為保障信息系統(tǒng)及網(wǎng)絡(luò)的安全，企業(yè)往往投入大力氣和大成本進(jìn)行信息安全建設(shè)，由于企業(yè)管理的特點(diǎn)，公司信息安全投入都集中在信息安全設(shè)備及信息安全防護(hù)系統(tǒng)的搭建上，通過網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、入口管理、防火墻、備份設(shè)備、安全、審計(jì)、行為管理等設(shè)備通過技術(shù)手段來防范攻擊。通過技術(shù)手段進(jìn)行安全防護(hù)基本可以防范絕大部分隨機(jī)攻擊者的正面入侵行為，但對(duì)企業(yè)來說，這種防護(hù)手段很難防范來自競(jìng)爭(zhēng)者或其他惡意組織或個(gè)人以獲取商業(yè)秘密或數(shù)據(jù)為目的APT(AdvancedPersistentThreat)攻擊。利用社會(huì)工程學(xué)進(jìn)行APT攻擊，往往是難度最低、效果最好的攻擊手段。對(duì)企業(yè)安全管理者說，狹義的或常見的社會(huì)工程學(xué)攻擊方式，如通過QQ、電話等方式偽裝來騙取公司基礎(chǔ)數(shù)據(jù)的社會(huì)工程學(xué)手段早已熟知，且較易于防范，但利用移動(dòng)設(shè)備、大數(shù)據(jù)、社交網(wǎng)絡(luò)進(jìn)行社會(huì)工程學(xué)攻擊卻較難防范。社會(huì)工程學(xué)最早由KevinDavidMitnick在《欺騙的藝術(shù)》一書中提出，該種攻擊的核心是一種針對(duì)“人”的非傳統(tǒng)信息安全領(lǐng)域的入侵手段。但是，隨著技術(shù)的進(jìn)步與發(fā)展社會(huì)工程學(xué)攻擊的外延也在逐步擴(kuò)展，至今也并沒有一個(gè)統(tǒng)一的、完備的定義。由于互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，社會(huì)工程學(xué)攻擊手段所涵蓋的方面更加廣泛，通過與大數(shù)據(jù)技術(shù)、社交網(wǎng)絡(luò)、人的因素相結(jié)合，毫不夸張地說，只要進(jìn)行充分的準(zhǔn)備，通過社會(huì)工程學(xué)可以“黑”掉大部分的企業(yè)網(wǎng)站和系統(tǒng)。

　　1企業(yè)常見管理漏洞分析

　　1.1績(jī)效管理驅(qū)動(dòng)，造成企業(yè)安全管理重心偏離

　　一般企業(yè)管理均采用績(jī)效考核、目標(biāo)管理等方法進(jìn)行管理。由于目標(biāo)管理法的特點(diǎn)，企業(yè)在年初制訂績(jī)效目標(biāo)時(shí)應(yīng)有具體目標(biāo)和內(nèi)容，當(dāng)涉及信息安全事項(xiàng)時(shí)往往只強(qiáng)調(diào)結(jié)果、不強(qiáng)調(diào)路徑，如“本年度不發(fā)生失、泄密事件”、“本年度因XX原因?qū)е碌姆��?wù)器終止服務(wù)時(shí)間小于X小時(shí)”等指標(biāo)類目標(biāo)。而往往對(duì)采購(gòu)、技改類則較為明確，如“本年度完成XX設(shè)備采購(gòu)、完成XX系統(tǒng)升級(jí)”等節(jié)點(diǎn)類目標(biāo)。需過程管控的、路徑不太明確的工作目標(biāo)在分解工作時(shí)易造成漏項(xiàng)、考慮不周，在工作中難以明確工作結(jié)果，并且很難進(jìn)行日常管控。管理者在對(duì)待此類工作時(shí)會(huì)存在只要不發(fā)生事故多做、少做都一樣，不影響年終考核的僥幸心理。實(shí)施、建設(shè)類工作由于其任務(wù)十分明確，完成辨識(shí)度高，一般是企業(yè)優(yōu)先開展的工作。信息泄露防范工作由于管理難度大、泄露因素眾多且攻擊隱蔽性強(qiáng)等特點(diǎn)，經(jīng)常不被企業(yè)管理者重視。而且很多企業(yè)在信息泄漏后并不知道信息已經(jīng)被泄露，很長(zhǎng)一段時(shí)間不會(huì)采取相關(guān)措施。

