构建信息安全感知程序(一)
构建信息安全感知程序(一)
原文:
annas-archive.org/md5/cb5e79ad1f7a31eaf76b82b01d6af659译者:飞龙
前言
公司每年投入数百万美元购买最新的安全产品,从防火墙到门禁系统,但他们未能投资于保护环境中最宝贵的资源——更具体地说,是他们的员工。往往情况是,安全意识培训是一年一度的事件,涉及过时且乏味的材料,很大程度上被忽视。结果是员工缺乏对现代攻击及其后果的理解。这种知识缺口为攻击者提供了无穷无尽的机会。在《构建安全意识计划》中,比尔·加德纳(Bill Gardner)和瓦莱丽·托马斯(Valerie Thomas)详细介绍了从零开始构建整个安全意识计划的步骤。该书还为那些希望改进或现代化现有安全意识计划的人提供了指南。
就个人而言,在我以前的生活中作为黑帽骇客以及作为安全顾问期间,我利用了这种知识缺口。我通过将社会工程与技术攻击相结合,访问了成千上万个系统。在最近的一次渗透测试中,我通过电子邮件发送了一个恶意文档,看起来是来自客户供应商之一的。只需点击鼠标一次,我就进入了。几天后,我访问了客户的整个企业网络、源代码、财务情况等等。
虽然钓鱼是一种常见的攻击向量,但其他类型的攻击仍然构成威胁。社会工程章节中的故事可能看起来过于美好,但它们描述的是真实事件。托马斯和加德纳在对毫无防备的员工进行渗透测试时执行了这些攻击,并且每次都成功了。即使世界上最好的技术也无法保护您,如果攻击者可以毫无阻碍地通过前门进入。在第十二章《汇聚一切》中,托马斯和加德纳定义了不仅构建意识计划所需的步骤,还有开始赋予员工挑战和验证可疑行为的过程。
随着攻击变得更加专注,组织必须调整其防御策略,包括安全的人为因素。从零开始创建意识计划可能令人望而生畏和不知所措。《构建安全意识计划》将带您逐步完成创建一个与您的组织独特的计划的过程,以便在攻击者来袭时做好准备。
凯文·米特尼克,^(演讲者,顾问,畅销书《电线中的幽灵》作者)
这本书对我来说是建立信息安全计划和了解真正风险的基础书籍之一。对我来说,我们今天在安全领域面临的最大风险之一是通过人为因素。比尔和瓦莱丽在展示可能发生的攻击类型的有效性以及如何构建一个成功的计划以减少与有针对性攻击相关的风险方面做得非常出色。当我担任财富 1000 强公司的首席安全官时,建立教育和意识计划是我最有成就感的时刻之一。意识计划不仅提高了安全团队对员工群体的检测能力,而且开始改变文化,使之成为以安全为导向的文化。当我们在组织中实施某项措施时,不是因为安全要严厉或过度保护——我们的员工实际上理解这是一个更大的画面的一部分。一个有意义的使命。我们的计划迅速发展,并以高速度与高管和 IT 部门为了一个共同目标而努力。所有这一切都是因为我们的意识计划。
快进看看正在发生的攻击。我们的边界变得更加安全,我们正在锁定更多的东西。黑客转向最薄弱的环节,那就是我们的终端用户群体。我们必须采取行动,我们必须培训我们的人员,最重要的是,这对他们来说必须是重要的。教育和意识是有效的,我可以通过我们一直与之合作的人证明这一点。我曾多次看到意识将整个公司转变为一个以安全为导向的公司。不要过多关注技术,而是关注教育用户的基本要素。
我读过很多书,但这本书与众不同。这是建立成功的安全意识计划的方法,是推动你的信息安全计划前进的方法,也是训练用户以便检测攻击的方法。我非常支持向公司和员工提高意识;这是你将获得的最大回报之一。比尔和瓦莱丽展示了野外成功攻击的混合,并紧随其后的积极防御方法是非常出色的。
如果你已经阅读过这本书,请吸收一切,休息一下,然后想想如何实施你在这里学到的一切。这些建议来自经验和有效性。你的计划、你的可见性以及你阻止攻击并减少风险的能力取决于此。
如果你刚拿起这本书,而且今年只能读一本书,那就选这本吧。这是你将阅读的最重要的书之一。
戴夫·肯尼迪,演讲者、顾问、作家,TrustedSec 首席执行官
序言
比尔·加德纳
很多人问我为什么要写一本关于建立信息安全意识计划的书。虽然每个人都知道拥有这样一个计划是一个好主意,但没有人真正知道从哪里开始。这本书的目的是制定一个从零开始建立计划的计划,然后看看一些衡量计划有效性的方法一旦计划就位。
这本书旨在成为一份路线图。一刀切并不总是适用于所有情况,您的组织可能有不同的途径来实现相同的目标。当我建立信息安全意识计划时,我意识到记录我在做什么以及如何做的过程可能对那些可能需要这些信息的人有价值。
关于作者
比尔·加德纳,持有 OSCP、Sec + 和 iNet + 资格,是马歇尔大学数字取证和信息保障助理教授,304Geeks 和 Hack3rcon 的联合创始人,过去曾担任阿巴拉契亚数字证据学院(AIDE)的主席和董事会成员,并且是安全意识培训框架的成员。
瓦莱丽·托马斯是 Securicon LLC 的资深信息安全顾问,专门从事社会工程学和物理渗透测试。在获得电子工程学士学位后,瓦莱丽曾领导国防信息系统局(DISA)的信息安全评估工作,然后加入了私营行业。在她的职业生涯中,瓦莱丽进行过渗透测试、漏洞评估、合规审核以及面向高管、开发人员和其他安全专业人员的技术安全培训。
致谢
感谢 Syngress 团队让这本书成为可能。我还要感谢安全意识框架团队的成员们,让我向他们请教并参与了书中的问答。感谢 Justin Brown 和 Frank Hackett 的支持和帮助。感谢 304Geeks 的 Rob Dixon,Matt Perry,Benny Karnes 和 Rick Hayes 的支持。此外,感谢我的“黑客团队”:pr1me,gl1tch,c0ncelled,spridel 和 Hackett。感谢慈善黑客团队的成员们:Sam,Glenn,Nathan,Mary,特别是 Johnny Long 的友谊和支持。还要感谢 Dave Kennedy 的友谊,作为一个真正的领导者和激励者的榜样。感谢 Amanda Berlin,Phil Grimes,Jimmy Vo,Tess Schrodinger 和其他贡献者,他们花时间贡献了他们的知识和经验,以问答的形式包含在这本书中。
感谢许多会议组织者让我在他们的会议上谈论这个主题:Grecs 在 ShmooCon FireTalks;Adrian Crenshaw,Martin Bos,Dave Kennedy,Erin Kennedy 和 Nich Hitchcock 在 DerbyCon;John Sammons,Jill Macintyre,Terry Fenger,Peggy Brown 和 Kelly Griffith 在 AIDE;Liam Randall,Justin Hall 和 BsidesCincy 的其他组织者;BsidesCleveland 的组织者;以及 BsidesAsheville 的组织者。感谢我的在线团队:George V. Hulme,Bill Brenner,Boris Sverdlik,Digital Trust 的 Brian Martin,KC Yerid,Leonard Isham 和 Gal Shpantzer,在我研究和撰写这本书时让我娱乐。感谢 Lee Baird 的鼓励和支持。
感谢 John Sammons 让我与 Syngress 的好人联系在一起。感谢 Branden Miller,我与他共同在 BsidesCleveland 和 DerbyCon 上首次演讲这个主题。感谢我的合著者瓦莱丽·托马斯,在书已经开始后加入。感谢 Krista McCallister 在检查我的编辑和研究方面的帮助。
感谢我的学生们让我感觉自己既年轻又年老;马歇尔大学的同事、同事和管理层;西弗吉尼亚州立大学经济发展中心让我使用他们的共享工作空间;Moxxee Coffee 让我使用他们的咖啡店作为写作空间;我的朋友卡拉·史蒂文斯,与我共进午餐,为我提供长时间写作的休息时间;以及为写作这本书提供配乐的 Infected Mushroom 和 Dual Core。特别感谢 Dave Kennedy 和 Kevin Mitnick 为这本书写序言。
感谢我的家人,我的母亲贝蒂,我的侄女安伯,我已故的姐姐金姆,我已故的父亲比尔,我的祖父比尔·哈蒙德斯,以及我的其他家人。
特别感谢 Blair Gardner,在我长时间在电脑前度过的日夜中支持和包容我。没有你的爱和支持,这本书将不可能完成。
比尔·加德纳
除了我自己的努力之外,这本书的成功在很大程度上取决于许多其他人的鼓励和支持。感谢我的丈夫查德和孩子安德鲁以及莉莉,在我长时间坐在键盘前的时光里给予我的耐心和支持。我承诺现在要休息一下。特别感谢我的父母保存了我 7 岁时写的小故事书;希望这本书更加令人印象深刻。我要感谢 Syngress 和我的合著者比尔·加德纳使这本出版成为可能。感谢蒂姆·劳顿、杰伊·卢埃林和丹妮尔·多明格斯在内容审查和编辑过程中帮助我。感谢我的朋友凯文·米特尼克为这本书写前言。自从我第一次打开《欺骗的艺术》以来已经过去了很多年,这本书激发了我在信息安全领域的职业生涯,我对你的启发和支持感激不尽。我还要感谢戴夫·肯尼迪为这本书写前言,并且对我们所有在安全行业的人都是一个榜样。感谢我的朋友和导师克里斯·鲁索,他总是帮助我找到自己的道路。
瓦莱丽·托马斯
第一章:什么是安全意识计划?
