第33章 (第2/3页)
就必须更改公司里所有人的密码!)
你不想让你的公司变得像牢房一样,但是同时你需要防范那些刚被解雇就跑来想做坏事的人。
不要忘记任何人
安全警卫要注意入门级的员工,比如并不处理公司敏感信息的接待员。我们曾经在其它地方看到过,接待员是最受攻击者青睐的目标,本章中闯入汽车零配件公司的故事则是另一个例子:一个友好的穿着很专业的人,可能并不是他所声称的来自其它区域分公司的员工。需要良好的培训接待员,如何在适当的时候礼貌地请求公司ID,培训不只是针对主要的接待员,还包括每一个在午餐或下午茶时间零时坐在接待处的人。
对于公司外部的访客,需要查看其照片ID并记录信息。伪造ID并不很难,但至少严格的ID验证可以让攻击者使用电话冒充更加困难。
在一些公司,实行全程陪同访客(从大厅到会议室)的安全策略很有意义,程序应该规定陪同人员在把访客送到会面地点之前要先弄清楚这个人是员工还是非员工。为什么这很重要?因为就像我们在之前的故事中看到的那样,攻击者经常会变换角色,在大厅中表演对他们而言实在是太简单了,使接待员相信他有一个会议要参加,说,有个工程师……陪他到那个工程师的办公室……与工程师会谈之后,他才可以自由行动。
在允许一名异地员工进入之前,必须履行适当的程序,确认此人真的是公司的员工。接待员和警卫必须要了解攻击者伪造身份所使用的方法。
怎样阻止攻击者进入大楼并把便携式电脑连入公司的内部网络?拜当今的技术所赐,这的确是个挑战:会议室、培训室和其它类似的地方都不应该留下不安全的网络端口,应使用防火墙或路由器将其保护起来,但更好的做法是使用安全的方法对任何连入网络的用户进行识别。
保护IT部门!
忠告:在你的公司里,IT部门的每一位员工或许都知道(或能花几分钟时间找出)你的收入、CEO的实得工资和谁用了公司的钱去滑雪度假。
在一些公司甚至有可能出现IT人员或会计人员给他们自己加工资、向一个伪造的卖家付款、删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住,他们才没有那样做,直到有一天,某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。
这里当然也有解决方案,可以通过配置严格的访问控制来保护敏感文件,所以只要验证访问者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志,比如每一个试图访问敏感文件的人(无论是否访问成功)。
如果你的公司了解了这一问题并恰当地实现了对敏感文件的访问控制与审核——你就在正确的方向上迈出了强有力的一步。
第十一章 综合技术与社会工程学
社会工程师可以通过操纵人们来达到目标,但也常常需要很多关于电话系统和电脑系统的知识与技能。
下面是一个典型
(本章未完,请点击下一页继续阅读)