反社會工程學培訓:人為錯誤的第一道防線
身份竊取已經成為犯罪的老黃歷了。攻擊者們已經不再滿足于把個人當作目標,現在他們看上了更具價值的東西,即你的客戶的數據。
當涉及保護網絡時,IT專業人員們通常將目光投向技術。我們堆疊的技術層面越多,每個層面越多樣化,我們就認為網絡一定更安全。但是,企業往往都失敗了,因為他們忽視了內部安全。這并不意味著企業在仔細審閱安全策略和維護企業自身安全方面的失敗(盡管作為IT醫生的我們往往把病人們的情況弄得更糟糕)。更確切地說,企業是忽視了那些委托我們保護他們系統的人——用戶。
網絡的物理加固很容易被一個看似簡單、卻是多方面的元素——人——所規避。成功的攻擊者經常扮演著社會學工程師的角色,通過操縱網絡上的用戶間接地攻擊經過加固防護的網絡。由于這個常見而且永遠存在的威脅,對于企業來說投入時間和精力去培訓、教育和測試這個關鍵的安全組成是非常重要的。在本文中,我們會討論實施防范社會工程學培訓的最佳方法。
社會工程學培訓入階
就用戶培訓而言,首先且最需要指出的一點就是,這是一個循環的過程,沒有起點或終點。社會工程學的伎倆在不斷地進化,形成新的方式來愚弄用戶并入侵他們的系統或是他們的組織。保持對這些手法的了解是企業網絡安全團隊的職責,并應該與用戶分享如何認出這些攻擊嘗試,以及隨后如何進行防范。測試絕對是至關重要的,因為它能顯示出脆弱面和強項。測試結果提供了一般性的系統評估,使安全團隊可以在此之上提高安全實踐,并更好地理解精力需要放在哪里。
防范社會工程學培訓的努力需要由安全團隊來推動。這個團隊應該負責針對保護個人及企業網絡來創建策略和流程。團隊成員應由來自不同部門的人員組成。
團隊次要的作用是在他們經營的領域內提供對所有策略和流程的支持。他們也必須協助編寫雇員培訓材料。為了達到那個目的,應該為所有新入職的員工提供標準化的流程進行IT安全培訓。需要專門花時間在網絡安全話題和防范社會工程學培訓上。這個培訓不應僅關注于如何通過社會工程學演習,而是要關注于如何識別出攻擊,且更為重要的是,當一個人遭遇攻擊時該如何做出反應。在這個過程中應該考慮的威脅因素包括:
面對面的交互:這個練習通常是指“如何認出假冒的修理工”。角色扮演游戲是特別好的工具,可以揭露攻擊者的策略花招,看最簡單的問題或假裝成生氣的供應商是如何成為嘗試收集信息、獲得對你們網站訪問權的攻擊者的。在與供應商和同事共享計算機資源方面應該有相應的策略。
電子郵件:現實中有豐富的利用郵件攻擊的例子。通常,人們每周會看到一些進入他們收件箱的郵件,這些郵件應該保存下來用于識別偽造郵件地址的培訓指導。應該教育員工如何驗證域名(例如fdic.com與 fdic.gov),以及他們可能遇到的典型的攻擊者策略。在這些郵件中應該可以發現一些例子,如提供太劃算以至于不能相信的交易、或是帶有典型的緊急性標簽,諸如“現在就行動起來”和“只剩20個位子”。應該培訓員工們小心不一致的跡象,如那些看似“來自”員工但是不符合公司郵件策略的郵件。也許是缺失簽名部分、或字體不符合公司的標準。類似這樣危險信號就是眾所周知的“嗅探測試”。如果碰到這種情況就很可能是惡意的,應立刻尋求指導。
Web站點:對于web站點安全的培訓應該與電子郵件相互配合。教導員工如何審查而不是點擊鏈接。許多釣魚攻擊郵件或包含指向攻擊者Web站點的鏈接。很多情況下,顯示的鏈接與郵件真正指向的鏈接并不匹配。參加培訓的人員應該學會如何讀懂頻繁遇到的域名后綴,例如“www.computerhope.com.jargon/num/domains.htm”。再一次,這也適用于嗅探測試,“來自”FDIC的郵件不會由于這個虛構的位于日本的域名而將你指向FDIC.com.jp。
電話:應該有到位的流程指導員工如何處理電話攻擊。應該教導員工不要盲目地遵從打電話人的指令。教育他們正確地、有效地使用手邊的資源,例如來電顯示和內部的目錄。
硬拷貝數據:搜尋垃圾桶對于攻擊者來說是一個權宜的,經常采用的獲取信息的方法,進而入侵企業和個人。應該有到位的嚴格策略來減少這種威脅的發生。防范這種風險的建議包括使用可以鎖起來的文件抽屜和文件柜,以及可鎖的粉碎箱。
上面闡述的可行的防范社會工程學的培訓建議可以作為基本的終端用戶安全培訓計劃的基礎。不過,雇員的培訓才剛剛開始,需要定期加強培訓。對于安全計劃的成功真正必需的是一家勝任的社會工程學測試公司。一個好的公司將通過實際測試你的團隊幫助評估培訓計劃。公司在第三方參與下的社會工程攻擊中的表現,可以驗證你們培訓的成功、展示培訓的不足,并且有助于辨識可能需要補救或額外培訓的個人。
測試應該定期地進行,每次測試后需要舉行會議來決定培訓/再次培訓的需要。這包括評審所有相關的策略和流程。根據測試的結果和策略的評審,應該批準再次培訓以確保培訓是保持當前的、并且是基于需要和潛在的威脅。
信息安全被破壞是要付出代價的。每年,組織花費數億美元嘗試從安全破壞中恢復。單是名譽上的風險就足以為這種不幸而擔憂了。盡管IT專業人員能使用分層的技術方法來完全的保護他們的計算機系統,人為因素仍是需要考慮的關鍵部分。無法解決潛在的人為錯誤會給整個企業安全留下顯眼的漏洞,留下不可避免的指向敏感客戶信息可追尋的路徑,而這些信息的泄漏意味著災難。防范社會工程學培訓的努力能讓組織在發生攻擊前而不是事后積極地處理這些風險。
