频道栏目
读书频道 > 安全 > 反欺骗的艺术——世界传奇黑客的经历分享
2.5 预防骗局
2014-08-23 14:02:17     我来说两句
收藏   我要投稿
在《反欺骗的艺术——世界传奇黑客的经历分享》中,米特尼克邀请读者进入到黑客的复杂思维中,他描述了大量的实际欺骗场景,以及针对企业的社交工程攻击和后果。他将焦点集中在信息安全所涉及到的人为因素方面,  立即去当当网订购

公司有责任让职员知道,对非公共信息的不当处理可能导致非常严重的后果。一个考虑周全的信息安全政策,加上适当的教育和培训,可以极大地增加职员们正确处理公司商业信息的意识。信息分类政策能够帮助你从信息泄露的角度来实现正确的控制。若没有信息分类政策,则所有的内部信息,除非有特殊说明,否则都应视为机密。

可采取以下这些措施来防止你的公司泄露那些看似无害的信息:

信息安全部门有必要在培训过程中介绍社交工程师所用的手段的细节,以此来加强职员们的自觉意识。正如前面所描述的,社交工程师的一种做法是获取那些看似不敏感的信息,然后用它作为筹码来获得暂时的信任。每个职员都要认识到,当打进电话的人知道公司的办事程序,也了解行话或内部身份标识时,这并不能证明他或她的身份,也不意味着他或她有必要知道某些事情。打电话的人可能是知道内部信息的合同工,或者公司以前的职员。相应地,每个公司都有责任采取适当的身份验证方式,当公司的职员与不相识的人打交道,或通过电话协同工作时就可以用来验证对方的身份。

负责起草数据分类政策的人或小组应当仔细检查信息的种类,特别留意那些可用来接近看似无关紧要的普通职员,但进一步可获取到敏感信息的细微之处。你肯定不会透露自己ATM卡的存取密码,但如果有人问你,你在公司里用哪一台服务器来开发软件产品,你会告诉对方吗?这样的信息会不会被一个假冒成对公司网络有合法访问权限的某个人利用呢?

有时,社交工程师只要知道一点内部用语,就会显得非常有权威性,也非常有见地。攻击者通常利用这一普遍的错觉,就能够诱使受害者就范。比如,“商户号码”是新账户部门的人每天时常会用到的一个标识符号。但这个标识符号实际上起着与密码同样的作用。如果每个职员都能认识到这个标识符号的意义——用来确认一个请求者的身份——那么他们对此就会谨慎得多。

没有一家公司——哦,即便有也是极少数——会把CEO(首席执行官)或董事长的直拨电话号码公诸于众。但大多数公司都不在意把电话号码告诉给公司内部的大多数部门和工作组——尤其是告诉给公司职员,或看起来好像是职员的人。一种可能的防范措施是:制定一项政策,禁止把职员、合同工和顾问的内部电话号码告诉给外部人员。更重要的是,规定一个可逐步执行的程序,以便当有人打电话要某个人的电话号码时可以确认此人是否真的是公司职员。

工作组和部门的财务代码,以及公司的通讯录(不管是硬拷贝、数据文件,还是内部网上的电子电话簿)经常会成为社交工程师的目标。每家公司都应该针对这类信息的扩散制定一个书面的政策,并明确地告知每个人。当敏感信息被扩散至公司以外的人时,在基本的防范设施中,最起码应该将此事记录下来。

像职员号码这一类信息,其本身不应该被作为任何形式的身份验证凭据。公司必须培训每一个职员,不仅要验证请求者的身份,还要看他是否有必要知道所请求的信息。

在做安全培训时,应该考虑将以下方法教给职员们:当有陌生人提出问题或请求帮助时,要学会首先有礼貌地拒绝,直到他或她的请求被通过验证为止。然后,一定要遵循公司有关身份验证和非公开信息发布的政策和规程,之后你才可以顺从自己的天性,做一个好好先生或好好女士。这种风格可能违背了我们乐于助人的天性,但为了避免让自己成为社交工程师的下一个受害者,一点正常的怀疑可能是必要的。

从本章的故事中可以看到,一些看似无害的信息,可能成为取得你公司中最具价值的秘密信息的钥匙。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.4 更多的“无用”信息
下一篇:黑客攻防从入门到精通(绝招版)
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站