警惕“社会工程学”攻击!
安全测试中的社会工程学攻击与防范
安全测试中的社会工程学攻击与防范在安全测试领域中,社会工程学攻击是一种常见且具有潜在危害性的攻击方式。
本文将探讨社会工程学攻击的定义、常见形式、攻击原理以及如何进行防范。
一、社会工程学攻击的定义社会工程学攻击是指利用心理学、人际交往和社交技巧等手段,通过对信息系统中的人员进行欺骗、威胁或操纵,从而获取非法获利或进一步攻击信息系统的方式。
二、社会工程学攻击的常见形式1. 假冒身份:攻击者以他人的身份出现,通过伪造文件或口头欺骗等手段获得信任并获取机密信息。
2. 偷听和窃取:攻击者通过偷听或窃取身份证、银行卡、密码等敏感信息进行个人信息盗窃。
3. 欺骗电话:攻击者通过伪装成合法机构的工作人员,以追讨债务、活动奖励等名义获取受害者的个人信息。
4. 钓鱼邮件:攻击者通过发送伪装成合法机构的电子邮件,引诱受害者点击恶意链接或下载恶意附件,从而进行信息窃取或远程控制。
5. 假冒网站:攻击者构建与真实网站相似的虚假网站,引诱受害者输入个人信息,从而获取用户的敏感数据。
6. 社交媒体欺骗:攻击者通过伪造社交媒体账号,冒充某人身份与他人交往,获取个人信息或进行其他形式的攻击。
三、社会工程学攻击的原理社会工程学攻击的原理是利用人类固有的心理特点,例如好奇心、信任、习惯性行为等,引诱受害者主动或被动地泄露敏感信息。
攻击者利用这些信息来进一步渗透、控制或伪造身份。
四、社会工程学攻击的防范措施1. 加强员工教育:组织应提供定期的安全意识培训,向员工传达社会工程学攻击的危害性以及防范措施。
员工需要了解不轻信陌生人或邮件,并且在处理敏感信息时保持谨慎。
2. 实施多层次身份验证:采用多因素身份验证(如指纹、密码、生物识别等)来确保个人身份和信息的安全。
3. 建立安全策略:制定明确的安全政策和规则,明确员工在处理敏感信息时的行为准则,并且对违反规定的行为进行相应的纪律处分。
4. 更新和加强技术措施:采取网络防火墙、入侵检测系统、反恶意软件等技术措施来检测和阻止社会工程学攻击,确保信息系统的安全性。
网络安全中的社会工程学攻击与防范
网络安全中的社会工程学攻击与防范近年来,随着社交媒体的飞速发展,网络安全已经成为现代社会中极为重要的议题之一。
然而,在众多的网络攻击手段中,社会工程学攻击是一种令人防不胜防的攻击手段。
本文将重点探讨什么是社会工程学攻击,以及如何防范社会工程学攻击。
一、什么是社会工程学攻击社会工程学攻击是一种利用人性弱点,借助与被攻击者的交流来获得非法目的的手段。
其目的是利用被攻击者的信任、好奇心、恐惧、懒惰等不同的人性弱点进行骗取信息、诈骗、网络钓鱼、窃取个人身份等犯罪行为。
社会工程学攻击的常见手段包括:1.冒充身份:攻击者会冒充一个被攻击对象信任的身份,进而向被攻击者发起诱导性的攻击。
2.钓鱼邮件:攻击者会通过电子邮件等方式,伪装成合法的电子邮件来骗取被攻击对象的账号密码等信息。
3.窃取个人身份:攻击者会通过获取个人信息等方式,伪装成受害者身份用于不法行为的手段。
4.社交媒体欺诈:攻击者通过在社交媒体平台上欺诈,骗取网友的金钱财物或者窃取网友的个人隐私信息。
社会工程学攻击由于攻击对象难以发现和识别,更易于成功,不少黑色产业链团伙利用这种手段获得非法利益。
二、如何提高防范社会工程学攻击的能力由于社会工程学攻击的成功率比较高,我们不能仅仅依靠技术手段去维护安全,更要发挥个人自身的防范能力。
以下几个方面可以提高自身的防范能力:1.警惕:对于接到来自不认识或者熟悉的电子邮件、电话、短信等,首先应该保持警惕,不轻信和急于应对,并与发件人核对。
2.个人信息保护:在使用互联网服务过程中,应当尽量减少个人信息的输入,更要定期修改账号密码,保持其可靠性。
3.不信任连接:在使用电子邮件、社交媒体等服务时,不要轻信发送连接、文件等不知来源的信息内容。
