中财网成都生日主题餐厅包间:什么是社会工程学?
来源:百度文库 编辑:中财网 时间:2024/04/29 17:34:21
编者按:
20世纪70年代末期,一个叫做斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”
·社会工程学概述
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
· 人为因素才是安全软肋
“正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。于是,在很多时候,他们把这种心思放在了人的身上……” 而人的弱点又在哪里?《欺骗的艺术》告诉你:那就是信任。 “攻击者正是利用人们的心理弱点,编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任。”
· 06年病毒利用社会工程横行网络
2006年上半年,我们见到许多钓鱼攻击、病毒、间谍软件、银行木马等的出现。可是在所有事件中,有两件事尤为突出并且吸引了全世界范围的注意:一个可疑的手机病毒使用达芬奇密码诱使用户上当;新的蠕虫变种和木马2006德国世界杯为诱饵。
· 专题回顾:
◇ 社会工程学攻击实录
几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。
这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音,所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。
在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的,他目前是Verisign的一名安全专家,并且和别人合作了mCommerce Security: A Beginner‘s Guide, 这本书也主要是他先前工作中的实际经验的总结。)
·没有硝烟的战争—社会工程学 ·巧施社会工程学 轻松入侵个人免费空间
◇ 完善制度重于技术防御
为了对抗社会工程攻击,必须组建“由人组成的防火墙”,同时抛弃网络架构刀枪不入之类的幻想。
对员工进行培训,使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此,只要组织措施得当,“人”将不再成为信息安全链中最薄弱的一环,而是成为最安全的后盾。
建立事故响应小组
从信息安全的观点,任何外部威胁的处理(包括社会工程)将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是,事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
制定规章与教育相结合
模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度,也可以采用模拟入侵测试来发现一些证据。但是必须注意的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。
模拟入侵程序
模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度,也可以采用模拟入侵测试来发现一些证据。但是必须注意的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。
·社会工程学 信息安全对抗新领域 ·社会工程学在计算机信息安全中的重要性
·口令攻击的主要方式及防护手段 · 社会工程的黑客陷阱 人是最坚固的防火墙
·社会工程学 人为因素才是安全软肋 ·著名黑客凯文·米特尼克谈安全
·安全防护:入侵检测实战全面问答 ·QQ密码被盗的社会工程学分析
◇ 安全管理方案及应用
·增强终端接入服务器安全性能解决方案
·爱特生短信平台视频监控行业解决方案
·北大青鸟电子政务网络信息安全解决方案
·电子政务网络安全事件预警应急响应方案
·卓尔InfoGate政府上网工程安全解决方案
·方正科技政府信息避风港解决方案
·瑞星政府行业网络安全解决方案
·榕基软件政府部门网络系统安全解决方案
·华为3Com网络助力青藏铁路信息化案例
·瑞星助力公安信息网构建反病毒体系
20世纪70年代末期,一个叫做斯坦利·马克·瑞夫金(Stanley Mark Rifkin)的年轻人成功地实施了史上最大的银行劫案。他没有雇用帮手、没有使用武器、没有天衣无缝的行动计划,“甚至无需计算机的协助”,仅仅依靠一个进入电汇室的机会并打了三个电话,便成功地将一千零二十万美元转入自己在国外的个人账户。“奇怪的是,这一事件却以‘最大的计算机诈骗案’为名,收录在吉尼斯世界纪录中。斯坦利·瑞夫金利用的就是欺骗的艺术,这种技巧我们现在把它称为—社会工程学。”
·社会工程学概述
社会工程学(Social Engineering),一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已成迅速上升甚至滥用的趋势。那么,什么算是社会工程学呢?它并不能等同于一般的欺骗手法,社会工程学尤其复杂,即使自认为最警惕最小心的人,一样会被高明的社会工程学手段损害利益。
