警惕“社會工程學”攻擊!

信息產業數字化進程逐步深入，各行業與信息化的結合越來越密不可分——數字化油田、數字電網、物聯網、數字化家庭、數字云#8943;#8943;信息化的快捷和便利已成為社會發展和進步不可缺少的催化劑。然而，信息化的“雙刃劍”效應也隨著信息化的普及和發展逐步凸顯。

隨著安全防護技術的日益完善，利用技術弱點對信息系統進行攻擊變得越來越困難，攻擊者開始更多地轉向利用人的弱點。傳統的信息安全集中于防火墻、入侵防御和桌面安全、行為審計、身份認證、數據加密等先進的產品技術解決方案，使得信息安全在一定程度上取決于技術完備性。企業希望通過采購大量的安全產品，并通過安全防護產品的組合，來保護公司及員工的信息資產安全。但是，花費大量資金打造的傳統安全防護體系往往會被很多低成本、低科技含量的非技術因素——“社會工程學”攻擊輕松繞過。

非技術弱點

美國黑客凱文#8226;米特尼克在其自傳《欺騙的藝術》一書中，對社會工程學在信息安全領域的應用進行了如下定義：“通過心理弱點、本能反應、好奇心、信任、貪婪等一些心理陷阱進行的諸如欺騙、傷害、信息盜取、利益謀取等對社會及人類帶來危害的行為。”

現實社會利用社會工程學進行攻擊的手段多種多樣，其中一個代表應用是“網絡釣魚”。社會工程師利用欺騙性的電子郵件和偽造的網絡站點來進行詐騙，專門騙取電子郵件接收者的個人資料，例如身份證號、銀行密碼、信用卡卡號等信息。

其次，攻擊者也通常會利用“垃圾桶”來收集有效信息，一些公司對打印過的文檔不進行粉碎處理，攻擊者就會在公司垃圾中找到諸如標書標底等商業信息。

上述兩個案例都存在一個共性：并沒有利用任何高技術含量的攻擊手段，并且企業花巨資建造的信息安全系統對于上述“攻擊”并沒有任何干預，可是，社會工程攻擊者已經拿到他們需要的足夠的個人及企業信息了。

社會工程學攻擊者的主要攻擊手段，是選擇“非技術弱點”進行攻擊。這些非技術弱點通常體現在對人性及人格特質的利用，例如：逃避責任、義氣、愧疚、輕信、野心等。“人”是攻擊者最主要的突破口。從某種意義上講，突破“人”這道防線通常比通過技術手段攻破防火墻更容易，甚至不需要很多投資和成本，冒的風險也很小。

企業的信息安全漏洞

對于企業信息安全來講，容易招致社會工程學攻擊的主要有兩個因素：第一，員工安全意識匱乏，處于被攻擊的情景中而不自知；第二，企業信息安全方案及流程的制定存在缺陷，且缺陷往往由非技術因素導致。

根據美國內政部2009年的調查報告顯示：“在美國，99%的用戶終端安裝了防病毒軟件，然而82%的終端仍舊被病毒感染；98%的用戶使用了防火墻，73%的用戶設置了IDS入侵防護系統，但是，仍舊有36%的用戶被滲透。75%的經濟損失是由于用戶缺乏安全意識而帶來的安全隱患造成的。”

企業通常在規劃終端安全方面會考慮例如殺毒軟件、密碼加密等技術手段；可是，很少有流程會關注如何使員工能夠提高安全意識。很多安全規劃者認為，基本的安全意識對于用戶來講應該是常識；如何建立安全流程去普及安全意識，并使之成為安全常識，往往在企業信息安全規劃中未被提及。例如：很多用戶并不認為復雜的計算機密碼對于個人計算機安全非常重要，他們只是簡單地設置了一個密碼，就認為其電腦已經被保護起來。實際上，用戶設置的這個簡單密碼很容易會被社會工程學攻擊者攻破。這在某些安全專家看來，應該是一個安全常識的問題，所以在規劃企業信息安全的時候常常被忽略，并沒有將普及安全常識作為企業安全規劃中的重要環節之一。

