• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    五种手段抵御社会工程攻击

    来源:安全牛 2017-01-16 15:20:30 社会工程 金融安全
         来源:安全牛     2017-01-16 15:20:30

    核心提示突破防火墙很难;通过电话冒充技术支持很简单。动机满满的黑客,极少会从一开始就去尝试用技术手段攻击目标,他们更喜欢从人入手而不是去黑服务器。

      社会工程已成为75%普通黑客们的工具包,而对于成功的黑客,这个比例在90%以上。——约翰·迈克菲

      突破防火墙很难;通过电话冒充技术支持很简单。动机满满的黑客,极少会从一开始就去尝试用技术手段攻击目标,他们更喜欢从人入手而不是去黑服务器。

      显然,要解决社会工程问题,很大程度上应将重点放在培训上。太多的公司都遵循“犯错就炒鱿鱼,我们来告诉你你啥时候饭了错”的策略,但这并不能完全免除IT员工的责任。我们可以看看下列很容易就能实现的一些措施。

    五种手段抵御社会工程攻击

      1. 合理的访问控制

      一般情况下,自由地共享信息是件好事,但真的有必要让每个员工都有路由器管理员口令吗?而另一个极端,是连工作所需的资源都禁止访问,比如某科学家的办公环境防火墙甚至不让她访问“科学技术”类别。后一个案例中,该科学家认为是IT部门造成了这个麻烦,但从个人角色和所处环境考虑,其实她也可以用重路由搞定的。

      如果规则毫无意义,雇员就会绕开它们,让访问策略形同虚设。理想的信息策略应是简短而全面的。例如,会计部门要能够看到客户数据库,但前台接待员就没必要也有这个权限了。

      2. 给员工放权

      这一条跟上一条看起来似乎是自相矛盾的。重点在于:黑客利用的就是面对实权人物时人们的焦虑,比如面对公司主管或律师时。如果雇员不够胆拒绝请求,黑客就成功可期。

      很多公司里的标准实践就是:除了最常规的要求,不轻易接受任何电话请求;无论是谁接到电话,都会问对方姓名和公司——不是电话号码,号码是要查黄页后回拨的。这么做,就能知道对方是不是如声称的在某公司担任某职务了。

      3. 不断强化

      某种形式的正规强制培训无疑是不错的想法,但强迫人们坐到一个房间里听老师滔滔不绝1小时,是不太可能让他们积极转变的。在鼠标垫上打印邮件附件和U盘警示花不了几个钱,同时,每周一封简短的入侵案例研究邮件能起到很好的意识培训效果。

      4. 社交媒体

      大多数人会想都不想就把度假地点和孩子学校名称给发布到网上。在黑客假装是熟人的时候,问题就来了。人们大多不好意思在聊天的时候问对方“你谁啊?”脸书、微信什么的当然可以用,但一定要注意潜在的风险,好好想想该怎么安全畅游社交网络。

      5. 外部帮助

      有预算的话,请外援是个很有价值的选项,或许就是一系列渗透测试和随之而来的研讨会。除了见识到陌生人获取内部信息是多么容易,由外部组织进行的培训通常还会被以全新视角看待。

      结论

      沦为诈骗受害者的,很多都是接受过良好教育的聪明人,只不过,没能认识到其中风险而已。帮助别人,是一种高尚而非常人性的冲动——关键在于,要确保不能毫不怀疑地就把可能造成伤害的信息交到坏人手上。

      如果员工和管理层不能相互倚赖,员工的不良情绪就可能切实伤害到公司安全。而鉴于所属行业,公司或许还要考虑诸如勒索等对高层发起的攻击。开明的公司氛围,会让员工在觉得有“钓鱼”嫌疑的时候发出质疑,防止掉某些最具破坏性的攻击——内部人威胁。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定