欺骗的艺术-第34章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


　　对你的公司实施同种类型的攻击有多么容易？
　　防范措施
　　长久以来一直困扰着企业的商业间谍活动，现在已经成为了传统间谍的谋生手段。冷战已经结束了，外国政府和企业现在正利用独立的商业间谍窃取信息。国内的公司同样也雇用违法的信息猎手获取竞争对手的情报。在很多种情况下，曾经的军事间谍成为了商业信息猎手，他们有足够的知识与经验，可以轻易地渗透企业，特别是那些没有训练员工并且未能配置安全措施保护他们的信息的企业。
　　远距离安全
　　有什么可以帮助遇到异地存储设施问题的公司？这种威胁本来是可以消除的，如果这家公司加密了他们的数据的话。没错，加密需要额外的时间和费用，但这样做非常值得。已加密文件需要定期抽查以确认文件能够正常加密/解密。
　　总是有密钥丢失的危险，或者惟一一个知道密钥的人出了车祸，但是危险等级被最小化了。把敏感文件放在存储公司又不将其加密的人，恕我直言，是个白痴。这就像是走在治安不好的街道上，把口袋里的20美元露出来，摆明了要让别人抢。
　　在不安全的地方留下备份媒体可以说是安全通病了。几年以前，我在一家本来可以更好地保护他们的客户资料的公司工作。业务人员每天都会把备份磁盘放在锁住了的机房外边给信使取，任何人都能够顺手牵羊带走这张备份磁盘，里面有这家公司所有的文字处理文档，并且没有加密。如果备份数据被加密了，丢失磁盘只是件麻烦的事情，如果没有被加密——你应该比我更清楚这将对公司造成什么样的影响。
　　大一点的公司对可靠的异地存储的需要几乎是毋庸置疑的，但是你的公司的安全程序需要包含一项对合作的存储公司的调查，看他们的安全策略和做法是否到位，如果他们没有关注这些，你在安全方面的所有努力可能都白费了。
　　小一点的公司则有更好的备份选择：每天晚上把新文件和更改过的文件发送到一个提供在线存储的公司去。重复一次，必须要对数据进行加密。另外，并不是只有存储公司的员工可以接触到这些文件，每一个成功入侵这家在线存储公司的计算机系统或网络的入侵者都可以。
　　当然，当你设置了加密系统保护你的备份文件安全时，你还必须设置一个高度安全的程序存储解开它们的加密密匙或者密码短语，常用于加密数据密匙应当存储在一个安全或者密封的地方。标准的公司程序需要应对一些可能性，比如处理这些数据的员工突然离职、去世或者跳槽，必须要有至少两个人知道这个存储地点和加密/解密程序，以及规定什么时候和怎样更改密码，曾经管理加密密匙的员工离职之后必须马上更改密码。
　　那是谁？
　　在这一章中的举例中，聪明的行骗艺术家利用个人魅力获取员工的信任，因此身份验证变得更加重要。能否响应将源代码发送到一个FTP站点的请求，关键是你是否了解请求者。
　　在第十六章中，你将看到详细的身份验证策略，以应对请求信息或者执行某项操作的陌生人，我们已经在这本书里讨论过很多次身份验证的必要性了：在第十六章你将了解应该如何去做。
　　第十五章　信息安全知识与培训
　　一个社会工程师已经关注你的新产品发布计划两个月了。
　　有什么能阻止他？
　　你的防火墙？不行。
　　强大的验证设施？不行。入侵检测系统？不行。加密？不行。
　　限制调制解调器的访问？不行。
　　编码服务器名称，使入侵者无法确定产品计划所在的服务器？不行。
　　事实上，没有任何技术能防范社会工程学攻击。
　　安全技术、培训和程序
　　许多公司在他们的安全渗透测试报告中说，他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施，但唯一真正有效的办法是，将安全技术和安全策略结合起来，规范员工行为并适当地进行培训。
　　只有一种方法能让你的产品计划安全，那就是接受过安全培训的负责任的员工。这不仅涉及到安全策略和安全程序的培训，还包括了安全知识的培训。一些权威人士建议把公司40％的安全预算用在安全知识的培训上。
