為了對抗社會工程攻擊,必須組建“由人組成的防火墻”,同時拋棄網絡架構刀槍不入之類的幻想。
對員工進行培訓,使一部分企業能夠預防和識別社會工程攻擊的企圖。這比對員工進行防火墻系統培訓的難度要小得多。因此,只要組織措施得當,“人”將不再成為信息安全鏈中最薄弱的一環,而是成為最安全的后盾。
現實中發生的許多網絡安全案例,破壞者使用的手法并不是十分高明,僅僅是通過一些非常簡單的技術對系統進行破解。比如口令的暴力猜測,這些攻擊并不需要太高深的技術,僅僅使用一些現成的軟件和一點耐心就能實現。甚至還有一種技術含量更低的破解網絡安全防御系統的方法,它通過種種手段騙取操作網絡內部的人員提供必要的信息(如管理員口令),從而獲取網絡的訪問權。這種方法稱為“社會工程學”(Social Engineering)。
社會工程的黑客陷阱
社會工程學其實就是一個陷阱,黑客通常以交談、欺騙、假冒或口語等方式,從合法用戶中套取用戶系統的秘密,例如:用戶名單、用戶密碼及網絡結構。還比如,只要有一個人抗拒不了本身的好奇心看了郵件,病毒就可以大行肆虐。
大家熟知的Mydoom與Bagle都是利用社會工程學陷阱得逞的病毒。如果您從事網絡安全工作已經有了一段時間,就能說出這位最“臭名昭著”的黑客名字:Kevin Mitnick--他曾被媒體作為新聞標題、被電視節目作為評說對象。有人曾用這樣的語句形容他:“他旁若無人地站在白宮走廊的一角,目光深邃。一臺筆記本電腦與他寸步不離,他不時在鍵盤上敲下某些神秘的指令……”。我們可以引用他最著名的黑客理論:“贏得別人的信任,然后利用這種信任取樂或取利,在現實世界中此類現象比比皆是,在網絡世界中也同樣存在。人是一種社會動物,希望被喜歡、被信任,一旦這種天性被我們利用……”
e時代的信任危機
在2000--2003年的時候,如果你利用漏洞掃描軟件在10分鐘內就能輕易地發現100臺以上的脆弱主機。在網絡安全技術不斷發展的今天,各種安全防護設備與措施使得網絡和系統本身的漏洞已經較少了。然而黑客入侵事件卻總在不斷上演,這是為什么?網絡使用者的安全防護意識起著關鍵作用。我們可以將服務器系統安全加固交給網絡安全服務商完成;可以將網絡安全的常識通過培訓介紹給企業的每一個員工,但是,任意設置簡單易猜的口令、隨處留下自己的郵箱行為還是比比皆是,這都使得善于利用社會工程學的黑客能夠很輕易地完成對某些目標的入侵。
可以說現在CIO們最怕的不是系統災難,因為完整的災難恢復機制已經讓他們可以坦然面對。最近流行的“網絡釣魚”,其實并不是一種新的入侵方法,而是入侵者通過技術手段偽造出一些以假亂真的網站誘惑受害者根據指定方法操作的Email等,使得受害者“自愿”交出重要信息或被竊取重要信息(例如銀行賬戶密碼)。入侵者并不需要主動攻擊,他只需要靜靜等候這些釣竿的反應,就像是“姜太公釣魚,愿者上鉤”。我們可以將它歸納為有一定技術含量的、被動的社會工程入侵。那么,沒有任何黑客技術含量的主動入侵存在嗎?回答當然是肯定的。
我們舉一個例子:對方公司的銷售人員想獲得你的客戶信息,他會通過電話、Mail或者QQ等了解到貴公司銷售人員的通信方式。在通過冒充客戶咨詢的電話中,你都可能透露出真實的個人信息,然后以你的身份再次打進電話來,詢問其他員工來獲取網管員的電話。剩下的事情只需要向網管員申訴自己的郵箱出現問題了,要求將密碼更改過來,如果網管員稍有疏忽,這一入侵行為就已成功結束了。
還有一種攻擊也最為常見,那就是脅迫攻擊。攻擊者假裝成權威人士,要么是組織內的高層人員,要么是執法人員。攻擊者會選擇其職位之下的幾個不同層次的人作為目標。攻擊者會制造一個借口來要求重設口令、改變賬號、訪問系統或敏感信息。如果遇到抵制,攻擊者會利用職權脅迫這些員工就范。社會工程學基于最基本的生活常識,最簡單的心理學原理:越簡單的東西越不容易出錯,而越復雜的事物越可能出現漏洞,世界上最復雜的就是人和人的思想,利用人們的信息信任--這就是“社交工程學”被信息安全專業人員所恐懼的主要原因。
完善制度重于技術防御
社會工程學,并不能等同于一般的欺騙手法,社會工程學尤其復雜,即使自認為最警惕最小心的人,一樣會被高明的社會工程學手段損害利益;即使最先進的網絡防火墻,一樣無法阻擋沒有電信號的信息泄露。企業在制定社會工程攻擊防護方法時一定要充分考慮自身的特點,千萬不能生搬硬套。根據受到過攻擊的企業所提供“亡羊補牢”的方法大致歸納如下:
建立事故響應小組
從信息安全的觀點,任何外部威脅的處理(包括社會工程)將被認為是一次事故。事故響應小組的目的就是有效檢測潛在的信息安全事件并且提供一個有效的手段來降低事件對公司的影響。同一般性的網絡攻擊所不同的是,事故響應小組應當由來自公司不同關鍵部門的知識淵博的員工組成,他們要經過良好培訓并隨時準備對社會工程攻擊做出反應,有效的分析出入侵的目的與方式。
制定規章與教育相結合
防范社會工程攻擊的困難在于大多數物理硬件和安全控制措施是無效的。因為社會工程攻擊的目標是人,所以其防范措施需要集中在信息安全的管理部分。一個有效的防御措施就是建立全員的信息安全策略,策略指導應包含所有員工的“信息安全行為規則”。另外,有效的抵抗措施就是用戶意識培訓,在整個公司的層面上,將這個信息傳遞給所有員工是非常關鍵的。這樣,整個公司在所有層次上都非常警覺。
模擬入侵程序
模擬入侵測試是一種從外部觀點來評價安全控制措施的方法,是企業信息安全環節中最重要的部分。它可以更加有效檢查防范、跟蹤、內部及外部入侵報警等所有的控制措施。公司如果想測試他們對于社會工程攻擊的防備程度,也可以采用模擬入侵測試來發現一些證據。但是必須注意的是,盡管滲透性測試是評估組織的控制措施的最好方法之一,但這種方法的有效性強烈依賴于測試者的水平和努力程度。另外,制定立即通告制度也很重要,一旦員工發現一個社會工程攻擊的企圖,必須通知相關部門的人員。此時就需要上面提及到處理該類問題的標準程序和步驟,以及精心配備的事故響應小組也要將其效能最大化。
其他
盡可能應用其他技術措施,比如電話錄音、客戶訪問記錄、文檔等級制度。這里需要提醒的是如果制定更多的員工行為監視和審核制度有可能遭到員工反對,或者觸及到個人隱私,所以要在法律允許的范圍內進行,以避免企業的違法行為發生。
