人是最坚固的防火墙
本文講的是人是最堅(jiān)固的防火墻, 為了對(duì)抗社會(huì)工程攻擊,必須組建“由人組成的防火墻”,同時(shí)拋棄網(wǎng)絡(luò)架構(gòu)刀槍不入之類的幻想。
對(duì)員工進(jìn)行培訓(xùn),使一部分企業(yè)能夠預(yù)防和識(shí)別社會(huì)工程攻擊的企圖。這比對(duì)員工進(jìn)行防火墻系統(tǒng)培訓(xùn)的難度要小得多。因此,只要組織措施得當(dāng),“人”將不再成為信息安全鏈中最薄弱的一環(huán),而是成為最安全的后盾。
現(xiàn)實(shí)中發(fā)生的許多網(wǎng)絡(luò)安全案例,破壞者使用的手法并不是十分高明,僅僅是通過(guò)一些非常簡(jiǎn)單的技術(shù)對(duì)系統(tǒng)進(jìn)行破解。比如口令的暴力猜測(cè),這些攻擊并不需要太高深的技術(shù),僅僅使用一些現(xiàn)成的軟件和一點(diǎn)耐心就能實(shí)現(xiàn)。甚至還有一種技術(shù)含量更低的破解網(wǎng)絡(luò)安全防御系統(tǒng)的方法,它通過(guò)種種手段騙取操作網(wǎng)絡(luò)內(nèi)部的人員提供必要的信息(如管理員口令),從而獲取網(wǎng)絡(luò)的訪問(wèn)權(quán)。這種方法稱為“社會(huì)工程學(xué)”(Social Engineering)。
社會(huì)工程的黑客陷阱
社會(huì)工程學(xué)其實(shí)就是一個(gè)陷阱,黑客通常以交談、欺騙、假冒或口語(yǔ)等方式,從合法用戶中套取用戶系統(tǒng)的秘密,例如:用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu)。還比如,只要有一個(gè)人抗拒不了本身的好奇心看了郵件,病毒就可以大行肆虐。
大家熟知的Mydoom與Bagle都是利用社會(huì)工程學(xué)陷阱得逞的病毒。如果您從事網(wǎng)絡(luò)安全工作已經(jīng)有了一段時(shí)間,就能說(shuō)出這位最“臭名昭著”的黑客名字:Kevin Mitnick--他曾被媒體作為新聞標(biāo)題、被電視節(jié)目作為評(píng)說(shuō)對(duì)象。有人曾用這樣的語(yǔ)句形容他:“他旁若無(wú)人地站在白宮走廊的一角,目光深邃。一臺(tái)筆記本電腦與他寸步不離,他不時(shí)在鍵盤上敲下某些神秘的指令……”。我們可以引用他最著名的黑客理論:“贏得別人的信任,然后利用這種信任取樂(lè)或取利,在現(xiàn)實(shí)世界中此類現(xiàn)象比比皆是,在網(wǎng)絡(luò)世界中也同樣存在。人是一種社會(huì)動(dòng)物,希望被喜歡、被信任,一旦這種天性被我們利用……”
e時(shí)代的信任危機(jī)
在2000--2003年的時(shí)候,如果你利用漏洞掃描軟件在10分鐘內(nèi)就能輕易地發(fā)現(xiàn)100臺(tái)以上的脆弱主機(jī)。在網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展的今天,各種安全防護(hù)設(shè)備與措施使得網(wǎng)絡(luò)和系統(tǒng)本身的漏洞已經(jīng)較少了。然而黑客入侵事件卻總在不斷上演,這是為什么?網(wǎng)絡(luò)使用者的安全防護(hù)意識(shí)起著關(guān)鍵作用。我們可以將服務(wù)器系統(tǒng)安全加固交給網(wǎng)絡(luò)安全服務(wù)商完成;可以將網(wǎng)絡(luò)安全的常識(shí)通過(guò)培訓(xùn)介紹給企業(yè)的每一個(gè)員工,但是,任意設(shè)置簡(jiǎn)單易猜的口令、隨處留下自己的郵箱行為還是比比皆是,這都使得善于利用社會(huì)工程學(xué)的黑客能夠很輕易地完成對(duì)某些目標(biāo)的入侵。
可以說(shuō)現(xiàn)在CIO們最怕的不是系統(tǒng)災(zāi)難,因?yàn)橥暾臑?zāi)難恢復(fù)機(jī)制已經(jīng)讓他們可以坦然面對(duì)。最近流行的“網(wǎng)絡(luò)釣魚”,其實(shí)并不是一種新的入侵方法,而是入侵者通過(guò)技術(shù)手段偽造出一些以假亂真的網(wǎng)站誘惑受害者根據(jù)指定方法操作的Email等,使得受害者“自愿”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)。入侵者并不需要主動(dòng)攻擊,他只需要靜靜等候這些釣竿的反應(yīng),就像是“姜太公釣魚,愿者上鉤”。我們可以將它歸納為有一定技術(shù)含量的、被動(dòng)的社會(huì)工程入侵。那么,沒(méi)有任何黑客技術(shù)含量的主動(dòng)入侵存在嗎?回答當(dāng)然是肯定的。
