警惕“社会工程学”攻击!
- 来源:计算机世界
- 关键字:信息产业,警惕,社会工程学,攻击
- 发布时间:2011-06-13 15:19
信息产业数字化进程逐步深入,各行业与信息化的结合越来越密不可分——数字化油田、数字电网、物联网、数字化家庭、数字云??信息化的快捷和便利已成为社会发展和进步不可缺少的催化剂。然而,信息化的“双刃剑”效应也随着信息化的普及和发展逐步凸显。
随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素——“社会工程学”攻击轻松绕过。
非技术弱点
美国黑客凯文·米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。”
现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。
其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。
上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。
社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
企业的信息安全漏洞
对于企业信息安全来讲,容易招致社会工程学攻击的主要有两个因素:第一,员工安全意识匮乏,处于被攻击的情景中而不自知;第二,企业信息安全方案及流程的制定存在缺陷,且缺陷往往由非技术因素导致。
根据美国内政部2009年的调查报告显示:“在美国,99%的用户终端安装了防病毒软件,然而82%的终端仍旧被病毒感染;98%的用户使用了防火墙,73%的用户设置了IDS入侵防护系统,但是,仍旧有36%的用户被渗透。75%的经济损失是由于用户缺乏安全意识而带来的安全隐患造成的。”
企业通常在规划终端安全方面会考虑例如杀毒软件、密码加密等技术手段;可是,很少有流程会关注如何使员工能够提高安全意识。很多安全规划者认为,基本的安全意识对于用户来讲应该是常识;如何建立安全流程去普及安全意识,并使之成为安全常识,往往在企业信息安全规划中未被提及。例如:很多用户并不认为复杂的计算机密码对于个人计算机安全非常重要,他们只是简单地设置了一个密码,就认为其电脑已经被保护起来。实际上,用户设置的这个简单密码很容易会被社会工程学攻击者攻破。这在某些安全专家看来,应该是一个安全常识的问题,所以在规划企业信息安全的时候常常被忽略,并没有将普及安全常识作为企业安全规划中的重要环节之一。
很多企业在规划信息安全建设时,会通过安全评估发现企业自身信息系统及网络的脆弱性,并制定一系列的方案和流程去应对。但是,很少有企业或者说企业很难花大力气去检测和测试这些方案和规划的实际安全保护作用。因此,其可能存在的设计缺陷会给社会工程学攻击者带来很多机会。
例如,某公司为其互联网访问内网安全提出了VPN的解决方案,方案主要通过技术手段解决了互联网访问内网采用加密而不是非加密方式的安全问题。然而,该解决方案并没有制定严格的账号管理制度与流程,公司的一些员工在离开公司后,没有相关的流程将其账号收回,导致在员工离开公司后,一些社会工程学攻击者会利用这些离职员工得到企业的VPN账号,对企业内网的信息进行窃取,给企业带来重大的损失。
三分技术、七分管理、十分警觉
传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理的核心,都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了处于核心地位的人的内在心理因素。因此,当先进的技术和严密的管理也不能保证信息安全时,信息安全专家们意识到还要研究传统信息安全之外的东西:
1. 信息安全意识是最有效的安全防护手段,为企业信息安全架构建立安全意识宣贯环节,用以强化企业信息安全文化。
安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝利事故的事故后会议总结报告》中引入的:“安全文化是组织和个人所具有的特征和态度的这样一个组合体:它保证作为首要事情的核设施的安全问题受到与其重要性相称的重视。”个人和组织对安全的意识在整个安全体系中发挥着重要作用。在企业进行信息安全规划时,合理地在企业信息规划架构中建立安全意识宣贯环节,是完成企业信息安全防护的最有力保障。
2. 在企业的信息安全流程中强调信息安全事件通知环节。
在攻击发生时,很多攻击行为已经被发现,但是很多社会工程学攻击者意识到,他们所攻击的目标虽然意识到了自己被攻击,但是并没有将攻击事件通告给其周围的用户,因此,他们只需要将攻击的手法稍加改变,还是可以在此前被攻击的用户周围继续实施攻击。所以,企业在信息安全流程中,应该建立或强调安全事件发生后的通知环节,减少攻击后影响的范围。这样做的另一个好处是:安全事件的通知过程同时也辅助和加强了安全宣贯环节,提高了企业整体的非技术攻击事件防护能力。
3. 寻找社会工程学攻击专家来测试企业信息安全系统的安全性。
检测企业整体安全策略及有效性的一个比较有效的方法是社会工程学测试。然而,目前绝大多数安全评估和测试工作都围绕着设备及信息硬件架构的脆弱性展开,很少有企业会评估企业人员环节所带来的潜在安全脆弱性。在中国,这类专业测试机构还没有。但是,企业可以对大量的社会工程学案例进行研究讨论,在企业内部选派各行业的专家来模拟完成此类测试。
“社会工程学”攻击引起的信息安全事件,是对传统信息安全观念的挑战。传统信息安全边界必须延伸到“非技术因素”攻击,从信息安全防护角度采取“先发制人”的战略,突破传统信息安全的被动防御战术,主动分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而建立更全面的信息安全防护体系。
链接
什么是“社会工程学”?
