F-第十五章-信息安全知识与培训.docx

《F-第十五章-信息安全知识与培训.docx》由会员分享，可在线阅读，更多相关《F-第十五章-信息安全知识与培训.docx（6页珍藏版）》请在优知文库上搜索。

1、第十五章信息平安学问及培训（中文完整版）一个社会工程师已经关注你的新产品发布支龙两个月了.有什么能阻挡他？你的防火堵？不行.强大的验证设施？不行.入侵检测系统？不行.加密？不行，限制调制解调器的访问？不行。编码服务器名称，使入侵者无法确定产品支配所在的服务器？不行.事实上,没有任何技术能防范社会工程学攻击.平安技术，培询和程序许多公司在他们的平安渗透测试报告中说,他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。运用平安技术的确可以让这些攻击更难实胞,但唯一真正有效的方法是，将平安技术和平安策略结合起来，规范员工行为并适当地进行培训.只有一种方法能让你的产品支配平安，咫就是接受

2、过平安培训的仇员任的员工。这不仅涉及到平安策略和平安程序的培训,还包括了平安学问的培训，一线权城人士建议把公司40%的平安预算用在平安学问的培iJ1.第一步是让企业的每一个人郴相识到那些能操纵他们心理的人的存在,员工们必需了解信息须要哪些爱惜及如何爱惜。当人们了解了操纵的微小环节时，他们便能在攻击初期更好地处理,平安培训也意味着让企业的全部员工了解公司的平安策略及程序,就像在第17章所探讨的那样，策略是指导员工行为爱惜企业伯恩系统及陂懑信息所必需的现则.木章和下-章供应了一张杷你从可怕的攻击中解救出来的平安炫图。假如你没有培训并警告员工遵储通慎考虑过的程序，这或许没什么大不了的，在你被社会工程

3、师罚取宝贵信息之前.不要等到攻击发生才制定这些策略：这对你的事业和你的员工福利将是毁灭性的.了解攻击者是怎样利用人的天性的为了制定一套成功的培训程序，首先你必需了解为什么人们简洁遭受攻击，在你的培训中识别这些做向一-比如，通过用色扮演探讨引起他籍的序邀一一你能扶植你的员工了解为什么我们都能被社会工程师轻易地操纵.社会科学宓时心理操纵的探讨至少已经有50年了，罗伯特B西奥迪尼（RoliertBCiaIdini）在科学美国人（2001年2月杂志中总结了这线探讨，介绍了6种,人类天性基本倾向”.这6种陆向正是社会，程师在他们的攻击尝试中所依靠的（彳I1意识的或者无意识的.当请求来自权威人士时,人们有

4、一种听从的忸向.就像本书其它地方所探讨的承样,假如人们信任请求者是权威人士或有权进行这样的请求的人，他（或她便会娶不怀疑地执行请求。在西奥迪尼博上写的一篇论文中,一个声称是医院医师的人打给三家中西部医院的22个独让护士站要求她们为病房的个病人送去处方药,收到这些吩咐的护士们根本不相识呼叫者，她们甚至不知道他是否真的是医师他不是）,她们是从里收到处方药的吩咐的，这明显违反了医院的爱略，她们被要求送给病人的的物是未授权，并且剂心是好H大剂里的两倍，这足好危及精人的生命了.然而在95%的案例中，西奥迪尼写道，”护士从病房医药箱中取出了足够的剂量并把它给1病人J之后视察者阻档了护士并说明这是次试验“攻

5、击举例：一个社会工程师试图伪装成IT部门的权威人士，声称他是公司的主管（或者为主管工作的人）。爱好当作出请求的人很可爱或者及被请求者有相同的爱好，信仰和看法是，人们总是帧向于听从.攻击举例：通过交谈.攻击者设法了解了目标的爱好或爱好.并声称他也行相同的爱好或凭好,或拧来自于同一个州或学校，或者有相像的目标，社会工程师还会会试仿照目标的行为创建相像性，报答当我们被赐予（或齐许诺了一些有价（ft的东西时，我们可能会自动地同意请求.礼物可以是资料.建议.或扶植，当有人为你做了一些“情时，你会便向于报答他。这种猛烈的报答便向甚至在你收到了并不须要的礼物时照旧存在。让人们“帮忙同意请求）的最有效的方法之