比尔·加德纳(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
不是所有的攻击都是技术性的。现在我们在网络周围建立了技术防御,社会工程术被用于大多数最近的违规事件中。对抗社会工程术的唯一防御就是一个引人入胜的安全意识计划。安全意识计划有助于制定和执行政策,同时帮助确定组织计算机和通信服务用户行为的可接受和不可接受的界限。安全意识计划有助于限制对组织敏感和机密数据的违规风险。安全意识计划被定义为一个正式计划,旨在培训组织信息的潜在威胁,并教导如何避免可能使组织数据处于风险中的情况。
关键词
安全性
意识
政策
政策制定
政策执行
成本节约
生产增加
正式计划
引言
安全意识计划是一个正式计划,旨在培训组织信息的潜在威胁,并教导如何避免可能使组织数据处于风险中的情况。
安全意识计划的目标是降低组织的攻击面,使用户能够对保护组织信息承担个人责任,并执行组织为保护其数据制定的政策和程序。政策和程序可能包括但不限于计算机使用政策、互联网使用政策、远程访问政策和其他旨在管理和保护组织数据的政策。
在信息安全领域,人是最薄弱的一环。人们希望帮助。人们希望做好工作。人们希望向他们的同事、客户和供应商提供良好的客户服务。人们充满好奇心。社会工程师试图利用人类的这些特性。“社会工程被定义为欺骗人们泄露访问或机密信息的过程”[1]。对抗社会工程攻击的唯一已知防御是一个有效的安全意识计划。除非用户了解社会工程师的战术和技巧,否则他们将成为牺牲品,并将组织的数据置于风险中。
最近一项调查显示,绝大多数违规行为都利用了对人的攻击。其中一个例子是 RSA 泄露事件[2],其中复杂的攻击者使用有针对性的钓鱼攻击窃取了 RSA SecurID 认证令牌,导致了美国国防承包商洛克希德·马丁公司的进一步被侵入[3]。另一个例子是针对谷歌和其他大型软件公司的“极光”攻击,该攻击利用了一种将用户发送到一个网站的攻击,该网站感染用户的零日漏洞利用。其结果是,大量的知识产权,包括源代码,被从包括谷歌和 Adobe 在内的公司窃取[4]。
如今,网络上的坏人不再试图通过防火墙进行入侵。坏人绕过防火墙。组织已经花费了数十亿美元开发分层防御,以抵御网络攻击者。有诸如防病毒软件、入侵检测系统、入侵预防系统和其他技术解决方案来保护信息。有了这些复杂的解决方案,攻击者现在转而采取更加有针对性的攻击,专注于诱使用户点击链接或打开附件。
戴夫·肯尼迪的社会工程师工具包在模拟网站、附件、人机接口设备(HID)和 QR 攻击等社会工程攻击方面做得非常出色,供防御者用来测试自己的环境[5]。这听起来可能很简单,但如果用户收到一封看似来自 HR 部门的附件,看起来像是组织中每个人的加薪表格,他们会做什么呢?(参见图 1.1)好奇心可能不仅会害死猫,也可能使您的数据面临风险。
图 1.1 社会工程师工具包(SET)。
虽然 SET 是一个技术工具,但其目标是利用非技术手段来利用人类,而这些人类又利用计算机,从而导致数据泄露 [6]。SET 可以轻松克隆一个网站到攻击者的机器上,然后在网站中插入攻击。在这一点上,攻击者将尝试将用户引导到克隆的网站上。这可能通过钓鱼邮件来实现,发送给用户的链接经过了伪装,或者通过购买一个看起来合法的域来托管克隆的网站。一旦用户进入克隆的网站,攻击者就可以使用多种不同的攻击向量来窃取信息或安装后门,以使攻击者能够像合法用户一样访问系统。SET 还具有对这些攻击进行编码的能力,因此它们不会被用于检测恶意软件和入侵的杀毒软件等软件检测到。通过 SET 完成的凭证窃取攻击是通过克隆 Twitter、Facebook,甚至是银行或信用卡网站的网站以及一个用户名和密码文件来实现的。当用户尝试登录网站时,SET 会窃取用户名和密码,并将用户登录到合法网站。我们将在本书的后面更详细地讨论 SET。
安全意识计划也是成熟安全计划的基石之一。政策和程序是第一个基石。下一层是安全意识计划,也称为用户意识培训。只有当这两个要素到位后,我们才会转向补丁管理、日志管理、防病毒/HIDS、安全设备,最后是指标等下一步。多年来,组织一直在向安全方面投入资金,而这些资金本应更好地用于培训他们的用户 (图 1.2)。本书的重点是逐步构建一个安全意识计划,最终目标是建立一个成熟的安全计划。
图 1.2 成熟安全计划的要素。
政策制定
政策制定确定了组织用户的目标、限制和期望。根据组织的大小,这些政策可以是一系列文件,涉及组织的 IT 和 HR 结构的特定部门,或者在较小的组织中,它可能是一份单一的文件,概述了使用组织电话、计算机、电子邮件和其他数字资产的人员的限制和职责。
最常见的政策是计算机使用政策。其他可在单独文件中处理的单独政策包括电子邮件使用、互联网使用、电话使用和传真使用。计算机使用,有时也称为可接受使用政策,定义了用户对计算机和电信资源的访问级别,以及他们对这些资源使用的权利和限制。可接受使用的最大目标是界定使用何时结束,滥用何时开始。例如,在大多数组织中,如果用户花费工作时间访问色情和赌博网站,将被视为滥用。如果员工在工作日过度使用电话和电子邮件服务进行个人沟通,也将被视为滥用。大多数组织都明白一些个人使用是必要的,并通过可接受使用政策来界定何为组织设备和服务的可接受使用,何为不可接受使用。
一些组织的使用政策是基于在互联网上找到的模板[7]。虽然这些模板很有用,但重要的是要记住,它们需要根据您组织的需求和任务进行定制。
组织的人力资源部门也需要参与其中。在许多情况下,政策的具体部分将受到人力资源部门的处罚。在大多数情况下,政策和程序将必须考虑到法规。那些处理健康数据的组织可能受到 HIPAA/HITECH 的覆盖。处理信用卡交易的组织可能受 PCI DSS 的覆盖。具体而言,HIPAA/HITECH 安全规则的物理标准解决了工作站使用、164.310(b);工作站安全、164.310(c);以及设备和媒体控制,164.310(d)(1)等问题。HIPAA/HITECH 还要求对不遵守政策的人员进行惩罚,特别是根据安全规则的行政标准,特别是授权和/或监督、工作人员清理程序和终止程序,164.308(a)(3)。
政策执行
没有执行力的政策是浪费时间和对组织的损害。有效安全意识计划的一个目标是通过向用户教育政策和组织的期望来执行政策。
没有强制执行的政策比任何东西都更无用。许多组织花费大量时间制定政策。很多时候,这些政策最终只是放在某人办公室的书架上。
将可接受使用和其他政策副本提供给用户是一个很好的第一步,但大多数时候,用户不会花时间阅读信息。安全意识计划应用于审查这些政策,特别是适用于组织通信和信息技术基础设施使用、滥用及其惩罚的政策。
本书的目标是阐明如何从获得管理层支持到使用有效的指标衡量程序构建有效的安全意识计划。它也适用于从管理层到数字一线的 IT 经理,他们对启动安全意识计划感兴趣。虽然本书将涵盖很多内容,但最终目标是让您能够开发出一个引人入胜的安全意识计划,帮助您的组织在面对在线威胁时管理风险。
成本节约
数据泄露会造成金钱损失。如果您是受到《HIPAA/HITECH》或《PCI DSS》等法规覆盖的组织,数据泄露可能会导致数百万美元的罚款,具体数额取决于泄露的规模。此外,许多州现在都有泄露通知法,要求失去数据的组织通知受影响的人失去了什么,并在某些情况下为受影响者提供信用保护。波尼蒙研究所和赛门铁克在 2013 年 6 月发布的一份报告发现,2012 年的泄露全球平均每个记录造成了 136 美元的损失[8]。
2012 年 5 月,美国卫生与人类服务部民权办公室对爱达荷州立大学因健康数据泄露而罚款 40 万美元[9]。2012 年 6 月,阿拉斯加州卫生与人类服务部(DHHS)同意支付 170 万美元,以解决可能违反《HIPAA/HITECH》法规的问题[10]。
支付卡行业已经针对数据泄露设立了高达每起事件 50 万美元的罚款[11]。2010 年,位于田纳西州纳什维尔的体育用品公司 Genesco 因未遵守 PCI DSS 法规而被罚款超过 1300 万美元,公司发现自己被黑客入侵,监管机构发现公司不合规[12]。
产量增加
