F-第十五章-信息安全知识与培训

F-第十五章-信息平安知识与培训F-第十五章-信息平安知识与培训1/2F-第十五章-信息平安知识与培训第十五章信息平安知识及培训(中文完整版)一个社会工程师已经关注你的新产品发布安排两个月了。有什么能阻挡他？你的防火墙？不行。强大的验证设施？不行。入侵检测系统？不行。加密？不行。限制调制解调器的访问？不行。编码服务器名称，使入侵者无法确定产品安排所在的服务器？不行。事实上，没有任何技术能防范社会工程学攻击。平安技术,培训和程序很多公司在他们的平安渗透测试报告中说，他们对客户公司计算机系统实施的社会工程学攻击几乎可以百分之百胜利。运用平安技术的确可以让这些攻击更难实施，但唯一真正有效的方法是，将平安技术和平安策略结合起来，规范员工行为并适当地进行培训。只有一种方法能让你的产品安排平安，那就是接受过平安培训的负责任的员工。这不仅涉及到平安策略和平安程序的培训，还包括了平安知识的培训。一些权威人士建议把公司40%的平安预算用在平安知识的培训上。第一步是让企业的每一个人都相识到那些能操纵他们心理的人的存在，员工们必需了解信息须要哪些爱护及如何爱护。当人们了解了操纵的细微环节时，他们便能在攻击初期更好地处理。平安培训也意味着让企业的全部员工了解公司的平安策略及程序，就像在第17章所探讨的那样，策略是指导员工行为爱护企业信息系统及敏感信息所必需的规则。本章和下一章供应了一张把你从可怕的攻击中解救出来的平安蓝图。假如你没有培训并警告员工遵循谨慎考虑过的程序，这或许没什么大不了的，在你被社会工程师窃取珍贵信息之前。不要等到攻击发生才制定这些策略：这对你的事业和你的员工福利将是毁灭性的。了解攻击者是怎样利用人的天性的为了制定一套胜利的培训程序，首先你必需了解为什么人们简单遭遇攻击，在你的培训中识别这些倾向——比如，通过角色扮演探讨引起他们的留意——你能扶植你的员工了解为什么我们都能被社会工程师轻易地操纵。社会科学家对心理操纵的探讨至少已经有50年了，罗伯特•B•西奥迪尼（RobertBCialdini）在科学美国人（2001年2月）杂志中总结了这些探讨，介绍了6种“人类天性基本倾向”。这6种倾向正是社会工程师在他们的攻击尝试中所依靠的（有意识的或者无意识的）。权威当恳求来自权威人士时，人们有一种听从的倾向。就像本书其它地方所探讨的那样，假如人们信任恳求者是权威人士或有权进行这样的恳求的人，他（或她）便会毫不怀疑地执行恳求。在西奥迪尼博士写的一篇论文中，一个声称是医院医师的人打给三家中西部医院的22个独立护士站要求她们为病房的一个病人送去处方药，收到这些命令的护士们根本不相识呼叫者，她们甚至不知道他是否真的是医师（他不是），她们是从里收到处方药的命令的，这明显违反了医院的策略。她们被要求送给病人的药物是未授权，并且剂量是每日最大剂量的两倍，这足够危及病人的生命了。然而在95%的案例中，西奥迪尼写道，“护士从病房医药箱中取出了足够的剂量并把它给了病人。”之后视察者阻挡了护士并说明这是一次试验。攻击举例：一个社会工程师试图伪装成IT部门的权威人士，声称他是公司的主管（或者为主管工作的人）。爱好当作出恳求的人很可爱或者及被恳求者有相同的爱好,信仰和意见是，人们总是倾向于听从。攻击举例：通过交谈，攻击者设法了解了目标的爱好或爱好，并声称他也有相同的爱好或爱好，或者来自于同一个州或学校，或者有相像的目标。社会工程师还会尝试仿照目标的行为创建相像性。报答当我们被赐予（或者许诺）了一些有价值的东西时，我们可能会自动地同意恳求。礼物可以是资料,建议,或扶植，当有人为你做了一些事情时，你会倾向于报答他。这种剧烈的报答倾向甚至在你收到了并不须要的礼物时依旧存在。让人们“帮忙”（同意恳求）的最有效的方法之一就是赐予一些礼物形成潜在的债务。