社會工程已成為75%普通黑客們的工具包,而對于成功的黑客,這個比例在90%以上。
——約翰·邁克菲
突破防火墻很難;通過電話冒充技術支持很簡單。動機滿滿的黑客,極少會從一開始就去嘗試用技術手段攻擊目標,他們更喜歡從人入手而不是去黑服務器。
顯然,要解決社會工程問題,很大程度上應將重點放在培訓上。太多的公司都遵循“犯錯就炒魷魚,我們來告訴你你啥時候飯了錯”的策略,但這并不能完全免除IT員工的責任。我們可以看看下列很容易就能實現的一些措施。
1. 合理的訪問控制
一般情況下,自由地共享信息是件好事,但真的有必要讓每個員工都有路由器管理員口令嗎?而另一個極端,是連工作所需的資源都禁止訪問,比如某科學家的辦公環境防火墻甚至不讓她訪問“科學技術”類別。后一個案例中,該科學家認為是IT部門造成了這個麻煩,但從個人角色和所處環境考慮,其實她也可以用重路由搞定的。
如果規則毫無意義,雇員就會繞開它們,讓訪問策略形同虛設。理想的信息策略應是簡短而全面的。例如,會計部門要能夠看到客戶數據庫,但前臺接待員就沒必要也有這個權限了。
2. 給員工放權
這一條跟上一條看起來似乎是自相矛盾的。重點在于:黑客利用的就是面對實權人物時人們的焦慮,比如面對公司主管或律師時。如果雇員不夠膽拒絕請求,黑客就成功可期。
很多公司里的標準實踐就是:除了最常規的要求,不輕易接受任何電話請求;無論是誰接到電話,都會問對方姓名和公司——不是電話號碼,號碼是要查黃頁后回撥的。這么做,就能知道對方是不是如聲稱的在某公司擔任某職務了。
3. 不斷強化
某種形式的正規強制培訓無疑是不錯的想法,但強迫人們坐到一個房間里聽老師滔滔不絕1小時,是不太可能讓他們積極轉變的。在鼠標墊上打印郵件附件和U盤警示花不了幾個錢,同時,每周一封簡短的入侵案例研究郵件能起到很好的意識培訓效果。
4. 社交媒體
大多數人會想都不想就把度假地點和孩子學校名稱給發布到網上。在黑客假裝是熟人的時候,問題就來了。人們大多不好意思在聊天的時候問對方“你誰啊?”臉書、微信什么的當然可以用,但一定要注意潛在的風險,好好想想該怎么安全暢游社交網絡。
5. 外部幫助
有預算的話,請外援是個很有價值的選項,或許就是一系列滲透測試和隨之而來的研討會。除了見識到陌生人獲取內部信息是多么容易,由外部組織進行的培訓通常還會被以全新視角看待。
結論
淪為詐騙受害者的,很多都是接受過良好教育的聰明人,只不過,沒能認識到其中風險而已。幫助別人,是一種高尚而非常人性的沖動——關鍵在于,要確保不能毫不懷疑地就把可能造成傷害的信息交到壞人手上。
如果員工和管理層不能相互倚賴,員工的不良情緒就可能切實傷害到公司安全。而鑒于所屬行業,公司或許還要考慮諸如勒索等對高層發起的攻擊。開明的公司氛圍,會讓員工在覺得有“釣魚”嫌疑的時候發出質疑,防止掉某些最具破壞性的攻擊——內部人威脅。
京公網安備 11010502049343號