我們舉一個(gè)例子:對(duì)方公司的銷售人員想獲得你的客戶信息,他會(huì)通過(guò)電話、Mail或者QQ等了解到貴公司銷售人員的通信方式。在通過(guò)冒充客戶咨詢的電話中,你都可能透露出真實(shí)的個(gè)人信息,然后以你的身份再次打進(jìn)電話來(lái),詢問(wèn)其他員工來(lái)獲取網(wǎng)管員的電話。剩下的事情只需要向網(wǎng)管員申訴自己的郵箱出現(xiàn)問(wèn)題了,要求將密碼更改過(guò)來(lái),如果網(wǎng)管員稍有疏忽,這一入侵行為就已成功結(jié)束了。
還有一種攻擊也最為常見(jiàn),那就是脅迫攻擊。攻擊者假裝成權(quán)威人士,要么是組織內(nèi)的高層人員,要么是執(zhí)法人員。攻擊者會(huì)選擇其職位之下的幾個(gè)不同層次的人作為目標(biāo)。攻擊者會(huì)制造一個(gè)借口來(lái)要求重設(shè)口令、改變賬號(hào)、訪問(wèn)系統(tǒng)或敏感信息。如果遇到抵制,攻擊者會(huì)利用職權(quán)脅迫這些員工就范。社會(huì)工程學(xué)基于最基本的生活常識(shí),最簡(jiǎn)單的心理學(xué)原理:越簡(jiǎn)單的東西越不容易出錯(cuò),而越復(fù)雜的事物越可能出現(xiàn)漏洞,世界上最復(fù)雜的就是人和人的思想,利用人們的信息信任--這就是“社交工程學(xué)”被信息安全專業(yè)人員所恐懼的主要原因。
完善制度重于技術(shù)防御
社會(huì)工程學(xué),并不能等同于一般的欺騙手法,社會(huì)工程學(xué)尤其復(fù)雜,即使自認(rèn)為最警惕最小心的人,一樣會(huì)被高明的社會(huì)工程學(xué)手段損害利益;即使最先進(jìn)的網(wǎng)絡(luò)防火墻,一樣無(wú)法阻擋沒(méi)有電信號(hào)的信息泄露。企業(yè)在制定社會(huì)工程攻擊防護(hù)方法時(shí)一定要充分考慮自身的特點(diǎn),千萬(wàn)不能生搬硬套。根據(jù)受到過(guò)攻擊的企業(yè)所提供“亡羊補(bǔ)牢”的方法大致歸納如下:
建立事故響應(yīng)小組
從信息安全的觀點(diǎn),任何外部威脅的處理(包括社會(huì)工程)將被認(rèn)為是一次事故。事故響應(yīng)小組的目的就是有效檢測(cè)潛在的信息安全事件并且提供一個(gè)有效的手段來(lái)降低事件對(duì)公司的影響。同一般性的網(wǎng)絡(luò)攻擊所不同的是,事故響應(yīng)小組應(yīng)當(dāng)由來(lái)自公司不同關(guān)鍵部門的知識(shí)淵博的員工組成,他們要經(jīng)過(guò)良好培訓(xùn)并隨時(shí)準(zhǔn)備對(duì)社會(huì)工程攻擊做出反應(yīng),有效的分析出入侵的目的與方式。
制定規(guī)章與教育相結(jié)合
防范社會(huì)工程攻擊的困難在于大多數(shù)物理硬件和安全控制措施是無(wú)效的。因?yàn)樯鐣?huì)工程攻擊的目標(biāo)是人,所以其防范措施需要集中在信息安全的管理部分。一個(gè)有效的防御措施就是建立全員的信息安全策略,策略指導(dǎo)應(yīng)包含所有員工的“信息安全行為規(guī)則”。另外,有效的抵抗措施就是用戶意識(shí)培訓(xùn),在整個(gè)公司的層面上,將這個(gè)信息傳遞給所有員工是非常關(guān)鍵的。這樣,整個(gè)公司在所有層次上都非常警覺(jué)。
模擬入侵程序
模擬入侵測(cè)試是一種從外部觀點(diǎn)來(lái)評(píng)價(jià)安全控制措施的方法,是企業(yè)信息安全環(huán)節(jié)中最重要的部分。它可以更加有效檢查防范、跟蹤、內(nèi)部及外部入侵報(bào)警等所有的控制措施。公司如果想測(cè)試他們對(duì)于社會(huì)工程攻擊的防備程度,也可以采用模擬入侵測(cè)試來(lái)發(fā)現(xiàn)一些證據(jù)。但是必須注意的是,盡管滲透性測(cè)試是評(píng)估組織的控制措施的最好方法之一,但這種方法的有效性強(qiáng)烈依賴于測(cè)試者的水平和努力程度。另外,制定立即通告制度也很重要,一旦員工發(fā)現(xiàn)一個(gè)社會(huì)工程攻擊的企圖,必須通知相關(guān)部門的人員。此時(shí)就需要上面提及到處理該類問(wèn)題的標(biāo)準(zhǔn)程序和步驟,以及精心配備的事故響應(yīng)小組也要將其效能最大化。
其他
盡可能應(yīng)用其他技術(shù)措施,比如電話錄音、客戶訪問(wèn)記錄、文檔等級(jí)制度。這里需要提醒的是如果制定更多的員工行為監(jiān)視和審核制度有可能遭到員工反對(duì),或者觸及到個(gè)人隱私,所以要在法律允許的范圍內(nèi)進(jìn)行,以避免企業(yè)的違法行為發(fā)生。
來(lái)源:it168網(wǎng)站
原文標(biāo)題:人是最堅(jiān)固的防火墻
總結(jié)
- 上一篇: 物联网与应用数字战略
- 下一篇: 高可用flume-ng搭建