F-第十五章-信息安全知識與培訓(xùn)

1、第十五章 信息安全知識及培訓(xùn)(中文完整版)一個(gè)社會(huì)工程師已經(jīng)關(guān)注你的新產(chǎn)品發(fā)布計(jì)劃兩個(gè)月了。有什么能阻止他？你的防火墻？不行。強(qiáng)大的驗(yàn)證設(shè)施？不行。入侵檢測系統(tǒng)？不行。加密？不行。限制調(diào)制解調(diào)器的訪問？不行。編碼服務(wù)器名稱，使入侵者無法確定產(chǎn)品計(jì)劃所在的服務(wù)器？不行。事實(shí)上，沒有任何技術(shù)能防范社會(huì)工程學(xué)攻擊。安全技術(shù)、培訓(xùn)和程序許多公司在他們的安全滲透測試報(bào)告中說，他們對客戶公司計(jì)算機(jī)系統(tǒng)實(shí)施的社會(huì)工程學(xué)攻擊幾乎可以百分之百成功。使用安全技術(shù)的確可以讓這些攻擊更難實(shí)施，但唯一真正有效的辦法是，將安全技術(shù)和安全策略結(jié)合起來，規(guī)范員工行為并適當(dāng)?shù)剡M(jìn)行培訓(xùn)。只有一種方法能讓你的產(chǎn)品計(jì)劃安全，那就是接

2、受過安全培訓(xùn)的負(fù)責(zé)任的員工。這不僅涉及到安全策略和安全程序的培訓(xùn)，還包括了安全知識的培訓(xùn)。一些權(quán)威人士建議把公司40%的安全預(yù)算用在安全知識的培訓(xùn)上。第一步是讓企業(yè)的每一個(gè)人都認(rèn)識到那些能操縱他們心理的人的存在，員工們必須了解信息需要哪些保護(hù)及如何保護(hù)。當(dāng)人們了解了操縱的細(xì)節(jié)時(shí)，他們便能在攻擊初期更好地處理。安全培訓(xùn)也意味著讓企業(yè)的所有員工了解公司的安全策略及程序，就像在第17章所討論的那樣，策略是指導(dǎo)員工行為保護(hù)企業(yè)信息系統(tǒng)及敏感信息所必須的規(guī)則。本章和下一章提供了一張把你從可怕的攻擊中解救出來的安全藍(lán)圖。如果你沒有培訓(xùn)并警告員工遵循謹(jǐn)慎考慮過的程序，這也許沒什么大不了的，在你被社會(huì)工程師竊

3、取貴重信息之前。不要等到攻擊發(fā)生才制定這些策略：這對你的事業(yè)和你的員工福利將是毀滅性的。了解攻擊者是怎樣利用人的天性的為了制定一套成功的培訓(xùn)程序，首先你必須了解為什么人們?nèi)菀自馐芄?，在你的培?xùn)中識別這些傾向比如，通過角色扮演討論引起他們的注意你能幫助你的員工了解為什么我們都能被社會(huì)工程師輕易地操縱。社會(huì)科學(xué)家對心理操縱的研究至少已經(jīng)有50年了，羅伯特B西奧迪尼（Robert BCialdini）在科學(xué)美國人（2019年2月）雜志中總結(jié)了這些研究，介紹了6種“人類天性基本傾向”。這6種傾向正是社會(huì)工程師在他們的攻擊嘗試中所依賴的（有意識的或者無意識的）。權(quán)威當(dāng)請求來自權(quán)威人士時(shí)，人們有一種順從

4、的傾向。就像本書其它地方所討論的那樣，如果人們相信請求者是權(quán)威人士或有權(quán)進(jìn)行這樣的請求的人，他（或她）便會(huì)毫不懷疑地執(zhí)行請求。在西奧迪尼博士寫的一篇論文中，一個(gè)聲稱是醫(yī)院醫(yī)師的人打電話給三家中西部醫(yī)院的22個(gè)獨(dú)立護(hù)士站要求她們?yōu)椴》康囊粋€(gè)病人送去處方藥，收到這些命令的護(hù)士們根本不認(rèn)識呼叫者，她們甚至不知道他是否真的是醫(yī)師（他不是），她們是從電話里收到處方藥的命令的，這顯然違背了醫(yī)院的策略。她們被要求送給病人的藥物是未授權(quán)，并且劑量是每日最大劑量的兩倍，這足夠危及病人的生命了。然而在95%的案例中，西奧迪尼寫道，“護(hù)士從病房醫(yī)藥箱中取出了足夠的劑量并把它給了病人?！敝笥^察者阻止了護(hù)士并解釋這是

