X
返回

第37章

首页
关灯
护眼
字:
上一页 回目录 下一页 进书架
    第37章 (第2/3页)

工怎样选择密码,真正地保护你的资产。

      预防措施

      当攻击者在攻击中添加了技术元素时,社会工程学攻击可以变得更加具有破坏性,抵挡这种攻击的常用方法是在人和技术两方面同时采取措施。

      就说不

      在这一章的第一个故事中,电话公司RCMAC的员工不应该删除掉十号电话线路的呼入拒绝状态,因为没有服务命令批准进行修改。只让员工了解安全程序和规定还不够,还应该让他们知道这些规定对于公司的安全而言有多么重要。

      应当阻止重要系统中违反安全程序的行为,当然,安全规定必须结合实际,过于繁琐的规定会被员工无视的。同样,安全认知程序需要让员工们了解,因为急于完成手头上的工作而绕过必要的安全程序会伤害到公司和同事。

      同样的警告也应该出现在向电话上的陌生人提供信息的时候,无论这个人怎样花言巧语地介绍自己,也不管他在公司中有何地位和资历,在确认呼叫者的身份之前,绝对不能向他提供任何非公共信息。如果严格遵守了这一规定,这个故事中的社会工程学骗局就不会成功,联邦囚犯康多尔夫也无法和他的搭档乔尼商讨新的骗局。

      我在这本书中反复强调了一点:验证,验证,还是验证。在没有确认请求者的身份之前,不能响应他的任何请求——就这样。

      正在清理

      对于没有安全警卫昼夜值班的公司而言,如何阻止攻击者在下班以后“拜访”办公室?清洁工会像往常一样对待似乎是公司员工的任何人,毕竟,那些人可以找他们的麻烦或解雇他们。因此,不管清洁队是公司内部的还是从外部中介机构签约的,都必须接受物理安全事件培训。

      清洁工作当然不会需要大学文凭,也不需要英语能力和常规训练,只要知道一些非安全的东西比如怎样使用清洁产品进行不同的作业就可以了。“如果有人想在下班时间进来,你要查看他们公司证件,然后打电话到清洁公司办公室解释情况,等待批准。”一般这些人是不会收到这样的指令的。

      一家机构应该在发生这种情况之前有所防范并以此来培训员工。在我的个人经验里,我发现大多数(而不是全部)的私营商业部门在物理安全方面非常松懈。你可以用另一种方式解决问题,把责任交给你的公司员工。没有24小时警卫服务的公司应当告诉它的员工,如果要下班后进入公司,就带上他们自己的钥匙或电子访问卡,能否进入不能让清洁工来决定。然后要求清洁公司培训他们的员工,在工作的时候不放任何人进来,这是个简单的规定:不要为任何人开门。适当的话,可以把它作为条款写在与清洁公司的合约里。

      同样,清洁队应当接受识别蒙混过关者(跟随合法员工通过安全入口的人)的培训,不允许其他人(就算那个人看上去是一名员工)跟随他们进入大楼。

      偶尔(比如,一年三到四次)也要更进一步安排渗透测试或攻击评估,在清洁队工作的时候让某个人站在门外尝试进入大楼。你可以聘请专业公司的人员进行渗透测试,这比用你自己的员工要好

    (本章未完,请点击下一页继续阅读)
国产免费看片    偷拍黑料吃瓜
上一页 回目录 下一页 存书签