒吧服务员的装满了钱的罐子吗?这也许会让你想到如果每一个人都在往里放钱,你也应该那样做!
·回报:如果有人给你一个纪念品或者一个小礼物,你就要考虑回赠一些东西。
采取什么措施才能防止你的雇员被利用呢?第一,制定政策和程序。政策应该解决设置账户的规则、如何批准访问和改变口令的批准程序等问题。政策还应该解决人们担心的一些物理方面的问题,如碎纸片、锁、访问控制和如何陪同和监视访问者等。
第二,进行教育和培训。如果雇员不了解政策规定或者没有对这些政策规定的应用进行过培训,政策就毫无用处。如果雇员理解安全政策的目的以及忽略这些安全政策可能给公司带来的负面影响,雇员就会更好地遵守公司的这些政策。必须要对雇员进行培训,让他们知道如何报告安全突破事件。
最后,检验和监督遵守政策的情况。审计和定期检验有助于使政策结构更有效率。经常巡查各个部门并且寻找暴露的口令或者敏感的信息。检验也许还可以包括给雇员或者服务台打电话,看看是否能够强迫他们向你提供口令。当雇员遵守政策的时候,应该对于他们良好的安全行为给予奖励。通过遵守上述三个简单的步骤,你将极大的提高粉碎社会工程学攻击的能力。
评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=175
引用链接: http://www.lziss.com/blog/trackback.asp?id=175
引用链接: http://www.lziss.com/blog/trackback.asp?id=175
这篇日志没有评论.