5、一次實(shí)驗(yàn)。攻擊舉例：一個(gè)社會(huì)工程師試圖偽裝成IT部門的權(quán)威人士，聲稱他是公司的主管（或者為主管工作的人）。愛好當(dāng)作出請求的人很可愛或者及被請求者有相同的愛好、信仰和意見是，人們總是傾向于順從。攻擊舉例：通過交談，攻擊者設(shè)法了解了目標(biāo)的興趣或愛好，并聲稱他也有相同的興趣或愛好，或者來自于同一個(gè)州或?qū)W校，或者有相似的目標(biāo)。社會(huì)工程師還會(huì)嘗試模仿目標(biāo)的行為創(chuàng)造相似性。報(bào)答當(dāng)我們被給予（或者許諾）了一些有價(jià)值的東西時(shí)，我們可能會(huì)自動(dòng)地同意請求。禮物可以是資料、建議、或幫助，當(dāng)有人為你做了一些事情時(shí)，你會(huì)傾向于報(bào)答他。這種強(qiáng)烈的報(bào)答傾向甚至在你收到了并不需要的禮物時(shí)依然存在。讓人們“幫忙”（同意請求）的

6、最有效的方法之一就是給予一些禮物形成潛在的債務(wù)。哈瑞奎師那教徒善于此道，他們會(huì)送書籍或者鮮花作為禮物，然后等待回報(bào)。如果收到禮物的人想要?dú)w還禮物，給予者便會(huì)拒絕并說明，“這是我們給你的禮物。”這一回報(bào)行為法則被奎師那教徒們用在了增加捐款上。攻擊舉例：一個(gè)員工接到了自稱是IT部門的人的電話，呼叫者解釋說公司的一些電腦感染了還沒有被殺毒軟件識別的破壞電腦文件的新病毒，并建議他進(jìn)行一些步驟來防御病毒。在這之后，呼叫者讓他測試了一個(gè)允許用戶更改密碼的加強(qiáng)版軟件程序，這名員工很難拒絕，因?yàn)楹艚姓呤窃趲椭烙《?，他的回?bào)就是響應(yīng)呼叫者的請求。守信當(dāng)人們公開承諾了或者認(rèn)可了一些事情時(shí)，會(huì)傾向于順從。一旦

7、我們承諾了一些事情，為了避免自己成為不可信賴或者不受歡迎的人，我們會(huì)傾向于堅(jiān)持我們的立場或承諾。攻擊舉例：攻擊者聯(lián)系上了一個(gè)新員工并提醒她遵守某些安全策略及程序，比如允許使用公司信息系統(tǒng)的情況。在討論了一些安全規(guī)定之后，呼叫者向用戶請求她的密碼進(jìn)行“靈活度檢查”以選擇高強(qiáng)度的密碼。一旦用戶說出了她的密碼，呼叫者便會(huì)提出一些創(chuàng)建密碼的建議使攻擊者無法猜測密碼。受害人順從了，因?yàn)樗耙呀?jīng)答應(yīng)遵守公司的策略，并且她認(rèn)為呼叫者只不過是在幫她檢查密碼是否合適。社會(huì)認(rèn)可當(dāng)要做的事情看上去和別人所做的事情一樣的時(shí)候，人們會(huì)傾向于順應(yīng)請求。當(dāng)其他人也這樣做時(shí)，人們就會(huì)認(rèn)為這些（值得懷疑的）行為是正確的。攻擊