4.教育:通过多渠道获取关于社会工程学攻击的知识、技能,增加对于此类攻击的了解,帮助人们能够更有效地应对此类攻击。
5.法律保护:针对网络犯罪行为,在生活中我们可以依法维权了解相关法律知识,保护自身合法权利。
社会工程学攻击与防范讲解社会工程学攻击的原理和常见手法以及如何通过培训和安全意识提升来防范此类攻击
社会工程学攻击与防范讲解社会工程学攻击的原理和常见手法以及如何通过培训和安全意识提升来防范此类攻击社会工程学攻击与防范社会工程学攻击是一种通过操纵人与人之间的社会互动,以获取机密信息、获取非法利益或实施其他恶意行为的技术手段。
在这种攻击中,攻击者利用人们对信息的信任,通过欺骗、操纵和社交技巧来达到自己的目的。
本文将介绍社会工程学攻击的原理和常见手法,并探讨如何通过培训和安全意识提升来防范此类攻击。
一、社会工程学攻击的原理社会工程学攻击的原理是利用人们的心理弱点和社交技巧,通过欺骗方式获取信息或实施其他非法行为。
攻击者通常利用人们的好奇心、信任、急迫性和亲和力等因素来进行攻击。
通过对目标进行调查、了解其背景信息,攻击者能够对其进行有针对性的欺骗,从而获取所需信息或实施其他行动。
二、常见的社会工程学攻击手法1. 钓鱼攻击:攻击者通过发送伪装成合法机构或个人的电子邮件、短信或其他形式的信息,引诱受害者点击链接、下载附件或提供敏感信息。
通过这种方式,攻击者可以窃取受害者的账号密码、银行卡信息等重要数据。
2. 假冒身份:攻击者通过冒充他人身份来获取信息或获取非法利益。
例如,攻击者可能装扮成银行员工通过电话、电子邮件等方式与受害者联系,骗取其账户信息或密码。
3.垃圾邮件和钓鱼网站:攻击者通过发送欺诈性电子邮件或建立类似于合法网站的钓鱼网站,诱骗受害者提供个人信息。
这些电子邮件或网站常常伪装成银行、社交媒体、购物网站等,引诱受害者输入敏感信息或进行支付操作。
4. 社交工程学:攻击者通过社交媒体平台或其他线下社交场合,通过与受害者建立联系并建立信任关系来获取信息。
攻击者可能通过与受害者交流、了解其生活习惯和信息,进一步利用这些信息进行攻击。
三、如何通过培训和安全意识提升来防范社会工程学攻击为了提升组织或个人对社会工程学攻击的防范能力,培训和安全意识提升至关重要。
以下是一些有效的防范措施:1. 培训员工:组织应为员工提供有关社会工程学攻击的培训,并教授他们如何识别和应对此类攻击。
安全培训课件:防范社会工程学攻击
隐私设置
仔细设置社交媒体隐私选 项,仅向可靠的联系人公 开个人信息。
谨慎共享
不主动透露个人信息,小 心在公共场合使用无线网 络。
结论和总结
保护数据安全
社会工程学攻击是现代网络 世界中的威胁,保护个人和 机构的数据安全至关重要。
持续学习与防范
保持与时俱进,持续学习最 新的社会工程学攻击技术和 对策。
1
教育员工
提供培训课程,教授员工识别和预
多层次验证
2
防社会工程学ቤተ መጻሕፍቲ ባይዱ击。
采用多因素身份验证,如密码和指
纹识别,确保仅授权人员可以访问
敏感信息。
3
加强身份验证
使用复杂密码和定期更换密码,限 制对重要信息的访问权限。
如何识别社会工程学攻击
不寻常的请求
警惕不寻常的数据访问 请求或要求提供个人或 机密信息。
案例分析:成功的社会工程学 攻击例子
1 电子邮件钓鱼
攻击者伪装成可信源(如银 行或社交媒体平台),诱使 受害者点击恶意链接。
2 冒名顶替
攻击者假扮受害者信任的人, 通过电话、邮件或社交媒体 请求敏感信息。
3 社交工程
攻击者通过社交媒体收集受害者的个人信息,然后用于恶意目的。
如何防范社会工程学攻击
安全培训课件:防范社会 工程学攻击
社会工程学攻击是一种利用心理和社交技巧欺骗人们,以获得机密信息而不 需要技术知识的方式。本课件将深入介绍如何防范这种攻击。
社会工程学攻击是什么?
