浅议网络安全策略之社会工程学
2016-05-30郭峰董振华
郭峰 董振华
摘 要:社会工程学是一种类似欺骗的威胁网络安全的手法。它需要搜集大量的信息针对对方的实际情况,通过心理战术威胁网络安全。只有将安全技术与个人保持警惕的安全策略相结合,才能做到尽可能的不被社会工程师成功地攻破。
关键词:社会工程学;网络安全;安全策略
网络信息安全已经成为当今社会的一个重要课题。其中社会工程学是一个比较特别的分支,它不同于一般的安全技术,却又是网络安全这个课题中不可忽视的一个重要话题。企业机构与个人都应该关注针对社会工程学的防范策略。
社会工程学(Social Engineering)广义的定义是:通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题,它往往通过很多类似诱诈的方式来实现自己的目的。它往往会搜集大量针对对方实际情况的具体信息,经过分析后研究选择进行某种心理战术。一流的社会工程师都擅长进行信息收集与数据挖据分析。很多表面上看起来一点用都没有的信息都可以被社会工程师们利用起来进行渗透。比如说一个电话号码,一个人的名字或者工作的ID号码,甚至是废弃的车票或者办公用纸。社会工程师往往善于控制自己的观察对象。有句话说,最安全的电脑,就是拔掉了电源的电脑。可是社会工程师可以通过策略来使某个对象帮助自己重新插上那台电脑的电源。社会工程师善于整合信息与逻辑分析,而其真正目标往往是人。本文将简要介绍一些社会工程学攻击的方法与防范策略。
1 个人信息的防范策略
社会工程学就是利用网络可查的各种信息,来获取对象的隐私,进一步获取相关利益。社会工程学攻击最重要的不是技术,而是对人的心理的理解,进而发现实现攻击的途径。对于社会工程学高手来说,没有无法突破的防护。因为技术上再完备的系统也是由人来操纵的。社会工程学致力于发现人的弱点,并形成突破。
《欺骗的艺术》里则反复提及,没有百分百保险安全的技术。最重要的还是自己的警惕心。想要实现个人信息安全,最重要的是安全意识,要做到适度质疑,合理挑战,保守信任,严格执行安全规程和制度,以及个人、工作均应有应急预案。
从个人生活中在以下三个方面提出一些简单的防范策略。
第一是各种网上存储媒介,尤其是网盘和云空间。现在网盘利用率很高,大家也确实用得方便,但是一旦被破解,后患无穷。建议谨慎使用网盘、离线传送等云端存储服务发送敏感文件。非必要的情况下请勿将链接泄露给外人。也不要将重要文件泄露给云服务提供商。在收藏、转存、分享的过程中应注意加密程序。最后要提防云端漏洞,选择安全有资质的大服务商。
第二是谨慎使用无线网络。要谨慎使用不加密的Wi-Fi和众人皆知密码的加密Wi-Fi。尽量不在无线网络中进行账户登录等操作。警惕非正常掉线等无线网络异常。
如果是自己创建的Wi-Fi,那么你要注意,保护好自己的Wi-Fi,不要随意分享给他人;卸载Wi-Fi万能钥匙等类似应用;如果有朋友要借用你的无线网络,最好能确定对方手机中没有类似软件;Wi-Fi密码应该定期更换;要善于利用MAC地址绑定、黑/白名单等各种路由器安全设置;最好能关闭路由器自身的SSID广播等。
第三是设置更安全的密码。密码设定原则:①长度在8位以上;②大写字母、小写字母、数字、特殊字符包含三种以上;③定期更换;④各账号密码不要通用;⑤尽量不要使用电话号码、亲友生日等。举例,你可以使用自己喜欢的诗词的首字母作为密码,比如你喜欢“黄河远上白云间”,那么可以使用hhysbyj作为你的密码,三个月之后可以换为“一片孤城万仞山”,即ypgcwrs作为密码。
对于个人电脑,要记得使用安全软件,检测系统风险,并且要做到及时更新补丁、升级软件。
2 公司机构的防范策略
美国计算机安全协会曾在年度计算机犯罪调查报告中声称,在接受调查的组织机构中,有85%的组织在过去的一年中发现了计算机安全事件。另一个数字同样惊人,有64%的机构由于计算机的问题而导致财务损失。
使用再多的安全技术也做不到绝对安全,因为组织需要人来运营,技术需要人来操作。企业安全是一个平衡问题,安全性太差的公司易受攻击,但过多的强调安全又往往会妨碍业务管理或者是公司的发展。要达到生产效率和安全之间的平衡,是每个公司追求的目标,也是难中之难。企业信息安全策略容易把重點放在技术层面,却常常忽略了最重要的安全威胁——对人的欺骗。事实证明,社会工程学入侵总是能够对看似安全的信息完整性产生威胁,甚至破坏公司的工作成果。公司机构防范的重点要放在入侵者用来盗取信息的非技术手段上。
现代社会的工作与生活节奏很快,人们往往没有充分的时间去深思熟虑后再作出判断,无论这个决定对其多么重要。复杂的局面,匮乏的时间,起伏的情绪,或者疲惫的精神状态,都让我们难以保持良好的判断力。所以人们会如成语所言,“习而不察”,常常不经过谨慎和全面的分析就作出判断,像自动应答一样。这是一个致命的心理作用。于是社会工程师就得以趁虚而入。许多安保技术公司在他们的安全渗透测试报告中都声明当他们对客户公司的计算机系统尝试社会工程学攻击时百战不殆。当今时代公司机构真正行之有效的安全策略只能是将安全技术与安全策略相结合,对员工行为进行职业规范,并定期进行安全培训。
信息安全培训的第一句话就是要让所有员工意识到他们和他们的公司在任何时候都有可能被攻陷。培训务必使得所有职员都明白,他们每个人在保护企业整体安全方面都是最重要的一员。没有人可以被忽视。因为社会工程师不会忽视任何一个可以被攻击的对象机构职员,不论他是有预谋的或者是随机遇上了这位员工。安全培训流程中最好包括有吸引力的交互式体验,例如可以通过互换角色来展示社会工程学攻击的过程,讨论媒体对那些信息公共安全事件的攻击报道,分析公司机构怎样做才能避免损失,分享既生动又有教育性的安全资讯。
培训不仅要曝光本机构面临的各种安全威胁,也应该展示同行遭受过的社会工程学攻击的范例,要让员工切身体会到人人参与的安全策略的重要性。公司在日程管理中也应该通过各种提醒或奖励措施来使员工拥护与主动执行机构的安全策略。与过去的时代不同,保障信息安全,警惕并防范有可能的社会工程学攻击是机构中所有成员的共同责任与义务。
3 结语
所有的社会工程学攻击都有一个共同元素:欺骗。只有将安全技术与个人保持警惕的安全策略相结合,才能做到尽可能的不被社会工程师成功地攻破。
参考文献:
[1]凯文米特尼克.反欺骗的艺术[M].北京:清华大学出版社,2014.
[2]王治,范明钰,王光卫.信息安全领域的社会工程学研究[J].信息安全与通信保密,2005(7):44-47.
作者简介:
郭峰(1983-),男,河南郑州人,工作单位:郑州成功财经学院信息工程系,专职教师,职称:讲师,主要从事网络编程等方面的研究。
董振华(1980-),女,河南项城人,工作单位:郑州成功财经学院信息工程系,专职教师,职称:讲师,主要从事数据库、计算机网络技术等方面的研究。