Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3041909
  • 博文数量: 167
  • 博客积分: 613
  • 博客等级: 中士
  • 技术积分: 5473
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-13 21:35
个人简介

人, 既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,无他,唯智慧耳。

文章分类
文章存档

2015年(19)

2014年(70)

2013年(54)

2012年(14)

2011年(10)

分类: 网络与安全

2014-12-08 15:46:24

   中断了好久,本想周末整理更新一篇,不想突然烧到39.5度,呼吸憋气费力,一个人去医院打针吃药,今天终于慢慢缓过劲来,赶紧拾起上周五看的章节,趁印象还清晰,来记录下这章节的收获。之前介绍了社工工程师实施攻击的一些具体方法,接下来要以企业作为目标,开展社工攻击。这部分的事例由于企业的防护要比个人或私人组织更为严密高级,因此攻击的门槛有所提升,完整复述整个攻击案例也不现实。因此我们会重点介绍如何防范对应的社工攻击,同时简要地提带相应的攻击事例。
一、非工作时的保护
   工作时间由于人员齐备,社工工程师想下手或者亲临现场都是有很大风险的,但是当下班后,非工作时间内,社工工程师面对的也就只有寥寥的保安人员了。尽管保安人员意识高,社工工程师依旧可以欺骗他们。比如下面这个简单的例子,Joe想晚上去某航空公司的加工厂参观,实地考察各种飞机,但是作为一个外部人员,如何能够成功呢?
Step-1. Joe先给市场部打电话,询问市场部的头和职员,拨打他们的分机,从分机的无人提示语音中得知了领导和职员的姓名以及分机号;
Step-2. Joe假冒职员Tom的身份给保安亭打电话,说市场部夜里2点会有两个同事来帮助项目,请求放行;
Step-3. Joe晚上如约而来,保安亭没有看证件直接放行;
Step-4. Joe在加工厂自由参观时被巡逻保安发现,并被带到保安办公室详细查问;
Step-5. Joe主动提出给其上司打电话核实身份,电话接通后自顾自地说完,直接挂断电话,不给保安直接从电话中核实身份的机会;
   如此,一个社工工程师巧妙地混入了安保严密的航空公司的加工厂。这个事例告诉我们,在非工作时间必须要求进出人员携带必要的身份标识牌,尤其是对于敏感信息保护的部门,应当教育和鼓励员工盘问哪些没有佩戴证件的人,高层员工必须学会接受这样的质疑,不要让拦住自己的人尴尬。甚至公司制定政策,对于不按要求携带证件的人进行惩罚,比如当日工作无效没有工资等等。

二、垃圾翻寻
   这部分感觉不需要过多叙述了,看看现在每个公司都配备的碎纸机,就晓得现在公司是多么注意保护重要文件了,当然,对于一些机密人员的安全意识当然毋庸置疑,对于一些可以偶尔接触机密信息的一般人员的文件垃圾处理要求,也应当严格要求。
   除了文件材料,还有不用的计算机介质,必须确保其变得不可再用或完全删除;管理好清洁人员,他们其实能够经常接触机密的公司材料,比如早上打扫卫生的时候,你的办公室是不是开着门桌上放着项目材料等着保洁员来光顾?
三、向员工说再见
   这里要说的是,我们要提防心怀不满的员工,尤其是那些被解雇或降职的员工,他们很有可能利用熟悉公司内部环境的便利,报复公司或领导。这就要求制定严格的员工离职手续,有政策立即停止员工的计算机访问权,回收员工的身份证件以及任何钥匙和电子访问设备。
四、不要忽略任何人
   这里主要讲的是对于那些衣冠楚楚的人不要放低警惕,网上有很多西服革履的诈骗犯,同样的心理规律也会被社工工程师利用,当然,社工的目的不是金钱,而是信息,有点类似于经济间谍,但是却不仅于此。举止友好、穿戴整齐、像是专业人士、自称来自异地部门同事的人可能并不是表面的那样。
五、安全的IT
   不知道大家是否意识到,其实公司中最容易接触隐秘信息的正是IT部门的员工,他们可以轻易地查看每个人的工资、薪酬、出差记录,凡是电子记录的信息,IT部门的员工都可以近水楼台先得月。对应措施是建立严格的访问审计、授权机制,控制信息的非法访问。






阅读(7721) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~