15 评论

信息安全之社会工程学[5]:如何防范?

  经过前面几个帖子的介绍,大伙儿应该能看出来,社会工程学的应用范围是很广泛滴。它的应用会涉及日常生活的许多领域,绝不仅限于信息安全。所以,如何防范就是一个重要的话题了。今年咱们就来聊一下如何防范。


★组织机构该如何做?


  如果你是某公司/某机构里的一个小头目或大头目、甚至老板,那就得多看看这一节;否则的话,直接跳过本节,看下一个章节(个人该如何做)。

◇普及教育


  最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字,写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理,20%的简单培训就可以防范80%的潜在攻击。由于“”是社会工程攻击的主要对象,并且有经验的攻击者都善于寻找组织机构的弱点,所以普及教育务必要涵盖到每一个人(连公司的扫地阿姨也不要放过哦:-)。
  另外要强调的一点是:要重视对新员工的培训。很多时候,新员工往往是攻击者的突破点。首先,新员工初来乍到,跟周围的同事不熟,容易把攻击者误认为同事;其次,新员工往往怕得罪人,容易答应攻击者的各种要求。

◇严格的认证


  认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁
  由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料(参见“这里”的示例),你可以把电话打回去进行确认(最好是打回公司内部的座机)。

◇严格的授权


  授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥
  对于组织机构来说,授权要尽量细化、尽量最小化。
  举个例子。如果某软件公司中,所有的程序员都可以访问所有的源代码,那源代码泄漏的风险就很大。只要有一个人出问题,攻击者就可以得逞。反之,如果每个人只能访问自己开发的那部分代码,那安全风险就会小很多。即使某人上当受骗,也只会泄漏部分代码。

◇信息分类


  在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。
  比如在我负责的团队中,源代码的敏感度高于软件安装包。因此,源代码服务器只有开发人员能够访问;而放置安装包的发布服务器,大部分人(比如测试人员、产品人员)都可以访问。

◇别乱丢办公垃圾


  看完信息收集的帖子,大伙儿应该明白,乱扔垃圾可不光是砸到花花草草的问题,更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。

◇文化


  最后再来说一下企业文化对社会工程攻击的影响。
  在之前的帖子,俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严,就容易给攻击者留下利用的机会。还有一些组织机构,里面的人员都是好好先生,每个角落都是一团和气。这种机构和等级森严的组织一样,容易被攻击者利用。
  所以,假如你碰巧是组织机构内部的一个实权人物,或许可以尝试改变一下现状。不过俺要提醒一句,一个组织机构(尤其是政府机构)的文化是很难轻易改变滴。所以,别对这个招数报太大希望 :-(


★个人该如何做?


  前面介绍了企业内部的防范措施,接着就该说说个人该如何应对了。

◇多了解一些社会工程学的手法


  俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术》(凯文·米特尼克所著),你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
  另外,很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》,里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。

◇保持理性


  在如何施加影响的帖子里,俺已经列举了很多种手法。这些手法不外乎都是利用人感性的弱点,然后施加影响。所以,尽量保持理性的思维(尤其在和陌生人沟通时)有助于减少你被攻击者忽悠的概率。不过捏,保持理性,说起来简单,做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。

◇保持一颗怀疑的心


  这年头,除了骗子是真的,啥都可能是假的。比如,你收到的邮件,发件人地址是很容易伪造滴;比如,你公司座机上看到的来电显示,也可以被伪造;比如,你收到的手机短信,发短信的号码也可以伪造。
  所以,保持一颗怀疑的心,也是非常必要的啊!

◇别乱丢生活垃圾


  不光上述提到的办公垃圾有潜在风险,生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者,你没准就麻烦了。


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2009/07/social-engineering-5-defend.html

15 条评论

  1. 我想知道怎么清除3 60和rui星上报的日志捏

    回复删除
  2. 楼上的同学:
    能否说具体点,“上报的日志”是指啥?
    另外,俺建议还是别装360、瑞星这类国产货,装国外的安全软件比较保险。

    回复删除
  3. 嗯嗯,就是那个俺已经装了360瑞星,现在上网就把360关掉,把瑞星变成红伞。可是上完网了,有痕迹呀,没有什么删除工具,只好断网再用360清除痕迹,又担心回头360在我联网的时候又给上报了。。。
    那个国外的不是要花钱的嘛。。。

    回复删除
    回复
    1. Chrome浏览器的隐身模式即可

      删除
  4. 要是能找到它把上报的日志放在哪里就好了,毕竟电脑里还保存着东西,郁闷

    回复删除
  5. 裸机吧,我一直如此。

    回复删除
  6. 现在成了两无人士,无Q无软,聊天大大的成了问题

    回复删除
  7. 前4楼的同学:
    如果想找国外的杀毒软件,可以试试看SEP(Symantec Endpoint Protection),不需要到处找破解/注册码。

    回复删除
  8. 看了《少有人走的路——心智成熟之路》书评,今天在亚马逊买了一本,准备过年好好看一下
    上网“冲浪”(好久没见这词了)看“个人品牌”相关内容,偶然到这个站,最近花了很多时间看博主写的文章,让我明白了愤青和思想者的区别。

    回复删除
  9. Google, Facebook 等公司的绝大部分代码都是对公司内所有人开放的, 我猜一是相信员工不会泄漏 (确实泄漏会带来的惩罚会非常重, 轻则开除重则吃官司), 另一个原因是你拿到代码其实也没啥用, 没基础数据或那么多机器, 以及配套系统, 压根跑不起来

    回复删除
    回复
    1. TO Wen YE
      同意你的观点。
      Google Facebook 等公司,都属于互联网公司。
      对他们而言,用户数据比代码重要得多。
      而且他们这种公司,代码的迭代更新很快(半衰期很短)。

      删除
  10. 天朝的开发的软件都看承病毒,木马就对了。能不用就不用。要用也在虚拟机里面用。

    回复删除
  11. 有时你的语言风格也会暴露出你是某某某的小号,在一些小论坛尤其要注意

    回复删除