社会工程学攻击是指通过人际关系中的欺骗手段,如伪装、胁迫和滥用信任, 来获取机密信息。这种攻击方法利用了人类的天性和弱点。
感情操控
注意言语、写作风格或 情感上的操纵,这可能 是攻击者试图获得信任 的表现。
社会工程学攻击的检测与防范
社会工程学攻击的检测与防范在当今数字时代,信息安全面临了越来越多的挑战。
除了技术上的防护,人们还需要警惕社会工程学攻击,因为它们往往是最具破坏力的攻击手段之一。
本文将讨论社会工程学攻击的检测与防范方法,以帮助人们更好地保护个人和组织的信息安全。
一、社会工程学攻击的定义与特点社会工程学攻击是指利用心理学原理和社交工具来破坏、窃取或者误导目标个人、组织或系统的信息。
与传统的技术性攻击不同,社会工程学攻击更加注重对人的心理、习惯和社交行为的利用。
它通常具有以下特点:1. 假冒身份:攻击者可能伪装成信任的个人或机构,让受害者产生信任感。
2. 欺骗手段:攻击者运用各种欺骗手段,例如冒充他人求助、使用社交工具获取个人信息等。
3. 心理操控:攻击者利用心理学知识,操控受害者的情绪和思维,引导其执行特定的行为。
4. 利用信息漏洞:攻击者通常利用个人对信息的渴望或需要,通过获取敏感信息来达到攻击目的。
二、社会工程学攻击的检测方法为了有效防范社会工程学攻击,我们需要提前发现攻击的痕迹并采取相应措施。
以下是一些常用的社会工程学攻击检测方法:1. 员工教育与培训:组织应定期进行员工教育和培训,提高员工对社会工程学攻击的意识,教授他们识别可疑信息和行为的能力。
2. 强化身份验证:在关键的系统和操作上,采用多因素身份验证的方式,防止攻击者利用假冒身份进行入侵。
3. 定期的安全审计:通过进行定期的安全审计,发现和解决系统中的安全漏洞和风险。
4. 数据监控与异常检测:建立有效的数据监控系统,实时监控和检测异常数据流量、访问模式和行为模式,及时发现潜在的攻击行为。
5. 社交工程学测试:组织可以雇佣专业的安全测试人员,模拟社会工程学攻击,测试系统和员工的防范能力,并根据测试结果做出相应改进。
三、社会工程学攻击的防范方法除了检测攻击以外,我们还需要采取相应的防范措施,以增强个人和组织的安全防护能力。
1. 多层次防线:建立多层次的安全防护体系,包括技术层面的防护措施、组织层面的安全策略和员工个人的安全意识。
防范社会工程学攻击
防范社会工程学攻击社会工程学攻击是一种利用人类的社会心理和行为特征来获取敏感信息或实施欺骗的技术手段。
为了保障个人和组织的信息安全,我们需要加强对社会工程学攻击的防范。
本文将从认识社会工程学攻击的特点,探讨常见的攻击手段,并提供一些实用的防范策略。
一、社会工程学攻击的特点社会工程学攻击的特点之一是“伪装”。
攻击者通过冒充他人的身份或身份伪造等手段,迷惑受攻击者,使其对攻击的行为产生信任。
其次是“诱导”。
攻击者通过精心设计的话术或场景,引导受攻击者采取某些行为或提供敏感信息。
