社會工程學對企業的滲透及未來可能趨勢的防御策略探究

吳蘊喆 周熙

蘇州高新有軌電車培訓學院 江蘇 蘇州 215000

1 常規滲透的形式

滲透的主要目的，是通過搭建帶有目的性的人際關系網，獲取重要信息，為后續的入侵提供可靠的情報支撐。目前針對企業的滲透形式有偽造身份的物理滲透、通過操控員工完成的滲透和非交互式滲透三種，以下將對上述滲透行為做出分析。

（1）偽造身份的物理滲透。常見的形式為冒充可以直接訪問企業關鍵設備和具有內網訪問權限的設備供應商人員，對目標企業網絡進行滲透;該手法利用收集到的信息，分析供應商人員的行為，并使用真實事件對目標企業進行誤導，在取得目標公司人員的信任后，通過對目標設備直接操作或執行后臺程序，實現對目標的滲透和信息收集。

（2）通過操控雇員完成的滲透。此類滲透是由外部滲透團隊和企業內部被滲透人員共同完成，受其性質的影響，可分為主動配合的和無意識配合兩種。

主動配合是指由內部雇員發起的，通過主動提供公司內部網絡的登陸及訪問權限及公司關鍵情報和資料，以報復公司或獲取利益為目的，其常用手法包括拷貝重要數據資料、發送郵件、對關鍵資料進行拍照或拍攝帶涉密視頻，并將其發送給滲透人員的行為。

無意識的作案是指受到誤導或由于知識結構缺陷，在自身不知情的情況下訪問魚網站、郵件，與社交軟件中所謂的同事或朋友進行聊天，或將不可靠的設備接入公司內部網絡，導致攻擊者通過間接的方式獲得對公司網絡的訪問權限，并以此為基礎進行橫向滲透，從而開展信息收集的行為，這種行為本身不存在主觀性，但因不知情而具有極強的隱蔽性[1]。

（3）非交互式滲透。非交互式滲透包含利用人性漏洞和網上信息收集兩種攻擊手法；利用人性漏洞是指攻擊者利用人性的缺陷，通過對目標人員贈送帶有后門的電子設備終端或存儲介質或設備，或者通過故意遺棄設備的行為，通過人性漏洞（占有欲），實現在非干預的情況下，由目標人員造成的滲透。該攻擊具有高度的隱蔽性和不可追蹤性，且當安全公司介入時，也只能追蹤到造成信息泄露的設備，且無法進行進一步的追蹤。網上信息收集是利用信息泛化的特性，通過網上披露的信息，對其進行收集整理，并以此為跳板，通過釣魚郵件或遠程入侵目標服務器，實現滲透的目的。

2 新技術下的滲透形式

新技術下的滲透，是指利用最新的技術產物與傳統滲透相結合，從而產生足以改變原有形式，提高滲透成功率并增加企業防范難度的手段。如近期出現的高仿人類面具，因其制作的緊密性和良好的擬態性，當運用于社工時，則有可能出現以下情況：

（1）針對目標身份的精確模擬。當高仿人臉應用于社會工程學時，將直接改變原有的滲透規則，只需收集特定人員的面部信息，通過制作與之臉部特征完全一致的高仿面具，就能實現對特定人員的面部模擬，該手法可以大幅增加目標單位人員的信任度，并讓對方無法起疑心，同時配合社工的使用，以達到滲透的目的，因其特有的欺騙性，可避免在后期取證中，因暴露在監控和目擊者環境下的產生的風險[2]。

（2）針對監控設備的身份逃逸。針對監控設備的逃逸是指在進行滲透期間，利用高仿人臉面具，對企業所安裝的監控設備進行欺騙。受制于當前監控技術的水平，最先進的監控系統僅能做到對人臉特征的識別，但因無法對面部的生物特征進行識別，所以即使遭到拍攝，也會因無法抓取真實的人臉信息造成身份逃逸，從而增加后期取證的難度。

3 針對社工滲透的防御策略

由于技術的不斷迭代，社工的滲透手法得到高新技術的不斷加持且隱蔽性逐漸增強，而高仿人臉面具作為新崛起的技術，因其具備的高擬態性和欺騙性，未來可能成為社工滲透中的一種手段，因此，針對傳統社工滲透和新技術加持下的滲透，可以采用以下對策：

（1）采用生物認證機制。生物認證機制指針對眼部虹膜特征的驗證、指紋和聲紋的驗證，由于其特殊性，虹膜、聲紋驗證具有不可復制的自然屬性，因此可信度非常高，具有抗身份偽裝能力，且現有的高仿人臉面具制作技術無法實現對聲紋、虹膜特征的還原，因此，可以通過采集相關人員、供應商人員的生物信息，建立虹膜、聲紋特征庫的辦法，對機房和限制區域采取先驗證后放行的策略，可有效杜絕社工人員通過物理手法對相關設備進行滲透可能[3]。

（2）二次身份確認制度。由于社工技術的特殊性，因此在面對面的過程中，對實體身份的二次確認會非常的重要，由于傳統的二次確認方法無法對佩戴高仿人臉面具的人員進行有效身份確認，因此在進行現場身份真實性確認時，因突破傳統手法，采取直接對個人進行確認的辦法，包括直接對個人采取現場電話呼叫確認、使用約定的暗號、佩戴不同的特使識別物的辦法，實現對身份的確認。若出現委托第三人來訪的情況，可要求對方配合進行多方身份驗證，從而杜絕因認知偏差導致的身份誤判。

（3）綜合手段提高安全。通過邀請第三方安全公司對企業進行滲透測試，找出存在的漏洞和薄弱環節，同時加強對雇員安全意識的宣傳和再教育，消除因不同崗位，學歷人員之間的認知偏差，建立統一的、完善的安全認知體系，此外還需從公司制度入手，規范訪客、身份查驗制度，完善網絡區域建設和訪問權限劃分，從根本上杜絕滲透帶來的破壞[4]。由于社會工程學的復雜性和特殊性，相比后期的排查，預防性手段可以在很大程度上杜絕因滲透造成的信息外泄和損失，并杜絕由此浪費的人力、物理成本，只有重視系統安全的重要性，不斷完善、優化體制建設，實現規范化、標準化的操作流程，才能保證企業的信息安全。