· 人为因素才是安全软肋
“正如同罪恶的心无法抵制诱惑,黑客们一心要找出功能强大的安全系统的弱点。于是,在很多时候,他们把这种心思放在了人的身上……” 而人的弱点又在哪里?《欺骗的艺术》告诉你:那就是信任。 “攻击者正是利用人们的心理弱点,编出不会让人怀疑的且听上去十分合理的理由,充分利用了受骗者的信任。”
· 06年病毒利用社会工程横行网络
2006年上半年,我们见到许多钓鱼攻击、病毒、间谍软件、银行木马等的出现。可是在所有事件中,有两件事尤为突出并且吸引了全世界范围的注意:一个可疑的手机病毒使用达芬奇密码诱使用户上当;新的蠕虫变种和木马2006德国世界杯为诱饵。
· 专题回顾:
◇ 社会工程学攻击实录
几年前的一个早晨,一群陌生人走进了一家大型远洋运输公司并控制了该公司的整个计算机网络。他们是怎么做到的?是通过从该公司的许多不同的员工那里一点点的获得帮助来达到目的的。首先,他们在实地踩点的两天之前已经对该公司进行了研究了解。例如,通过给人力资源部门打电话获得了公司重要员工的姓名列表。然后,他们在大门前假装丢失了钥匙让别人开门放他们进去。最后在进入三楼的安全区域时他们又故伎重演,这次他们丢失的是他们的身份标志,而一名员工面带微笑的为他们开了门。
这群陌生人知道该公司的CFO那时不在公司,所以他们进入了他的办公室并从他没有锁定的个人电脑中获取了财务信息。他们将公司的垃圾堆翻了个遍,找到了各种有价值的文档。他们获得管理垃圾的门房的帮忙使他们可以将这些东西顺利的带出了公司。这些人同样学会了模仿CFO的声音,所以他们可以在电话中冒充CFO的身份装作很焦急的样子来询问网络密码。自此,他们最后终于可以使用常规的黑客手段来获取系统的超级用户权限。
在这个案例中这些陌生人所扮演的角色是CFO请来对自己的计算机进行安全检查的网络安全顾问,而公司的员工对此都不知情。他们可以在没有从CFO那里获得任何权利的情况下运用社会工程学让自己畅通无阻(这个故事是Kapil Raina讲述的,他目前是Verisign的一名安全专家,并且和别人合作了mCommerce Security: A Beginner‘s Guide, 这本书也主要是他先前工作中的实际经验的总结。)
·没有硝烟的战争—社会工程学 ·巧施社会工程学 轻松入侵个人免费空间
◇ 完善制度重于技术防御
为了对抗社会工程攻击,必须组建“由人组成的防火墙”,同时抛弃网络架构刀枪不入之类的幻想。
对员工进行培训,使一部分企业能够预防和识别社会工程攻击的企图。这比对员工进行防火墙系统培训的难度要小得多。因此,只要组织措施得当,“人”将不再成为信息安全链中最薄弱的一环,而是成为最安全的后盾。
建立事故响应小组从信息安全的观点,任何外部威胁的处理(包括社会工程)将被认为是一次事故。事故响应小组的目的就是有效检测潜在的信息安全事件并且提供一个有效的手段来降低事件对公司的影响。同一般性的网络攻击所不同的是,事故响应小组应当由来自公司不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对社会工程攻击做出反应,有效的分析出入侵的目的与方式。
制定规章与教育相结合模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度,也可以采用模拟入侵测试来发现一些证据。但是必须注意的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。
模拟入侵程序模拟入侵测试是一种从外部观点来评价安全控制措施的方法,是企业信息安全环节中最重要的部分。它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。公司如果想测试他们对于社会工程攻击的防备程度,也可以采用模拟入侵测试来发现一些证据。但是必须注意的是,尽管渗透性测试是评估组织的控制措施的最好方法之一,但这种方法的有效性强烈依赖于测试者的水平和努力程度。另外,制定立即通告制度也很重要,一旦员工发现一个社会工程攻击的企图,必须通知相关部门的人员。此时就需要上面提及到处理该类问题的标准程序和步骤,以及精心配备的事故响应小组也要将其效能最大化。
·社会工程学 信息安全对抗新领域 ·社会工程学在计算机信息安全中的重要性
·口令攻击的主要方式及防护手段 · 社会工程的黑客陷阱 人是最坚固的防火墙
·社会工程学 人为因素才是安全软肋 ·著名黑客凯文·米特尼克谈安全
·安全防护:入侵检测实战全面问答 ·QQ密码被盗的社会工程学分析
◇ 安全管理方案及应用
·增强终端接入服务器安全性能解决方案
·爱特生短信平台视频监控行业解决方案
·北大青鸟电子政务网络信息安全解决方案
·电子政务网络安全事件预警应急响应方案
·卓尔InfoGate政府上网工程安全解决方案
·方正科技政府信息避风港解决方案
·瑞星政府行业网络安全解决方案
·榕基软件政府部门网络系统安全解决方案
·华为3Com网络助力青藏铁路信息化案例
·瑞星助力公安信息网构建反病毒体系