当前位置: 首页>>久久热网站 >>专家意见5你现在可以做的事情来提高你的社会工程免疫力

专家意见5你现在可以做的事情来提高你的社会工程免疫力

添加时间:    

让我们面对现实吧:社会工程学 - 通过“欺骗”内部用户分享不适当的访问级别来欺骗组织 - 并不是在大多数IT商店中出现的主题。这不是因为社会工程无效,或者是组织不容易受到影响。

恰恰相反:尽管关于社会工程学的直接的,量化的证据很难得出,但是我们所拥有的统计数据(例如,Defcon 18的社会工程“夺旗”比赛的成功率达到90%以上)社会工程攻击的速度相对于攻击我们基础设施内的技术组件的攻击要高得多。

反而在很多情况下不会出现,因为它不被视为“IT问题”。由于我们在技术层面上可以做的比较少,以防止社会工程学 - 而且不需要深入的技术技能,所以有时候被认为不是IT的工作。

这也难怪它如此有效。当我们客观地看待表面上阻止它的控制时,我们发现它们不能很好地工作。传统的社会工程对策 - 意识,教育和政策 - 比我们通常不愿意承认的要少。为什么?因为他们依靠人类的记忆(用户必须“记住”做正确的事情),并要求用户采取违背人性的行为(用户被要求以不信任的方式请求帮助)。你能想象一下,在路上问一个路人只是为了接受一个关于“我们试图拉什么样的骗局”的挑战?回复?不太可能发生,对吧?但是,当我们要求用户在与用户的互动中注意并回应社会工程尝试时,我们要求用户做什么呢?

所以问题依然存在:组织如何在不破坏银行的情况下逐步改进防范社会工程的能力?事实证明,我们可以做的事情很少,不需要花费太多的帮助。

组织中的任何人都可以成为社会工程的目标。例如,攻击者可能会利用虚假的借口联系任何员工,比如声称自己是需要用户密码的IT支持团队成员。任何时候都可能发生在组织的任何成员身上。这种无处不在的目标是社会工程难以抵御的部分原因。

但是有一些目标对攻击者比其他攻击者更有吸引力:帮助台操作,呼叫中心或组织中具有较高访问权限的其他任何地方,也有望与外部世界接口。从预防的角度来看,预先知道这些地方在哪里“武装自己”是非常有帮助的。虽然攻击者可以攻击任何人,但他们最有可能以最低的成果开始。这就是为什么有一个地方集中您的努力是一个有用的想法。

假设您有一个帮助台,其中支持人员为特定应用程序的用户执行密码重置。这对于社交工程师来说是一个非常有吸引力的载体,当你创建你的目标列表的时候,这可能是你需要识别的地方。回过头来改变现有的流程将是一场斗争......但如果你今天要建立一个新的流程呢?说,对于不同的应用程序,或作为现有的迁移工作的一部分?有些事情你可以做不同的事,对吧?

例如,您可以选择构建流程中的步骤,以便从支持人员手中作出有关访问(以及访问密码等安全敏感参数)的决定。您可以选择自动执行用户授权过程的技术合规性(如密码重置“安全字”)。过去很难回到过去做出糟糕的决定,但是你可以继续专注于做出正确的决定。

安全性的结构化测试总是有价值的。但是,这往往是昂贵和费时的承担。但是,由于社会工程学不一定需要深入的技术知识来进行,使用你的人员来进行即兴的“演习”是相对容易的(而且便宜的) 已经有人员。例如,很有可能使用其他员工进行测试和培训练习。

除了最小的组织(即帮助台人员可能认识到每个与他们交谈的人的组织)外,其他所有组织都可以非正式地模拟社会工程学攻击场景。他们可以这样做,企图非正式地发现痛点和风险区域,以及提高这些攻击的适应能力。利用IT以外的员工来帮助实现这一目标也是有效的。例如,聘请有说服力的员工(如销售或关系经理)可以成为实现这一目标的有效策略。

传统“基于意识”的对策效果不如以往的原因之一,是因为用户往往会忘记你告诉他们的事情。年度的意识培训既是参与者的仇恨,也是完全无效的日子。

然而,提醒是便宜和有效的。在高度明显的位置(如直接从服务台穿过大厅的咖啡壶的正上方)悬挂一张色彩鲜艳,注意力很强的标志或海报(颜色方案的声音越大越好),这是一个便宜但有效的建立意识的方法。最后,如果你目前没有考虑社会工程学,那么问问你自己为什么这么做。这是一个很容易忘记的话题,但却很难防御。为未来制定一个路线图,其中包括社会工程的具体预算,既测试你的防御姿势中的明显问题,也测试未来的建设对策。此外,还要绘制出如何改进现有流程以最大限度地减少风险。这不是一个容易解决的话题,但这是一个严重的问题。以同样的注意力,谨慎的计划和彻底性来解决这个问题,因为这是一个高风险的技术漏洞。

如果你认为这不是IT的工作?问问自己,如果不是IT,就担心这个问题。答案可能是“没有人”。

Ed Moyle 是Savvis的高级安全策略师,为全球客户提供策略,咨询和解决方案,同时也是Security Curve的创始合伙人。他在计算机安全方面的广泛背景包括取证经验,应用渗透测试,信息安全审计和安全解决方案开发。

随机推荐

网站导航 福利地图