　　第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在，员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时，他们便能在攻击初期更好地处理。
　　安全培训也意味着让企业的所有员工了解公司的安全策略与程序，就像在第17章所讨论的那样，策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。
　　本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序，这也许没什么大不了的，在你被社会工程师窃取贵重信息之前。不要等到攻击发生才制定这些策略：这对你的事业和你的员工福利将是毁灭性的。
　　了解攻击者是怎样利用人的天性的
　　为了制定一套成功的培训程序，首先你必须了解为什么人们容易遭受攻击，在你的培训中识别这些倾向——比如，通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。
　　社会科学家对心理操纵的研究至少已经有50年了，罗伯特oBo西奥迪尼（Robert　B　Cialdini）在科学美国人（2001年2月）杂志中总结了这些研究，介绍了6种“人类天性基本倾向”。
　　这6种倾向正是社会工程师在他们的攻击尝试中所依赖的（有意识的或者无意识的）。
　　权威
　　当请求来自权威人士时，人们有一种顺从的倾向。就像本书其它地方所讨论的那样，如果人们相信请求者是权威人士或有权进行这样的请求的人，他（或她）便会毫不怀疑地执行请求。
　　在西奥迪尼博士写的一篇论文中，一个声称是医院医师的人打电话给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药，收到这些命令的护士们根本不认识呼叫者，她们甚至不知道他是否真的是医师（他不是），她们是从电话里收到处方药的命令的，这显然违背了医院的策略。她们被要求送给病人的药物是未授权，并且剂量是每日最大剂量的两倍，这足够危及病人的生命了。然而在95％的案例中，西奥迪尼写道，“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后观察者阻止了护士并解释这是一次实验。
　　攻击举例：一个社会工程师试图伪装成IT部门的权威人士，声称他是公司的主管（或者为主管工作的人）。
　　爱好
　　当作出请求的人很可爱或者与被请求者有相同的爱好、信仰和意见是，人们总是倾向于顺从。
　　攻击举例：通过交谈，攻击者设法了解了目标的兴趣或爱好，并声称他也有相同的兴趣或爱好，或者来自于同一个州或学校，或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似性。
　　报答
　　当我们被给予（或者许诺）了一些有价值的东西时，我们可能会自动地同意请求。礼物可以是资料、建议、或帮助，当有人为你做了一些事情时，你会倾向于报答他。这种强烈的报答倾向甚至在你收到了并不需要的礼物时依然存在。让人们“帮忙”（同意请求）的最有效的方法之一就是给予一些礼物形成潜在的债务。
　　哈瑞奎师那教徒善于此道，他们会送书籍或者鲜花作为礼物，然后等待回报。如果收到礼物的人想要归还礼物，给予者便会拒绝并说明，“这是我们给你的礼物。”这一回报行为法则被奎师那教徒们用在了增加捐款上。
　　攻击举例：一个员工接到了自称是IT部门的人的电话，呼叫者解释说公司的一些电脑感染了还没有被杀毒软件识别的破坏电脑文件的新病毒，并建议他进行一些步骤来防御病毒。在这之后，呼叫者让他测试了一个允许用户更改密码的加强版软件程序，这名员工很难拒绝，因为呼叫者是在帮助他防御病毒，他的回报就是响应呼叫者的请求。
　　守信
