第二部分:防范策略

完全进入

这是一共两章的社会工程学专题的第二部分。在第一部分里,我们定义了社会工程学是黑客用智慧,操纵人们相信他人的这一天性。黑客的目的是获取信息,利用这些信息来获得对有价值系统和系统中的信息的未经授权的访问。回顾一下:社会工程学最基本的目标与黑客活动一样,总的来说都是:为了制造欺诈,网络入侵,工业间谍,窃取身份或只是破坏系统和网络而去获得未经授权的到系统的访问。

 

我第一次尝试社会工程学是在了解这个术语的含义之前。在初中、高中时,我曾是我们学校所在区域的驾驶技术委员会学生代表。当我二年级的时候,这个行政区在准备组建跨越整个区的网络的前一年,想在我们学校测试这套计算机网络。他们招标并选择了建设网络的硬件和软件,我的工作是测试网络。一天,我注意到这些新机器和外围的设备都没有上锁,我就拿了一台显示器和一个鼠标,然后到楼下看有没有人注意到我。确实没人看到我。我决定把他们带出去。我成功的把东西带到了停车场的后面,后来我觉得这次试验已经成功,并把东西送还了回去。

 

事实上没有一个人注意到我,或者阻拦我。这让我重新思考网络安全到底意味着什么。我向负责人汇报了这次测试。第二年,在本区所有新电脑和设备都上了锁。我的经历说明,社会工程学攻击可以是如此的简单,直接而有效。至今,我都想知道因为没有防范社会工程学,学校和社区到底损失了多少计算机设备。接下来,本文会讨论一些帮助个人和组织机构防范社会工程学攻击的方法。我指的是反击社会工程学的策略。

从哪里开始呢?安全策略

社会工程学攻击包括两个不同的方面:一个是物理方面,即攻击地点,例如工作场所,通过电话,垃圾搜寻,网上;一个是心理方面,指的是实施攻击的方法,例如说服,模仿,迎合,从众和友善。因此,防范策略需要在物理和心理两个层面上都有所动作。雇员培训是必须的。很多公司犯的错误是只为物理层面的攻击作了应对计划。而从社会心理学角度来看,确实门洞大开。所以在最初,管理层必须了解开发、实施完善的安全策略和规程的必要性。管理层必须认识到如果没有足够的防范社会工程学和反向社会工程学攻击,那么他们在软件升级,安全设备和审计上花的钱只是浪费 (Nelson) 。策略的一个优势是,它消除了雇员回应黑客要求的职责。如果黑客的要求是被策略禁止的,那么雇员除了拒绝黑客的请求,没有别的选择。

 

坚固的策略可以概括,也可以具体,而我建议最好不要太概括也不要太具体。这样,策略的实施者在未来的规程修改中就有更大的灵活性,同时限制全体雇员,在每日的工作中不能过于放松(见安全焦点的《安全策略导论》系列)。安全策略应该讲述信息访问控制,建立账号,获得批准和密码修改。永远也不要让公司内部网络获得到调制解调器访问。应该配置锁具,身份认证以及碎纸机。违反安全策略的人应该被曝光并强制改正。

防止物理攻击

理论上,优良的物理安全似乎就像一个木头人,但是为了真正防止商业机密离开公司大楼,额外的谨慎还是需要的。任何进入大楼的人的身份都应该被检查、核实。无一例外。一些文档需要被放在上锁的文件抽屉里或者安全的存储地点(同时,抽屉等的钥匙不要放在显而易见的地方)。其它文档可能需要切碎——特别是那些放在垃圾筒旁边的。同样的,所有的磁存储媒体都应该分别消磁,因为“数据可以从被格式化的磁盘或硬盘中找回来。” (Berg)。将锁好的垃圾箱存放在有保安监控的安全地方。

 

回到大楼内,应该说,在网络上所有的机器(包括远程系统)都要切实落实好密码保护。(你可以在安全聚焦的文章《密码黑客——确保你的密码安全中找到一些有用的提示》)推荐使用屏幕保护密码,可以用PGP和其他加密程序来加密硬盘上的文件以提供额外的保护。

电话和电话网络

一种常见的犯罪是通过机构的电话交换机,或者私人交换分机,机构内部的专用电话网非法拨打长途电话。黑客们可以拨入电话然后假扮成某人,要求电话转接到外线,花这个机构的钱,打电话到世界各地。可以通过制定不允许转接电话,控制海外和长途电话,以及跟踪可以电话的策略来预防。如果遇见谁打电话过来,说他们是电话技术员,需要获得密码,那他或她肯定在说谎。就拿Verizon通讯公司的资料来说,电话技术员开展测试不需要用户的协助,因此应该怀疑要求密码或其他认证的事情 (Verizon)。所有的员工都应注意这点,他们就不会再上当了。

 

就像第一部分所讲的那样,咨询台是社会工程学攻击的主要目标,因为他们的工作就是告诉客户有用的信息。保护咨询台免受社会工程学攻击的最好方法就是培训。没有授权时,咨询台应该完全的拒绝泄露密码。(实际上,他应该是组织策略绝不能通过电话或者电子邮件泄露密码;相反,它们只应该透露给信任的人,有授权的人)回拨电话,个人身份号码和密码也可以增加安全性。如果有疑问,应鼓励咨询台工作人员“当感觉电话有问题时,停止服务” (Berg)。换句话说,只需要说不。

