按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
人会更加严格地遵守程序。
持续的培训
如果不周期性的复习,大部分人会把学到的知识(甚至重要的事件)忘掉。为了不让员工忘记如何防范社会工程学攻击,持续的培训程序非常重要。
一种让员工记忆深刻的方法是把安全作为他们特殊的工作职责,这能让员工认为他们在公司安全体系内扮演着至关重要的角色,否则员工会强烈地倾向于安全“不是我的工作”。
当安全部门或信息技术部门的人承担了一个信息安全程序全部的职责时,信息安全培训程序最好的结构是与培训部门协同合作。
持续的培训程序需要创造性地使用所有可能的频道传输安全讯息,因为记忆的可存储性,员工们会不时地想起好的安全习惯。除了使用所有传统的频道之外,还要加上许多能够想到的非传统方式,就像传统的广告一样,幽默、灵活地提供帮助。灵活多变的讯息可以让员工更加熟悉安全策略而无法忽视。
持续的培训程序可能包括以下内容:
提供本书的复印件给所有员工。
在公司的新闻通讯中添加以下内容:文档,封装的提示(简短、引人注目的内容),比如漫画。
张贴当月的安全员工照片。
在员工区域张贴海报。
张贴公告牌通知。
为支票信封提供打印的外壳。
发送email提示。
使用安全相关的屏幕保护程序。
通过语音信箱系统广播安全提示。
打印电话贴纸,“你的呼叫者是他所声称的那个人吗?”
设置电脑登录时的提示信息,比如“如果你要发送机密信息到email,把它加密。”
把安全知识作为员工财政报告和年度评价的标准内容。
在intranet(企业内网)上提供安全知识提示,可以使用漫画或者幽默文字,或者其它能吸引员工阅读的方式。
在自助餐厅使用电子讯息显示板,频繁地更换安全提示。
分发传单或小册子。
还有一些小花招,比如在自助餐厅提供带有安全提示的免费饼干。
威胁总是存在,安全提示最好也总是存在。
“我能得到什么?”
除了安全知识与培训程序之外,我强烈推荐宣传并推行奖励程序。你必须答谢成功阻止了社会工程学攻击、或者在其它方面对信息安全程序作出了杰出贡献的员工。应当在所有培训课程上告知员工奖励程序的存在,并在企业范围内公布违反安全规定的人的名单。
从另一方面讲,人们必须认识到遵守信息安全策略的重要性是无法忽视或反抗的。虽然我们都会犯错误,但是重复的违反安全规定是不能容忍的。
第十六章 推荐的信息安全策略
由FBI主导的调查结果显示,超过90%的大企业和政府机构遭受过计算机入侵者的攻击,美联社在2002年4月对其进行了报导。有趣的是,只有大约三分之一的公司报导或公开了这些攻击,沉默意味着他们学到了很多东西,为了避免失去客户的信任,为了防止更多入侵者的出现,大部分的商业公司不会公开报导计算机安全事件。
似乎没有任何社会工程学攻击的统计,就算有,数据也很不可靠,在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息,因此许多攻击都没有记录。
有效的策略能针对大多数的社会工程学攻击类型进行防范,但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他(或她)的职责(遵守公司的安全策略),否则社会工程学攻击将永远是企业面临的严重威胁之一。
事实上,针对安全攻击的技术手段一直在进步,通过社会工程学途径获取私有的公司信息或渗透企业网络,这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他(或她)的目标。事实上,那些使用了最先进的安全技术保护计算机系统和网络的公司,可能会面对更多来自于使用社会工程学策略和方法的攻击。
本章介绍了防范社会工程学攻击的详细策略,这些策略除了针对基于技术漏洞的攻击,还涉及到几种引导信任的员工提供信息或执行操作的骗局,阻止攻击者访问敏感商业信息或企业计算机系统与网络。
什么是安全策略?
安全策略是指导员工行为、保护信息安全的明确指南,是安全体系中防范潜在威胁的重要组成部分,这些策略在察觉并防范社会工程学攻击时尤其有效。
有效的安全管理需要培训员工精心设计的策略和程序,然而,即使每一个员工都严格地遵守了安全策略,也无法保证防御所有的社会工程学攻击。相反,合理的目标总是能用可接受的标准减小威胁。
在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施,之所以放在这里,是因为它们涉及到了一些攻击者常用的技术。例如, email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。
制定程序的步骤
一个全面的信息安全程序通常从威胁评估开始:
需要保护哪些企业信息资产?
有哪些针对这些资产的具体威胁?
如果这些潜在的威胁成为现实会对企业造成哪些损失?
威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列,而不是对安全措施进行成本效益分析。首先想一想,哪些资产需要首先保护,保护这些资产需要花多少钱。
高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样,如果一个安全程序成功了,管理层可以对其进行推广,前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性,每一个员工的工作都依赖于这一程序的成功。
设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略,并解释为什么这些是重要的,否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档,并把它们分开来,因为这些策略可能会在执行的时候有小范围的修改。
另外,策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如,大部分的操作系统都能用指定的规则(比如长度)限制用户密码。在一些公司,可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下,策略应当要求使用安全技术代替人为的判断。
必须忠告员工不遵守安全策略与程序的后果,应当制定并宣传违反策略的处罚。同样,要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时,应当在公司范围内广泛地宣传,比如在公司时讯中写一篇文章。
安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐,员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因,而不是简单地告诉他们绕过策略是不允许的。
值得注意的是,信息安全策略不是固定不变的,就像商业需要变化一样,新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序,可以通过企业内网或公共文件夹让企业安全策略与程序不断更新,这增加了对策略与程序频繁审核的可能性,并且员工可以从中找到任何与信息安全有关的问题和答案。
最后,使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略,应当告知员工有时候可能会进行这种测试。
怎样使用这些策略
本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集,因此,这些策略并不是一个完整的列表,更确切的说,它们是创建合适的安全策略的基础。
企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求(基于商业需要、法律规定、企业文化和信息系统)的企业都能在这些介绍找到所需的策略,而忽略其它的内容。
每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工(当然攻击者还可以伪装成厂商)。同样,一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标,虽然这样做会增加