第 35 节
作者:做男人挺好的      更新:2022-10-30 13:52      字数:4795
  对于那些没有资源开发内部程序的公司,有几家培训公司提供安全知识培训服务,可以在Secure World Expo (secureworldexpo)上找到这些公司的信息。
  本书中的故事提供了许多材料说明社会工程学方法和策略来加强威胁意识,展示人类行为的弱点,可以考虑使用他们的方案进行角色扮演活动,这些故事同时也提供了有趣的讨论机会,比如受害者可以怎样回应来抵御攻击。
  熟练的课程设计者和熟练的讲师会发现很多挑战,但也有很多机会让课堂活跃起来,还可以在此过程中促使人们成为解决方案的一部分。
  培训结构
  所有员工都必须参加基本的安全知识培训程序,新员工必须参加培训作为他们的初始教育,我建议规定新员工不能接触公司的计算机系统,直到他们完成了基础安全知识课程。
  对于初始的安全知识培训,我建议简短一些,但能引起足够的注意力,让员工们记住重要的讯息。当因资料过多而需要长时间培训时,必须提供合理的基本讯息数量,我认为超过半天或全天的培训会让人们因信息过多而变得麻木。
  这些课程的重点应当是让员工认识到自己和公司都有可能遭受攻击,除非所有员工都有很好的安全习惯。比学习指定的安全策略更重要的是激发员工对公司安全的责任心。
  在员工不愿意参加教室课程的情况下,公司应当考虑进行其它形式的教学,比如录像、基于计算机的培训、在线课程或者编写材料。
  在短期的初始培训课程之后,还应当设计长期课程让不同职位的员工了解特殊的漏洞与攻击技术,第二次培训至少要持续一年以上。威胁的种类与攻击的方法都在不停地变换,所以课程的内容应当不断更新,此外,人们的知识和戒心会随着时间的推移而减少,所以培训必须每隔一段时间重复一次,才能不断地加强员工的安全意识。再重申一次,培训不仅要曝光安全威胁和社会工程学策略,还要让员工了解到安全策略的重要性并使他们拥护这些策略。
  管理人员必须给他们的下属一段合理的时间熟悉安全策略和程序并参加安全知识培训。员工们不应当指望在非工作时间学习安全策略或参加安全培训,新员工应当有足够的时间熟悉安全策略,在开始他们的工作之前养成良好的安全习惯。
  在企业内部更换了工作岗位,涉及到访问敏感信息或计算机系统的员工同样需要完成他们新工作的安全培训程序。比如,当一个电脑操作员成了系统管理员(或者一个接待员成了行政助理)时,就需要新的培训。
  培训课程内容
  在归纳基本原理的时候,所有的社会工程学攻击都有一个共同元素:欺骗。受害者相信攻击者是同一家公司的员工或者有权访问敏感信息的其他人,或者有权指挥受害者操作一台计算机或计算机相关的设备。只要员工简单地进行以下两个步骤,就可以防范几乎所有的这些攻击:
  核实请求者的身份:进行请求的这个人是他所声称的那个人吗?
  核实请求者是否已授权:这个人需要知道这些吗?他有没有被授权进行这种请求?
  注释:
  因为安全知识与培训是不完美的,所以最好在创建防御体系时深入地使用安全技术。技术性的安全措施要比针对员工个体的安全措施有效,比如,可以通过配置操作系统禁止员工从互联网上下载软件或使用简短的弱口令。
  如果知识培训课程改变了员工的行为,那么可以用这些标准对员工进行测试请求,相应的社会工程学攻击威胁将大大减少。
  一个实用的信息安全知识与培训程序应当包含以下内容:
  描述攻击者怎样使用社会工程学技能行骗。
  社会工程师实现他们目标的方法。
  怎样识别可能的社会工程学攻击。
  处理可疑请求的程序。
  在哪里报告攻击企图或者成功的攻击。
  质疑提出可疑请求的人的重要性,不管他声称自己是何职位。
  在现实中,他们不应在没有严格验证的情况下完全相信别人,虽然他们更愿意在拿不准把别人往好处想。
  对任何请求信息或操作的人进行身份验证与授权验证的重要性(第16章,“验证与授权程序”,描述了这些验证方式)。
  保护敏感信息的程序,包括熟悉所有的数据分类系统。
  公司的安全策略与程序的定位,保护信息与企业信息系统的重要性。
  关键安全策略与它们的含义汇总。例如,指导每一个员工设定高强度的密码。
  每一个员工遵守策略的职责与不服从的后果。
  通过解说社会工程学介绍几种交互类型。攻击者为了达到他(或她)的目标,会非常频繁地使用不同的技术和通信方式,因此,一个成熟的培训程序应当包括以下内容的一部分或全部:
  涉及到计算机和语音信箱密码的安全策略。
  解密敏感信息或资料的程序。
  Email使用策略,包括防范恶意代码攻击(病毒、蠕虫和特洛伊木马)的安全措施。
  物理安全要求,比如佩戴证件。
  在遇到未佩戴证件的人时,有询问质疑的责任。
  良好的语音邮件安全习惯。
  如何确定信息分类和适当的安全措施。
  适当的处理敏感文档和过去存放过机密资料的计算机媒体。
  同样,如果公司计划使用渗透测试来确定针对社会工程学攻击的安全措施是否有效,应当警告员工注意这次练习,让员工们知道有时候他们会接到使用了攻击技术的电话或其它通讯,作为测试的一部分。测试的结果不会有任何惩罚,但是可能会需要一定范围内的额外培训。
  上述内容的详细资料可以在第16章找到。
  测试
  你的公司可能需要在员工使用计算机系统之前测试他们是否已经掌握了这些安全知识。如果你想设计一个测试程序,有许多评价设计软件程序能让你轻松地分析测试的结果,锁定需要强化培训的范围。
  你的公司可能会考虑提供一张证书作为奖励证明员工完成了安全培训。