哈瑞奎师那教徒擅长此道，他们会送书籍或者鲜花作为礼物，然后等待回报。假如收到礼物的人想要归还礼物，赐予者便会拒绝并说明，“这是我们给你的礼物。”这一回报行为法则被奎师那教徒们用在了增加捐款上。攻击举例：一个员工接到了自称是IT部门的人的，呼叫者说明说公司的一些电脑感染了还没有被杀毒软件识别的破坏电脑文件的新病毒，并建议他进行一些步骤来防卫病毒。在这之后，呼叫者让他测试了一个允许用户更改密码的加强版软件程序，这名员工很难拒绝，因为呼叫者是在扶植他防卫病毒，他的回报就是响应呼叫者的恳求。守信当人们公开承诺了或者认可了一些事情时，会倾向于听从。一旦我们承诺了一些事情，为了避开自己成为不可信任或者不受欢迎的人，我们会倾向于坚持我们的立场或承诺。攻击举例：攻击者联系上了一个新员工并提示她遵守某些平安策略及程序，比如允许运用公司信息系统的状况。在探讨了一些平安规定之后，呼叫者向用户恳求她的密码进行“敏捷度检查”以选择高强度的密码。一旦用户说出了她的密码，呼叫者便会提出一些创建密码的建议使攻击者无法揣测密码。受害人听从了，因为她之前已经答应遵守公司的策略，并且她认为呼叫者只不过是在帮她检查密码是否合适。社会认可当要做的事情看上去和别人所做的事情一样的时候，人们会倾向于顺应恳求。当其他人也这样做时，人们就会认为这些（值得怀疑的）行为是正确的。攻击举例：呼叫者说他正在进行一次调查并说出了部门中的其他人的名字，他声称这些人已经和他合作过了。受害人信任其他人已经确认了这一恳求的合法性，于是呼叫者问了一系列的问题，其中一项引导受害人说出他的计算机用户名和密码。短缺当人们信任物品供应不足并且有其他竞争者（或者只在短时间内有效）时，便会倾向于顺应恳求。攻击举例：攻击者发送了一封email声称在公司的新网站上注册的前500个人将赢得一部热门电影的电影票。当一名毫不怀疑的员工在该网站上注册时，他会要求供应他的公司email地址并选择一个密码。有很多人为了便利，总是倾向于在他们运用的每一个计算机系统上运用相同或相像的密码，利用这一点，攻击者便能运用此用户名和密码（在网站注册过程中填写的）攻击目标的工作或家庭计算机系统。创建培训程序发行一本平安策略手册或者让员工关注企业内网上的平安策略资料，这些都不会单独削减你面对的威胁。每一家商业公司都必需写下这些策略具体地制定规则，而且必需对涉及企业信息或计算机系统的每一个人进行额外的引导，让他们学习并遵循这些规则。此外，你还必需确保他们理解了每一条策略的制定缘由，这样他们才不会为了便利而绕过这些规则。另外，员工的借口恒久都是“不了解”，而这正是社会工程师所利用的弱点。任何平安识别程序的首要目标都是影响人们改变他们的行为和看法，激励员工参及到企业信息资产的爱护中来。在这种状况下的一种很好的激励方式是向员工说明他们的行为不仅能让公司受益，对他们个人也很有好处。假如公司对每一位员工都保留了一些隐私信息，则当员工们尽职爱护信息或信息系统时，他们事实上也爱护了他们自己的信息。平安培训程序须要覆盖允许访问敏感信息或企业计算机系统的每一个人，必需正在实施，还必需不断地修订及更新以应对新的威胁和攻击，员工们必需看到高级管理人员完全遵守了程序规定，承诺必需是真实的，而不是橡皮盖章的“我们承诺”备忘录，并且程序还必需有足够的资源支持其发展,通信及测试。目标发展信息平安知识及培训程序的基本原则是让全部员工意识到他们的公司在任何时候都有可能遭遇攻击。他们必需相识到每一个员工都扮演着爱护计算机系统或敏感数据的重要角色。因为信息平安在很多方面都涉及到了技术，所以员工会轻易地认为问题已经被防火墙或其它平安工具处理了。培训的一个主要目标就是让每一个员工相识到他们处在爱护企业整体平安的最前沿。