究竟哪個部分才是網絡中最薄弱的壹環?Internet防火墻、防病毒軟件、遠程控制的PC、還是移動辦公用的筆記本電腦?大多數的安全專家都同意這樣壹種觀點:狡猾的電腦黑客往往可以通過向特定的用戶提幾個簡單的問題就能入侵幾乎所有的網絡。
他們不僅會使用各種技術手段,還會利用社交工程學的概念來進行欺詐,通俗壹點來說,他們會利用人類與生俱來的信任並幫助他人的願望以及對未知事物的好奇心,他們利用這些弱點騙取用戶名和口令,使得那些采用各種先進技術的安全防護措施形同虛設。
如果妳對這種情況還沒有特別的感性認識,可以參看我們的插文“黑客經常使用的5種詭計”,並反思壹下自己在那種情況下是否也會輕易上當。不過在那篇插文中所涉及的詭計也只是黑客用來刺探有用信息的壹部分辦法而已。
實際上,電腦黑客無需與任何人交談就能獲得大量的信息,他們只要訪問妳所在公司的Web網站,就能知道公司的各個領導職位、財務信息、組織結構圖以及員工的e-mail地址和電話號碼。另外,他們還會從公司扔掉的舊文件中篩選出很多有價值的東西,比如組織結構圖、市場計劃、備忘錄、人力資源手冊、財務報表、公司規章制度和流程說明等等。黑客們會利用這些信息來獲取該公司員工的信任,比如偽裝成員工、客戶給該公司的雇員打電話或者發郵件,壹步壹步獲得對方的信任,最終通過他們進入公司的網絡。
從公司員工那裏獲取信息的技術包括以下幾類:
◆ 用壹大堆難以理解的信息或各種奇怪的問題來搞亂某個員工的思路,讓妳無法摸清他到底想幹什麽。
◆ 黑客們還會故意給妳設置壹些技術故障,然後再幫妳解決它以博得妳的信任。這種方法被稱為反向社交工程學。
◆ 用帶有強烈感情色彩的語氣甚至是恐嚇的口氣命令妳服從他的指示。
◆ 如果發現妳有抵觸情緒,他會適當放棄幾個小的要求。這樣壹來妳就覺得妳也應當滿足他的要求以作為回報。
◆ 不斷與妳分享信息和技術而不要求任何回報(至少開始時是這樣的),而當黑客們向妳提出壹些要求的時候,妳會覺得必須告訴他們。
◆ 假裝與妳擁有同樣的愛好和興趣,借機混入妳所在的興趣小組;
◆ 謊稱妳可以幫助某個同事完成壹項重要的任務;
◆ 與妳建立壹種看上去十分友好而且毫無利益糾葛的關系,然後壹點壹點從妳口中套出公司的常用術語、關鍵雇員的姓名、服務器以及應用程序類型。
妳還需要註意,有很大比例的安全問題是出在那些心懷不滿的雇員或者非雇員(比如公司的客戶或合作夥伴)身上,他們往往會泄露不該泄露的信息。人們總是容易忽略來自內部的危險。
當然,社交工程學並不僅僅局限於騙取公司的保密資料。黑客們也常常利用這種技術從個人用戶那裏騙取可用來進行網上購物的信用卡號、用戶名和密碼。他們常用的伎倆是通過e-mail和偽造的Web網站讓用戶相信他們正在訪問壹個著名的大公司的網站。
如果妳仍然對社交工程學的作用心存疑問,至少也應該提高警惕、小心防範。Kevin Mitnick是20世紀最臭名昭著的黑客之壹,他曾經多次向媒體表示,他攻破網絡更多地是利用人的弱點而不是依靠技術。
另壹方面,大多數公司更舍得在安全防護技術上投入大量的金錢,但卻忽視了對雇員的管理。而絕大多數的安全產品和安全技術都沒有考慮社交工程學的因素。那麽,妳究竟應該如何應對呢?