再者,社会工程学攻击常常利用个人的心理弱点,比如对权威的依赖,好奇心的驱使等,从而让受攻击者做出预期的行为。
二、常见的社会工程学攻击手段1. 钓鱼邮件:攻击者通过冒充合法组织或个人的名义,发送虚假的电子邮件,引诱受攻击者点击恶意链接或下载恶意文件。
2. 冒充身份:攻击者冒充他人的身份,通过电话、邮件或社交媒体等渠道,骗取受攻击者的敏感信息或进行金钱上的欺骗。
3. 信息收集:攻击者通过获取受攻击者的个人信息,比如生日、家庭成员、地址等,进行有针对性的欺骗或攻击。
4. 偷窥观察:攻击者通过密切观察受攻击者的行为习惯、工作环境等,搜集信息,为后续的攻击行为提供便利。
5. 社交工程学:攻击者利用社交媒体等平台,获取受攻击者的信息,进行个人信息诈骗或身份冒充攻击。
三、防范社会工程学攻击的策略1. 提高安全意识:加强员工、个人对社会工程学攻击的认知,教育他们警惕性让其养成谨慎的习惯,不轻易相信陌生来电、邮件等信息。
2. 多因素认证:在个人及企业的数字账号登录设置中,使用多种因素认证,如指纹、面部识别或短信验证码等,提高账号的安全性。
3. 定期更新密码:建议个人和企业定期更换密码,并避免使用容易猜测的密码。
密码应包含字母、数字、特殊字符,并尽量避免使用个人信息作为密码。
4. 谨慎对待垃圾邮件和陌生电话:如果接收到垃圾邮件或陌生电话,不要轻易点击其中的链接或提供个人信息。
社会工程学的黑暗面如何预防社交工程攻击
社会工程学的黑暗面如何预防社交工程攻击社交工程攻击是一种利用人们的社会心理和对人的信任进行的一种网络攻击方式。
通过伪装和欺骗手段,攻击者能够获取他人的敏感信息,甚至实施欺诈行为。
社会工程学的黑暗面让我们意识到,仅仅依靠技术手段是无法完全防范这种攻击的。
因此,我们需要采取一系列的措施来预防和减少社交工程攻击的发生。
一、加强安全意识教育鉴于社交工程攻击利用人们的社会心理和信任,加强安全意识教育对于预防攻击至关重要。
教育人们如何通过警惕和怀疑的态度来识别和防范社交工程攻击,防止被攻击者利用欺骗手段获取个人信息。
可以通过举办安全意识培训、撰写安全宣传材料等方式来提高公众对社交工程攻击的认知和预防能力。
二、强化身份认证机制设立强大的身份认证机制可以有效防范社交工程攻击。
这种机制可以通过采用双重认证、多因素认证等方式来确保用户身份的真实性。
同时,要求用户设置强密码、定期修改密码等措施也能提高身份认证的防护能力,防止攻击者通过获取密码等手段入侵用户账号。
三、限制敏感信息的发布和传播社交工程攻击往往需要获取人们的敏感信息,因此限制敏感信息的发布和传播对于预防攻击具有重要意义。
要加强对社交媒体、网络平台的监管,规范用户发布信息的行为。
同时,个人在使用社交媒体时要注意设置隐私设置,限制敏感信息的可见性,避免被攻击者获取。
四、建立防护意识和技能建立防护意识和技能对于预防社交工程攻击尤为重要。