平安培训必须要有一个深化的,较大的目标，而不是简单地制定规则。培训程序设计者必需相识员工所面对的巨大的诱惑，为了完成工作而忽视他们的平安职责。了解社会工程学策略和怎样防范攻击特别重要，但这只在培训程序激发了员工运用这些知识的状况下才有效。公司可以用一个类似于会议基本目标的概念来推断培训程序是否有效：在结束培训之后，他（或她）是否认为信息平安是他（或她）的工作之一。员工们必需相识到来自社会工程学的威胁是真实的，敏感企业信息的损失会危及到公司和他们自己的个人信息。在某种意义上说，忽视信息平安相当于泄漏某人的自动取款机PIN码或者信用卡号，类似的比方可以增加员工培育平安习惯的主动性。建立知识及培训程序负责设计信息平安程序的人必需相识到这不是一个一刀切的项目，培训程序须要适应企业内不同组的特别须要。在16章描述的很多平安策略都是全体适用的，而很多其它的策略是针对指定员工组的。大部分公司的培训程序都须要适应以下这些组：管理人员,IT职员,计算机用户,非技术人员,行政助理,接待员和平安警卫。（请看第16章，依据工作安排分解策略）因为公司的商业平安警卫通常并不精通电脑，并且，他们接触公司电脑的几率很小，所以在设计培训程序时通常不会考虑他们。但是，社会工程师可以欺瞒平安警卫或其他人放他们进大楼或办公室，或者让他们帮助实施计算机入侵。警卫当然不须要像操作电脑的人那样参与全部的培训，但是他们必需了解平安知识程序。在企业内部或许会有哪些是全部员工都须要培训的重要,固有的平安缺陷，设计优秀的信息平安培训程序必需获知并捕获学习者的主动性和留意力。信息平安知识及培训的目标应当包括一次迷人的交互式体验，可以通过角色扮演演示社会工程学攻击，评价最近媒体对那些不幸的公司的攻击报导，探讨这些公司怎样才能避开损失，或者播放既生动又有教化性的平安视频，有几家平安公司销售这些视频和相关的资料。注释对于那些没有资源开发内部程序的公司，有几家培训公司供应平安知识培训服务，可以在SecureWorldExpo()上找到这些公司的信息。本书中的故事供应了很多材料说明社会工程学方法和策略来加强威胁意识，展示人类行为的弱点，可以考虑运用他们的方案进行角色扮演活动，这些故事同时也供应了好玩的探讨机会，比如受害者可以怎样回应来抵挡攻击。娴熟的课程设计者和娴熟的讲师会发觉很多挑战，但也有很多机会让课堂活跃起来，还可以在此过程中促使人们成为解决方案的一部分。培训结构全部员工都必需参与基本的平安知识培训程序，新员工必需参与培训作为他们的初始教化，我建议规定新员工不能接触公司的计算机系统，直到他们完成了基础平安知识课程。对于初始的平安知识培训，我建议简短一些，但能引起足够的留意力，让员工们记住重要的讯息。当因资料过多而须要长时间培训时，必需供应合理的基本讯息数量，我认为超过半天或全天的培训会让人们因信息过多而变得麻木。这些课程的重点应当是让员工相识到自己和公司都有可能遭遇攻击，除非全部员工都有很好的平安习惯。比学习指定的平安策略更重要的是激发员工对公司平安的责任心。在员工不情愿参与教室课程的状况下，公司应当考虑进行其它形式的教学，比如录像,基于计算机的培训,在线课程或者编写材料。在短期的初始培训课程之后，还应当设计长期课程让不同职位的员工了解特别的漏洞及攻击技术，第二次培训至少要持续一年以上。威胁的种类及攻击的方法都在不停地变换，所以课程的内容应当不断更新，此外，人们的知识和戒心会随着时间的推移而削减，所以培训必需每隔一段时间重复一次，才能不断地加强员工的平安意识。再重申一次，培训不仅要曝光平安威胁和社会工程学策略，还要让员工了解到平安策略的重要性并使他们拥护这些策略。管理人员必需给他们的下属一段合理的时间熟识平安策略和程序并参与平安知识培训。