　　1.2信息安全管理能力不足，導(dǎo)致一般企業(yè)易受攻擊

　　由于企業(yè)性質(zhì)和規(guī)模，除總部公司、大型公司、網(wǎng)絡(luò)相關(guān)公司外，中小型企業(yè)不會(huì)招聘專業(yè)的從事網(wǎng)絡(luò)安全攻擊測(cè)試的技術(shù)人員進(jìn)行網(wǎng)絡(luò)安全管理。即使是掌握企業(yè)安全防護(hù)理論知識(shí)的信息安全執(zhí)業(yè)人員，對(duì)新的攻擊手段、非常規(guī)的攻擊手段的防護(hù)能力也較弱。一般來說，很多公司通過采購(gòu)設(shè)備或外包服務(wù)等方式，通過安全設(shè)備、網(wǎng)絡(luò)出入口、終端設(shè)備、制度進(jìn)行管理，重點(diǎn)防范服務(wù)器、核心網(wǎng)絡(luò)不被正面攻破、系統(tǒng)不被癱瘓、數(shù)據(jù)不會(huì)丟失。但由于企業(yè)管理人員管理水平有限，一些黑客在獲取網(wǎng)站W(wǎng)ebshell或系統(tǒng)權(quán)限后長(zhǎng)期竊取企業(yè)信息，企業(yè)管理人員根本無法發(fā)現(xiàn)，造成大量數(shù)據(jù)泄漏。

　　1.3全員防范意識(shí)薄弱，導(dǎo)致信息安全工作失效

　　相對(duì)企業(yè)信息安全管理部門及人員來說，企業(yè)的普通員工往往對(duì)信息安全認(rèn)識(shí)程度不夠、對(duì)信息安全的認(rèn)識(shí)、防范手段不了解。一些員工對(duì)企業(yè)已進(jìn)行信息安全防護(hù)手段不認(rèn)同、不配合，甚至進(jìn)行抵制，通過公司網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)社交、使用公司郵箱隨意發(fā)送私人郵件、申請(qǐng)注冊(cè)網(wǎng)絡(luò)服務(wù)、用內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行違規(guī)操作，甚至一些員工通過在百度文庫(kù)網(wǎng)上共享文檔平臺(tái)企業(yè)內(nèi)部資料來獲取積分，這些行為都給網(wǎng)絡(luò)攻擊帶來機(jī)會(huì);此外，企業(yè)在制訂員工賬號(hào)時(shí)會(huì)配置默認(rèn)密碼，許多員工從來不進(jìn)行修改，即使修改也是易被破解的弱口令。

　　1.4個(gè)人移動(dòng)設(shè)備隱患，風(fēng)險(xiǎn)從企業(yè)外部帶入內(nèi)部

　　個(gè)人移動(dòng)設(shè)備是指攜帶自己的移動(dòng)設(shè)備，如筆記本電腦、移動(dòng)硬盤、智能手機(jī)等設(shè)備，這些設(shè)備由于員工個(gè)人使用等原因經(jīng)常接入不同的網(wǎng)絡(luò)環(huán)境，相對(duì)公司固定計(jì)算機(jī)而言更容易被黑客攻擊，一旦接入公司內(nèi)網(wǎng)，會(huì)造成很大的風(fēng)險(xiǎn)�，F(xiàn)在智能手機(jī)幾乎是人手必備的設(shè)備，但對(duì)手機(jī)防護(hù)的企業(yè)級(jí)應(yīng)用較少，成為安全隱患和風(fēng)險(xiǎn)。

　　1.5為了使用便捷，犧牲安全管理

　　企業(yè)信息安全管理、規(guī)定和規(guī)范使用流程經(jīng)常與使用方便、便捷相矛盾，在部署信息安全系統(tǒng)、防護(hù)措施及其制度時(shí)信息安全管理人員經(jīng)常會(huì)平衡、變通地考慮這些問題，這些變通手段往往會(huì)降低公司安全防護(hù)等級(jí)。一般情況下，企業(yè)領(lǐng)導(dǎo)的賬號(hào)經(jīng)常是黑客的突破口，因?yàn)槠髽I(yè)領(lǐng)導(dǎo)賬號(hào)權(quán)限較高，且由于領(lǐng)導(dǎo)工作較為繁忙，密碼通常比較簡(jiǎn)單。