人们需要学习如何辨别可疑的链接、邮件和附件,了解社交工程攻击的常见手法和特征,以便在遭遇攻击时更好地做出回应。
同时,应该加强对密码管理、软件更新等安全操作的学习,并及时报告可疑行为。
五、加强合作,共同应对攻击社交工程攻击是一种全球性的网络安全威胁,需要各国政府、企业和个人共同应对。
加强国际合作,共享攻击信息和防控经验,可以有效预防和打击社交工程攻击。
此外,企业和个人之间也应建立良好的信息共享机制,及时传递攻击信息和预警,以便更早地发现和应对攻击。
社会工程学攻击如何识别和防范
社会工程学攻击如何识别和防范社会工程学攻击是一种针对人类心理弱点和社交工具的攻击手段,通过欺骗和操纵人们来获得非法利益。
在当今数字化社会中,社会工程学攻击变得越来越普遍,对个人和组织的安全构成了严重威胁。
为了帮助人们提高对社会工程学攻击的识别和防范能力,本文将介绍一些简单但有效的方法和建议。
一、了解社会工程学攻击的常见手段社会工程学攻击的手段多种多样,包括钓鱼邮件、电话诈骗、伪装网站等。
了解这些常见手段能够帮助我们更好地辨别和防范社会工程学攻击。
常见手段包括:1. 钓鱼邮件和钓鱼网站:攻击者通过伪造信件或网站,冒充合法机构向受害者索取个人信息或登录凭证。
2. 假冒身份:攻击者通过冒充他人身份,如银行职员、客服人员等,以获取受害者的信任和个人信息。
3. 盗取身份信息:攻击者通过获取个人信息,如姓名、生日、社保号码等,来进行诈骗或其他非法行为。
二、警惕不寻常的请求和情况社会工程学攻击往往需要从受害者中获取信息或诱导其做出某些行为。
因此,警惕不寻常的请求和情况是识别和防范社会工程学攻击的重要一环。
例如:1. 突发事件:攻击者可能会冒充警察、医生等来获取个人信息,要求加急处理某个事务。
对于此类情况,我们应该保持冷静,与相关机构核实信息。
2. 请求个人信息:如有陌生人通过电话、邮件或社交媒体向我们索取个人信息,尤其是经常用于验证身份的信息,应该谨慎对待。
确认对方身份后,才能交付这些信息。
三、保护个人信息和隐私保护个人信息和隐私是预防社会工程学攻击的关键。
以下是一些保护个人信息和隐私的建议:1. 强密码和多因素身份验证:使用强密码,并在可能的情况下启用多因素身份验证,以增加账户和个人信息的安全性。
2. 谨慎处理个人信息:不要随意在公共场合透露个人信息,如手机号码、身份证号码等。
尽量减少在网上注册和填写个人信息,并选择可信的网站和平台。
3. 定期更新系统和软件:定期更新操作系统、应用程序和防病毒软件,以保持设备的安全性,并防止恶意软件的入侵。
社会工程学防范要点
社会工程学防范要点
1.提高警惕:社会工程学攻击常常会伪装成正常的请求或行为,因此需要提高警惕,谨慎对待不熟悉的请求或行为。
2. 敏感信息保护:不要轻易把个人或公司的敏感信息透露给陌生人,尤其是通过电话或电子邮件等非面对面交流方式。
3. 多层验证:为了确保安全性,必须采取多层验证措施,例如使用密码、安全问题、二次验证等。