培训,培训,再培训

培训员工的重要性延伸到咨询台之外,横跨整个机构。根据企业机密信息专家,Pro-Tec Data公司总裁兼首席行政官Naomi Fine的资料,员工必须接受“如何鉴别应被考虑为机密的信息,并对自己保护它们安全的职责有清醒的认识” (Pro-Tec Data)。为了成功,机构必须将计算机安全作为所有工作的一部分,不管员工是否使用计算机(Harl)。机构里的每一个人都要明确的知道为什么这些指定的机密信息至关重要;因此,机构因为有了保护网络安全的责任感而获益。(Stevens)

 

所有的员工都应该接受如何安全的保存机密信息方面的培训。让他们参与安全策略(Harl)。请所有新员工参加安全讲座。每年为员工提供最新的资料。另一种被Fine女士推荐的方式是通过发行月刊增加员工的参与。就拿Pro-Tec Data公司来说,月刊包含真实的安全事故案例,以及这些事故可以如何防范。这使员工认识到放松安全意识潜藏着风险。根据SANS的记录,机构使用“下面的一些组合:视频,杂志,手册,标记,海报,咖啡杯,钢笔和铅笔,印有字的鼠标垫,屏幕保护,登陆横幅,记事本,桌面物品,T恤和不干胶” (Arthurs)。哇啊,我能生动的描述呆伯特在他的小卧室里的所有东西。然而,重要的是,这些观点经常变更,雇员们会忽略他们的意思,把它当作耳边风。。

识别社会工程学攻击

显然,为了对付攻击,能够分辨出攻击是很有用的。计算机安全研究院记录有许多可以用于分辨社会工程学攻击的征兆:拒绝提供联系资料,急匆匆地,借他人名声,胁迫,犯小错误(拼写错误,用词不当,古怪的问题),以及询问禁止泄漏的资料。“不能自圆其说。”试着想象你就是一名黑客。Bernz建议人们去熟悉一下这些作品,比如夏洛克.福尔摩斯故事系列,如何交朋友和影响他人,心理学书籍,甚至《宋飞传》(宋飞和乔治确实在编造故事方面很有一套)(Bernz)。要想了解敌人,就要学会换位思考。

 

公司可以不断地开展一些有关安全意识的活动来确保安全。公司的内部网络是实施这些方法的宝贵资源,特别是如果包含有在线通讯,电子邮件提醒,游戏训练,和严格的密码修改需求。最大的问题是,员工也许会变得得意洋洋而忘记安全。获得持续不断的保护的关键是在整个机构中不断地提醒注意安全——有些机构甚至创造了一些安全意识的节目,如上述发给员工的小玩意儿。

反击社会工程学攻击

如果员工察觉有可疑事情,他或她需要按程序报案。应有一个人负责追踪这个事情——最好是事故应急小组的成员,如果机构中有这个部门。同时,这位员工应该给其他相同职位的同事通报,因为他们也可能受到攻击。事故应急小组或者管理追踪此事的人(安全小组的成员和/或系统管理员)可以调整对事件做出适当的回应。

 

凯文·米特尼克曾在他的文章“我参加的第一次密码学会议”记录了一个有趣的事。米特尼克说,会议组织者决定不召开社会工程学会议是一个错误,他说:“你可以在这次展会,演说者和赞助商处花大价钱购买技术和服务,但是你的网络基础设施依然很容易受到过时的骗术的攻击。”这事是很重要的。提高认识,更多的安全机构应该在他们的程序和会议中优先考虑社会工程学。同时,机构、公司应该经常开展安全审计,这样他们的安全就不会变味。

 

下表列出了一些常见的入侵伎俩和防范策略:

危险区

黑客的伎俩

防治策略

电话(咨询台)

模仿和说服

培训雇员,咨询台永远不要在电话上泄露密码或任何机密信息

大楼入口

未经授权进入

严格的胸牌检查,员工培训,安全人员坐镇、

办公室

偷看

不要在有其他人在的情况下键入密码(如果必须,那就快速击键)

电话(咨询台)

模仿打到咨询台的电话

所有员工都应该分配有个人身份号码已获得服务台的支持

办公室

在大厅里徘徊寻找打开的办公室

所有的访客都应该有公司职员陪同

收发室

插入伪造的备忘录

监视,锁上收发室

机房/电话柜

尝试进入,偷走设备,附加协议分析器来夺取机密信息

保证电话柜、存放服务器的房间等地方是锁上的,并随时更新设备清单

电话和专用电话交换机

窃取电话费

控制海外和长途电话,跟踪电话,拒绝转接

垃圾箱

垃圾搜寻

保证所有垃圾都放在手监视的安全区域,对此记录媒体消磁。

企业内部网和互联网

在企业内部网和互联网上创造、安插间谍软件偷取密码

持续关注系统和网络的变化,对密码使用进行培训

办公室

偷取机密文档

在文档上标记机密的符号,而且应该对这些文档上锁

心理

模仿和说服

通过持续不断的提高员工的意识和培训

切实的防御

是的,现实中的防御是一项是人畏缩的任务。让我们现实一点,大多数公司没有财力和人力来完成以上列表中的所有项目。然而,有些用于防堵网络漏洞的钱可以调整一下。虽然不像网络漏洞般明显,但威胁是现实存在的;不过,我们也不希望制造一些草木皆兵的咨询台工作人员。只需要聪明和合理。保持士气高昂,并在不牺牲安全的条件下有一个宽松的企业文化是有可能的。对游戏规则稍作修改,入侵者就没有机会了。