身份窃取已经成为犯罪的老黄历了。攻击者们已经不再满足于把个人当作目标,现在他们看上了更具价值的东西,即你的客户的数据。
当涉及保护网络时,IT专业人员们通常将目光投向技术。我们堆叠的技术层面越多,每个层面越多样化,我们就认为网络一定更安全。但是,企业往往都失败了,因为他们忽视了内部安全。这并不意味着企业在仔细审阅安全策略和维护企业自身安全方面的失败(尽管作为IT医生的我们往往把病人们的情况弄得更糟糕)。更确切地说,企业是忽视了那些委托我们保护他们系统的人——用户。
网络的物理加固很容易被一个看似简单、却是多方面的元素——人——所规避。成功的攻击者经常扮演着社会学工程师的角色,通过操纵网络上的用户间接地攻击经过加固防护的网络。由于这个常见而且永远存在的威胁,对于企业来说投入时间和精力去培训、教育和测试这个关键的安全组成是非常重要的。在本文中,我们会讨论实施防范社会工程学培训的最佳方法。
社会工程学培训入阶
就用户培训而言,首先且最需要指出的一点就是,这是一个循环的过程,没有起点或终点。社会工程学的伎俩在不断地进化,形成新的方式来愚弄用户并入侵他们的系统或是他们的组织。保持对这些手法的了解是企业网络安全团队的职责,并应该与用户分享如何认出这些攻击尝试,以及随后如何进行防范。测试绝对是至关重要的,因为它能显示出脆弱面和强项。测试结果提供了一般性的系统评估,使安全团队可以在此之上提高安全实践,并更好地理解精力需要放在哪里。
防范社会工程学培训的努力需要由安全团队来推动。这个团队应该负责针对保护个人及企业网络来创建策略和流程。团队成员应由来自不同部门的人员组成。
团队次要的作用是在他们经营的领域内提供对所有策略和流程的支持。他们也必须协助编写雇员培训材料。为了达到那个目的,应该为所有新入职的员工提供标准化的流程进行IT安全培训。需要专门花时间在网络安全话题和防范社会工程学培训上。这个培训不应仅关注于如何通过社会工程学演习,而是要关注于如何识别出攻击,且更为重要的是,当一个人遭遇攻击时该如何做出反应。在这个过程中应该考虑的威胁因素包括:
面对面的交互:这个练习通常是指“如何认出假冒的修理工”。角色扮演游戏是特别好的工具,可以揭露攻击者的策略花招,看最简单的问题或假装成生气的供应商是如何成为尝试收集信息、获得对你们网站访问权的攻击者的。在与供应商和同事共享计算机资源方面应该有相应的策略。
电子邮件:现实中有丰富的利用邮件攻击的例子。通常,人们每周会看到一些进入他们收件箱的邮件,这些邮件应该保存下来用于识别伪造邮件地址的培训指导。应该教育员工如何验证域名(例如fdic.com与 fdic.gov),以及他们可能遇到的典型的攻击者策略。在这些邮件中应该可以发现一些例子,如提供太划算以至于不能相信的交易、或是带有典型的紧急性标签,诸如“现在就行动起来”和“只剩20个位子”。应该培训员工们小心不一致的迹象,如那些看似“来自”员工但是不符合公司邮件策略的邮件。也许是缺失签名部分、或字体不符合公司的标准。类似这样危险信号就是众所周知的“嗅探测试”。如果碰到这种情况就很可能是恶意的,应立刻寻求指导。
Web站点:对于web站点安全的培训应该与电子邮件相互配合。教导员工如何审查而不是点击链接。许多钓鱼攻击邮件或包含指向攻击者Web站点的链接。很多情况下,显示的链接与邮件真正指向的链接并不匹配。参加培训的人员应该学会如何读懂频繁遇到的域名后缀,例如 “www.computerhope.com.jargon/num/domains.htm”。再一次,这也适用于嗅探测试,“来自”FDIC的邮件不会由于这个虚构的位于日本的域名而将你指向FDIC.com.jp。
电话:应该有到位的流程指导员工如何处理电话攻击。应该教导员工不要盲目地遵从打电话人的指令。教育他们正确地、有效地使用手边的资源,例如来电显示和内部的目录。
硬拷贝数据:搜寻垃圾桶对于攻击者来说是一个权宜的,经常采用的获取信息的方法,进而入侵企业和个人。应该有到位的严格策略来减少这种威胁的发生。防范这种风险的建议包括使用可以锁起来的文件抽屉和文件柜,以及可锁的粉碎箱。
上面阐述的可行的防范社会工程学的培训建议可以作为基本的终端用户安全培训计划的基础。不过,雇员的培训才刚刚开始,需要定期加强培训。对于安全计划的成功真正必需的是一家胜任的社会工程学测试公司。一个好的公司将通过实际测试你的团队帮助评估培训计划。公司在第三方参与下的社会工程攻击中的表现,可以验证你们培训的成功、展示培训的不足,并且有助于辨识可能需要补救或额外培训的个人。
测试应该定期地进行,每次测试后需要举行会议来决定培训/再次培训的需要。这包括评审所有相关的策略和流程。根据测试的结果和策略的评审,应该批准再次培训以确保培训是保持当前的、并且是基于需要和潜在的威胁。
信息安全被破坏是要付出代价的。每年,组织花费数亿美元尝试从安全破坏中恢复。单是名誉上的风险就足以为这种不幸而担忧了。尽管IT专业人员能使用分层的技术方法来完全的保护他们的计算机系统,人为因素仍是需要考虑的关键部分。无法解决潜在的人为错误会给整个企业安全留下显眼的漏洞,留下不可避免的指向敏感客户信息可追寻的路径,而这些信息的泄漏意味着灾难。防范社会工程学培训的努力能让组织在发生攻击前而不是事后积极地处理这些风险。