较少的恶意软件和计算机问题可能会导致较少的停产时间和组织产量的增加。IT 和安全团队实际上可以花时间积极主动地推动组织的使命,而不是对病毒和其他恶意软件感染做出反应,并调查可能的实际数据泄露[13]。
一些感染和泄露可能导致数天甚至可能数周的停产时间。这些中断会导致组织利润减少,并在某些情况下使组织面临民事诉讼、可能的监管行动以及可能失去客户和业务伙伴的风险。
一些数据泄露并不是外部行为者造成的,而是员工的错误,比如关闭防火墙[14]或者没有正确配置网站以不向公众显示机密数据[15]。没有正确完成工作所需的知识,员工们会继续犯错误。
安全意识计划的最终目标是管理组织的风险。大多数组织都有安全计划来确保员工在工作中安全。安全意识计划的目标应该是确保组织的数据安全。
管理支持
建立安全意识计划的第一步,也是最重要的一步,是获得组织管理结构的批准和支持。如果没有管理支持,政策将不会得到制定,政策将不会得到执行,管理层和员工将反抗任何对他们在保护组织信息方面施加的结构、规则或限制。即使面对像 HIPAA/HITECH 和 PCI DSS 这样的法规,如果没有组织管理层的支持,安全意识计划也将失败。
管理支持始于向管理层展示风险,然后说明安全意识计划如何帮助他们管理这种风险。第二步是向管理层展示这样一个计划如何支持组织的业务目标,包括政策制定、政策执行、成本节约和生产增加。
展示风险包括针对组织行业的案例研究。例如,如果您的组织是一家律师事务所,使用案例研究和律师事务所因用户错误而遭受侵犯的案例和例子。同时,说明攻击者的狡猾也很重要。大多数人在考虑安全问题时会想到日常的非定向病毒感染,而最危险的攻击者是技术先进的黑客,他们试图窃取知识产权、财务信息和商业机密。
管理层并不总是愿意接受变化,特别是当他们认为这些变化会妨碍组织的业务目标时。用非技术术语与管理层进行适当沟通是获得管理支持的关键。当自上而下的管理层了解安全意识计划的目的和目标,并且这样一个计划符合组织的业务目标,主要是赚钱时,他们将更愿意实施安全意识计划。
在本书的其余部分,我们将继续从零开始以很少或没有资金的方式查看安全意识计划的具体步骤。常识性方法是应对大量现代信息威胁的最佳途径。虽然一些组织提供付费的、通常是现成的安全意识计划,但本书的重点是赋予理由在他们自己的组织内建立自己的计划,无论这些组织是小型、中型还是大型企业或公司,或者是非营利组织,甚至是学校。大部分信息也可供家庭用户使用,以更好地管理他们在面对在线威胁时的风险,但家庭用户不在本书的范围之内。
注意
[1] 社会工程框架。www.social-engineer.org/framework/Social_Engineering_Defined [于 13 年 6 月 2 日访问]。
[2] 《Digital Dao》:全球网络空间中不断演变的敌意。jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html [于 13 年 6 月 3 日访问]。
[3] 《InformationWeek 安全》:RSA 遭受攻击八个月后。www.informationweek.com/security/attacks/rsa-breach-eight-months-later/231903048 [于 13 年 6 月 3 日访问]。
[4] 《Wired》:谷歌黑客攻击极为复杂,新细节揭示。www.wired.com/threatlevel/2010/01/operation-aurora/ [于 13 年 6 月 3 日访问]。
[5] TrustedSec:社会工程师工具包。www.trustedsec.com/downloads/social-engineer-toolkit/ [于 13 年 6 月 4 日访问]。
[6] 社会工程框架:基于计算机的社会工程工具:社会工程师工具包(SET)。www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET) [于 13 年 6 月 4 日访问]。
[7] SANS:信息安全政策模板。www.sans.org/security-resources/policies/ [于 13 年 6 月 4 日访问]。
[8] Ponemon 和 Symantec 发现大多数数据泄露是由人为和系统错误造成的。www.symantec.com/about/news/release/article.jsp?prid=20130605_01&om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2013Jun_worldwide_CostofaDataBreach [于 13 年 6 月 5 日访问]。
[9] HHS 因健康数据泄露罚款爱达荷州立大学 40 万美元。healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/ [于 13 年 6 月 6 日访问]。
[10] 阿拉斯加州卫生和社会服务部因违反 HIPAA 安全案例达成 170 万美元的和解。www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/alaska-agreement.html [于 13 年 6 月 6 日访问]。
[11] PCI-DSS:安全—处罚。financial.ucsc.edu/Pages/Security_Penalties.aspx [于 13 年 6 月 6 日访问]。
[12] 遭受违规罚款后,零售商起诉 Visa。www.scmagazine.com/retailer-fights-pci-fines-for-noncompliance-after-breach-sues-visa/article/284088/ [于 06.06.13 访问]。
[13] 数据泄露的最高风险是停机时间。www.informationweek.com/security/management/downtime-rated-top-risk-of-data-breaches/228201056 [于 07.06.13 访问]。
[14] HHS 对爱达荷州立大学进行 $400 K 的医疗数据泄露罚款。healthitsecurity.com/2013/05/22/hhs-fines-idaho-state-university-400k-for-data-breach/ [于 07.06.13 访问]。
[15] 布鲁克黑文数据泄露“是文员错误”,官员称。www.newsday.com/long-island/towns/brookhaven-data-breach-was-clerical-error-officials-say-1.5426405 [于 07.06.13 访问]。
第二章:威胁
比尔·加德纳 ^(美国西弗吉尼亚州亨廷顿市,马歇尔大学)
摘要
在线攻击者受到许多因素的驱使。大多数人寻求窃取金钱或受保护的在线信息,如信用卡号码或可以用于赚钱的知识产权。其他动机根植于政治抗议,在黑客主义的情况下,或者根植于进一步推动国家利益的情况下,如网络战的情况。所有动机的鼻祖是炫耀权利。在数字地下世界中,展示您的技术威望和您的高级技术能力长期以来一直受到高度尊重。
关键词
攻击者的动机
金钱
黑客主义
炫耀权利
网络战
在线攻击者的动机
为了恰当地培训用户,首要任务是让他们了解在线面临的威胁、威胁行为者以及在线犯罪分子的动机。许多时候,用户并不理解他们每天访问的信息对他们工作的价值。在律师事务所的情况下,律所将收集更多的机密数据以代表其客户的利益。在会计事务所的情况下,公司可以访问客户的敏感财务文件。医生、医院和保险公司可以访问敏感的健康数据。雇主收集员工的个人和财务信息,如社会安全号码,以及其他个人信息,以便处理保险和工资单。对于有家庭的员工,雇主需要收集家庭成员的社会安全号码和其他个人信息。
想想你组织中的信息。如果您的雇主丢失了您的个人和财务信息,您将损失多少?如果您的组织丢失了员工、客户和业务伙伴委托给它的机密和特权信息,它将损失多少?