4. 建立安全文化:建立一个安全文化,让员工了解社会工程学攻击的风险,培养他们的安全意识和反应能力。
5. 定期培训:定期组织员工进行社会工程学攻击的培训,提高他们的识别和应对能力,迅速识别和阻止攻击。
6. 安全策略:应该建立完整的安全策略和规定,包括清晰的工作流程和流程规定,以确保员工按照规定程序操作,不会受到攻击的诱导。
7. 严格访问控制:要控制系统的访问权限,确保只有授权人员才能访问敏感信息。
8. 数据备份:建立完善的数据备份和恢复机制,确保数据安全性和可用性。
9. 建立应急响应计划:在遭受社会工程学攻击时,应该建立应急响应计划,及时采取措施,减少损失。
- 1 -。
社会工程学攻击及防范方法
社会工程学攻击及防范方法(注意:本文中的内容仅供参考,具体情况还需根据实际情况进行判断和采取相应的防范措施)社会工程学攻击及防范方法引言:社会工程学攻击是指黑客或攻击者通过利用人们的社交心理和行为特点,通过伪装、欺骗、诱导等手段获取信息或实施非法活动的一种攻击方式。
本文将介绍社会工程学攻击的常见手段及防范方法。
一、社会工程学攻击的常见手段1. 假冒身份欺骗:攻击者伪装成他人,如银行工作人员、公司员工等,通过电话、电子邮件或短信等方式获取密码、信用卡信息等敏感信息;2. 钓鱼网站诱导:攻击者制作与真实网站相似的虚假网站,引诱用户输入个人信息,从而获取用户数据;3. 垃圾邮件欺诈:攻击者发送虚假邮件,骗取用户点击附件或链接,从而感染电脑或获取敏感信息;4. 社交网络攻击:攻击者通过社交网络平台,通过持续观察目标用户的日常活动,获取个人信息,进行欺骗或其他非法行为;5. 物理欺骗:攻击者通过伪造证件、进入禁止区域等手段获取信息或进行其他犯罪活动。
二、社会工程学攻击的防范方法1. 提高警惕:保持对信息安全的高度警惕,不随意泄露个人信息;2. 多因素认证:采用多种身份验证方式,如指纹识别、手机验证码等,增加身份验证的可靠性;3. 谨慎点击:不轻易点击来自未知发送者的链接或附件,特别是那些要求快速行动或提供个人信息的邮件;4. 定期更新密码:定期更换密码,采用强密码(包含大小写字母、数字和特殊字符),避免使用简单的密码;5. 注意隐私设置:在社交网络平台上,合理设置隐私权限,仅向可信用户公开个人信息;6. 安全教育培训:加强对员工等相关人员的安全意识教育,提高他们对社会工程学攻击的防范能力;7. 及时更新补丁:对操作系统、应用软件等进行及时的安全补丁更新,防止被攻击者利用已知漏洞进行攻击;8. 网络安全工具:安装和使用可信赖的网络安全工具,如防火墙、杀毒软件等,加强对潜在攻击的防范。
结论:社会工程学攻击作为一种隐藏性高、通过对人们的社交心理和行为特点的利用而引发的安全威胁,需要人们提高警惕并采取相应的防范措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
警惕“社会工程学”攻击!
