欺骗的艺术-第36章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


是能用可接受的标准减小威胁。
　　在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施，之所以放在这里，是因为它们涉及到了一些攻击者常用的技术。例如，　email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
　　制定程序的步骤
　　一个全面的信息安全程序通常从威胁评估开始：
　　需要保护哪些企业信息资产？
　　有哪些针对这些资产的具体威胁？
　　如果这些潜在的威胁成为现实会对企业造成哪些损失？
　　威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列，而不是对安全措施进行成本效益分析。首先想一想，哪些资产需要首先保护，保护这些资产需要花多少钱。
　　高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样，如果一个安全程序成功了，管理层可以对其进行推广，前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性，每一个员工的工作都依赖于这一程序的成功。
　　设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略，并解释为什么这些是重要的，否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档，并把它们分开来，因为这些策略可能会在执行的时候有小范围的修改。
　　另外，策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如，大部分的操作系统都能用指定的规则（比如长度）限制用户密码。在一些公司，可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下，策略应当要求使用安全技术代替人为的判断。
　　必须忠告员工不遵守安全策略与程序的后果，应当制定并宣传违反策略的处罚。同样，要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时，应当在公司范围内广泛地宣传，比如在公司时讯中写一篇文章。
　　安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐，员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因，而不是简单地告诉他们绕过策略是不允许的。
　　值得注意的是，信息安全策略不是固定不变的，就像商业需要变化一样，新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序，可以通过企业内网或公共文件夹让企业安全策略与程序不断更新，这增加了对策略与程序频繁审核的可能性，并且员工可以从中找到任何与信息安全有关的问题和答案。
　　最后，使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略，应当告知员工有时候可能会进行这种测试。
　　怎样使用这些策略
　　本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集，因此，这些策略并不是一个完整的列表，更确切的说，它们是创建合适的安全策略的基础。
　　企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求（基于商业需要、法律规定、企业文化和信息系统）的企业都能在这些介绍找到所需的策略，而忽略其它的内容。
　　每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工（当然攻击者还可以伪装成厂商）。同样，一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标，虽然这样做会增加风险。
　　数据分类
　　数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工了解每一种信息的敏感等级，从而提供了保护企业信息的框架。
　　没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在少数员工手里。可想而知，员工的决定在很大程度上依赖于主观判断，而不是信息的敏感性、关键程度和价值。如果员工不了解被请求信息的潜在价值，他们可能会把它交到一名攻击者手里。
　　数据分类策略详细说明了信息的贵重程度。有了数据分类，员工就可以通过一套数据处理程序保护公司安全，避免因疏忽而泄漏敏感信息，这些程序降低了员工将敏感信息交给未授权者的可能性。
　　每一个员工都必须接受企业数据分类策略培训，包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人，甚至是实习医生——都有可能访问敏感信息，任何人都能成为攻击的目标。
　　管理层必须指定一个信息所有者负责公司目前正在使用的任何信息，信息所有者的职责之一就是保护信息资产。通常，所有者负责确定基于信息保护需要的分类等级，周期性地评估分类等级，并在必要的时候对其进行修改，信息所有者可能还会负责指定管理人员或其他人员来保护数据。
　　分类类别与定义
　　应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统，重新分类信息将十分昂贵和费时。在我们的策略范例中，我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类，商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司，三个等级的分类方案可能就够了。记住——分类方案越复杂，企业培训员工和执行方案的费用就越高。
　　机密是最敏感的信息分类，机密信息只能在企业内部使用。在大多数情况下，机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司（股东、商业伙伴和（或）客户）。机密信息通常包括以下内容：