金钱
在线攻击者的首要目标是金钱。在线犯罪分子通过在线计划、欺诈和盗窃赚取数十亿美元 [1]。一些团体针对计算机窃取个人信息和信用卡信息 [2]。被盗的信用卡信息可以直接使用,也可以出售给其他犯罪分子。
工业间谍/商业机密
其他更复杂的攻击者试图窃取机密信息和知识产权以进行销售。例如,如果在线犯罪分子能够窃取可口可乐的配方,他们就可以卖得很多钱 [3]。
黑客主义
黑客活动家受政治原因激励[4]。最广为人知的黑客活动家团体是匿名者及其附属团体[5]。黑客活动主义被定义为“利用非暴力手段使用非法或法律模糊的数字工具追求政治目的。这些工具包括网站篡改、重定向、拒绝服务攻击、信息窃取…”[6]。
黑客活动主义有许多不同的例子,但最大、最成功、最知名的是索尼行动。也被称为 Op Sony,匿名者称之为当时的事业是乔治·霍茨的案例,他也被称为第一个“越狱”iPhone 的黑客。乔治,网上以他的别名 GeoHot 而闻名,还想“越狱”他的 PlayStation 3,这将使用户能够玩和分享自制游戏。2010 年 12 月 29 日,乔治·霍茨和被称为 fail0verflow 的黑客集体宣布他们已经获取了索尼 PlayStation 3 游戏机的根密钥。2011 年 1 月 3 日,乔治·霍茨在他的网站geohot.com上发布了他的发现。2011 年 1 月 11 日,索尼对乔治·霍茨和 fail0verflow 的其他成员提起诉讼,因为他们泄露了 PlayStation 3 的根密钥[7]。
2011 年 4 月,匿名者发动了所谓的 Op Sony 行动的第一击,通过使 PlayStation Network(PSN)和几个与 PlayStation 相关的域名,包括 PlayStation Store,下线[8]。后来发现,这些攻击不仅导致 PSN 服务中断,还成为历史上最大规模的数据泄露事件之一,涉及超过 7000 万条记录,包括个人可识别信息(PII)和信用卡信息[9]。
这段时间还见证了匿名者的一个子群体 LulzSec 的崛起。这个冒失的匿名者子群最终声称窃取了 PlayStation Network 的 2460 万条记录[10]。该组织随后进行了大规模的黑客攻击,涉及了从Fox.com到 PBS 以及游戏公司 Bethesda Game Studios 等许多知名目标,同时一直戏弄和嘲讽执法部门。他们认为自己是当代的罗宾汉,揭露了他们攻破的网站的不安全性。随着他们的黑客攻击活动的持续,他们继续吸引公众的关注和执法部门的关注,一直持续到 2011 年夏天。该组织的活动变得越来越大胆和离谱[10]。到 2011 年秋季初,有报道称该组织的领袖 Sabu,其真名为 Hector Xavier Monsegur,于 2011 年 6 月 7 日被捕,并成为 FBI 的线人[11]。到 2011 年年底,LulzSec 小组的所有成员都将被捕并被监禁。尽管 LulzSec 小组的统治已经结束,但匿名者这些不同的组织仍然存在。
匿名者始于 2003 年,起初在互联网图像网站4chan.org上,每个用户都以匿名用户的身份发帖。随着网站的发展,许多“匿名者”发现他们在某些目标和政治观点上有共同之处。4chan.org上的留言板,主要是一个名为/b/的留言板,用于发布包含行动呼吁的随机信息。尽管匿名者参与了许多数据泄露事件,但他们主要以对政府、宗教和企业网站的分布式拒绝服务(DDoS)攻击而闻名。此类攻击的一些知名目标包括西博罗浸信会、科学教会、PayPal、万事达卡和 Visa[12]。许多匿名者成员是通过该网站得知了索尼对乔治·霍兹的诉讼,并经常在 4chan 上讨论和协调进行中的行动,但现在匿名者在Pastebin.com上分享操作细节。Pastebin 是作为一个一定时间内分享信息的网站而开发的[13],但开发者们可能从未想过它会成为今天正在进行的匿名者行动的焦点。匿名者及与匿名者相关的黑客组织还使用该网站来倾倒其敌人的个人信息,被称为网络黑市的 doxing,并分享从数据泄露中获得的机密信息,如电子邮件、密码、用户名和密码哈希值。
网络战
网络战被定义为国家对国家的战争。在某些情况下,国家似乎利用爱国黑客和黑客团伙来促进他们的国家利益。我们也将这些行动称为网络战。最近,网络战已成为一个备受关注的话题,大部分指责入侵都指向了赛里斯政府。我们今天所说的网络战并不新鲜。Titan Rain 是美国政府自 2003 年以来称之为的一系列对美国计算机系统的协同攻击,被归因于赛里斯政府 [14]。
被广泛讨论和引用的网络战事件之一发生在 2007 年的爱沙尼亚,当时因俄罗斯与爱沙尼亚在塔林(爱沙尼亚首都)重新安置“塔林铜士兵”和战争墓地而产生分歧,结果导致爱沙尼亚公共和私营部门遭受了一系列大规模协同的网络攻击。爱沙尼亚的银行、议会、部门、报纸和电视都被攻击击倒 [15]。
最近,头条新闻充斥着关于新型定向武器在我们现在称之为网络战的领域中的使用的消息。这些新型“网络武器”中最引人注目的是 Stuxnet [16]。Stuxnet 瞄准了伊朗纳坦兹铀浓缩厂的离心机。根据一些专家的说法,这次网络攻击使伊朗的核计划倒退了数年。它也可能拯救了生命,因为不需要传统的军事行动来摧毁离心机 [17]。
网络战的一个子集是网络间谍活动。这是对企业和其他组织最直接的威胁。据报道,2010 年 9 月,一些加拿大的律师事务所遭到了赛里斯黑客的入侵,他们试图阻止一家澳大利亚矿业公司对世界最大钾肥生产商的 400 亿美元收购 [18]。2013 年 2 月 18 日,互联网安全公司曼迪安特发布了一份报告,声称他们有确凿的证据证明赛里斯军队正在背后策划对美国网络的入侵,以窃取政府和非政府组织的敏感数据和商业机密 [19]。
自夸权利
做别人认为不可能的事情会给黑客带来很多“信誉”和在数字地下世界中的追随者。在互联网犯罪的黑暗世界中,声誉就是货币。2011 年,黑客成立了一个名为“RankMyHack.com”(现已下线)的网站来评分黑客攻击。攻击越复杂,分数越高 [20]。
在黑客们开始窃取金钱和知识产权之久以前,他们首先是向其他黑客炫耀自己的技能。虽然如今“黑客”一词通常用来指代侵入计算机系统的人,但这个词最初起源于 20 世纪 70 年代的麻省理工学院学生文化中。如果一位学生能够用最少的步骤提出一种特别简洁的解决方案来解决一个复杂的问题,那么他们就被称为“黑客”,而这个解决方案被称为“黑客之道”。后来,“黑客”一词被用于描述学生们对麻省理工学院行政部门进行的复杂恶作剧。这些恶作剧可以追溯到 1947 年,当时麻省理工学院的学生们使用爆炸导火索在哈佛大学的橄榄球场上烧毁了“MIT”字样。其他恶作剧包括在校园建筑物顶部放置一个模拟的麻省理工学院警车,上面装有闪烁的蓝色灯光 [21]。
注释
[1] 为网络犯罪规模测量。www.guardiannetworksolutions.com/cyber-crime-costs/ [于 13 年 06 月 13 日访问]。
[2] 网络犯罪的可怕崛起:您的计算机目前正被犯罪团伙盯上,他们希望获取您的个人信息并窃取您的资金。www.dailymail.co.uk/home/moslive/article-2260221/Cyber-crime-Your-currently-targeted-criminal-gangs-looking-steal-money.html [于 13 年 06 月 13 日访问]。
[3] 这个人是否在旧抽屉里找到了可口可乐的原始配方?古董商将“秘密配方”以 1500 万美元的价格在 eBay 上出售。www.dailymail.co.uk/news/article-2324106/Coca-Cola-formula-Georgia-man-says-secret-1943-recipe-Coke.html [于 13 年 06 月 13 日访问]。
[4] 黑客行动:简史。www.foreignpolicy.com/articles/2013/04/29/hacktivism [于 13 年 06 月 13 日访问]。
[5] 匿名者:从快乐到集体行动。mediacommons.futureofthebook.org/tne/pieces/anonymous-lulz-collective-action [于 14 年 05 月 21 日访问]。
[6] 黑客行动与政治参与的未来。www.alexandrasamuel.com/dissertation/index.html [于 13 年 06 月 18 日访问]。
[7] 认识你的迷因:索尼行动。knowyourmeme.com/memes/events/operation-sony [于 13 年 06 月 18 日访问]。
