`
saybody
  • 浏览: 903722 次
  • 性别: Icon_minigender_2
  • 来自: 西安
文章分类
社区版块
存档分类
最新评论

信息安全之社会工程学[5]:如何防范?

阅读更多

  经过前面几个帖子的介绍,大伙儿应该能看出来,社会工程学的应用范围是很广泛滴。它的应用会涉及日常生活的许多领域,绝不仅限于信息安全。所以,如何防范就是一个重要的话题了。今年咱们就来聊一下如何防范。<!-- program-think-->

  ★组织机构该如何做?
  如果你是某公司/某机构里的一个小头目或大头目、甚至老板,那就得多看看这一节;否则的话,直接跳过本节,看下一个章节(个人该如何做)。

  ◇普及教育
  最要紧的一条就是普及教育了。否则俺也不会在电脑前吭哧吭哧打这么多字,写这么个系列了。一些常识性的基础培训是很重要滴。按照二八原理 ,20%的简单培训就可以防范80%的潜在攻击。由于“ ”是社会工程攻击的主要对象,并且有经验的攻击者都善于寻找组织机构的弱点,所以普及教育务必要涵盖到每一个人(连公司的扫地阿姨也不要放过哦:- )。
  另外要强调的一点是:要重视对新员工的培训。很多时候,新员工往往是攻击者的突破点。首先,新员工初来乍到,跟周围的同事不熟,容易把攻击者误认为同事;其次,新员工往往怕得罪人,容易答应攻击者的各种要求。

  ◇严格的认证
  认证(Authentication)是一个信息安全的常用术语。通俗地说,认证就是解决某人到底是谁
  由于大部分的攻击者都会用到“身份冒充”这个步骤,所以认证就显得非常必要。只要进行一些简单的身份确认,就能够识破大多数假冒者。比如碰到公司内不认识的人找你索要敏感资料(参见“这里 ”的示例),你可以把电话打回去进行确认(最好是打回公司内部的座机)。

  ◇严格的授权
  授权(Authorization)和认证一样,也是一个常用的信息安全术语。通俗地说,授权就是解决某人到底能干啥
  对于组织机构来说,授权要尽量细化、尽量最小化。
  举个例子。如果某软件公司中,所有的 程序员都可以访问所有的 源代码,那源代码泄漏的风险就很大。只要有一个人出问题,攻击者就可以得逞;反之,如果每个人只能看到自己开发的那部分代码,那安全风险就会小很多。即使某人上当受骗,也只会泄漏部分代码。

  ◇信息分类
  在组织机构中,最好要有信息分类的制度。根据信息的重要程度,定出若干级别。越是机密的信息,知道的人越少。
  比如在我负责的团队中,源代码的敏感度高于软件安装包。因此,源代码服务器只有开发人员能够访问;而放置安装包的发布服务器,大部分人(比如测试人员、产品人员)都可以访问。

  ◇别乱丢办公垃圾
  看完信息收集的帖子 ,大伙儿应该明白,乱扔垃圾可不光是砸到花花草草的问题,更危险的是给垃圾分析者提供了大量有价值的素材。这也就是为啥要给扫地阿姨培训社会工程学的道理。

  ◇文化
  最后再来说一下企业文化对社会工程攻击的影响。
  在之前的帖子 ,俺已经介绍了“通过权威来施加压力”的攻击手法。如果某个组织机构的等级很森严,就容易给攻击者留下利用的机会。还有一些组织机构,里面的人员都是好好先生,每个角落都是一团和气。这种机构和等级森严的组织一样,容易被攻击者利用。
  所以,假如你碰巧是组织机构内部的一个实权人物,或许可以尝试改变一下现状。不过俺要提醒一句,一个组织机构(尤其是政府机构)的文化是很难轻易改变滴。所以,别对这个招数报太大希望 :-(

