黑帽2012:社会工程培训有益于IT团队和终端用户

日期: 2012-07-24 作者:Robert Westervelt翻译:邹铮 来源:TechTarget中国 英文

根据从事社会工程攻击研究的安全专家表示,社会工程攻击和其他渗透测试技术经常让受害者感觉他们被欺骗或者受到背叛。如果企业IT安全团队能对用户进行有效的安全意识培训,有助于企业中形成一种安全意识文化,从而抵御社会工程攻击。

  专业信息保险公司高级信息保障分析师James Philput表示,有效的沟通是部署社会工程培训的核心。IT团队都知道,在企业内部广泛部署的软件中往往存在漏洞,并且这些漏洞是可编写脚本的、容易被利用,可能导致严重问题。安全行业面临的最大问题之一是找出一种方法,让这些问题的结果与用户相关。

  “你站在那里对用户说,攻击者可能会入侵,拿走你所有的东西,毁了你的计算机,或者让你的电脑崩溃,用户都会无动于衷,”Philput表示,“你必须想办法提高这些问题对用户的重要性。”

  Philput将会在拉斯维加斯举行的2012年黑帽简报中发表演讲,解释如何与高层管理人员沟通社会工程测试的必要,以及如何有效地部署它们来建立关系,而不是破坏关系。Philput表示:“我希望这将为信息安全团队提供一种更积极的方式——用他们的技能帮助提高企业整体安全性。同时,与他们所保护的企业建立更好的关系。”

  社会工程测试往往涉及模拟钓鱼电子邮件;渗透测试者还可以故意丢失USB驱动器,诱使员工将其连接到计算机,而员工往往会做出错误的判断;一些安全团队还会通过模拟电话来测试员工——假装成业务合作伙伴的远程员工或者代表,需要尽快解决某个问题。

    Philput表示,钓鱼邮件是最便宜的测试选择,也最容易追踪。此外,这些演习可以替代网上培训课程。随着时间的推移,安全团队将可以判断哪些员工或者哪些部门需要额外的培训。

  Philput表示,IT团队在开始测试计划之前,他们应该评估已经部署的政策,以及确定他们是否已经与员工进行了有效地沟通。其次,企业应该定期告知员工,测试可能随时进行,这样做能够避免员工产生“被坑”的负面抵制情绪。最后,对通过测试的员工进行奖励,同时,将错误判断作为学习经验。

  社会工程演习是非常有效的,尤其是在没有明确安全方向或者信息安全培训计划的企业。重要一步是正确地设计培训,以及向员工进行培训。Philput表示,“如果没有以合适的方式进行培训,将不会产生任何影响,也不会有任何效果。最糟糕的用户意识培训是每年在线提供的培训。最终用户会匆忙地阅过培训内容,并且,Philput还在一些企业看到用户对不同的选择题复制相同的答案。”

  “我看过的最好的用户意识培训,同时也是最难实施的培训,是一名信息安全团队成员对30到60名用户组进行的培训,”Philput表示,“这能够拉近信息安全人员及他们保护的员工之间的距离。有时候终端用户会提出一些基本的问题,有时候会提出一些很精彩的问题。通过这种方式,我发现社会工程攻击减少了很多,因为当用户怀疑出现问题时,他们更愿意联系安全人员。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 社会工程攻击和员工过失需要引起企业重视

    数据丢失防护、Web过滤和反恶意软件技术能够提高安全保护,但企业往往过于依赖安全技术,而忽视“人类防火墙”对安全的影响。

  • 心理操控:社会工程手段发起的高级攻击

    虽然社会工程攻击往往不太可能从一开始就得到遏制,但结合技术和安全意识教育,是完全可以消除恶意企图负面影响的。以下是规避此类攻击的一些有效方法:

  • 微软发布IE零日漏洞公告

    微软周四晚发布了一项公告称,黑客在最近的针对Google、Adobe以及其他公司的攻击中利用了IE零日漏洞。远程代码执行漏洞影响到几乎所有Windows版本上运行的……

  • 什么是社会工程攻击(Social Engineering Attack)?

    社会工程学,准确来说,不是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问……