[8] 匿名者的行动:索尼是双刃剑。www.thetechherald.com/articles/Anonymous-Operation-Sony-is-a-double-edged-sword/13239/ [于 13 年 06 月 18 日访问]。
[9] 安全专家:PlayStation Network 突破是有史以来最大的之一。content.usatoday.com/communities/gamehunters/post/2011/04/security-experts-playstation-network-breach-one-of-largest-ever/1#.UcD1ufZgahg [于 13 年 6 月 18 日访问]。
[10] LulzSec:他们做了什么,他们是谁,以及他们是如何被抓住的。www.guardian.co.uk/technology/2013/may/16/lulzsec-hacking-fbi-jail [于 13 年 6 月 18 日访问]。
[11] LulzSec 领袖背叛匿名者。gizmodo.com/5890825/lulzsec-leader-betrays-all-of-anonymous [于 14 年 5 月 21 日访问]。
[12] 严肃的事务:匿名者挑战科学教会(并且毫不畏惧)www2.citypaper.com/columns/story.asp?id=15543 [于 14 年 5 月 21 日访问]。
[13] Pastebin 超过 1000 万“活跃”粘贴。techcrunch.com/2011/10/26/pastebin-surpasses-10-million-active-pastes/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 [于 14 年 5 月 21 日访问]。
[14] 安全专家揭示赛里斯黑客攻击。web.archive.org/web/20061211145201/http://news.zdnet.com/2100-1009_22-5969516.html [于 14 年 5 月 21 日访问]。
[15] 爱沙尼亚的网络战教训。www.usnews.com/opinion/blogs/world-report/2013/01/14/estonia-shows-how-to-build-a-defense-against-cyberwarfare [于 13 年 6 月 23 日访问]。
[16] 法律专家:对伊朗的 Stuxnet 攻击是非法的“武力行为”。www.wired.com/threatlevel/2013/03/stuxnet-act-of-force/ [于 13 年 6 月 22 日访问]。
[17] 美国政府实验室是否帮助以色列开发 Stuxnet?www.wired.com/threatlevel/2011/01/inl-and-stuxnet/all/ [于 13 年 6 月 22 日访问]。
[18] 赛里斯黑客针对律师事务所获取秘密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 6 月 22 日访问]。
[19] APT1 三个月后 - 显著受影响,尽管活跃并在重建中。www.mandiant.com/blog/apt1-months-significantly-impacted-active-rebuilding/ [访问日期:13 年 6 月 22 日]。
[20] 网站对黑客进行排名,并授予吹嘘权利。www.nytimes.com/2011/08/22/technology/web-site-ranks-hacks-and-bestows-bragging-rights.html [访问日期:13 年 6 月 23 日]。
[21] 大圆顶(Bldg. 10)的黑客攻击。hacks.mit.edu/Hacks/by_location/great_dome.html [访问日期:14 年 5 月 21 日]。
第三章:数据泄露成本
比尔·加德纳 (美国西弗吉尼亚州亨廷顿,马歇尔大学)
摘要
数据泄露会带来成本。在某些情况下,数据泄露的成本是如此之大,以至于可能导致公司破产。数据泄露的成本来自于行业和监管罚款,如 HIPAA/HITECH 和 PCI DSS。其他成本来源于业务损失、州通知法和修复导致泄露的安全问题。跟踪与数据泄露相关的成本的组织包括 Ponemon 研究所、赛门铁克和 Verizon。
关键词
Ponemon 研究所
违规通知法
HIPAA/HITECH
PCI DSS
成本
Ponemon 研究所
有许多机构追踪与数据泄露成本相关的信息,但唯一将全部时间和预算都用于跟踪数据泄露成本的组织是 Ponemon 研究所 (www.ponemon.org/)。根据当前的研究,数据泄露的每个记录的成本在美国平均为 194.00 美元。 Ponemon 研究所与赛门铁克合作,于 2013 年 5 月发布了 “Ponemon 数据泄露成本 2013” [1]。该报告涵盖了全球收集的数据,并进一步按国家/地区进行了细分。
HIPAA
在美国,泄露的成本包括支付监管罚款、通知受影响方的义务以及由于客户信任的丧失而导致的业务损失。仅违反 HIPAA 而导致的罚款金额已达数百万美元 [2]。
受覆盖实体被定义为处理医疗记录的组织,包括医生、诊所、牙医、心理学家、按摩治疗师和养老院。该定义还包括医疗、牙科和视力计划等健康计划,以及处理健康数据(如计费和收款公司)的医疗保健清算所 [3]。
受覆盖实体受《HIPAA 安全规则》约束。《HIPAA 安全规则》适用于处于电子状态的任何受保护健康信息(PHI)。并非所有《安全规则》的规格都是必需的。有些是“可处理的”,这意味着受覆盖实体可以进一步评估规格是否对组织合理和适当。可处理并不意味着规格是可选的;而是意味着它是否合理基于组织的规模和构成。无论是必需还是可处理,您都应仔细记录实施选择 [4]。
完成并于 2005 年 2 月 20 日发布的《HIPAA 安全规则》的合规截止日期是 2005 年 2 月 21 日。如果您需要遵守《隐私规则》或《电子交易和代码集规则》,您就是“受覆盖实体”的一员,并且必须遵守《安全规则》。
卫生和人类服务部(DHHS)通过说明规范是否“必需”或“可处理”为覆盖实体提供了灵活性。
如果规范是“必需的”,则覆盖实体必须按照安全规则中规定的规范实施该规范。
如果规范是“可处理”的,则覆盖实体必须执行以下操作:
-
评估规范在其环境中是否是合理且适当的安全措施,并且可能有助于保护实体的电子受保护健康信息。
-
实施规范或说明为何不合理和适当,并实施等效替代措施(如果合理和适当)。
实施规范
(R)= 必需,(A)= 可处理
行政保障
标准
安全管理流程
■ 风险分析(R)
■ 风险管理(R)
■ 制裁政策(R)
■ 信息系统活动审查(R)
分配安全责任(R)
工作人员安全
■ 授权和/或监督(A)
■ 工作人员审批程序(A)
■ 终止程序(A)
信息访问管理
■ 隔离医疗清算功能(R)
■ 访问授权(A)
■ 访问建立和修改(A)
安全意识和培训
■ 安全提醒(A)
■ 防恶意软件(A)
■ 登录监控(A)
■ 密码管理(A)
安全事件程序
■ 响应和报告(R)
应急计划
■ 数据备份计划(R)
■ 灾难恢复计划(R)
■ 应急模式操作计划(R)
■ 测试和修订程序(A)
■ 应用和数据重要性分析(A)
评估(R)
业务合作伙伴合同和其他安排
■ 书面合同或其他安排(R)
物理保障
标准
设施访问控制
■ 应急操作(A)
■ 设施安全计划(A)
■ 访问控制和验证程序(A)
■ 维护记录(A)
工作站使用(R)
工作站安全(R)
设备和媒体控制
■ 处置(R)
■ 媒体再利用(R)
■ 责任追究(A)
■ 数据备份和存储(A)
技术保障
标准
访问控制
■ 独特用户标识(R)
■ 应急访问程序(R)
■ 自动注销(A)
■ 加密和解密(A)
审计控制(R)
完整性
■ 验证电子 PHI 的机制(A)
个人或实体身份验证(R)
传输安全
■ 完整性控制(A)
■ 加密(A)
组织保障
标准
业务合作伙伴合同或其他安排(R)
团体健康计划(R)
政策和程序(R)
文档
■ 时间限制(R)
■ 可用性(R)
■ 更新(R)