社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报和信息。
……
随着安全防护技术的日益完善,利用技术弱点对信息系统进行攻击变得越来越困难,攻击者开始更多地转向利用人的弱点。传统的信息安全集中于防火墙、入侵防御和桌面安全、行为审计、身份认证、数据加密等先进的产品技术解决方案,使得信息安全在一定程度上取决于技术完备性。企业希望通过采购大量的安全产品,并通过安全防护产品的组合,来保护公司及员工的信息资产安全。但是,花费大量资金打造的传统安全防护体系往往会被很多低成本、低科技含量的非技术因素——“社会工程学”攻击轻松绕过。
非技术弱点
美国黑客凯文·米特尼克在其自传《欺骗的艺术》一书中,对社会工程学在信息安全领域的应用进行了如下定义:“通过心理弱点、本能反应、好奇心、信任、贪婪等一些心理陷阱进行的诸如欺骗、伤害、信息盗取、利益谋取等对社会及人类带来危害的行为。”
现实社会利用社会工程学进行攻击的手段多种多样,其中一个代表应用是“网络钓鱼”。社会工程师利用欺骗性的电子邮件和伪造的网络站点来进行诈骗,专门骗取电子邮件接收者的个人资料,例如身份证号、银行密码、信用卡卡号等信息。
其次,攻击者也通常会利用“垃圾桶”来收集有效信息,一些公司对打印过的文档不进行粉碎处理,攻击者就会在公司垃圾中找到诸如标书标底等商业信息。
上述两个案例都存在一个共性:并没有利用任何高技术含量的攻击手段,并且企业花巨资建造的信息安全系统对于上述“攻击”并没有任何干预,可是,社会工程攻击者已经拿到他们需要的足够的个人及企业信息了。
社会工程学攻击者的主要攻击手段,是选择“非技术弱点”进行攻击。这些非技术弱点通常体现在对人性及人格特质的利用,例如:逃避责任、义气、愧疚、轻信、野心等。“人”是攻击者最主要的突破口。从某种意义上讲,突破“人”这道防线通常比通过技术手段攻破防火墙更容易,甚至不需要很多投资和成本,冒的风险也很小。
企业的信息安全漏洞
对于企业信息安全来讲,容易招致社会工程学攻击的主要有两个因素:第一,员工安全意识匮乏,处于被攻击的情景中而不自知;第二,企业信息安全方案及流程的制定存在缺陷,且缺陷往往由非技术因素导致。
根据美国内政部2009年的调查报告显示:“在美国,99%的用户终端安装了防病毒软件,然而82%的终端仍旧被病毒感染;98%的用户使用了防火墙,73%的用户设置了IDS入侵防护系统,但是,仍旧有36%的用户被渗透。75%的经济损失是由于用户缺乏安全意识而带来的安全隐患造成的。”
企业通常在规划终端安全方面会考虑例如杀毒软件、密码加密等技术手段;可是,很少有流程会关注如何使员工能够提高安全意识。很多安全规划者认为,基本的安全意识对于用户来讲应该是常识;如何建立安全流程去普及安全意识,并使之成为安全常识,往往在企业信息安全规划中未被提及。例如:很多用户并不认为复杂的计算机密码对于个人计算机安全非常重要,他们只是简单地设置了一个密码,就认为其电脑已经被保护起来。实际上,用户设置的这个简单密码很容易会被社会工程学攻击者攻破。这在某些安全专家看来,应该是一个安全常识的问题,所以在规划企业信息安全的时候常常被忽略,并没有将普及安全常识作为企业安全规划中的重要环节之一。