　　1.6企業(yè)防護(hù)測(cè)試忽視社會(huì)工程學(xué)測(cè)試

　　很多企業(yè)會(huì)邀請(qǐng)安全廠商或技術(shù)團(tuán)隊(duì)對(duì)企業(yè)網(wǎng)站、系統(tǒng)進(jìn)行攻擊測(cè)試，這些測(cè)試基本以正面攻擊、DDOS攻擊為主，較容易測(cè)得系統(tǒng)的壓力數(shù)據(jù)，也比較容易暴露一些系統(tǒng)漏洞，效果較好。但由于社會(huì)工程學(xué)攻擊可攻擊點(diǎn)較多，單次攻擊所反饋的問題并不一定能反饋出企業(yè)管理的核心漏洞，整改難度較大。比如攻擊者通過弱口令進(jìn)入企業(yè)管理系統(tǒng)，但背后的原因往往很多且具隨機(jī)性。

　　2一些利用企業(yè)管理漏洞的新型社會(huì)工程學(xué)攻擊

　　2.1傳統(tǒng)的社會(huì)工程學(xué)攻擊

　　傳統(tǒng)的社會(huì)工程學(xué)攻擊是指利用欺騙的手段獲取企業(yè)員工信任，從而套取信息。這類手段較易防范，一般企業(yè)經(jīng)常會(huì)遇到類似攻擊。通過做好培訓(xùn)宣傳，提高員工信息安全意識(shí)，均可有效防范。但傳統(tǒng)社會(huì)工程學(xué)攻擊也有很多變種，如一些員工將系統(tǒng)賬號(hào)密碼張貼在員工工位顯眼的位置上，被攻擊者偽裝成快遞人員偷拍記錄或一些攻擊者故意在辦公場(chǎng)所附近丟棄含木馬U盤等，這都需企業(yè)加強(qiáng)防范。

　　2.2基于企業(yè)失、泄密信息的攻擊

　　一些企業(yè)不重視企業(yè)資料的保管、保存，導(dǎo)致企業(yè)資料，尤其是系統(tǒng)用戶使用文檔在網(wǎng)上泄露，給攻擊者帶來可乘之機(jī)，一些攻擊者僅通過百度文庫(kù)等網(wǎng)站就可獲取大量企業(yè)信息系統(tǒng)建設(shè)藍(lán)圖、網(wǎng)絡(luò)架構(gòu)圖、甚至包含管理員、用戶賬號(hào)的內(nèi)部文件，進(jìn)而順藤摸瓜登錄企業(yè)內(nèi)網(wǎng)、乃至登錄管理員賬戶。

　　2.3利用大數(shù)據(jù)進(jìn)行攻擊

　　大數(shù)據(jù)攻擊是利用各大網(wǎng)站泄露的用戶名、密碼數(shù)據(jù)庫(kù)來破解企業(yè)管理員賬號(hào)密碼從而獲取內(nèi)網(wǎng)進(jìn)入許可或獲取系統(tǒng)管理權(quán)限的社會(huì)工程學(xué)攻擊手段。基本的入侵手法是尋找網(wǎng)絡(luò)邊界入口，再通過社交網(wǎng)絡(luò)渠道了解企業(yè)管理員郵箱公開賬號(hào)等信息，通過龐大的社工庫(kù)來獲取入侵網(wǎng)絡(luò)的賬號(hào)密碼。在國(guó)內(nèi)各大互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)庫(kù)中，鳳凰網(wǎng)新聞黑客社區(qū)曝出一個(gè)87GB的龐大數(shù)據(jù)庫(kù)，其中包括大約7.73億個(gè)電子郵件地址、以及2100萬組密碼，單就郵件地址來說就占據(jù)當(dāng)時(shí)全球郵件總數(shù)的1/5;另外，一些企業(yè)的用戶賬號(hào)均以名字來命名，一些黑客可使用中國(guó)常用名數(shù)據(jù)庫(kù)+弱口令對(duì)數(shù)據(jù)庫(kù)進(jìn)行爆破，只要其中有一個(gè)賬號(hào)存在弱口令，系統(tǒng)就會(huì)被攻破。