虽然根据 HIPAA 安全规则,“安全意识和培训”是“可解决的”,但这并不意味着您的组织可以不做。在许多情况下,当您审查与您的组织特定的法规时,您会发现法规只涉及到了最低限度的使您的组织安全所需的内容。一再强调遵守政府和行业法规本身并不会使您的组织安全,但它将为您节省大量资金,并且通常是建立成熟安全程序的重要第一步。
我的前同事 Bob Coffield 在他的“医疗法律博客”上涵盖了与违反 HIPAA 安全规则有关的最近一次大额罚款。
“HHS 民权办公室(OCR)宣布与田纳西州蓝十字蓝盾公司(BCBST)达成了 150 万美元的和解,涉及潜在违反 HIPAA 隐私和安全规则的情况。根据 OCR 新闻稿,OCR 的执行行动是根据由 HITECH 规定的 HIPAA 的新违规通知规则实施的,首次被报告为违规通知规则的执行行动。”
这次违规行为涉及在 BCBST 在田纳西州租用的设施中被盗的 57 个未加密的计算机硬盘。这些硬盘包含大约 100 万个个人的受保护健康信息。BCBST 向 OCR 根据 HITECH 规定和要求报告潜在违规行为。新闻稿指出,OCR 的调查发现,BCBST 未能实施适当的行政保障措施来充分保护位于租赁设施中的信息,未能根据操作变更进行所需的安全评估。此外,调查显示未能实施适当的物理保障措施,未能具备足够的设施访问控制;这两项保障措施都是 HIPAA 安全规则要求的。
支付卡行业数据安全标准(PCI DSS)
另一个涵盖数据泄露的法规是 PCI DSS。
“支付卡行业数据安全标准(PCI DSS)是为处理主要借记卡、信用卡、预付卡、电子钱包、自动取款机和 POS 卡的组织而制定的专有信息安全标准。”
由支付卡行业安全标准理事会定义,该标准旨在加强对持卡人数据的控制,以减少通过其曝光造成的信用卡欺诈。合规性验证是每年进行一次的——由外部合格安全评估员(QSA)进行,该评估员为处理大量交易的组织创建合规性报告(ROC),或者由小型交易量公司进行自我评估问卷(SAQ)[7]。
对许多人来说,PCI DSS 是对 TJX 数据违规事件的一种反应,当时这是历史上规模最大、成本最高的违规事件。据称,犯罪分子在这次违规事件中获取了 4500 万客户的信用卡和借记卡号码。总成本,包括诉讼费用和修复导致违规事件的问题的成本,估计为 2.56 亿美元。
根据 2012 年 Verizon 数据违规调查报告,2011 年经历数据违规事件的商家中,有 96%未遵守 PCI DSS。根据 2011 年数据违规成本研究,2011 年与安全违规事件恢复相关的直接成本平均为每个被盗记录 194 美元。由于典型的违规事件涉及数万条记录,结果可能对企业造成灾难性影响。
HIPAA 和 PCI DSS 只是可能影响您的组织的法规的两个例子。熟悉您所在领域的法规,并确保将其纳入您的安全意识培训中。
州违规通知法
现在许多州已经颁布了违规通知法,导致数据违规成本超过 HIPAA、SOX 和 PCI DSS 等法规。根据国家立法会议(NCSL)的数据,46 个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛已经颁布了违规通知法。违规通知法的颁布是由于一些备受关注的数据违规事件,比如备受关注的 TJX 违规事件。
这些法律的理念是在客户数据丢失的情况下向消费者提供通知和信用保护。不提供通知和信用保护可能导致失去数据的组织因失窃或疏忽而面临巨额罚款。在发生损失的情况下,组织的首要责任是确定已经丢失了什么:社会安全号码、信用卡信息、家庭地址、出生日期或其他可识别个人信息(PII)。每个州对法律的触发条件不同。常见标准包括记录数量和丢失数据的类型。
以下是西弗吉尼亚州的违规通知法,这是其他州的违规通知法的典型代表:
第 46A 章。西弗吉尼亚州消费者信用和保护法
第 2A 条。消费者信息安全违规
§46A-2A-101。定义
本条款中使用的术语:
(1) “系统安全违规”是指未经授权访问和获取未经加密和未经编辑的计算机化数据,这些数据威胁个人信息的安全或机密性,这些个人信息由个人或实体作为多个个人信息数据库的一部分维护,导致个人或实体合理地相信系统安全违规已经或将导致本州任何居民的身份盗窃或其他欺诈行为。个人或实体的雇员或代理人为个人或实体目的而善意获取个人信息,不构成对系统安全的违规,前提是个人信息不用于个人或实体的合法目的之外的目的,也不受进一步未经授权的披露。
(2) “实体”包括公司、商业信托、遗产、合伙企业、有限合伙企业、有限责任合伙企业、有限责任公司、协会、组织、合资企业、政府、政府分支机构、机构或工具,或任何其他法律实体,无论其是否营利。
(3) “加密”是指通过使用算法处理数据,使其转化为一种形式,其中低概率的情况下没有使用保密过程或密钥就能赋予意义,或者通过另一种方法保护信息,使数据元素无法阅读或无法使用。
(4) “金融机构”的定义与《美国法典第十五章 6809(3)节》中对该术语的定义相符。
(5) “个人”指自然人。
(6) “个人信息”指与本州居民相关的姓氏或名字首字母和姓氏相链接的以下一个或多个数据元素,当数据元素既不加密也不编辑时:
(A) 社会安全号码;
(B) 驾驶执照号码或代替驾驶执照发放的州身份证号码;或
(C) 金融账号号码,或信用卡,或借记卡号码,与任何必需的安全代码、访问代码或密码结合使用,可以访问居民的金融账户。
该术语不包括通过合法途径从公开信息或从联邦、州或地方政府记录中合法提供给一般公众的信息。
(7) “通知”意味着:
(A) 向个人或实体记录中的邮寄地址发出的书面通知;
(B) 电话通知;
(C) 电子通知,如果提供的通知符合《美国法典第十五章 7001 节》,即《全球和国家电子商务电子签名法》关于电子记录和签名的规定。
(D) 替代通知,如果需要提供通知的个人或实体证明提供通知的成本将超过五万美元,或者需要通知的受影响居民类别超过十万人,或者个人或实体没有足够的联系信息或无法提供如(A)、(B)或(C)段描述的通知。替代通知包括以下任意两项:
(i) 如果个人或实体拥有受影响居民类别的成员的电子邮件地址,则通过电子邮件通知;
(ii) 如果个人或实体拥有网站,则在个人或实体的网站上醒目张贴通知;
(iii) 向主要州内媒体通知。
(8) “编辑”指对数据进行更改或截断,以使社会安全号码、驾驶执照号码、州身份证号码或帐号号码的最后四位数字以外的任何内容都无法访问作为个人信息的一部分。
§46A-2A-102. 计算机化个人信息安全侵犯通知
(a) 拥有或许可包含个人信息的计算机化数据的个人或实体应在发现或通知系统安全性遭到侵犯后向该州任何居民通知系统安全性遭到侵犯的情况,其未加密和未编辑的个人信息被未经授权的人访问和获取,并且导致或个人或实体合理相信已经导致或将导致身份盗窃或其他欺诈对该州任何居民造成影响。除非本节(e)项规定或为采取任何必要措施以确定侵犯的范围并恢复系统的合理完整性,通知应当在没有不合理延迟的情况下进行。
(b) 如果加密信息以未加密形式被访问和获取,或者安全漏洞涉及具有加密密钥访问权限的人员,并且个人或实体合理相信此类漏洞已经导致或将导致身份盗窃或其他欺诈对该州任何居民造成影响,则个人或实体必须通知系统安全性遭到侵犯的情况。
(c) 维护包含个人信息的计算机化数据但并非拥有或许可该信息的个人或实体应在发现后尽快向信息的所有者或许可人通知系统安全性遭到侵犯,如果个人信息被或实体合理相信被未经授权的人访问和获取。
(d) 通知应包括:
(1)尽可能描述未经授权的人士据信已经访问或获取的信息类别,包括社会安全号码、驾驶执照或州身份证号码和财务数据;
(2)个人可以使用的电话号码或网站地址,以联系实体或实体代理人,并从中了解以下内容:
(A)实体对该个人或一般个人维护的信息类型;以及
(B)实体是否维护有关该个人的信息。
(3)主要信用报告机构的免费联系电话号码和地址以及如何设置欺诈警报或安全冻结的信息。
(e)根据本节要求的通知,如果执法机构确定并告知个人或实体通知将妨碍刑事或民事调查或国土或国家安全,通知可能会延迟。在执法机构确定通知不再妨碍调查或危及国家或国土安全之后,本节要求的通知必须在没有不合理延迟的情况下进行。
(f)如果一个实体根据本文的规定需要通知一千人以上的人员存在安全漏洞,该实体还应在没有不合理延迟的情况下通知所有在全国范围内编制和维护文件的消费者信用报告机构,如 15 U.S.C.§1681a(p)所定义的,关于通知的时间、分发和内容。本小节不得解释为要求该实体向消费者信用报告机构提供通知接收者的姓名或其他个人识别信息。本小节不适用于受到《格拉姆-利奇-布莱利法》第五章 15 U.S.C. 6801 等的规定的实体。
(g)本节要求的通知不得视为《公平债务收藏实践法》第 15 U.S.C. §1692a 中定义的债务通信。
§46A-2A-103.被视为符合安全漏洞通知要求的程序