　　商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。
　　并不公开的销售和财政信息。
　　关系到公司运转的其它任何信息，比如商业战略前景。
　　私有是仅在企业内部使用的个人信息分类。如果未授权的人（尤其是社会工程师）获得了私有信息，员工和公司都将受到严重影响。私有信息内容包括：员工病历、健康补助、银行帐户、加薪历史，和其它任何没有公共存档的个人识别信息。
　　注释：
　　内部信息分类通常由安全人员设定，我使用了“内部”这个词，因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级，而是查阅机密、私有和内部信息的快捷方式，用另一句话说，敏感程度涉及到了任何没有指定为公共权限的公司信息。
　　内部信息分类能提供给任何受雇于企业的员工。通常，内部信息的泄漏不会对公司（股东、商业伙伴、客户或员工）造成严重影响，但是，熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商，从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。
　　必须在传递内部信息给第三方（提供商、承包人、合作公司等等）之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息，比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。
　　公共信息被明确规定为公共可用。这种信息类型，比如新闻稿、客服联系信息或者产品手册，能自由地提供给任何人。需要注意的是，任何为指定为公共可用的信息都应当视为敏感信息。
　　数据分类术语
　　基于其分类，数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息，在这些策略中，未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工，还有无法保证可信的第三方。
　　在这些策略中，可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问，也可以是与你的公司有合作关系的人（比如，客户、厂商或者签署了保密协议的战略合作伙伴）。
　　在第三方的保证中，可信的人可以验证一个人的职业或身份，和这个人请求信息或操作的权限。注意，在某些情况下，这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。
　　特权帐户是指需要超越基本用户帐户权限的计算机（或其它）帐户，比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。
　　常规部门信箱是指回答一般问题的语音信箱，用来保护在特殊部门工作的员工的名字和分机号码。
　　验证与授权程序
　　信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴，使用欺骗策略访问机密商业信息。为了保护信息安全，员工在接受操作请求或提供敏感信息之前，必须确认呼叫者的身份并验证他的权限。
　　本章中推荐的程序能帮助一名收到请求（通过任何通讯方式，比如电话、email或传真）的员工判断其是否合法。
　　可信者的请求
　　针对可信者的信息或操作请求：
　　确认其是否当前受雇于公司或者有权访问这一信息分类，这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。
　　验证此人是否有权访问信息或请求操作。
　　未核实者的请求
　　当遇到未核实者的请求时，必须使用一个合理的验证程序确认请求者是否有权接收请求的信息，尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键：只要实施了这些验证程序，社会工程学攻击成功的可能性将大大减小。
　　需要注意的是，如果你把程序设置得过于复杂，将超过成本限制并被员工忽略。
　　下面列出了详细的验证程序步骤：
　　验证请求者是他（或她）所声称的那个人。
　　确认请求者当前受雇于公司或者与公司有须知关系。
　　确认请求者已被授权接收指定信息或请求操作。
　　第一步：验证身份
　　以下列出的推荐步骤按有效性从低到高排列，每一条中还加入了社会工程师行骗的详细说明。
　　1、来电显示（假设这一功能已经包括在了公司的电话系统之中）。用来电显示确认电话是来自公司内部还是公司外部，显示的名字和电话号码是否符合呼叫者提供的身份。
　　弱点：外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
　　2、回拨。在公司的目录中查询请求者的名字，并通过列出的分机号码回拨确认请求者的身份。
　　弱点：当员工回拨电话时，准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
　　3、担保。由一个可信的人为请求者的身份担保。
　　弱点：攻击者可以伪装成一个可信员工，让另一个员工为他担保。
　　4、接头暗号。在企业范围内使用接头暗号，比如每日密码。
　　弱点：如果有很多人知道这个接头暗号，攻击者也可以轻易地知道。
　　5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
　　弱点：如果请求者提供了他（或她）的上司的电话号码，员工联系上的也许是攻击者的同谋。
　　6、安全Email。请求数字签名信息。
　　弱点：如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码，他便可以像普通员工一样发送数字签名email。
　　7、个人语音识别。通过声音判断请求者的身份。
　　弱点：这是相当安全的方法，攻击者无法轻易突破，但是如果没有见过请求者（或者和请求者说过话），这一方法就没有任何用处。
　　8、动态密码方案。请求者通过一个动态的密码方案（比如安全ID）识别自身。
　　弱点：攻击者可以获取其中的动态密码设备和相应的员工PIN码，或者欺骗员工读出PIN设备上显示的信息。
　　9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
　　弱点：攻击者可以偷窃员工证件，或者直接伪造一张。然而，攻击者通常会避免这样做，以减小被发现的可能性。
　　第二步：验证员工身份