  作为完成程序的一部分,建议让每一个员工签署一份遵守安全策略和规定的同意书。调查报告显示,签署了同意书的人会更加严格地遵守程序。
  持续的培训
  如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
  一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
  当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训程序最好的结构是与培训部门协同合作。
  持续的培训程序需要创造性地使用所有可能的频道传输安全讯息,因为记忆的可存储性,员工们会不时地想起好的安全习惯。除了使用所有传统的频道之外,还要加上许多能够想到的非传统方式,就像传统的广告一样,幽默、灵活地提供帮助。灵活多变的讯息可以让员工更加熟悉安全策略而无法忽视。
  持续的培训程序可能包括以下内容:
  提供本书的复印件给所有员工。
  在公司的新闻通讯中添加以下内容:文档,封装的提示(简短、引人注目的内容),比如漫画。
  张贴当月的安全员工照片。
  在员工区域张贴海报。
  张贴公告牌通知。
  为支票信封提供打印的外壳。
  发送email提示。
  使用安全相关的屏幕保护程序。
  通过语音信箱系统广播安全提示。
  打印电话贴纸,“你的呼叫者是他所声称的那个人吗?”
  设置电脑登录时的提示信息,比如“如果你要发送机密信息到email,把它加密。”
  把安全知识作为员工财政报告和年度评价的标准内容。
  在intranet(企业内网)上提供安全知识提示,可以使用漫画或者幽默文字,或者其它能吸引员工阅读的方式。
  在自助餐厅使用电子讯息显示板,频繁地更换安全提示。
  分发传单或小册子。
  还有一些小花招,比如在自助餐厅提供带有安全提示的免费饼干。
  威胁总是存在,安全提示最好也总是存在。
  “我能得到什么?”
  除了安全知识与培训程序之外,我强烈推荐宣传并推行奖励程序。你必须答谢成功阻止了社会工程学攻击、或者在其它方面对信息安全程序作出了杰出贡献的员工。应当在所有培训课程上告知员工奖励程序的存在,并在企业范围内公布违反安全规定的人的名单。
  从另一方面讲,人们必须认识到遵守信息安全策略的重要性是无法忽视或反抗的。虽然我们都会犯错误,但是重复的违反安全规定是不能容忍的。
  第十六章 推荐的信息安全策略
  由FBI主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻击,美联社在2002年4月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
  似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
  有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),否则社会工程学攻击将永远是企业面临的严重威胁之一。
  事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的攻击。
  本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或企业计算机系统与网络。
  什么是安全策略?
  安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
  有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接受的标准减小威胁。
  在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这里,是因为它们涉及到了一些攻击者常用的技术。例如, email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
  制定程序的步骤
  一个全面的信息安全程序通常从威胁评估开始:
  需要保护哪些企业信息资产?
  有哪些针对这些资产的具体威胁?
  如果这些潜在的威胁成为现实会对企业造成哪些损失?
  威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列,而不是对安全措施进行成本效益分析。首先想一想,哪些资产需要首先保护,保护这些资产需要花多少钱。
  高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样,如果一个安全程序成功了,管理层可以对其进行推广,前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性,每一个员工的工作都依赖于这一程序的成功。
  设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略,并解释为什么这些是重要的,否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档,并把它们分开来,因为这些策略可能会在执行的时候有小范围的修改。
  另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大