|
教你如何保护企业数据安全畅享网:“现在的电脑防御比过去15年都坚固,而员工的安全防护意识相对比较薄弱。”系统网络安全协会(SANS Institute)人类防御计划培训主管Lance Spitzner称,“系统中最薄弱的一环已不是其他任何东西,正是人类自己。” 由于技术方面的可乘之机已是不多,黑客们开始寻找其他的方法潜入。黑客们于是通过缺乏密码防护经验的员工下手。这些员工通常会写错误密码,当然无法安全地分享数据。 谈及安全密码,境况同样堪忧。6月,剑桥大学Joseph Bonneau对Yahoo 公司7000万用户密码研究分析,用以评估破解密码的难度。Bonneau总结称,人们往往将密码设得过于简单。 撇开安全知识,以及保护资产安全的资源不谈,只有将重心放在公司最薄弱的一环:你的员工上,你的公司才能够取得很大的成功。 “现在的电脑防御比过去15年都坚固,而员工的安全防护意识相对比较薄弱。”系统网络安全协会(SANS Institute)人类防御计划培训主管Lance Spitzner称,“系统中最薄弱的一环已不是其他任何东西,正是人类自己。” 人为因素,系统安全的七寸 “我们将社会工程定义为一种认知过程,了解是什么因素触发了人类思考,习惯,以及反应,然后运用这些情绪反应,促使人们做出你想要的反应,”安全教育机构共同创始人Chris Hadnagy表示。 Hadnagy不仅是Social-Engineer机构创始人,曾经出版了《社会工程学:解析人心的艺术》一书。 2010年第18届DEF CON黑客会议上,Social-Engineer机构组织了第一次社会工程“夺旗比赛”,演示社会工程师如何瓦解企业的防御体系。 DEF CON会议召开之前2周,组织者给每位参与竞赛的业余社会工程师一个公司名(真实存在的)。在这两周内,工程师们需使用“正统的”技术(如Google搜索),填写一张所指派公司的资料档案。他们不能与公司进行接触,无论是通过邮件,电话或其他任何途径。不过在网络上,这些人不受任何限制。在公平竞争原则下,工程师们可以放开手脚大干一场。档案用于创建公司的配置文件,绘制“攻击路线”,使目标公司的员工自己暴露“旗帜”以及公司信息。 Social-Engineer机构负责整理参赛者的胜利成果,比如谁掌握了公司磁带备份,谁查出员工使用的浏览器及其版本,或这个公司是否有自助食堂,食堂谁开的等等。FBI将对成果列表,以及竞赛规则进行审核,严禁参赛者窃取公司密码,IP地址,或其他机密数据。“若你能让员工透露那些信息,那你就有办法让他透露更多。”Hadnagy称。 会议上,当着现场观众面,每位参赛者都有25分钟时间,打电话给目标公司,获取尽可能多的信息。参赛者们共打出140通电话,与目标公司员工进行对话。其中只有5位员工拒绝透露参赛者询问的信息。社会工程师不仅仅通过电话撒网。使用看似来源正规的邮件,进行钓鱼欺诈,是社会工程学最好的一个例证。 常见诱因----低系数安全密码 谈及安全密码,境况同样堪忧。6月,剑桥大学Joseph Bonneau发布对Yahoo 7000万用户密码研究分析结果,以评估破解密码的难度。Bonneau总结称,人们往往将密码设得过于简单。 “评估难度时,我们惊讶的发现少许变化;每一组类似的用户,生成的密码强弱分布图大致相同,”Bonneau写到,“进行类似支付卡登记等安全防范时,如年龄及国籍之类的人口因素,对密码设定产生的影响最大。甚至,我们努力推荐用户选择更安全的图像记忆法的努力,然而收效甚微。更出乎意料的是,语言完全不相同的两组用户,选择了相同的低系数密码,破解不同族群的密码时,只需突破一个族群即可,黑客甚至无需再费心改选多国词典的语言选项。” 培养安全意识,制定训练计划 “我们建议的对策是安全意识培养,以及安全教育,事实证明这些方法确实有用,”Spitzner称。不过机构内的安全意识培养计划少有完整实现的。原因在于,这些计划根本从设计上就不符合实际。事实上,公司可以建议安全指导委员会,用于以培养员工的安全意识。委员会可由5至10名志愿者组成,但志愿者需来自不同部门不同职位,以策划,执行,并维持安全培养计划的正常运作。Spitzner建议,志愿者范围最好从审计到律师都囊括。他指出,委员会成员要做的不仅是指导,还需使公司安全培养计划进入正轨。 多问自己“谁”,“什麽”和“为什麽” 指导委员会一旦建立,就需要制定计划,回答三个问题:谁,什麽,为什麽。首先回答“谁”。 Spitzner称,他见过最常见的错误是,公司妄图建立统一的安全意识,建立单一的培养计划。 “不少培养计划制定得简单而草率,”他表示,“一项切实的计划,能帮助你明确目标和范围。” 许多时候,针对不同的员工/合约商,IT工作人员,客服人员,高级主管,需要拟定不同的培养计划。“机构内无论是谁,所有人,哪怕接触一丁点数据的,你都要进行安全意识教育。”Spitzner称。 目标确定后,指导委员会需要为每一目标划分学习内容。Spitzner建议称,与其涉猎广泛,却只得皮毛,不如挑选会产生重大影响的主题。每一机构的需求,所面对的风险各不相同,因此,对每一主题进行风险评估,也许会有所帮助。常见主题包括:密码,社会工程,顺从性,邮件和即时通讯,网页浏览及浏览器,社交网络,移动设备的安全问题,数据保护,以及数据销毁。 之后,指导委员会需要制定方法,确保员工参与其中。“你会怎样说?你必须将安全意识视作一件商品,”Spitzner称,“若想员工配合,不要仅仅关注企业利益,还要重点放在员工的利益上。多数情况下,通过安全意识教育,不仅员工收获良多,企业也有所获益。”同时,Spitzner建议,应规避统一的,长时间密集训练。相反,他表示,应将主题化整为零。每一主题保持在3至5分钟内。训练前期,最好视频短片及内训穿插进行,辅以时事通讯,甚至可以评估钓鱼实例巩固培训效果。最后,安全意识培养计划需制定标准,以测量员工对计划的积极性,以及培训后他们行为改变了多少。陪养计划至少1年更新1次,根据制定的标准,对计划再次评估。 责编:孔维维 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
最新专题 |
|