8、舉例：呼叫者說他正在進(jìn)行一次調(diào)查并說出了部門中的其他人的名字，他聲稱這些人已經(jīng)和他合作過了。受害人相信其他人已經(jīng)確認(rèn)了這一請求的合法性，于是呼叫者問了一系列的問題，其中一項(xiàng)引導(dǎo)受害人說出他的計(jì)算機(jī)用戶名和密碼。短缺當(dāng)人們相信物品供應(yīng)不足并且有其他競爭者（或者只在短時(shí)間內(nèi)有效）時(shí)，便會(huì)傾向于順應(yīng)請求。攻擊舉例：攻擊者發(fā)送了一封email聲稱在公司的新網(wǎng)站上注冊的前500個(gè)人將贏得一部熱門電影的電影票。當(dāng)一名毫不懷疑的員工在該網(wǎng)站上注冊時(shí)，他會(huì)要求提供他的公司email地址并選擇一個(gè)密碼。有很多人為了方便，總是傾向于在他們使用的每一個(gè)計(jì)算機(jī)系統(tǒng)上使用相同或相似的密碼，利用這一點(diǎn)，攻擊者便能使用此用

9、戶名和密碼（在網(wǎng)站注冊過程中填寫的）攻擊目標(biāo)的工作或家庭計(jì)算機(jī)系統(tǒng)。創(chuàng)建培訓(xùn)程序發(fā)行一本安全策略手冊或者讓員工關(guān)注企業(yè)內(nèi)網(wǎng)上的安全策略資料，這些都不會(huì)單獨(dú)減少你面對的威脅。每一家商業(yè)公司都必須寫下這些策略詳細(xì)地制定規(guī)則，而且必須對涉及企業(yè)信息或計(jì)算機(jī)系統(tǒng)的每一個(gè)人進(jìn)行額外的引導(dǎo)，讓他們學(xué)習(xí)并遵循這些規(guī)則。此外，你還必須確保他們理解了每一條策略的制定原因，這樣他們才不會(huì)為了方便而繞過這些規(guī)則。另外，員工的借口永遠(yuǎn)都是“不了解”，而這正是社會(huì)工程師所利用的弱點(diǎn)。任何安全識別程序的首要目標(biāo)都是影響人們改變他們的行為和態(tài)度，鼓勵(lì)員工參及到企業(yè)信息資產(chǎn)的保護(hù)中來。在這種情況下的一種很好的激勵(lì)方式是向員工

10、解釋他們的行為不僅能讓公司受益，對他們個(gè)人也很有好處。如果公司對每一位員工都保留了一些隱私信息，那么當(dāng)員工們盡職保護(hù)信息或信息系統(tǒng)時(shí)，他們事實(shí)上也保護(hù)了他們自己的信息。安全培訓(xùn)程序需要覆蓋允許訪問敏感信息或企業(yè)計(jì)算機(jī)系統(tǒng)的每一個(gè)人，必須正在實(shí)施，還必須不斷地修訂及更新以應(yīng)對新的威脅和攻擊，員工們必須看到高級管理人員完全遵守了程序規(guī)定，承諾必須是真實(shí)的，而不是橡皮蓋章的“我們承諾”備忘錄，并且程序還必須有足夠的資源支持其發(fā)展、通信及測試。目標(biāo)發(fā)展信息安全知識及培訓(xùn)程序的基本原則是讓所有員工意識到他們的公司在任何時(shí)候都有可能遭受攻擊。他們必須認(rèn)識到每一個(gè)員工都扮演著保護(hù)計(jì)算機(jī)系統(tǒng)或敏感數(shù)據(jù)的重要角

11、色。因?yàn)樾畔踩诤芏喾矫娑忌婕暗搅思夹g(shù)，所以員工會(huì)輕易地認(rèn)為問題已經(jīng)被防火墻或其它安全工具處理了。培訓(xùn)的一個(gè)主要目標(biāo)就是讓每一個(gè)員工認(rèn)識到他們處在保護(hù)企業(yè)整體安全的最前沿。安全培訓(xùn)必須要有一個(gè)深入的、較大的目標(biāo)，而不是簡單地制定規(guī)則。培訓(xùn)程序設(shè)計(jì)者必須認(rèn)識員工所面對的巨大的誘惑，為了完成工作而忽略他們的安全職責(zé)。了解社會(huì)工程學(xué)策略和怎樣防范攻擊非常重要，但這只在培訓(xùn)程序激發(fā)了員工使用這些知識的情況下才有效。公司可以用一個(gè)類似于會(huì)議基本目標(biāo)的概念來判斷培訓(xùn)程序是否有效：在結(jié)束培訓(xùn)之后，他（或她）是否認(rèn)為信息安全是他（或她）的工作之一。員工們必須認(rèn)識到來自社會(huì)工程學(xué)的威脅是真實(shí)的，敏感企業(yè)信息的