很多企业在规划信息安全建设时,会通过安全评估发现企业自身信息系统及网络的脆弱性,并制定一系列的方案和流程去应对。但是,很少有企业或者说企业很难花大力气去检测和测试这些方案和规划的实际安全保护作用。因此,其可能存在的设计缺陷会给社会工程学攻击者带来很多机会。
例如,某公司为其互联网访问内网安全提出了VPN的解决方案,方案主要通过技术手段解决了互联网访问内网采用加密而不是非加密方式的安全问题。然而,该解决方案并没有制定严格的账号管理制度与流程,公司的一些员工在离开公司后,没有相关的流程将其账号收回,导致在员工离开公司后,一些社会工程学攻击者会利用这些离职员工得到企业的VPN账号,对企业内网的信息进行窃取,给企业带来重大的损失。
三分技术、七分管理、十分警觉
传统的信息安全观主张“三分技术,七分管理”,但无论是技术还是管理的核心,都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了处于核心地位的人的内在心理因素。因此,当先进的技术和严密的管理也不能保证信息安全时,信息安全专家们意识到还要研究传统信息安全之外的东西:
1. 信息安全意识是最有效的安全防护手段,为企业信息安全架构建立安全意识宣贯环节,用以强化企业信息安全文化。
安全文化这一概念是国际核安全咨询组在《关于1986年切尔诺贝利事故的事故后会议总结报告》中引入的:“安全文化是组织和个人所具有的特征和态度的这样一个组合体:它保证作为首要事情的核设施的安全问题受到与其重要性相称的重视。”个人和组织对安全的意识在整个安全体系中发挥着重要作用。在企业进行信息安全规划时,合理地在企业信息规划架构中建立安全意识宣贯环节,是完成企业信息安全防护的最有力保障。
2. 在企业的信息安全流程中强调信息安全事件通知环节。
在攻击发生时,很多攻击行为已经被发现,但是很多社会工程学攻击者意识到,他们所攻击的目标虽然意识到了自己被攻击,但是并没有将攻击事件通告给其周围的用户,因此,他们只需要将攻击的手法稍加改变,还是可以在此前被攻击的用户周围继续实施攻击。所以,企业在信息安全流程中,应该建立或强调安全事件发生后的通知环节,减少攻击后影响的范围。这样做的另一个好处是:安全事件的通知过程同时也辅助和加强了安全宣贯环节,提高了企业整体的非技术攻击事件防护能力。
3. 寻找社会工程学攻击专家来测试企业信息安全系统的安全性。
检测企业整体安全策略及有效性的一个比较有效的方法是社会工程学测试。然而,目前绝大多数安全评估和测试工作都围绕着设备及信息硬件架构的脆弱性展开,很少有企业会评估企业人员环节所带来的潜在安全脆弱性。在中国,这类专业测试机构还没有。但是,企业可以对大量的社会工程学案例进行研究讨论,在企业内部选派各行业的专家来模拟完成此类测试。
“社会工程学”攻击引起的信息安全事件,是对传统信息安全观念的挑战。传统信息安全边界必须延伸到“非技术因素”攻击,从信息安全防护角度采取“先发制人”的战略,突破传统信息安全的被动防御战术,主动分析人的心理弱点,提高人们对欺骗的警觉,同时改进技术体系和管理体制存在的不足,从而建立更全面的信息安全防护体系。
链接
什么是“社会工程学”?
社会工程学是一种黑客攻击方法,利用欺骗等手段骗取对方信任,获取机密情报和信息。
关注读览天下微信,
100万篇深度好文,
等你来看……