妳應該從兩個方面來解決這個問題:首先妳應該對容易泄露公司信息的物理場所(包括辦公桌、文件櫃和Web網站)進行必要的保護;其次,妳應該對公司的員工進行安全防範方面的教育,並制定出清晰的規章制度。
物理空間的安全可能是相對比較簡單的部分。下面我們列出了壹些比較重要的提示,大多數都覆蓋了上述的兩個方面(物理保護和規章制度)。
◆ 讓所有的公司雇員和來訪人員都佩戴能夠表明身份的胸卡或其他標識。 對於來訪的人員,壹定要有專人護送他們到達目的地。
◆ 檢查壹下哪些文檔是必須隨時鎖好的,哪些是可以扔進碎紙機被處理掉的。
◆ 應當把文件櫃鎖好並放在安全的、可監控的地方。
◆ 確保所有的系統(包括所有的客戶端PC)都使用密碼進行保護,應當使用強壯的口令並定期進行更改。
每臺機器還應該設置為幾分鐘空閑後就進入屏幕保護程序,而且要設置屏幕保護口令。
◆ 如果硬盤上的文件包含有保密信息,應當使用加密的辦法進行保存。
◆ 不要在公***Web網站上透露太多有關公司的信息。 建立壹套良好的安全制度以及對員工進行相應的培訓要更困難壹些。公司員工通常意識不到他們所散布出去的信息有非常重要的價值。必須經常教育他們在面對陌生人的信息咨詢時保持警惕,這樣才不會輕易上當受騙。
培訓員工的最好方式是讓老師在培訓之前先利用社交工程學技術從他們嘴裏套出壹些有價值的信息,然後老師再把這些例子作為反面教材進行分析和講解。
妳需要制定壹套清晰的規章制度,讓大家知道哪壹類信息是任何情況下都不能泄露給他人的。很多表面上看上去沒什麽用的信息(比如服務器名稱、公司組織結構、常用術語等)對黑客們來說都是有價值的。妳的規章制度中應當詳細說明各種信息的訪問規則,而且對於應當采取的安全防範措施也應加以詳細說明。對於違反這些規定的行為要有明確的懲罰措施。如果妳制定的規章制度比較詳細而清晰,員工就不那麽容易泄漏公司信息。
目前專門用於對付社交工程學的工具還很少見,不過有些內容過濾工具和反垃圾郵件產品(比如MailFrontier Matador)可以用來防止員工通過電子郵件向外泄露信息或者防止外來的欺詐郵件。Matador采用了壹系列專利技術來識別可疑的電子郵件。
與社交工程學進行鬥爭是壹項長期而艱苦的工作,因為攻擊者也會不斷改進他們的戰術以突破現有的防範措施。因此壹旦出現了新的欺詐方式,妳就需要盡快制定出新的規章制度來進行防範。而且應當不斷提醒妳的雇員,他們才是公司真正的防火墻。
黑客經常使用的5種詭計
①很多人都曾經收到過這樣的電子郵件:許諾妳有機會獲得很高的獎金,而妳所需要做的只是填寫壹張註冊表單(寫下妳的用戶名和密碼)。令人吃驚的是,有相當多的人都會對這類郵件進行回復,而其中又有相當比例的人所填寫的用戶名和口令與他們在公司網絡登錄時使用的用戶名和口令壹模壹樣。黑客們只需要給壹家公司的10多個員工發壹封這樣的電子郵件,就能輕松獲得兩三個網絡登錄口令。
②有時候在妳的電腦上會突然彈出壹個對話框,告訴妳網絡連接被中斷,然後要求妳重新輸入用戶名和口令以恢復網絡連接。還有些時候妳可能會收到壹封看上去來自Microsoft公司的電子郵件,提醒妳應當運行附件中的安全升級程序。妳對這個對話框和電子郵件的合法性產生過懷疑嗎?
③當妳跑出去抽支煙並加入到聊天的行列時,也許會談起最近公司郵件服務器發生的故障,對於壹家大公司而言,妳可能並不認識所有的員工,而這些閑聊的人中很可能混雜著壹兩個不明身份的黑客。
④忽然跑來壹個人要看壹下妳老板的電腦(碰巧老板可能外出了),說是老板的Outlook出了問題,讓他幫忙修復壹下。這個理由聽起來很有道理。Outlook軟件的確經常會出問題,但為什麽偏要在老板不在的時候來修理呢?