  ★个人该如何做?
  前面介绍了企业内部的防范措施,接着就该说说个人该如何应对了。
  ◇多了解一些社会工程学的手法
  俗话说:知己知彼,百战不殆。如果你不想被人坑蒙拐骗,那就得多了解一些坑蒙拐骗的招数。除了俺提到过好几次的《欺骗的艺术 》(凯文·米特尼克 所著),你还可以通过互联网找到很多类似的资料。这些资料有助于你了解各种新出现的社会工程的手法。
  另外,很多文学作品、影视节目也会掺杂社会工程学的情节。比如前段时间热播的《潜伏》,里面的主人公余则成显然是一个社会工程学老手。细心的同学应该能从中窥探到不少奥妙。

  ◇保持理性
  在如何施加影响的帖子 里,俺已经列举了很多种手法。这些手法不外乎都是利用人感性的弱点 ,然后施加影响。所以,尽量保持理性的思维(尤其在和陌生人沟通时)有助于减少你被攻击者忽悠的概率。不过捏,保持理性,说起来简单,做起来未必简单 :-( 以后俺有空再来聊聊这方面的话题。

  ◇保持一颗怀疑的心
  这年头,除了骗子是真的,啥都可能是假的。比如,你收到的邮件,发件人地址是很容易伪造滴;比如,你公司座机上看到的来电显示,也可以被伪造;比如,你收到的手机短信,发短信的号码也可以伪造。
  所以,保持一颗怀疑的心,也是非常必要的啊!

  ◇别乱丢生活垃圾
  不光上述提到的办公垃圾有潜在风险,生活垃圾一样也会被垃圾分析者利用。比如有些粗心的同学会把帐单、发票、取款机凭条等东西随意丢在垃圾桶中。一旦碰上有经验的垃圾分析者,你没准就麻烦了。


版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想 和本文原始地址:

http://program-think.blogspot.com/2009/07/social-engineering-5-defend.html

分享到:
评论

相关推荐

    网络安全防护之社会工程学防范经验分享

    社会工程学防范经验分享在网络安全防护中的重要性 社会工程学防范是网络安全防护中不可忽视的一部分。随着互联网的普及和社交媒体的兴起,各种社交类工具和软件的使用日益普遍化,带来了许多安全隐患。社会工程学...

    社会工程学入侵.zip

    社会工程学,作为一种独特而巧妙的信息安全攻防手段,它主要依赖于人的自然倾向和心理弱点,而非纯粹的技术手段。社会工程学的核心在于理解和利用人类的行为模式,通过沟通技巧、欺诈策略以及信息收集来获取敏感信息...

    信息安全技术:社会工程学概述.ppt

    在信息安全领域,社会工程学被视为一种高级的、难以防御的攻击手段,因为它的焦点在于利用人的自然倾向,而非技术漏洞。以下是社会工程学的一些关键点: 1. **十度分隔法**:攻击者不会直接联系目标,而是先通过与...

    黑客社会工程学

    社会工程学在IT领域中是一种独特且复杂的技术,它并非涉及编程或硬件维修,而是侧重于利用人类行为的可预测性和心理学原理来获取敏感信息。在这个案例中,“黑客社会工程学”显然指的是黑客如何通过巧妙地操纵人们的...

    浅议网络安全策略之社会工程学.pdf

    由于社会工程学的攻击方式多样且隐蔽,个人用户和企业机构都必须提高防范意识,以抵御这类安全威胁。 首先,从个人角度来看,社会工程学攻击通常会利用人们在网上的公开信息,比如社交媒体上的个人资料、公开的电话...

    信息安全与社会工程学介绍.pdf

    社会工程学是信息安全领域的一个重要概念,它主要利用人类心理学和社会交往技巧来获取敏感信息或进行非法活动。社会工程学黑客通常通过理解目标的心理状态、行业背景和日常习惯,运用策略和技巧诱导受害者泄露信息,...