员工们不应当希望在非工作时间学习平安策略或参与平安培训，新员工应当有足够的时间熟识平安策略，在开始他们的工作之前养成良好的平安习惯。在企业内部更换了工作岗位，涉及到访问敏感信息或计算机系统的员工同样须要完成他们新工作的平安培训程序。比如，当一个电脑操作员成了系统管理员（或者一个接待员成了行政助理）时，就须要新的培训。培训课程内容在归纳基本原理的时候，全部的社会工程学攻击都有一个共同元素：欺瞒。受害者信任攻击者是同一家公司的员工或者有权访问敏感信息的其他人，或者有权指挥受害者操作一台计算机或计算机相关的设备。只要员工简单地进行以下两个步骤，就可以防范几乎全部的这些攻击：核实恳求者的身份：进行恳求的这个人是他所声称的那个人吗？核实恳求者是否已授权：这个人须要知道这些吗？他有没有被授权进行这种恳求？注释：因为平安知识及培训是不完备的，所以最好在创建防卫体系时深化地运用平安技术。技术性的平安措施要比针对员工个体的平安措施有效，比如，可以通过配置操作系统禁止员工从互联网上下载软件或运用简短的弱口令。假如知识培训课程改变了员工的行为，则可以用这些标准对员工进行测试恳求，相应的社会工程学攻击威胁将大大削减。一个好用的信息平安知识及培训程序应当包含以下内容：描述攻击者怎样运用社会工程学技能行骗。社会工程师实现他们目标的方法。怎样识别可能的社会工程学攻击。处理可疑恳求的程序。在哪里报告攻击企图或者胜利的攻击。质疑提出可疑恳求的人的重要性，不管他声称自己是何职位。在现实中，他们不应在没有严格验证的状况下完全信任别人，虽然他们更情愿在拿不准把别人往好处想。对任何恳求信息或操作的人进行身份验证及授权验证的重要性（第16章，“验证及授权程序”，描述了这些验证方式）。爱护敏感信息的程序，包括熟识全部的数据分类系统。公司的平安策略及程序的定位，爱护信息及企业信息系统的重要性。关键平安策略及它们的含义汇总。例如，指导每一个员工设定高强度的密码。每一个员工遵守策略的职责及不听从的后果。通过解说社会工程学介绍几种交互类型。攻击者为了达到他（或她）的目标，会特别频繁地运用不同的技术和通信方式，因此，一个成熟的培训程序应当包括以下内容的一部分或全部：涉及到计算机和语音信箱密码的平安策略。解密敏感信息或资料的程序。Email运用策略，包括防范恶意代码攻击（病毒,蠕虫和特洛伊木马）的平安措施。物理平安要求，比如佩戴证件。在遇到未佩戴证件的人时，有询问质疑的责任。良好的语音邮件平安习惯。如何确定信息分类和适当的平安措施。适当的处理敏感文档和过去存放过机密资料的计算机媒体。同样，假如公司安排运用渗透测试来确定针对社会工程学攻击的平安措施是否有效，应当警告员工留意这次练习，让员工们知道有时候他们会接到运用了攻击技术的或其它通讯，作为测试的一部分。测试的结果不会有任何惩处，但是可能会须要肯定范围内的额外培训。上述内容的具体资料可以在第16章找到。测试你的公司可能须要在员工运用计算机系统之前测试他们是否已经驾驭了这些平安知识。假如你想设计一个测试程序，有很多评价设计软件程序能让你轻松地分析测试的结果，锁定须要强化培训的范围。你的公司可能会考虑供应一张证书作为嘉奖证明员工完成了平安培训。作为完成程序的一部分，建议让每一个员工签署一份遵守平安策略和规定的同意书。调查报告显示，签署了同意书的人会更加严格地遵守程序。持续的培训假如不周期性的复习，大部分人会把学到的知识（甚至重要的事务）忘掉。为了不让员工遗忘如何防范社会工程学攻击，持续的培训程序特别重要。一种让员工记忆深刻的方法是把平安作为他们特别的工作职责，这能让员工认为他们在公司平安体系内扮演着至关重要的角色，否则员工会剧烈地倾向于平安“不是我的工作”。当平安部门或信息技术部门的人担当了一个信息平安程序全部的职责时，信息平安培训程序最好的结构是及培训部门协同合作