经过前面几个帖子的介绍,大伙儿应该能看出来,社会工程学的应用范围是很广泛滴。它的应用会涉及日常生活的许多领域,绝不仅限于信息安全。所以,如何防范就是一个重要的话题了。今年咱们就来聊一下如何防范。<!-- program-think-->
★组织机构该如何做?
如果你是某公司/某机构里的一个小头目或大头目、甚至老板,那就得多看看这一节;否则的话,直接跳过本节,看下一个章节(个人该如何做)。
◇普及教育
最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字,写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理
,20%的简单培训就可以防范80%的潜在攻击。由于“人
”是社会工程攻击的主要对象,并且有经验的攻击者都善于寻找组织机构的弱点,所以普及教育务必要涵盖到每一个人(连公司的扫地阿姨也不要放过哦:-
)。
另外要强调的一点是:要重视对新员工的培训。很多时候,新员工往往是攻击者的突破点。首先,新员工初来乍到,跟周围的同事不熟,容易把攻击者误认为同事;其次,新员工往往怕得罪人,容易答应攻击者的各种要求。
◇严格的认证
认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁
?
由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料(参见“这里
”的示例),你可以把电话打回去进行确认(最好是打回公司内部的座机)。
◇严格的授权
授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥
?
对于组织机构来说,授权要尽量细化、尽量最小化。
举个例子。如果某软件公司中,所有的
程序员都可以访问所有的
源代码,那源代码泄漏的风险就很大。只要有一个人出问题,攻击者就可以得逞;反之,如果每个人只能看到自己开发的那部分代码,那安全风险就会小很多。即使某人上当受骗,也只会泄漏部分代码。
◇信息分类
在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。
比如在我负责的团队中,源代码的敏感度高于软件安装包。因此,源代码服务器只有开发人员能够访问;而放置安装包的发布服务器,大部分人(比如测试人员、产品人员)都可以访问。
◇别乱丢办公垃圾
看完信息收集的帖子
,大伙儿应该明白,乱扔垃圾可不光是砸到花花草草的问题,更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。
◇文化
最后再来说一下企业文化对社会工程攻击的影响。
在之前的帖子
,俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严,就容易给攻击者留下利用的机会。还有一些组织机构,里面的人员都是好好先生,每个角落都是一团和气。这种机构和等级森严的组织一样,容易被攻击者利用。
所以,假如你碰巧是组织机构内部的一个实权人物,或许可以尝试改变一下现状。不过俺要提醒一句,一个组织机构(尤其是政府机构)的文化是很难轻易改变滴。所以,别对这个招数报太大希望 :-(
★个人该如何做?
前面介绍了企业内部的防范措施,接着就该说说个人该如何应对了。
◇多了解一些社会工程学的手法
俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术
》(凯文·米特尼克
所著),你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
另外,很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》,里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。
◇保持理性
在如何施加影响的帖子
里,俺已经列举了很多种手法。这些手法不外乎都是利用人感性的弱点
,然后施加影响。所以,尽量保持理性的思维(尤其在和陌生人沟通时)有助于减少你被攻击者忽悠的概率。不过捏,保持理性,说起来简单,做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。
◇保持一颗怀疑的心
这年头,除了骗子是真的,啥都可能是假的。比如,你收到的邮件,发件人地址是很容易伪造滴;比如,你公司座机上看到的来电显示,也可以被伪造;比如,你收到的手机短信,发短信的号码也可以伪造。
所以,保持一颗怀疑的心,也是非常必要的啊!
◇别乱丢生活垃圾
不光上述提到的办公垃圾有潜在风险,生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者,你没准就麻烦了。
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想
和本文原始地址:
http://program-think.blogspot.com/2009/07/social-engineering-5-defend.html
分享到:
相关推荐
全面认识社会工程学、无所不能的信息搜索、扫描工具应用实战、黑客常用入侵工具、商业窃密常用伎俩、诠释黑客的攻击方式、诠释网络钓鱼攻击方式、跨网站攻击技术、刨根问底挖掘用户隐私、真假莫辨的防范欺骗攻击、...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
合理集成为最优化的整体,具有工程投资合理、设备高度自动化、信息管理科学、服务高效优质、使用灵活方便和环境安全舒适等特点,是能够适应信息化社会发展需求的现代化新型建筑。 智慧楼宇即楼宇信息化,是指以建筑...
病毒、木马 (首要威胁) 信息泄露(有意无意的) 社会工程学与欺诈 人为的特定攻击(APT) 无线和移动终端的安全威胁 2023/6/4 网络安全培训全文共82页,当前为第14页。 网络安全意识相关知识 安全意识培训 面临的...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
合理集成为最优化的整体,具有工程投资合理、设备高度自动化、信息管理科学、服务高效优质、使用灵活方便和环境安全舒适等特点,是能够适应信息化社会发展需求的现代化新型建筑。 智慧展览馆即展览馆信息化,是指以...
以近三年来涉及信息安全的国家法律法规、国家信息安全保障工作政策措施、信息安全管理技术发展动态、防范网络攻击、计算机病毒和有害信息传播的管理技术措施为培训重点,结合进行信息安全管理和技术发展情况的学习...
8) 能依据网络安全相关法规,应急处理基本的信息安全事件。 2.方法能力 (1)自主学习获取信息的能力; (2)决策与规划的能力; (3)自我控制与管理的能力; (4)评价执行结果的能力。 3.社会能力 (1)很强的...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...
合理集成为最优化的整体,具有工程投资合理、设备高度自动化、信息管理科学、服务高效优质、使用灵活方便和环境安全舒适等特点,是能够适应信息化社会发展需求的现代化新型建筑。 智慧综合体即综合体信息化,是指以...
专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技 术技能型人才。 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保 护、网络安全运维管理的综合实践能力,具体包括: 1.参赛选手能够...