前段时间去360听了个讲座,有位讲师给我们分享了一本书,便是《反欺骗的艺术》。回去后便在网上下单买了回来,看了一半,深感收获很大,趁热打铁,想自己根据自己的理解、世界观来进行总结一下。
2018年8月13日,初踏入网络安全这个行业,也正是在学习中,所了解的知识没有那么深,但是很想基于现在的知识自己进行一个阶段性小结。网络的世界没有绝对的安全,有人参与的地方就有漏洞,人,是安全过程中最薄弱的环节。
最理想也是最不现实的网络安全环境便是“路不拾遗,夜不闭户”,但是在现实的世界,比如说你的数据库不加密,很轻而易举的便可以访问,虽然国家于2017年06月01日颁布了,但是如此方便的可以获得一个企业的数据,虽然知道这样做是犯法的,会有人放在那儿自觉地不去获取数据么?企业间的竞争、黑色产业链所带来的利益,足以使得很多人走上违法犯罪的道路上。教育,提高人们内心的正义感,对社会的责任感的确可以很大的减少违法的事情,但是,人性的弱点是不可能通过教育来消除的,这一点将会是永远存在的(最起码未来的时间里是不会消失的,若是人类未来出现再度进化可能会实现),所以我们要学习了解一些人性的弱点,人类的心理,同时还有特别重要的一点,要经常性的进行自我思考,反思自己的弱点,改正自己的错误,弥补自己的不足,身为一个安全人员,做到自身最起码是安全的。
在这本书中,给出的社交工程的定义是利用影响力和说服力来欺骗人们,使他们相信社交工程师所假冒的身份,或者被社交工程师所欺骗。因此,社交工程师能够利用这些人来得到重要的信息,这个过程中可能利用到技术手段,也可能根本用不到技术手段。所以,一个有些规模的公司,除了要注意技术上的安全之外,也一定不要忽视员工方面所可能带来的信息泄露。这本书里有一句话“安全不是一个产品,是一个过程。”一个公司,并不是采购了一些安全软件并且使用或者在研发过程中采取了安全措施就万无一失了。安全不仅仅是一个技术问题,而且还是人与管理的问题,网络安全更重要的还需要融入公司的每日的运行程序中去。
社交工程师们在进行攻击之前肯定会利用各种渠道了解这个公司的地址、行话、工作流程等,当接到一个陌生电话并且对方声称是公司的工作人员时,一定要进行身份确认,如可以用一个公司内部记录在案的电话号码进行身份确认;他们还会装作社会上各种需要调查了解的工作人员来对你进行咨询,这时候你一定不要暴露公司内不得信息,及时是你认为并不重要的信息,例如你的员工号等,他们深知将“关键问题隐藏在无关紧要的问题当中”,在交谈的结尾,有经验的攻击者们一般会加上几个无所谓的问题,闲聊两句,混乱你对之前问题的记忆;凡是通过电话等涉及到公司信息交谈的时候,一定不要单单因为听起来像个公司的内部人员而去透漏某些公司的可能你认为的无关紧要的信息,即使是公司内部人人都知道的信息;在中国的文化中,酒文化在中国的交际中有着很重要的地位,所以,凡是掌握公司一些比较重要的信息的工作人员,最好不要饮酒,即使饮酒,也一定要控制在自己理智大脑自控力的范围内,切忌“酒后吐真谈”、“酒壮怂人胆”。
在企业的网络安全防范的针对工作人员的这一块,需要制定具体的措施来要求工作人员,并且还需要不时地提醒。制定一项政策,禁止将公司内部的信息,即使在你看起来无关紧要的信息告诉外部人员,更重要的是要制定一个可以具体逐步执行的程序,确认某人是否是真的公司员工,当公司员工手机号或者其他的联系方式更改时候,一定要及时更新公司记录在案的联系方式;类似于职员号码等这一类的信息,不能被用作身份的验证凭据,必须要培训每一个员工,不仅要验证请求者的身份,还要看他是否有必要知道所请求的信息;培训员工时,当有陌生人提出问题或者请求帮助时,要学会首先有礼貌地拒绝,直到他或她的请求被通过验证为止。