　　2.4泄露WiFi登錄信息導(dǎo)致內(nèi)網(wǎng)暴露

　　一些員工為了可在公共場(chǎng)所蹭網(wǎng)，會(huì)安裝WiFi萬能密碼、WiFi鑰匙等手機(jī)APP，這種類型的程序在為用戶分享公共場(chǎng)所WiFi密碼時(shí)也在獲取該用戶登錄過的私人或辦公場(chǎng)所WiFi。很多攻擊者會(huì)在該公司附近通過WiFi萬能密碼這類軟件登錄公司內(nèi)網(wǎng)系統(tǒng)、獲取公司網(wǎng)關(guān)地址，從而推斷出公司內(nèi)網(wǎng)系統(tǒng)地址、服務(wù)器地址等，使公司千方百計(jì)打造的網(wǎng)絡(luò)隔離失效。這種攻擊方式比較新穎且很多企業(yè)安全管理員沒有意識(shí)到這種漏洞，較難防范。

　　3企業(yè)防范手段

　　綜上，企業(yè)信息安全管理中設(shè)備、技術(shù)層面的管理較易實(shí)現(xiàn)和操作，而與人相關(guān)的管理則較難于操作，這就導(dǎo)致“欺騙的藝術(shù)”———社會(huì)工程學(xué)攻擊往往成為攻擊企業(yè)的最好辦法，企業(yè)可通過以下幾種手段防范社會(huì)工程學(xué)攻擊。

　　3.1企業(yè)賬號(hào)公私分明

　　不通過企業(yè)郵箱處理任何個(gè)人業(yè)務(wù)，不用企業(yè)郵箱注冊(cè)社交、游戲、購(gòu)物等網(wǎng)站，不用企業(yè)郵箱作為密碼找回的郵箱。個(gè)人私有賬號(hào)與企業(yè)業(yè)務(wù)賬號(hào)實(shí)現(xiàn)密碼隔離，不使用一樣的密碼。

　　3.2加強(qiáng)培訓(xùn)

　　定期對(duì)企業(yè)員工進(jìn)行培訓(xùn)，普及常見的社會(huì)工程學(xué)防范知識(shí)，讓員工了解哪些行為容易被攻擊、哪些跡象表明企業(yè)已遭受攻擊。通過員工日常自發(fā)檢查個(gè)人賬號(hào)、密碼、行為、環(huán)境中的薄弱點(diǎn)。從使用者的角度發(fā)現(xiàn)問題，要比企業(yè)信息安全人員檢查高效得多。

　　3.3文檔不記錄賬號(hào)密碼

　　社會(huì)工程學(xué)攻擊很依賴于信息的連貫性和連接性，通過在企業(yè)最外層的低風(fēng)險(xiǎn)弱點(diǎn)層層深入。很多時(shí)候，攻擊者會(huì)從單個(gè)破解的企業(yè)郵箱內(nèi)找到企業(yè)系統(tǒng)管理文檔，依靠此信息登錄企業(yè)更深層系統(tǒng)。不在企業(yè)常規(guī)文檔、網(wǎng)頁注釋、系統(tǒng)使用手冊(cè)中寫明具體登錄賬號(hào)密碼，可在很大程度上防范社會(huì)工程學(xué)攻擊。

　　3.4綁定額外驗(yàn)證措施

　　很多公司互聯(lián)網(wǎng)邊界、VPN登錄入口、內(nèi)部系統(tǒng)登錄入口不設(shè)額外驗(yàn)證措施，攻擊者通過暴力破解手段很容易獲取登錄密碼。如在各個(gè)系統(tǒng)登錄界面中加入驗(yàn)證碼、證書、短信等額外驗(yàn)證手段，基本就可防范這種類型的入侵。

　　3.5防范弱口令

　　很多企業(yè)管理者把弱口令簡(jiǎn)單地理解為123456、888888這種類型的密碼。但實(shí)際上任何有規(guī)律的密碼如賬號(hào)本身、賬號(hào)名字+后綴、單詞都可稱為弱口令，更深一層來說只要是通過大數(shù)據(jù)社工庫(kù)里總結(jié)出的常用密碼都可稱為弱口令，企業(yè)核心系統(tǒng)管理密碼都應(yīng)避開這些密碼。

　　3.6安裝文件加密系統(tǒng)

　　在企業(yè)內(nèi)部加裝文件加密系統(tǒng)、在企業(yè)內(nèi)備案計(jì)算機(jī)中安裝加解密終端并做好分級(jí)防護(hù)，嚴(yán)控文件解密流程，即使由于各種原因流出企業(yè)，也能一定程度確保文件無法被瀏覽。

　　《中小企業(yè)網(wǎng)絡(luò)安全管理中的社會(huì)工程學(xué)漏洞》來源：《辦公自動(dòng)化》，作者:吳非

---

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/jisuanjiwangluolw/72840.html