12、損失會(huì)危及到公司和他們自己的個(gè)人信息。在某種意義上說，忽視信息安全相當(dāng)于泄漏某人的自動(dòng)取款機(jī)PIN碼或者信用卡號，類似的比喻可以增加員工培養(yǎng)安全習(xí)慣的積極性。建立知識及培訓(xùn)程序負(fù)責(zé)設(shè)計(jì)信息安全程序的人必須認(rèn)識到這不是一個(gè)一刀切的項(xiàng)目，培訓(xùn)程序需要適應(yīng)企業(yè)內(nèi)不同組的特殊需要。在16章描述的許多安全策略都是全體適用的，而很多其它的策略是針對指定員工組的。大部分公司的培訓(xùn)程序都需要適應(yīng)以下這些組：管理人員、IT職員、計(jì)算機(jī)用戶、非技術(shù)人員、行政助理、接待員和安全警衛(wèi)。（請看第16章，根據(jù)工作分配分解策略）因?yàn)楣镜纳虡I(yè)安全警衛(wèi)通常并不精通電腦，并且，他們接觸公司電腦的幾率很小，所以在設(shè)計(jì)培訓(xùn)程序時(shí)通

13、常不會(huì)考慮他們。但是，社會(huì)工程師可以欺騙安全警衛(wèi)或其他人放他們進(jìn)大樓或辦公室，或者讓他們協(xié)助實(shí)施計(jì)算機(jī)入侵。警衛(wèi)當(dāng)然不需要像操作電腦的人那樣參加全部的培訓(xùn)，但是他們必須了解安全知識程序。在企業(yè)內(nèi)部或許會(huì)有哪些是所有員工都需要培訓(xùn)的重要、固有的安全缺陷，設(shè)計(jì)優(yōu)秀的信息安全培訓(xùn)程序必須獲知并捕捉學(xué)習(xí)者的積極性和注意力。信息安全知識及培訓(xùn)的目標(biāo)應(yīng)當(dāng)包括一次迷人的交互式體驗(yàn)，可以通過角色扮演演示社會(huì)工程學(xué)攻擊，評價(jià)最近媒體對那些不幸的公司的攻擊報(bào)導(dǎo)，討論這些公司怎樣才能避免損失，或者播放既生動(dòng)又有教育性的安全視頻，有幾家安全公司銷售這些視頻和相關(guān)的資料。注釋對于那些沒有資源開發(fā)內(nèi)部程序的公司，有幾家培

14、訓(xùn)公司提供安全知識培訓(xùn)服務(wù)，可以在Secure World Expo ()上找到這些公司的信息。本書中的故事提供了許多材料說明社會(huì)工程學(xué)方法和策略來加強(qiáng)威脅意識，展示人類行為的弱點(diǎn)，可以考慮使用他們的方案進(jìn)行角色扮演活動(dòng)，這些故事同時(shí)也提供了有趣的討論機(jī)會(huì)，比如受害者可以怎樣回應(yīng)來抵御攻擊。熟練的課程設(shè)計(jì)者和熟練的講師會(huì)發(fā)現(xiàn)很多挑戰(zhàn)，但也有很多機(jī)會(huì)讓課堂活躍起來，還可以在此過程中促使人們成為解決方案的一部分。培訓(xùn)結(jié)構(gòu)所有員工都必須參加基本的安全知識培訓(xùn)程序，新員工必須參加培訓(xùn)作為他們的初始教育，我建議規(guī)定新員工不能接觸公司的計(jì)算機(jī)系統(tǒng)，直到他們完成了基礎(chǔ)安全知識課程。對于初始的安全知識培訓(xùn)，我