6、一就是赐予一些礼物形成潜在的债务.哈瑞全师那教徒披长此道,他们会送书制或者鲜花作为礼物,然后等待回报.假如收到礼物的人世要归还礼物，赐予者便会拒绝并说明，“这是我们给你的礼物，”这回报行为法则被奎师那教徒们用在了帽加指款上。攻击举例：一个员工接到了自称是IT部门的人的,呼叫者说明说公M的一些电脑力染了还没有被杀毒软件识别的破坏电脏文件的新病毒,并建议他进行一些步骤来防12病毒.在这之后，呼叫者让他测试了一个允许用户更通宙码的黑强版权件程序,这名员工很班拒绝，因为呼叫者是在技抗他防卫加毒.他的回报就是响应呼叫者的请求。守佶当人们公开承诺了或者认可了一些下情时，会便向于听从，一旦我们承诺了一些于情

7、，为了避开自己成为不行信任或者不受欢迎的人，我们会M向于坚持我们的立场或承诺。攻击举例：攻击者联系上了一个新员工并提示她遵守某些平安策略及程序,比如允许运用公司信息系统的状况.在探讨了一些平安规定之后，呼叫者向用户请求她的密码诳行“我敏度检置”以选择高强度的密码，一旦用户说出了她的密码，呼叫者便会提出,些创建密码的建议使攻击者无法揣测密码”受击人听从了.因为她之前己经答应遵守公司的策略，并且她认为呼叫者只不过是在带她检查密码是否合适.社会认可当要做的事情看上去和别人所做的事情一样的时候，人们会做向于顺应请求，当其他人也这样做时,人们就会认为这些（值得怀疑的）行为是正确的.攻击举例：呼叫者说他正

8、在进行一次调查并说出了部门中的其他人的名字,他也称这些人己经和他合作过了.受古人信任其他人已经确认了这一请求的合法性，于是呼叫者问了系列的何题，其中一项引导受害人说出他的计笄机用户名和裕码。短缺当人In信任物品供应不足并旦有其他竞争者（或者只在短时间内行效）时，便会做向于顺应请求。攻击举例：攻击者发送封email声称在公司的新网站上注册的信500个人将乐得一部热门电影的电影票.当一名它不怀疑的员工在该网站上注冽时，他会要求供应他的公司email地址并选择一个宙码，有许多人为了便利，总是帧向于在他们运用的姆一个计算机系统上运用相同或相像的密码,利用这一点,攻击者便能运用此用户名和密码（在网站注册

9、过程中填写的）攻击目标的工作或家庭计算机系统.创建培训程序发行一本平安策略手册或者让员工关注企业内网上的平安策珞资料，这些都不会单独削减你面对的成遇.每一家商业公F都必需写下这些策略详细地制定规则,而且必需对涉及企业信息或计停机系统的每一个人进行颔外的引导，让他们学习并遵循这些规则.此外，你还必需确保他们理解了一条策珞的制定缘由，这样他们才不会为了便利而绕过这些规则，另外.员工的借口恒久都是“不了解”,而这正是社会工程师所利用的弱点.任何平安识别程序的首要目标都足影响人们变更他们的行为和方法.澈励员工参及到企业估恩资产的爱惜中来.在这种状况下的一种很好的激励方式是向员工说明他们的行为不仅能让公

10、司受益，对他们个人也很有好处，假如公司对每一位员工都保留了一些除私信息，Wl当员工的尽职爱惜信息或信息系统时，他们事实上也笈惜了他们自己的信息。平安培训程序须要覆盅允许访问敏感信息或企业计停机系统的每一个人,必需正在实施.还必需不断地你i及更新以应对新的威逼和攻击,员工们必需看到高汲管埋人员完全避守了程序规定，承诺必需是出实的，而不是橡皮族章的“我们承诺”备忘录，并且程序还必需有足终的资源支持其发展，通信及测试。目标发展信息平安学问及培训程序的基本晚期是让全部员工意识到他们的公司在任何时候都有可能遭受攻击,他们必需相识到每一个员工都扮演芾爱惜汁算机系统或敏感数据的重鬟角色.因为伯恩平安在许多方

11、面郴涉及到了技术,所以员工会轻易地认为向即已经被防火墙或其它平安工具处理了.培训的一个主要目标就是让妍一个员工相识到他们处在爱惜企业整体平安的抵前沿.平安培训必需要有一个深化的,技大的目标.而不是简洁地制定规则.培训程序设计方必需相识员工所面对的巨大的诙惑，为了完成工作而忽视他们的平安职说.了解社会工程学策略和怎样防范攻击特殊正要，但这只在培训程序激发了员工运用这些学问的状况下才有效。公M可以用一个类似于会议基本目标的概念来推断培训程序是否有效：在结束培训之后，他（或她）地否认为信息平安毡他（或她）的工作之一.员工们必衢相识到来自社会工程学的成遢是真实的，敏感企业信息的投失会危及到公司和他们自