(a)如果一个实体将其自己的通知程序作为个人信息处理的信息隐私或安全政策的一部分,并且这些程序与本文中的时间要求一致,那么如果该实体根据其程序在系统安全遭受侵犯的情况下通知了本州的居民,则视为该实体符合本文的通知要求。
(b)根据联邦跨机构对未经授权访问客户信息和客户通知的应对程序指南的通知指南进行回应的金融机构被视为符合本文的规定。
(c) 遵守其主管机构或职能监管机构制定的规则、法规、程序或指导方针的通知要求或程序的实体应视为符合本条例。
§46A-2A-104. 违规行为
(a) 除非本节第(c)款规定的情况,否则未遵守本条例的通知规定构成违反本法典第一百零四条第六章第四十六-A 章的不公平或欺骗性行为,可能由检察长根据本章的执行规定进行执行。
(b) 除非本节第(c)款规定的情况,否则检察长应具有独占权力提起诉讼。除非法院发现被告已经进行了一系列重复且故意违反本条例的行为,否则不得对违规处以民事罚款。民事罚款不得超过每次系统安全性违规或在单一调查中发现的一系列具有类似性质的违规行为的一百五十万美元。
(c) 金融机构的违反行为应由金融机构的主要职能监管机构进行独家执行。
§46A-2A-105. 适用范围
本条例适用于在本条例生效日期之后发生的系统安全性违规或通知[14]。
通知和强制性信用保护需要花钱。根据违规程度,通知所有受影响的人可能需要花费数百万美元。不报告违规可能会导致刑事和民事处罚。为了辩护此类法律诉讼将产生更多费用[15]。
注释
[1] Ponemon 数据泄露成本 2013。www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013 [2013 年 06 月 26 日访问]。
[2] HHS.gov: 案例示例和解决方案协议。www.hhs.gov/ocr/privacy/hipaa/enforcement/examples/index.html [2013 年 06 月 26 日访问]。
[3] HRSA.gov: HIPAA 下的“受监管实体”是什么?www.hrsa.gov/healthit/toolbox/HealthITAdoptiontoolbox/PrivacyandSecurity/entityhipaa.html [2013 年 06 月 26 日访问]。
[4] HHS.gov: 适用实体的安全 101。www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/security101.pdf [2013 年 07 月 07 日访问]。
[5] OANDP 网站:HIPAA 安全 - 必须或可寻址。www.oandp.com/articles/2003-07_04.asp [于 2013 年 07 月 07 日访问]。
[6] 医疗法博客:田纳西州 MSBCBS 就 HIPAA/HITECH 违规达成 150 万美元和解。healthcarebloglaw.blogspot.com/2012/03/msbcbs-of-tn-settles-hipaahitech-breach.html [于 2013 年 07 月 07 日访问]。
[7] 维基百科:支付卡行业数据安全标准 en.wikipedia.org/wiki/PCI_DSS [于 2013 年 07 月 03 日访问]。
[8] 波士顿网站:TJX 数据泄露成本飙升至 2.56 亿美元 www.boston.com/business/articles/2007/08/15/cost_of_data_breach_at_tjx_soars_to_256m/?page=full [于 2013 年 07 月 03 日访问]。
[9] Verizon 数据泄露调查报告 2012. www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf [于 2013 年 07 月 08 日访问]。
[10] 2011 年数据泄露成本研究。www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2012Mar_worldwide__CODB_US [于 2013 年 07 月 08 日访问]。
[11] PCI 合规性与小商家:到底是谁的问题?www.pcicomplianceguide.org/merchants-pci-compliance-whose-concern-is-it.php [于 2013 年 07 月 08 日访问]。
[12] NCSL:州安全泄露通知法 www.ncsl.org/issues-research/telecom/security-breach-notification-laws.aspx [于 2013 年 07 月 03 日访问]。
[13] 第 46A 章。西弗吉尼亚州消费者信用和保护法。第 2A 条。消费者信息安全泄露。www.legis.state.wv.us/WVCODE/Code.cfm?chap=46a&art=2A#2A [于 2013 年 07 月 07 日访问]。
[14] 数据泄露的州机构通知要求图表。www.kelleydrye.com/publications/articles/1552/_res/id=Files/index=0/State%20Agency%20Notice%20Requirements%20for%20Data%20Breaches%20Chart%20(5-501-9110)%207%205%2012.pdf [于 2013 年 07 月 08 日访问]。
[15] 赛门铁克:用$500,000 能得到什么?一次数据泄露的通知。www.symantec.com/connect/blogs/what-can-you-get-500000-notification-one-data-breach [于 2013 年 08 月 07 日访问]。
第四章:大多数攻击都是有针对性的
Bill Gardner ^(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
在过去的几年里,一些行业成为了针对性攻击的目标,试图从大型跨国公司、非营利组织和政府中窃取知识产权。这些攻击有些是针对从大型国防公司到小型律师事务所的一切。这些针对性攻击通常利用鱼叉式网络钓鱼进行初始入侵。攻击者然后利用在初始攻击中获得的立足点进一步渗透组织,窃取特权、机密数据和知识产权。攻击者的资金和人员配备比被攻击的组织更好,并且通过使用鱼叉式网络钓鱼和其他社会工程攻击来绕过传统的网络防御,如防火墙和防病毒软件。针对鱼叉式网络钓鱼和其他社会工程攻击的最佳防御是安全意识培训项目。
关键词
针对性攻击
社会工程
匿名
Shady RAT
极光
夜龙
针对性攻击
大多数攻击都是有针对性的。它们通过应用程序、端口、平台、职业或行业进行针对。在构建信息安全意识培训项目时,包括特定于你组织的信息和示例是很重要的。如果你的组织是一家律师事务所,指出坏人是如何针对律师事务所和律师的。如果你的组织是一个非营利组织,举例说明坏人过去是如何针对非营利组织的。这些例子在打破“没有人想要我们的东西”的神话方面起到了很大的作用。
攻击者通过定位用户使用的日常工作和娱乐应用程序和服务来定位用户,比如社交网络。攻击者定位用户的一种方式是通过电子邮件。鱼叉式网络钓鱼攻击采取了针对特定用户或一组用户的电子邮件形式,诱使用户点击电子邮件中包含的链接或打开随电子邮件发送的附件。精准网络钓鱼电子邮件的制作第一步是攻击者使用你组织的网站、社交媒体网站以及在线公共网站和目录中的其他开源信息来研究他们的目标。一旦攻击者弄清楚被定位用户的兴趣是什么,他们就会利用这些兴趣来构建针对性的电子邮件。
例如,如果一个被定位的用户,此时我们假设是组织的首席执行官,说他们对集邮感兴趣,攻击者将向被定位的用户发送一封关于集邮的网络钓鱼电子邮件,其中包含一个链接或附件,允许攻击者控制被定位用户的计算机。一旦首席执行官的计算机被利用了这种方法,攻击者将把注意力转向将攻击转向渗透和利用网络的其他部分以及窃取数据。
最近的有针对性的攻击
攻击者最近开始瞄准与国防和政府承包相关的行业。 2011 年,为美国政府和美国政府承包商提供两因素身份验证令牌的 RSA 发现了传输和存储令牌的数据库遭到入侵。在同一时期,国防承包商雷神公司、通用动力公司和 L-3 通讯公司也报告了入侵事件。行业内的一些人将 RSA 的入侵事件与其他入侵事件联系起来[1]。虽然一些人继续争论这些入侵是否以某种方式相互关联,但它们都是定向攻击的例子。国防承包商持有从最新战斗机/轰炸机设计到核研究的宝贵信息。他们绝对持有对黑客、间谍和其他政府有价值的数据。
