第47章

    第47章 (第1/3页)



      那是谁？

      在这一章中的举例中，聪明的行骗艺术家利用个人魅力获取员工的信任，因此身份验证变得更加重要。能否响应将源代码发送到一个FTP站点的请求，关键是你是否了解请求者。

      在第十六章中，你将看到详细的身份验证策略，以应对请求信息或者执行某项操作的陌生人，我们已经在这本书里讨论过很多次身份验证的必要性了：在第十六章你将了解应该如何去做。

      第十五章 信息安全知识与培训

      一个社会工程师已经关注你的新产品发布计划两个月了。

      有什么能阻止他？

      你的防火墙？不行。

      强大的验证设施？不行。入侵检测系统？不行。加密？不行。

      限制调制解调器的访问？不行。

      编码服务器名称，使入侵者无法确定产品计划所在的服务器？不行。

      事实上，没有任何技术能防范社会工程学攻击。

      安全技术、培训和程序

      许多公司在他们的安全渗透测试报告中说，他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百成功。使用安全技术的确可以让这些攻击更难实施，但唯一真正有效的办法是，将安全技术和安全策略结合起来，规范员工行为并适当地进行培训。

      只有一种方法能让你的产品计划安全，那就是接受过安全培训的负责任的员工。这不仅涉及到安全策略和安全程序的培训，还包括了安全知识的培训。一些权威人士建议把公司40%的安全预算用在安全知识的培训上。

      第一步是让企业的每一个人都认识到那些能操纵他们心理的人的存在，员工们必须了解信息需要哪些保护与如何保护。当人们了解了操纵的细节时，他们便能在攻击初期更好地处理。

      安全培训也意味着让企业的所有员工了解公司的安全策略与程序，就像在第17章所讨论的那样，策略是指导员工行为保护企业信息系统与敏感信息所必须的规则。

      本章和下一章提供了一张把你从可怕的攻击中解救出来的安全蓝图。如果你没有培训并警告员工遵循谨慎考虑过的程序，这也许没什么大不了的，在你被社会工程师窃取贵重信息之前。不要等到攻击发生才制定这些策略：这对你的事业和你的员工福利将是毁灭性的。

      了解攻击者是怎样利用人的天性的

      为了制定一套成功的培训程序，首先你必须了解为什么人们容易遭受攻击，在你的培训中识别这些倾向——比如，通过角色扮演讨论引起他们的注意——你能帮助你的员工了解为什么我们都能被社会工程师轻易地操纵。

      社会科学家对心理操纵的研究至少已经有50年了，罗伯特oBo西奥迪尼（Robert B Cialdini）在科学美国人（2001年2月）杂志中总结了这些研究，介绍了6种“人类天性基本倾向”。

      这6种倾向正是社会工程师在他们的攻击尝试中所依赖的（有意识的或者无意识

    （本章未完，请点击下一页继续阅读）