信息安全的脆弱性是普遍存在的,任何一個系統都具有潛在的安全風險。 近年來,利用社會工程學手段,突破信息安全防御措施的事件,已經呈現出上升甚至泛濫的趨勢,成為信息安全保密工作中最脆弱的 一個環節。
社會的與風險的
社會工程學(Social Engineering)是一種利用人的弱點: 如人的本能反應、好奇心、信任、貪婪等進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
近年來,由于信息 安全廠商不斷開發出更先進的安全產品,系統安全防范在技術上越來越嚴密,使得攻擊者利用技術上的漏洞變得越來越困難。于是, 更多的人轉向利用人為因素的手段----社會工程學來進行攻擊。
許多信息技術從業者都普遍存在著類似的一種觀念: 他們認為自己的系統部署了先進、周密的安全設備----防火墻、IDS、IPS、漏洞掃描、防病毒網關、內容過濾、安全審計、身份認證 和訪問控制系統,甚至于最新的UTM和防水墻,以為靠這些安全設施即可保證系統的安全。
事實上,很多安全行為出 現在騙取內部人員(信息系統管理、使用、維護人員等)的信任,從而輕松繞過所有技術上的保護。信任是一切安全的基礎,對于保 護與審核的信任,通常被認為是整個安全鏈條中最薄弱的一環。為規避安全風險,技術專家精心設計的安全解決方案,卻很少重視和 解決最大的安全漏洞----人為因素。
無論是在現實世界還是在虛擬的網絡空間,任何一個可以訪問系統的人,都有可 能構成潛在的安全風險與威脅。很多最敏感的信息存在于人的頭腦當中,各種安全設施要由人來掌控,這意味著如果沒有把“人 ”這個因素放進整體安全管理策略中去,僅僅熱衷于技術層面的所謂全面解決方案,仍將會存在一個很大的安全“裂縫 ”,或者說是整個安全“木桶”存在著最短的一塊木板。
缺乏對社會工程學防范的信息系統,不管 其安全技術多么先進完善,很可能會成為一種自我安慰的擺設,其投入大筆資金購置的最先進的安全設備,很可能成為一種浪費。
Gartner集團信息安全與風險研究主任Rich Mogull認為:“社會工程學是未來10年最大的安全風險,許多破壞 力最大的行為是由于社會工程學而不是黑客或破解行為造成的”。一些信息安全專家預言,社會工程學將會是未來信息系統入侵 與反入侵的重要對抗領域。
新的攻擊手段
社會工程學攻擊基本上可以分為兩個層次:物理的和心理 的。與以往的入侵行為相類似,社會工程學在實施之前要完成很多相關的前期工作的,這些工作甚至要比后續的入侵行為本身更為繁 重和更具技巧,或者說更為“藝術”。
這些工作包括:社會工程學的實施者(一般稱為社會工程師)必須 掌握心理學、人際關系學、行為學等知識與技能,以便收集和掌握實施入侵行為所需要的相關資料與信息。通常為了達到預期目的, 社會工程學攻擊都要將心理的和行為的攻擊兩者結合運用。其常見形式包括了:
第一,偽裝。從早期的求職信病毒、 愛蟲病毒、圣誕節賀卡到目前流行的網絡釣魚,都是利用電子郵件和偽造的Web站點來進行詐騙活動的。有調查顯示,在所有接觸詐騙 信息的用戶中,有高達5%的人都會對這些騙局做出響應。攻擊者越來越喜歡玩弄社會工程學的手段,把惡件、間諜軟件、勒索軟件 (ransom-ware)、流氓軟件等網絡陷阱偽裝起來欺騙被害者。
第二,引誘。社會工程學是現在多數蠕蟲病毒進行傳 播時所使用的技術,它使計算機用戶本能地去打開郵件,執行具有誘惑性同時具有危害的附件。例如,用一些關于某些型號的處理器 存在運算瑕疵的“瑕疵聲明”或更能引起人的興趣的“幸運中獎”、“最新反病毒軟件”等說辭, 并給出一個頁面連接,誘惑你進入該頁面運行下載程序或在線注冊個人相關信息,利用人們疏于防范的心理引誘你上鉤。
第三,恐嚇。利用人們對安全、漏洞、病毒、木馬、黑客等內容會特別敏感,以權威機構的面目出現,散布諸如安全警告、系統 風險之類的信息,使用危言聳聽的伎倆恐嚇欺騙計算機用戶,聲稱如果不及時按照他們的要求去做就會造成致命的危害或遭受嚴重損 失。
第四,說服。社會工程師說服目標的目的是增強他們主動完成所指派的任務的順從意識,從而變為一個可以被信 任并由此獲得敏感信息的人。大多數企業咨詢幫助臺人員一般接受的訓練都是要求他(她)們熱情待人并盡可能地為來人來電提供幫 助,所以這里就成了社會工程學實施者獲取有價值信息的“金礦”。
第五,恭維。社會工程師通常十分友 善,很講究說話的藝術,知道如何借助機會去迎合人,投其所好,使多數人會友善地作出回應,恭維和虛榮心的對接會讓目標樂意繼 續合作。
第六,滲透。通常社會工程學攻擊者都擅長刺探信息,很多表面上看起來豪無用處的信息都會被他們利用來 進行系統滲透。通過觀察目標對電子郵件的響應速度、重視程度以及可能提供的相關資料,比如一個人的姓名、生日、ID、電話號碼 、管理員的IP地址、郵箱等都可能被利用起來,通過這些收集信息來判斷目標的網絡架構或系統密碼的大致內容,從而用口令心理學 來分析口令,而不僅僅是使用暴力破解。
除了以上的攻擊手段,一些比較另類的行為也開始在社會工程學中出現,其 中包括像翻垃圾(dumpster diving)、背后偷窺(shoulder surfing)、反向社會工程學等都是竊取信息的捷徑辦法。
催生新型防御手段
俗話說道高一尺,魔高一丈,面對社會工程學帶來的安全挑戰,企業必須適應新的防御方法, 主要包括了:
第一,增加網站被假冒的難度。據國際反網絡詐騙組織2005年的報告顯示,中國已經成為世界上第二大 擁有仿冒域名及網站的國家,占全球的12%。銀行界人士分析,域名過長是假冒的根源。據悉,為預防不法分子用假域名進行網絡釣魚 ,截至今年上半年國內已有14家銀行更改了網銀域名,包括更多地使用.CN域名。如建設銀行網銀域名從ccb.com.cn升級為ccb.cn,中 國銀行域名由bank-of-china.com變更為boc.cn。同時,企業需要定期對DNS進行掃描,以檢查是否存在與公司已注冊的相類似的域名 。此外,一般來說,在網頁設計技術上不使用彈出式廣告、不隱藏地址欄及框架的企業網站被假冒的可能性較小。
第 二,加強內部安全管理。盡可能把系統管理工作職責時進行分離,合理分配每個系統管理員所擁有的權力,避免權限過分集中。為防 止外部人員混入內部,員工應佩戴胸卡標示,設置門禁和視頻監控系統;嚴格辦公垃圾和設備維修報廢處理程序;杜絕為貪圖方便, 將密碼粘貼或通過QQ等方式進行系統維護工作的日常聯系。
第三,開展安全防范訓練。安全意識比安全措施重要的多 。防范社會工程學攻擊,指導和教育是關鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示,讓他們知道這些方法是如何 運用和得逞的,學會辨認社會工程攻擊。在這方面,要注意培養和訓練企業和員工的幾種能力,包括:辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護能力、應急處理能力等。
|
