★组织机构该如何做?
如果你是某公司/某机构里的一个小头目或大头目、甚至老板,那就得多看看这一节;否则的话,直接跳过本节,看下一个章节(个人该如何做)。
◇普及教育
最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字,写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理,20%的简单培训就可以防范80%的潜在攻击。由于“人”是社会工程攻击的主要对象,并且有经验的攻击者都善于寻找组织机构的弱点,所以普及教育务必要涵盖到每一个人(连公司的扫地阿姨也不要放过哦:-)。
另外要强调的一点是:要重视对新员工的培训。很多时候,新员工往往是攻击者的突破点。首先,新员工初来乍到,跟周围的同事不熟,容易把攻击者误认为同事;其次,新员工往往怕得罪人,容易答应攻击者的各种要求。
◇严格的认证
认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁?
由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料(参见“这里”的示例),你可以把电话打回去进行确认(最好是打回公司内部的座机)。
◇严格的授权
授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥?
对于组织机构来说,授权要尽量细化、尽量最小化。
举个例子。如果某软件公司中,所有的程序员都可以访问所有的源代码,那源代码泄漏的风险就很大。只要有一个人出问题,攻击者就可以得逞。反之,如果每个人只能访问自己开发的那部分代码,那安全风险就会小很多。即使某人上当受骗,也只会泄漏部分代码。
◇信息分类
在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。
比如在我负责的团队中,源代码的敏感度高于软件安装包。因此,源代码服务器只有开发人员能够访问;而放置安装包的发布服务器,大部分人(比如测试人员、产品人员)都可以访问。
◇别乱丢办公垃圾
看完信息收集的帖子,大伙儿应该明白,乱扔垃圾可不光是砸到花花草草的问题,更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。
◇文化
最后再来说一下企业文化对社会工程攻击的影响。
在之前的帖子,俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严,就容易给攻击者留下利用的机会。还有一些组织机构,里面的人员都是好好先生,每个角落都是一团和气。这种机构和等级森严的组织一样,容易被攻击者利用。
所以,假如你碰巧是组织机构内部的一个实权人物,或许可以尝试改变一下现状。不过俺要提醒一句,一个组织机构(尤其是政府机构)的文化是很难轻易改变滴。所以,别对这个招数报太大希望 :-(
★个人该如何做?
前面介绍了企业内部的防范措施,接着就该说说个人该如何应对了。
◇多了解一些社会工程学的手法
俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术》(凯文·米特尼克所著),你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
另外,很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》,里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。
◇保持理性
在如何施加影响的帖子里,俺已经列举了很多种手法。这些手法不外乎都是利用人【感性】的弱点,然后施加影响。所以,尽量保持理性的思维(尤其在和陌生人沟通时)有助于减少你被攻击者忽悠的概率。不过捏,保持理性,说起来简单,做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。
◇保持冷静
还有一些“社会工程学”的惯用伎俩是【制造恐慌】。大部分人在慌乱之中就容易入套。
所以,保持冷静也很重要。不过捏,还是刚才那句话——说起来简单,做起来未必简单。
◇保持一颗怀疑的心
这年头,除了骗子是真的,啥都可能是假的。比如,你收到的邮件,发件人地址是很容易伪造滴;比如,你公司座机上看到的来电显示,也可以被伪造;比如,你收到的手机短信,发短信的号码也可以伪造。
所以,保持一颗怀疑的心,也是非常必要的啊!
◇别乱丢生活垃圾 :)
不光上述提到的办公垃圾有潜在风险,生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者,你没准就麻烦了。
◇(其它)
肯定还有俺没提及的防范措施,欢迎大伙儿(到博客评论区)补充。
回到本系列的目录
我想知道怎么清除3 60和rui星上报的日志捏
回复删除楼上的同学:
回复删除能否说具体点,“上报的日志”是指啥?
另外,俺建议还是别装360、瑞星这类国产货,装国外的安全软件比较保险。
嗯嗯,就是那个俺已经装了360瑞星,现在上网就把360关掉,把瑞星变成红伞。可是上完网了,有痕迹呀,没有什么删除工具,只好断网再用360清除痕迹,又担心回头360在我联网的时候又给上报了。。。
回复删除那个国外的不是要花钱的嘛。。。
Chrome浏览器的隐身模式即可
删除要是能找到它把上报的日志放在哪里就好了,毕竟电脑里还保存着东西,郁闷
回复删除裸机吧,我一直如此。
回复删除现在成了两无人士,无Q无软,聊天大大的成了问题
回复删除前4楼的同学:
回复删除如果想找国外的杀毒软件,可以试试看SEP(Symantec Endpoint Protection),不需要到处找破解/注册码。
期待书评了!
回复删除看了《少有人走的路——心智成熟之路》书评,今天在亚马逊买了一本,准备过年好好看一下
回复删除上网“冲浪”(好久没见这词了)看“个人品牌”相关内容,偶然到这个站,最近花了很多时间看博主写的文章,让我明白了愤青和思想者的区别。
TO 陈柏林
删除多谢捧场 :)
Google, Facebook 等公司的绝大部分代码都是对公司内所有人开放的, 我猜一是相信员工不会泄漏 (确实泄漏会带来的惩罚会非常重, 轻则开除重则吃官司), 另一个原因是你拿到代码其实也没啥用, 没基础数据或那么多机器, 以及配套系统, 压根跑不起来
回复删除TO Wen YE
删除同意你的观点。
Google Facebook 等公司,都属于互联网公司。
对他们而言,用户数据比代码重要得多。
而且他们这种公司,代码的迭代更新很快(半衰期很短)。
天朝的开发的软件都看承病毒,木马就对了。能不用就不用。要用也在虚拟机里面用。
回复删除有时你的语言风格也会暴露出你是某某某的小号,在一些小论坛尤其要注意
回复删除读完了,收获很大,准备看看影响力
回复删除要保持党性,要听党的话做党的事,不要吃党的饭砸党的锅!>:(
回复删除最聪明的人现在都己看清了党国形式,并充分利用这个大好机会——不听党的话,不做党的事,吃党的饭,同时砸党的锅。
删除+1
删除加速主义好!吃定傻逼习!