第 36 节
作者:
做男人挺好的 更新:2022-10-30 13:52 字数:4764
另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大部分的操作系统都能用指定的规则(比如长度)限制用户密码。在一些公司,可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下,策略应当要求使用安全技术代替人为的判断。
必须忠告员工不遵守安全策略与程序的后果,应当制定并宣传违反策略的处罚。同样,要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时,应当在公司范围内广泛地宣传,比如在公司时讯中写一篇文章。
安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐,员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因,而不是简单地告诉他们绕过策略是不允许的。
值得注意的是,信息安全策略不是固定不变的,就像商业需要变化一样,新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序,可以通过企业内网或公共文件夹让企业安全策略与程序不断更新,这增加了对策略与程序频繁审核的可能性,并且员工可以从中找到任何与信息安全有关的问题和答案。
最后,使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略,应当告知员工有时候可能会进行这种测试。
怎样使用这些策略
本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集,因此,这些策略并不是一个完整的列表,更确切的说,它们是创建合适的安全策略的基础。
企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求(基于商业需要、法律规定、企业文化和信息系统)的企业都能在这些介绍找到所需的策略,而忽略其它的内容。
每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工(当然攻击者还可以伪装成厂商)。同样,一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标,虽然这样做会增加风险。
数据分类
数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工了解每一种信息的敏感等级,从而提供了保护企业信息的框架。
没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在少数员工手里。可想而知,员工的决定在很大程度上依赖于主观判断,而不是信息的敏感性、关键程度和价值。如果员工不了解被请求信息的潜在价值,他们可能会把它交到一名攻击者手里。
数据分类策略详细说明了信息的贵重程度。有了数据分类,员工就可以通过一套数据处理程序保护公司安全,避免因疏忽而泄漏敏感信息,这些程序降低了员工将敏感信息交给未授权者的可能性。
每一个员工都必须接受企业数据分类策略培训,包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人,甚至是实习医生——都有可能访问敏感信息,任何人都能成为攻击的目标。
管理层必须指定一个信息所有者负责公司目前正在使用的任何信息,信息所有者的职责之一就是保护信息资产。通常,所有者负责确定基于信息保护需要的分类等级,周期性地评估分类等级,并在必要的时候对其进行修改,信息所有者可能还会负责指定管理人员或其他人员来保护数据。
分类类别与定义
应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统,重新分类信息将十分昂贵和费时。在我们的策略范例中,我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类,商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司,三个等级的分类方案可能就够了。记住——分类方案越复杂,企业培训员工和执行方案的费用就越高。
机密是最敏感的信息分类,机密信息只能在企业内部使用。在大多数情况下,机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司(股东、商业伙伴和(或)客户)。机密信息通常包括以下内容:
商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。
并不公开的销售和财政信息。
关系到公司运转的其它任何信息,比如商业战略前景。
私有是仅在企业内部使用的个人信息分类。如果未授权的人(尤其是社会工程师)获得了私有信息,员工和公司都将受到严重影响。私有信息内容包括:员工病历、健康补助、银行帐户、加薪历史,和其它任何没有公共存档的个人识别信息。
注释:
内部信息分类通常由安全人员设定,我使用了“内部”这个词,因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级,而是查阅机密、私有和内部信息的快捷方式,用另一句话说,敏感程度涉及到了任何没有指定为公共权限的公司信息。
内部信息分类能提供给任何受雇于企业的员工。通常,内部信息的泄漏不会对公司(股东、商业伙伴、客户或员工)造成严重影响,但是,熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商,从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。
必须在传递内部信息给第三方(提供商、承包人、合作公司等等)之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息,比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。
公共信息被明确规定为公共可用。这种信息类型,比如新闻稿、客服联系信息或者产品手册,能自由地提供给任何人。需要注意的是,任何为指定为公共可用的信息都应当视为敏感信息。
数据分类术语
基于其分类,数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息,在这些策略中,未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工,还有无法保证可信的第三方。
在这些策略中,可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问,也可以是与你的公司有合作关系的人(比如,客户、厂商或者签署了保密协议的战略合作伙伴)。
在第三方的保证中,可信的人可以验证一个人的职业或身份,和这个人请求信息或操作的权限。注意,在某些情况下,这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。
特权帐户是指需要超越基本用户帐户权限的计算机(或其它)帐户,比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。
常规部门信箱是指回答一般问题的语音信箱,用来保护在特殊部门工作的员工的名字和分机号码。
验证与授权程序
信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴,使用欺骗策略访问机密商业信息。为了保护信息安全,员工在接受操作请求或提供敏感信息之前,必须确认呼叫者的身份并验证他的权限。
本章中推荐的程序能帮助一名收到请求(通过任何通讯方式,比如电话、email或传真)的员工判断其是否合法。
可信者的请求
针对可信者的信息或操作请求:
确认其是否当前受雇于公司或者有权访问这一信息分类,这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。
验证此人是否有权访问信息或请求操作。
未核实者的请求
当遇到未核实者的请求时,必须使用一个合理的验证程序确认请求者是否有权接收请求的信息,尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键:只要实施了这些验证程序,社会工程学攻击成功的可能性将大大减小。
需要注意的是,如果你把程序设置得过于复杂,将超过成本限制并被员工忽略。
下面列出了详细的验证程序步骤:
验证请求者是他(或她)所声称的那个人。
确认请求者当前受雇于公司或者与公司有须知关系。
确认请求者已被授权接收指定信息或请求操作。
第一步:验证身份
以下列出的推荐步骤按有效性从低到高排列,每一条中还加入了社会工程师行骗的详细说明。
1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫者提供的身份。
弱点:外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字,并通过列出的分机号码回拨确认请求者的身份。
弱点:当员工回拨电话时,准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN码,或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,以减小被发现的可能性。
第二步:验证员工身份
最大的信息安全威胁并不是专业的社会工程师,也不是熟练的计算机入侵者,而是刚刚解雇想要报复或者偷窃公司商业信息的员工。(注意,这一步骤的另一个版本可用于和你的公司有另一种商业关系的人,比如厂商、顾问或契约工人)
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前,使用下面这些方法验证请求者是否仍是公司的员工:
查看员工目录。如果公司有一份活动员工目录,可以查看请求者是否仍在列表中。
请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司,而不是使用请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组,从该部门或工作组的任何人那里确认请求者仍是公司的员工。
第三步:验证权限
除了验证请求者是否为活动员工或者与公司有关联之外,仍然有必要确认确认请求者已被授权访问所请求的信息,或者已被授权指导指定的计算机或计算机相关的设备操作。
可以使用以下这些方法进行验证:
职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息,并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常,信息所有者应当负责创建并维护这一列表,监控信息的访问。
注释
值得注意的是,维护这种列表是在邀请社会?