为了对抗社会工程攻击,必须组建“由人组成的防火墙”,同时抛弃网络架构刀枪不入之类的幻想。
对员工进行培训,使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此,只要组织措施得当,“人”将不再成为信息安全链中最薄弱的一环,而是成为最安全的后盾。
现实中发生的许多网络安全案例,破坏者使用的手法并不是十分高明,仅仅是通过一些非常简单的技术对系统进行破解。比如口令的暴力猜测,这些攻击并不需要太高深的技术,仅仅使用一些现成的软件和一点耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御系统的方法,它通过种种手段骗取操作网络内部的人员提供必要的信息(如治理员口令),从而获取网络的访问权。这种方法称为“社会工程学”(Social Engineering)。
社会工程的黑客陷阱
社会工程学其实就是一个陷阱,黑客通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。还比如,只要有一个人抗拒不了本身的好奇心看了邮件,病毒就可以大行肆虐。
大家熟知的Mydoom与Bagle都是利用社会工程学陷阱得逞的病毒。假如您从事网络安全工作已经有了一段时间,就能说出这位最“臭名昭著”的黑客名字:Kevin Mitnick--他曾被媒体作为新闻标题、被电视节目作为评说对象。有人曾用这样的语句形容他:“他旁若无人地站在白宫走廊的一角,目光深邃。一台笔记本电脑与他寸步不离,他不时在键盘上敲下某些神秘的指令……”。我们可以引用他最闻名的黑客理论:“赢得别人的信任,然后利用这种信任取乐或取利,在现实世界中此类现象比比皆是,在网络世界中也同样存在。人是一种社会动物,希望被喜欢、被信任,一旦这种天性被我们利用……”
e时代的信任危机
在2000--2003年的时候,假如你利用漏洞扫描软件在10分钟内就能轻易地发现100台以上的脆弱主机。在网络安全技术不断发展的今天,各种安全防护设备与措施使得网络和系统本身的漏洞已经较少了。然而黑客入侵事件却总在不断上演,这是为什么?网络使用者的安全防护意识起着要害作用。我们可以将服务器系统安全加固交给网络安全服务商完成;可以将网络安全的常识通过培训介绍给企业的每一个员工,但是,任意设置简单易猜的口令、随处留下自己的邮箱行为还是比比皆是,这都使得善于利用社会工程学的黑客能够很轻易地完成对某些目标的入侵。
可以说现在CIO们最怕的不是系统灾难,因为完整的灾难恢复机制已经让他们可以坦然面对。最近流行的“网络钓鱼”,其实并不是一种新的入侵方法,而是入侵者通过技术手段伪造出一些以假乱真的网站诱惑受害者根据指定方法操作的Email等,使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)。入侵者并不需要主动攻击,他只需要静静等候这些钓竿的反应,就像是“姜太公钓鱼,愿者上钩”。我们可以将它归纳为有一定技术含量的、被动的社会工程入侵。那么,没有任何黑客技术含量的主动入侵存在吗?回答当然是肯定的。
我们举一个例子:对方公司的销售人员想获得你的客户信息,他会通过电话、Mail或者QQ等了解到贵公司销售人员的通信方式。在通过冒充客户咨询的电话中,你都可能透露出真实的个人信息,然后以你的身份再次打进电话来,询问其他员工来获取网管员的电话。剩下的事情只需要向网管员申诉自己的邮箱出现问题了,要求将密码更改过来,假如网管员稍有疏忽,这一入侵行为就已成功结束了。
还有一种攻击也最为常见,那就是胁迫攻击。攻击者假装成权威人士,要么是组织内的高层人员,要么是执法人员。攻击者会选择其职位之下的几个不同层次的人作为目标。攻击者会制造一个借口来要求重设口令、改变账号、访问系统或敏感信息。假如碰到抵制,攻击者会利用职权胁迫这些员工就范。社会工程学基于最基本的生活常识,最简单的心理学原理:越简单的东西越不轻易出错,而越复杂的事物越可能出现漏洞,世界上最复杂的就是人和人的思想,利用人们的信息信任--这就是“社交工程学”被信息安全专业人员所惧怕的主要原因。
完善制度重于技术防御
社会工程学,并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益;即使最先进的网络防火墙,一样无法阻挡没有电信号的信息泄露。
企业在制定社会工程攻击防护方法时一定要充分考虑自身的特点,千万不能生搬硬套。根据受到过攻击的企业所提供“亡羊补牢”的方法大致归纳如下:
建立事故响应小组
从信息安全的观点,任何外部威胁的处理(包括社会工程)将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是,事故响应小组应当由来自公司不同要害部门的知识渊博的员工组成,他们要经过良好培训并随时预备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
制定规章与教育相结合
防范社会工程攻击的困难在于大多数物理硬件和安全控制措施是无效的。因为社会工程攻击的目标是人,所以其防范措施需要集中在信息安全的治理部分。一个有效的防御措施就是建立全员的信息安全策略,策略指导应包含所有员工的“信息安全行为规则”。另外,有效的反抗措施就是用户意识培训,在整个公司的层面上,将这个信息传递给所有员工是非常要害的。这样,整个公司在所有层次上都非常警觉。
模拟入侵程序
模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司假如想测试他们对于社会工程攻击的防御程度,也可以采用模拟入侵测试来发现一些证据。但是必须注重的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依靠于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。
其他
尽可能应用其他技术措施,比如电话录音、客户访问记录、文档等级制度。这里需要提醒的是假如制定更多的员工行为监视和审核制度有可能遭到员工反对,或者触及到个人隐私,所以要在法律答应的范围内进行,以避免企业的违法行为发生。(责任编辑:zhaohb)