很多企業在規劃信息安全建設時，會通過安全評估發現企業自身信息系統及網絡的脆弱性，并制定一系列的方案和流程去應對。但是，很少有企業或者說企業很難花大力氣去檢測和測試這些方案和規劃的實際安全保護作用。因此，其可能存在的設計缺陷會給社會工程學攻擊者帶來很多機會。

例如，某公司為其互聯網訪問內網安全提出了VPN的解決方案，方案主要通過技術手段解決了互聯網訪問內網采用加密而不是非加密方式的安全問題。然而，該解決方案并沒有制定嚴格的賬號管理制度與流程，公司的一些員工在離開公司后，沒有相關的流程將其賬號收回，導致在員工離開公司后，一些社會工程學攻擊者會利用這些離職員工得到企業的VPN賬號，對企業內網的信息進行竊取，給企業帶來重大的損失。

三分技術、七分管理、十分警覺

傳統的信息安全觀主張“三分技術，七分管理”，但無論是技術還是管理的核心，都是圍繞那些不斷發展的物質技術因素和外在行為因素，而忽視了處于核心地位的人的內在心理因素。因此，當先進的技術和嚴密的管理也不能保證信息安全時，信息安全專家們意識到還要研究傳統信息安全之外的東西：

1. 信息安全意識是最有效的安全防護手段，為企業信息安全架構建立安全意識宣貫環節，用以強化企業信息安全文化。

安全文化這一概念是國際核安全咨詢組在《關于1986年切爾諾貝利事故的事故后會議總結報告》中引入的：“安全文化是組織和個人所具有的特征和態度的這樣一個組合體：它保證作為首要事情的核設施的安全問題受到與其重要性相稱的重視。”個人和組織對安全的意識在整個安全體系中發揮著重要作用。在企業進行信息安全規劃時，合理地在企業信息規劃架構中建立安全意識宣貫環節，是完成企業信息安全防護的最有力保障。

2. 在企業的信息安全流程中強調信息安全事件通知環節。

在攻擊發生時，很多攻擊行為已經被發現，但是很多社會工程學攻擊者意識到，他們所攻擊的目標雖然意識到了自己被攻擊，但是并沒有將攻擊事件通告給其周圍的用戶，因此，他們只需要將攻擊的手法稍加改變，還是可以在此前被攻擊的用戶周圍繼續實施攻擊。所以，企業在信息安全流程中，應該建立或強調安全事件發生后的通知環節，減少攻擊后影響的范圍。這樣做的另一個好處是：安全事件的通知過程同時也輔助和加強了安全宣貫環節，提高了企業整體的非技術攻擊事件防護能力。

3. 尋找社會工程學攻擊專家來測試企業信息安全系統的安全性。

檢測企業整體安全策略及有效性的一個比較有效的方法是社會工程學測試。然而，目前絕大多數安全評估和測試工作都圍繞著設備及信息硬件架構的脆弱性展開，很少有企業會評估企業人員環節所帶來的潛在安全脆弱性。在中國，這類專業測試機構還沒有。但是，企業可以對大量的社會工程學案例進行研究討論，在企業內部選派各行業的專家來模擬完成此類測試。

“社會工程學”攻擊引起的信息安全事件，是對傳統信息安全觀念的挑戰。傳統信息安全邊界必須延伸到“非技術因素”攻擊，從信息安全防護角度采取“先發制人”的戰略，突破傳統信息安全的被動防御戰術，主動分析人的心理弱點，提高人們對欺騙的警覺，同時改進技術體系和管理體制存在的不足，從而建立更全面的信息安全防護體系。

鏈接

什么是“社會工程學”？

社會工程學是一種黑客攻擊方法，利用欺騙等手段騙取對方信任，獲取機密情報和信息。