    黑客社会工程学攻防演练

    黑客社会工程学攻防演练是一门涉及心理学、人际交往技巧和安全知识的学科,旨在通过模拟攻击或防范场景来提升个人或团队的网络安全意识和技能。社会工程学作为一种安全攻击手段,是指利用人类的信任、好奇心、渴望或...

    社会工程学_百度百科.pdf

    随着时间的推移,社会工程学不断演化,产生了众多分支学科,例如公安社会工程学、网络安全社会工程学等。 社会工程学的防御手段主要涉及对个人及企业安全意识的提升。个人和企业必须意识到社交工程攻击的可能性,并...

    黑客社会工程学攻击档案袋

    黑客社会工程学攻击是一种利用人的心理弱点来进行入侵的技术,它与传统技术攻击不同,主要通过欺骗、诱导等心理手段获取系统的访问权限和机密数据。社会工程学攻击涵盖了广泛的技术和手段,包括但不限于信息跟踪、...

    基于python的社会工程学攻击(内含源码和实验报告).zip

    通过这个课程设计,学生不仅能够掌握Python编程基础,还能了解社会工程学攻击的各种方法,理解攻击者的思路,从而更好地防范现实生活中的安全威胁。同时,这也将锻炼学生的创新思维和问题解决能力,为未来的职业生涯...

    Ice Wolf社会工程学讲课

    社会工程学的防范策略包括提高员工的安全意识培训,让他们了解社会工程学的各种手法,并学会如何怀疑不寻常的请求。此外,建立强密码策略、实施多因素认证、限制权限管理以及定期更新软件和系统都是有效的防御措施。...

    社会工程学攻击之钓鱼邮件分析.pdf

    《社会工程学攻击之钓鱼邮件分析》一文深入探讨了现代社会中常见的网络安全威胁——社会工程学攻击,特别是其中的钓鱼邮件。钓鱼邮件是利用人类好奇心、贪婪或信任等心理,诱使受害者点击恶意链接或附件,进而盗取...

    基于社会工程学的漏洞分析与渗透攻击研究.pdf

    《基于社会工程学的漏洞分析与渗透攻击研究》是一篇探讨信息安全领域中社会工程学应用的学术论文,发表于2017年2月的信息安全研究期刊第三卷第二期。文章深入研究了如何利用社会工程学原理来识别、分析网络系统中的...

    社会工程学及使用案例讲解

    社会工程学是一种利用人类心理学和社会行为学原理来获取信息或访问权限的技术,它在...同时,这也提醒我们,网络安全不仅关乎技术,更关乎人,我们需要不断提高自己的信息安全意识,防止成为社会工程学攻击的受害者。

    HACK社会工程学字典

    1. **信息安全意识培训**:定期为员工提供关于社会工程学攻击的培训,提高他们的识别和防范能力。 2. **谨慎分享信息**:避免在不安全的环境中提供敏感信息,特别是对未知的请求。 3. **多因素认证**:采用多层...

    一个适用于Linux和安卓的个人轻量级社会工程学工具集.zip

    嵌入式Linux与Android平台的社会工程学工具集不仅提供了对设备安全性的深度评估,也提供了教育用户识别和抵御社会工程学攻击的手段。通过这些工具,用户可以了解如何防止个人信息泄露,增强自我保护意识,同时,企业...

    浅析网络安全中的社会工程学电脑资料.pdf

    社会工程学是一门涉及心理学、欺诈和信息收集的技艺,主要在网络安全领域中用于获取敏感信息或操纵他人的行为。它利用人们的信任、好奇心和自然倾向来做出决策,以此来达到攻击者的目的。在计算机安全中,社会工程学...

    浅析网络安全中的社会工程学电脑资料.docx

    社会工程学在网络安全中的角色和影响 社会工程学是一门涉及心理学、欺诈和信息收集的学科...因此,理解和防范社会工程学是确保整体网络安全不可或缺的一环。只有全面考虑技术与人的结合,才能构建真正安全的信息环境。

Global site tag (gtag.js) - Google Analytics