15、建議簡短一些，但能引起足夠的注意力，讓員工們記住重要的訊息。當(dāng)因資料過多而需要長時(shí)間培訓(xùn)時(shí)，必須提供合理的基本訊息數(shù)量，我認(rèn)為超過半天或全天的培訓(xùn)會(huì)讓人們因信息過多而變得麻木。這些課程的重點(diǎn)應(yīng)當(dāng)是讓員工認(rèn)識到自己和公司都有可能遭受攻擊，除非所有員工都有很好的安全習(xí)慣。比學(xué)習(xí)指定的安全策略更重要的是激發(fā)員工對公司安全的責(zé)任心。在員工不愿意參加教室課程的情況下，公司應(yīng)當(dāng)考慮進(jìn)行其它形式的教學(xué)，比如錄像、基于計(jì)算機(jī)的培訓(xùn)、在線課程或者編寫材料。在短期的初始培訓(xùn)課程之后，還應(yīng)當(dāng)設(shè)計(jì)長期課程讓不同職位的員工了解特殊的漏洞及攻擊技術(shù)，第二次培訓(xùn)至少要持續(xù)一年以上。威脅的種類及攻擊的方法都在不停地變換，所以

16、課程的內(nèi)容應(yīng)當(dāng)不斷更新，此外，人們的知識和戒心會(huì)隨著時(shí)間的推移而減少，所以培訓(xùn)必須每隔一段時(shí)間重復(fù)一次，才能不斷地加強(qiáng)員工的安全意識。再重申一次，培訓(xùn)不僅要曝光安全威脅和社會(huì)工程學(xué)策略，還要讓員工了解到安全策略的重要性并使他們擁護(hù)這些策略。管理人員必須給他們的下屬一段合理的時(shí)間熟悉安全策略和程序并參加安全知識培訓(xùn)。員工們不應(yīng)當(dāng)指望在非工作時(shí)間學(xué)習(xí)安全策略或參加安全培訓(xùn)，新員工應(yīng)當(dāng)有足夠的時(shí)間熟悉安全策略，在開始他們的工作之前養(yǎng)成良好的安全習(xí)慣。在企業(yè)內(nèi)部更換了工作崗位，涉及到訪問敏感信息或計(jì)算機(jī)系統(tǒng)的員工同樣需要完成他們新工作的安全培訓(xùn)程序。比如，當(dāng)一個(gè)電腦操作員成了系統(tǒng)管理員（或者一個(gè)接待員

17、成了行政助理）時(shí)，就需要新的培訓(xùn)。培訓(xùn)課程內(nèi)容在歸納基本原理的時(shí)候，所有的社會(huì)工程學(xué)攻擊都有一個(gè)共同元素：欺騙。受害者相信攻擊者是同一家公司的員工或者有權(quán)訪問敏感信息的其他人，或者有權(quán)指揮受害者操作一臺計(jì)算機(jī)或計(jì)算機(jī)相關(guān)的設(shè)備。只要員工簡單地進(jìn)行以下兩個(gè)步驟，就可以防范幾乎所有的這些攻擊：核實(shí)請求者的身份：進(jìn)行請求的這個(gè)人是他所聲稱的那個(gè)人嗎？核實(shí)請求者是否已授權(quán)：這個(gè)人需要知道這些嗎？他有沒有被授權(quán)進(jìn)行這種請求？注釋：因?yàn)榘踩R及培訓(xùn)是不完美的，所以最好在創(chuàng)建防御體系時(shí)深入地使用安全技術(shù)。技術(shù)性的安全措施要比針對員工個(gè)體的安全措施有效，比如，可以通過配置操作系統(tǒng)禁止員工從互聯(lián)網(wǎng)上下載軟件或

18、使用簡短的弱口令。如果知識培訓(xùn)課程改變了員工的行為，那么可以用這些標(biāo)準(zhǔn)對員工進(jìn)行測試請求，相應(yīng)的社會(huì)工程學(xué)攻擊威脅將大大減少。一個(gè)實(shí)用的信息安全知識及培訓(xùn)程序應(yīng)當(dāng)包含以下內(nèi)容：描述攻擊者怎樣使用社會(huì)工程學(xué)技能行騙。社會(huì)工程師實(shí)現(xiàn)他們目標(biāo)的方法。怎樣識別可能的社會(huì)工程學(xué)攻擊。處理可疑請求的程序。在哪里報(bào)告攻擊企圖或者成功的攻擊。質(zhì)疑提出可疑請求的人的重要性，不管他聲稱自己是何職位。在現(xiàn)實(shí)中，他們不應(yīng)在沒有嚴(yán)格驗(yàn)證的情況下完全相信別人，雖然他們更愿意在拿不準(zhǔn)把別人往好處想。對任何請求信息或操作的人進(jìn)行身份驗(yàn)證及授權(quán)驗(yàn)證的重要性（第16章，“驗(yàn)證及授權(quán)程序”，描述了這些驗(yàn)證方式）。保護(hù)敏感信息的程序