信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分――数字化油田、数字电网、物联网、数字化家庭、数字云⋯⋯信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。
然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。
随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。
传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。
企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。
但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素――“社会工程学”攻击轻松绕过。
非技术弱点
美国黑客凯文•米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定
义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。
”
现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。
社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。
其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。
上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。
社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。
这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。
“人”是攻击者最主要的突破口。
从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
企业的信息安全漏洞
对于企业信息安全来讲,容易招致社会工程学攻击的主要有两个因素:第一,员工安全意识匮乏,处于被攻击的情景中而不自知;第二,企业信息安全方案及流程的制定存在缺陷,且缺陷往往由非技术因素导致。
根据美国内政部2009年的调查报告显示:“在美国,99%的用户终端安装了防病毒软件,然而82%的终端仍旧被病毒感染;98%的用户使用了防火墙,73%的用户设置了IDS入侵防护系统,但是,仍旧有36%的用户被渗透。
75%的经济损失是由于用户缺乏安全意识而带来的安全隐患造成的。
”
企业通常在规划终端安全方面会考虑例如杀毒软件、密码加密等技术手段;可是,很少有流程会关注如何使员工能够提高安全意识。
很多安全规划者认为,基本的安全意识对于用户来讲应该是常识;如何建立安全流程去普及安全意识,并使之成为安全常识,往往在企业信息安全规划中未被提及。
例如:很多用户并不认为复杂的计算机密码对于个人计算机安全非常重要,他们只是简单地设置了一个密码,就认为其电脑已经被保护起来。
实际上,用户设置的这个简单密码很容易会被社会工程学攻击者攻破。
这在某些安全专家看来,应该是一个安全常识的问题,所以在规划企业信息安全的时候常常被忽略,并没有将普及安全常识作为企业安全
规划中的重要环节之一。
很多企业在规划信息安全建设时,会通过安全评估发现企业自身信息系统及网络的脆弱性,并制定一系列的方案和流程去应对。
但是,很少有企业或者说企业很难花大力气去检测和测试这些方案和规划的实际安全保护作用。
因此,其可能存在的设计缺陷会给社会工程学攻击者带来很多机会。
例如,某公司为其互联网访问内网安全提出了VPN的解决方案,方案主要通过技术手段解决了互联网访问内网采用加密而不是非加密方式的安全问题。
然而,该解决方案并没有制定严格的账号管理制度与流程,公司的一些员工在离开公司后,没有相关的流程将其账号收回,导致在员工离开公司后,一些社会工程学攻击者会利用这些离职员工得到企业的VPN账号,对企业内网的信息进行窃取,给企业带来重大的损失。
三分技术、七分管理、十分警觉
传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理的核心,都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了处于核心地位的人的内在心理因素。
因此,当先进的技术和严密的管理也不能保证信息安全时,信息安全专家们意识到还要研究传统信息安全之
外的东西:
1. 信息安全意识是最有效的安全防护手段,为企业信息安全架构建立安全意识宣贯环节,用以强化企业信息安全文化。
安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝利事故的事故后会议总结报告》中引入的:“安全文化是组织和个人所具有的特征和态度的这样一个组合体:它保证作为首要事情的核设施的安全问题受到与其重要性相称的重视。
”个人和组织对安全的意识在整个安全体系中发挥着重要作用。
在企业进行信息安全规划时,合理地在企业信息规划架构中建立安全意识宣贯环节,是完成企业信息安全防护的最有力保障。
2. 在企业的信息安全流程中强调信息安全事件通知环节。
在攻击发生时,很多攻击行为已经被发现,但是很多社会工程学攻击者意识到,他们所攻击的目标虽然意识到了自己被攻击,但是并没有将攻击事件通告给其周围的用户,因此,他们只需要将攻击的手法稍加改变,还是可以在此前被攻击的用户周围继续实施攻击。
所以,企业在信息安全流程中,应该建立或强调安全事件发生后的通知环节,减少攻击后影响的范围。
这样做的另一个好处是:安全事件的通知过程同时也辅助和加强了安全宣贯环节,提高了企业整体的非
技术攻击事件防护能力。
3. 寻找社会工程学攻击专家来测试企业信息安全系统
的安全性。
检测企业整体安全策略及有效性的一个比较有效的方
法是社会工程学测试。
然而,目前绝大多数安全评估和测试工作都围绕着设备及信息硬件架构的脆弱性展开,很少有企业会评估企业人员环节所带来的潜在安全脆弱性。
在中国,这类专业测试机构还没有。
但是,企业可以对大量的社会工程学案例进行研究讨论,在企业内部选派各行业的专家来模拟完成此类测试。
“社会工程学”攻击引起的信息安全事件,是对传统信息安全观念的挑战。
传统信息安全边界必须延伸到“非技术因素”攻击,从信息安全防护角度采取“先发制人”的战略,突破传统信息安全的被动防御战术,主动分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而建立更全面的信息安全防护体系。
链接
什么是“社会工程学”?
社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报和信息。