　　当人们公开承诺了或者认可了一些事情时，会倾向于顺从。一旦我们承诺了一些事情，为了避免自己成为不可信赖或者不受欢迎的人，我们会倾向于坚持我们的立场或承诺。
　　攻击举例：攻击者联系上了一个新员工并提醒她遵守某些安全策略与程序，比如允许使用公司信息系统的情况。在讨论了一些安全规定之后，呼叫者向用户请求她的密码进行“灵活度检查”以选择高强度的密码。一旦用户说出了她的密码，呼叫者便会提出一些创建密码的建议使攻击者无法猜测密码。受害人顺从了，因为她之前已经答应遵守公司的策略，并且她认为呼叫者只不过是在帮她检查密码是否合适。
　　社会认可
　　当要做的事情看上去和别人所做的事情一样的时候，人们会倾向于顺应请求。当其他人也这样做时，人们就会认为这些（值得怀疑的）行为是正确的。
　　攻击举例：呼叫者说他正在进行一次调查并说出了部门中的其他人的名字，他声称这些人已经和他合作过了。受害人相信其他人已经确认了这一请求的合法性，于是呼叫者问了一系列的问题，其中一项引导受害人说出他的计算机用户名和密码。
　　短缺
　　当人们相信物品供应不足并且有其他竞争者（或者只在短时间内有效）时，便会倾向于顺应请求。
　　攻击举例：攻击者发送了一封email声称在公司的新网站上注册的前500个人将赢得一部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时，他会要求提供他的公司email地址并选择一个密码。有很多人为了方便，总是倾向于在他们使用的每一个计算机系统上使用相同或相似的密码，利用这一点，攻击者便能使用此用户名和密码（在网站注册过程中填写的）攻击目标的工作或家庭计算机系统。
　　创建培训程序
　　发行一本安全策略手册或者让员工关注企业内网上的安全策略资料，这些都不会单独减少你面对的威胁。每一家商业公司都必须写下这些策略详细地制定规则，而且必须对涉及企业信息或计算机系统的每一个人进行额外的引导，让他们学习并遵循这些规则。此外，你还必须确保他们理解了每一条策略的制定原因，这样他们才不会为了方便而绕过这些规则。另外，员工的借口永远都是“不了解”，而这正是社会工程师所利用的弱点。
　　任何安全识别程序的首要目标都是影响人们改变他们的行为和态度，鼓励员工参与到企业信息资产的保护中来。在这种情况下的一种很好的激励方式是向员工解释他们的行为不仅能让公司受益，对他们个人也很有好处。如果公司对每一位员工都保留了一些隐私信息，那么当员工们尽职保护信息或信息系统时，他们事实上也保护了他们自己的信息。
　　安全培训程序需要覆盖允许访问敏感信息或企业计算机系统的每一个人，必须正在实施，还必须不断地修订与更新以应对新的威胁和攻击，员工们必须看到高级管理人员完全遵守了程序规定，承诺必须是真实的，而不是橡皮盖章的“我们承诺”备忘录，并且程序还必须有足够的资源支持其发展、通信与测试。
　　目标
　　发展信息安全知识与培训程序的基本原则是让所有员工意识到他们的公司在任何时候都有可能遭受攻击。他们必须认识到每一个员工都扮演着保护计算机系统或敏感数据的重要角色。
　　因为信息安全在很多方面都涉及到了技术，所以员工会轻易地认为问题已经被防火墙或其它安全工具处理了。培训的一个主要目标就是让每一个员工认识到他们处在保护企业整体安全的最前沿。
　　安全培训必须要有一个深入的、较大的目标，而不是简单地制定规则。培训程序设计者必须认识员工所面对的巨大的诱惑，为了完成工作而忽略他们的安全职责。了解社会工程学策略和怎样防范攻击非常重要，但这只在培训程序激发了员工使用这些知识的情况下才有效。
　　公司可以用一个类似于会议基本目标的概念来判断培训程序是否有效：在结束培训之后，他（或她）是否认为信息安全是他（或她）的工作之一。
　　员工们必须认识到来自社会工程学的威胁是真实的，敏感企业信息的损失会危及到公司和他们自己的个人信息。在某种意义上说，忽视信息安全相当于泄漏某人的自