⑤有時妳會接到壹個自稱是總裁助理的女子打來的電話,讓妳告訴她某些個人或者公司的信息。她會叫出公司領導的名字或者不經意透露壹點只有公司內部員工才知道的信息來打消妳的懷疑。
2.網絡存在的社會性問題的解決方案
/DownLoad/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3-4-%BC%C6%CB%E3%BB%FA%CD%F8%C2%E7%D0%C5%CF%A2%B0%B2%C8%AB.ppt#292,
在社會性網絡中,由於人與人之間的交流通常是在防火墻外進行,對於交流的內容,雇主無法控制,因此社會性網絡有可能成為安全和法規遵從的夢魘。舉個例子,員工在日常交流中談及彼此的工作時,就可能將公司尚未公開的項目泄露出去。
“這可能會為未來埋下隱患。”威爾斯·費高公司(Wells Fargo)高級副總裁兼首席系統架構師弗蘭克·李說。讓他感到擔憂的是,對於員工可能將敏感資料放到不受公司控制的外部社會性網絡這壹事實,公司幾乎無能為力。
企業社會性網絡的出現消除了這種顧慮。“我們需要企業級數據和應用安全。”SelectMinds公司的伯克維奇(Berkwitch)說,“我們需要在足夠自由的溝通與相對保守的企業之間謀求平衡,從而向他們確保這種溝通並不是隨心所欲的脫口秀。”這壹謹慎的做法,幫助SelectMinds與多家大規模的會計和財務公司建立了合作關系。
然而,SelectMinds僅僅在小範圍內獲得了成功。某些公司仍然回避使用無法向管理者提供絕對控制權的應用程序。
美國國家情報署A區(National Intelligence Department's A-Space)所面臨的安全挑戰令人瞠目結舌。這在壹定程度上歸咎於它選擇了壹個基於網絡的社會性網絡,而非壹個需要通過16道不同的安全關卡,跨越16個不同防火墻的桌面客戶端。然而,即便它選擇的是後壹種方式,那些保存在瀏覽器甚至安全內聯網內的敏感數據,也必然會引起高度"關註"。
事實上,該區可以通過觀察流量模式的方法確保安全,比如尋找可疑的異常搜索。“我們絕不能對此掉以輕心,”韋特默(Wertheimer)強調,“這是壹場竊取情報的夢魘。妳得問問自己,如果有壹只壞蟲子爬進來,它能偷走多少東西?盡管如此,回報仍然大於風險。”他說。
與此同時,來自社交網絡的風險顯然還不足以讓企業安全廠商涉足其中。電子郵件過濾廠商MessageGate公司本可將其業務平臺拓展到社會性網絡,但他們認為並沒有這個必要,MessageGate的營銷副總裁羅伯特·佩茲(Robert Pease)說。
當然,並不是所有的社會性網絡工具都遵循Facebook和Linkedin以社區為核心的做法,Visible Path公司就是其中之壹。利用20年前發展起來的統計技術,Visible Path公司的軟件產品可以通過多種途徑辨別關系的強弱,比如檢查信息來源,收集並分析日歷,通話,電子郵件所記錄的個人活動,接收和發送信息的比率,以及用於私人交流的時間長短等。
“我們非常註重商人們所從事的各種交易”,Visible PathCEO安東尼·布萊頓(Antony Brydon)稱。Visible Path與商業研究機構Hoover公司旗下的Hoover's Connect網站合作,讓用戶了解到他們是怎樣與Hoover公司數據庫內的公司和個人聯系在壹起的。這就是通常所說的六度分割理論(Six Degrees Of Separation Concept)。Linkedin網站的做法與此相仿,也將朋友的朋友視作壹種潛在的聯系。
諾思羅普·格魯曼公司(Northrop Grumman)用將近10年的時間營建了壹個類似於社會性網絡的系統,將其遍及美國各州以及其他幾個國家的120,000名員工聯系在壹起。
諾思羅普公司將其稱為“實踐社區”,員工們圍繞某個主題或技術組成不同的團隊,從系統工程精英小組到新職員社區,幾乎覆蓋了公司的所有成員。這些社區包含與社區相關的壹些文件,以及資料詳盡的團隊成員名單。真正的協作還需要壹份電子郵件分發名單,不過,那是促進這類溝通的社區的任務了。諾思羅普公司的知識管理主任Scott Shaffar說。
“實踐社區”發揮了重要的作用。比如,系統工程小組如今正致力於將工程程序以及職業發展和招聘流程規範化;通過該系統,找到了壹名為日本客人提供翻譯的譯員;對工作感到困惑甚至茫然的新員工也有了聚集和交流經驗之所。最振奮人心的是,諾思羅普公司甚至通過其社區找到了壹名熟悉常用於國防部門應用程序的Ada代碼的程序員,從而節省了每年50,000美元的招聘成本。
過去,年輕人推動了社會性網絡的發展趨勢;如今,商業人士和IT精英們也在加快步伐。誠然,社會性網絡的弊端顯而易見且難以回避,但對於絕大多數公司來說,其巨大價值仍有待發掘。