12、上的个人信息.在某种意义上说，忽视信息平安相当泄漏某人的自动取款机PIN码或拧信用卡号，类似的比方可以增加员工培育平安习惯的主动性.建立学付及培训程序负责设计信息平安程序的人必需相识到这不是一个一刀切的项目,培训程序须要适应企业内不同组的特殊须要.在16章描述的许多平安策玷您是全体适用的,而许多其它的策略是针对指定员工组的.大部分公司的培训程序播须要适应以下这些组：管理人员，IT职员,计斯机用户,非技术人员,行政助理，接恃员和平安警卫.（清行笫16章，依据工作支出分解策略）因为公司的商业平安筹卫通常并不精遹电脑,并且他们接触公司电脑的几率很小.所以在谀计培训程序时通常不会考虑他们.但是,社会工

13、程师可以欺防平安警P或其他人放他们进大楼或办公室，或者让他们梢助实施计豫机入侵，警卫当然不须要像操作电脑的人那样参加全部的培训，但是他们必需了解平安学问程序.在企业内部或许会有哪些是全部员工播纪要培训的重要，同行的平安缺陷.设计优势的信息平安培训程序必需获知并插获学习者的主动性和留意力.信息平安学何及培训的目标应当包括一次迷人的交互式体蛤，可以通过角色扮演演示社会工程学攻击，评价最近媒体对那些不幸的公司的攻击报存，探讨这些公司怎样才健避开损失.或者播放既生动又有教化性的平安视频,有几家平安公司悄售这些视顿和相关的资料.注爵对于那些没有资源开发内部程序的公司，有几家培训公司供应平安学向培训服务，

14、可以在SecureWorldExpo()上找到这些公F的信息.本书中的故”供应了许多材料说明社会工程学方法和策略来加强威通意识,展示人类行为的弱点，可以考虑运用他们的方案进行角色扮演活动，这线故事同时也供应了好玩的探讨机会比如受害者可以怎样回应来抵抗攻击.娴熟的课程设计者和娴熟的讲师会发觉许多挑战.但也有许多机会让课堂活跃起来,还可以在此过程中促使人们成为解决方案的一部分。培训结构全部员工都必需参加基本的平安学问培训程序,新员工必需参加培训作为他们的初始教化，我建议规定新员工不能接触公司的计辑机系统，出到他们完成了基础平安学问课程。对于初始的平安学问培训.我建议简短一些,但能引起足婚的留意力，

15、让员工们记住重要的讯息.当因资料过多而须要长时间培因时,必需供应合理的基本讯息数量,我认为超过半天或全天的培训会让人们因信息过多而变得麻木.这些课程的虫点应当是让员工相识到自己和公司都有可能遭受攻击，除非全部员工都有很好的平安习惯，比学习指定的平安策略更重鬟的是激发员工对公司平安的货任心。在员工不情愿参加教室课程的状况下.公司应当考虑进行其它形式的教学比如录像,基于计纾机的培训，在线课程或者编写材料.在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞及攻击技术，其次次培训至少要持续一年以上。威遇的种类及攻击的方法都在不停地变换，所以课程的内容应当不阍更新.此外,人们的学

16、问和戒心会随着时间的推移而削减.所以培训必需每隔一段时间重复一次，才能不断地加强员工的平安意识.再:曳印次，培训不仅要曝Jt平安威逼和社会工程学策珞，还要让员工了解到平安策珞的无要性并使他们拥护这些策略。管理人员必储给他们的下属一段合理的时间钻悉平安策略和程序并参加平安学问培训.MJ1.们不应当希望在非工作时间学习平安策略或参加平安培训，新员工应当有足膨的时间熟愿平安皱略，在起先他们的工作之前养成良好的平安习惯，在企业内部更换了工作悔位,涉及到访问故序信息或计算机系统的员工同样须要完成他们新工作的平安培训程序.比如，当一个电脑操作员成了系统管理员(或者一个接待员成了行政助理)时,就须要新的培训.培训课程内容在归纳基本原理的时快，全部的社会工程学攻击那有一个共同元素：欺.受