19、，包括熟悉所有的數(shù)據(jù)分類系統(tǒng)。公司的安全策略及程序的定位，保護(hù)信息及企業(yè)信息系統(tǒng)的重要性。關(guān)鍵安全策略及它們的含義匯總。例如，指導(dǎo)每一個(gè)員工設(shè)定高強(qiáng)度的密碼。每一個(gè)員工遵守策略的職責(zé)及不服從的后果。通過解說社會(huì)工程學(xué)介紹幾種交互類型。攻擊者為了達(dá)到他（或她）的目標(biāo)，會(huì)非常頻繁地使用不同的技術(shù)和通信方式，因此，一個(gè)成熟的培訓(xùn)程序應(yīng)當(dāng)包括以下內(nèi)容的一部分或全部：涉及到計(jì)算機(jī)和語音信箱密碼的安全策略。解密敏感信息或資料的程序。Email使用策略，包括防范惡意代碼攻擊（病毒、蠕蟲和特洛伊木馬）的安全措施。物理安全要求，比如佩戴證件。在遇到未佩戴證件的人時(shí)，有詢問質(zhì)疑的責(zé)任。良好的語音郵件安全習(xí)慣。如何

20、確定信息分類和適當(dāng)?shù)陌踩胧＿m當(dāng)?shù)奶幚砻舾形臋n和過去存放過機(jī)密資料的計(jì)算機(jī)媒體。同樣，如果公司計(jì)劃使用滲透測試來確定針對社會(huì)工程學(xué)攻擊的安全措施是否有效，應(yīng)當(dāng)警告員工注意這次練習(xí)，讓員工們知道有時(shí)候他們會(huì)接到使用了攻擊技術(shù)的電話或其它通訊，作為測試的一部分。測試的結(jié)果不會(huì)有任何懲罰，但是可能會(huì)需要一定范圍內(nèi)的額外培訓(xùn)。上述內(nèi)容的詳細(xì)資料可以在第16章找到。測試你的公司可能需要在員工使用計(jì)算機(jī)系統(tǒng)之前測試他們是否已經(jīng)掌握了這些安全知識。如果你想設(shè)計(jì)一個(gè)測試程序，有許多評價(jià)設(shè)計(jì)軟件程序能讓你輕松地分析測試的結(jié)果，鎖定需要強(qiáng)化培訓(xùn)的范圍。你的公司可能會(huì)考慮提供一張證書作為獎(jiǎng)勵(lì)證明員工完成了安全培訓(xùn)。作為完成程序的一部分，建議讓每一個(gè)員工簽署一份遵守安全策略和規(guī)定的同意書。調(diào)查報(bào)告顯示，簽署了同意書的人會(huì)更加嚴(yán)格地遵守程序。持續(xù)的培訓(xùn)如果不周期性的復(fù)習(xí)，大部分人會(huì)把學(xué)到的知識（甚至重要的事件）忘掉。為了不讓員工忘記如何防范社會(huì)工程學(xué)攻擊，持續(xù)的培訓(xùn)程序非常重要。一種讓員工記憶深刻的方法是把安全作為他們特殊的工作職責(zé)，這能讓員工認(rèn)為他們在公司安全體系內(nèi)扮演著至關(guān)重要的角色，否則員工會(huì)強(qiáng)烈地傾向于安全“不是我的工作”。當(dāng)安全部門或信息技術(shù)部門的人承擔(dān)了一個(gè)信息安全程序全部的職責(zé)時(shí)，信息安全培訓(xùn)程序最好的結(jié)構(gòu)是及培訓(xùn)部門協(xié)同合作。持續(xù)的培訓(xùn)程序