针对律师事务所的定向攻击
2009 年,FBI 警告律师事务所和公关公司它们成为网络钓鱼攻击的目标。网络钓鱼邮件包含“zip”、“jpeg”或其他看起来安全的附件,当打开时尝试从域名d.ueopen.com下载和执行文件“srhost.exe”。FBI 网络司法部门的部门负责人布拉德福德·布莱尔告诉美联社:“律师事务所拥有大量真正关键的私人信息。”侵入这些计算机系统“是获得经济、个人和个人安全相关信息的一种非常理想的方式”[2]。
2010 年 9 月开始,赛里斯的黑客侵入了加拿大的律师事务所,以阻止对澳大利亚钾肥矿业公司价值 400 亿美元的收购:
…黑客依次侵入了一个又一个安全的计算机网络,最终击中了七家不同的律师事务所,以及加拿大的财政部和财政部,据多伦多数字智慧总裁丹尼尔·托博克称。他的网络安全公司受雇于律师事务所协助调查。
调查将入侵事件与赛里斯试图挫败彭博彭博顿股份有限公司被 BHP Billiton 有限公司收购的努力联系在一起,这是全球自然资源竞争的一部分,托博克说。他说,这样偷来的数据可能价值数千万美元,并使持有该数据的一方在交易谈判中占有不公平的优势。
尽管最终由于无关原因而破裂,但此事件说明了律师事务所的脆弱性。随着这种攻击不断升级,如果他们不能展示改进的安全性,他们将面临客户业务的丧失[3]。
通常,律师事务所的安全性低于其他高调目标,如银行和其他金融机构。虽然许多律师意识到他们在网络上拥有敏感和机密信息,但从历史上看,律师事务所并没有花时间和金钱来加强他们的安全性,以防止攻击者针对他们的网络。
根据安全公司 Mandiant 的说法,2012 年有 80 家总部位于美国的律师事务所遭到了入侵。FBI 表示,随着金融公司在信息安全方面变得更加重视,律师事务所成为了更大的目标。2011 年秋季,FBI 在纽约市与 200 家顶级律师事务所会面,就威胁问题和不断增加的律师事务所入侵进行了交流。该机构警告说,“黑客认为律师是其公司客户宝贵数据的后门。”
玛丽·加利根(Mary Galligan)是 FBI 纽约市办事处网络部门的负责人,当时她说:“每个人都想要网络管理员权限……这很时尚。”她说,合伙人坚持要移动性,包括在周末度假屋或在路上查看案件文件的灵活性,这意味着高度敏感的文件经常通过电子邮件传输[4]。
2010 年 1 月,FBI 的互联网犯罪投诉中心(IC3)发出了一份警告,称针对美国律师事务所的伪造支票方案值得警惕:
FBI 继续收到针对美国律师事务所的伪造支票方案的报告。与先前报道的一样,骗子向律师发送电子邮件,声称自己在海外,并寻求法律代理以从美国的第三方那里收取拖欠款项。律师事务所收到保证金协议书、反映所欠金额的发票以及一张支付给律师事务所的支票。公司被指示提取保证金费用,包括与交易相关的任何其他费用,并将剩余资金汇至韩国、赛里斯、爱尔兰或加拿大的银行。当支票被确定为伪造时,资金已经被汇往海外。
在一个新的变化中,寻求法律代理的欺诈客户是一个在亚洲国家“执行任务”的前妻,她声称正在追讨她在美国前夫那里的离婚协议款项。律师事务所同意代表前妻,向前夫发送电子邮件,并通过交付服务收到了结算款的“认证”支票。前妻指示该公司将资金减去保证金费用后汇至海外银行账户。当欺诈成功执行时,律师事务所在发现支票是伪造的之前就已经汇出了资金。
所有互联网用户在收到未经请求的电子邮件时都需要保持警惕。建议律师事务所在与完全通过电子邮件处理业务的各方进行交易之前尽可能进行尽职调查,尤其是那些声称居住在海外的各方[5]。
2012 年 2 月,匿名组织攻击了帕克特与法拉吉律师事务所。这家总部位于华盛顿特区的律师事务所成为了黑客集团的目标,因为他们为 2005 年 11 月在哈迪斯杀害 24 名手无寸铁的伊拉克平民的美国海军陆战队员辩护。美国海军陆战队员的审判以无罪释放结束。匿名组织谴责这一裁决不公正,于是对该公司的网站和内部网络发动了攻击,导致该公司网站遭到篡改,电子邮件被盗取了 2.6 GB。该公司的电子邮件后来被发布在 Pastebin 和海盗湾上[6]。
尤其令人尴尬的是,该公司直到被网站《Gawker》联系后才意识到自己已经遭受到了入侵,“我们无法立即联系到帕克特进行评论;我们几分钟前打电话给他时,他正在开会,接待员根本不知道公司已经被黑客攻击了”[7]。截至目前,该公司的网站在遭受攻击近两年后仍然处于离线状态[8]。
毫无疑问,律师和律师事务所成为了攻击目标(图 4.1)。为了自卫,他们的一部分工作是确保律师和员工知道他们面临的威胁的严重性和类型,包括针对他们数据的社交工程攻击,以降低其数据受到的风险。
图 4.1 帕克特与法拉吉网站。
影子老鼠行动
“影子老鼠行动”是有史以来最大的有针对性的攻击之一,目标包括政府、国防承包商、保险公司、国际非营利组织、会计公司、媒体机构和专门从事高技术产品和智库的企业。根据揭露这一行动的麦克菲公司,这些入侵事件追溯到 2006 年中旬。RAT 代表“远程访问工具”:
麦克菲公司不愿透露谁是这次行动的幕后黑手,但却表示这些攻击是由一个“国家行动者”组织的。大多数专家认为黑客的支持者是赛里斯。据路透社报道,国际奥委会和世界反兴奋剂机构是遭受入侵的非营利组织之一。
NPQ 查看了麦克菲公司的报告,该报告似乎表明,在受到黑客攻击的受害者中包括五个“国际体育”组织、两个智库、一个“政治非营利组织”和一个“美国国家安全非营利组织”。其中 49 家被黑客攻击的实体位于美国。这些并不都是快速的“砸砸抢”行动。尽管其中一些入侵只持续了一个月,但在另一个未公开具体名称的(亚洲)奥林匹克委员会,黑客在过去 28 个月里一直出没。
麦克菲公司的威胁研究副总裁兼麦克菲报告的作者德米特里·阿尔佩罗维奇写道,公司对受害组织的多样性感到“惊讶”,同时也对加宽者的大胆行为感到“震惊”[9]。
麦克菲报告还提到了其他的有针对性的攻击:
经过调查诸如极光行动和夜龙(西方石油和天然气行业的系统性长期侵入),以及许多其他尚未公开披露的入侵,我确信每个拥有相当规模和有价值的知识产权和商业机密的可能产业中的每家公司都已经遭受了(或将很快遭受)侵入,其中绝大多数受害者很少发现入侵或其影响。事实上,我将整个《财富》全球 2000 强公司划分为两类:那些知道自己受到了侵犯的,以及那些尚不知道的[10]。
McAfee 拒绝公开标识受害者,并表示许多受害者在面对 McAfee 报告中的证据时拒绝相信自己已经被侵入[10]。
极光行动
2009 年,Google、Adobe 以及其他一些备受关注的公司成为了一个被称为“极光行动”的攻击目标。这次攻击源自赛里斯,针对目标公司的知识产权,包括控制主要系统的源代码,例如 Google 的 Gmail 服务。攻击者随后利用通过侵入获得的信息来访问人权活动人士的 Gmail 账户。“在国防工业之外,我们从未见过商业工业公司受到如此高级别的攻击,”McAfee 的威胁研究副总裁德米特里·阿尔佩罗维奇说。“这完全改变了威胁模式”[11]。
夜龙
归因于赛里斯的夜龙攻击针对能源公司。这些攻击发生在四年的时间里,针对知识产权[12]。2011 年由 McAfee 揭露的还有:
从 2009 年 11 月开始,针对全球石油、能源和石化公司进行了协调的秘密和有针对性的网络攻击。这些攻击涉及社会工程、针对性钓鱼攻击、利用 Microsoft Windows 操作系统漏洞、Microsoft Active Directory 受损以及使用远程管理工具(RATs)来针对和收集有关油气田招标和运营的敏感竞争性专有操作和项目融资信息。我们已经确认这些持续攻击中使用的工具、技术和网络活动——我们将其命名为夜龙——主要起源于赛里斯[13]。
水坑攻击
RSA 高级威胁情报团队于 2012 年首次定义了水坑攻击。
根据 RSA,水坑攻击有三个阶段:
在我们所发现的新攻击中,我们称之为“VOHO”的攻击方法依赖于对特定地理区域的合法网站进行木马植入,攻击者相信这些网站会被他们希望渗透的组织的终端用户访问。这导致企业网络内的多个主机全面受损,因为终端用户继续日常业务,就像狮子在水坑里埋伏等待猎物一样。
攻击的详细信息仍在发展中,但我们目前所了解的情况如下:
-
受害者访问了一个被入侵的“水坑”网站。
-
该网站通过注入的 JavaScript 元素,将访问的浏览器重定向到一个利用站点。
-
该利用站点检查访问机器是否运行 Windows 操作系统和 Internet Explorer 版本,然后利用访问主机上的 Java 客户端,安装“gh0st RAT” 变种[14]。
最近的一个水坑攻击的例子是利用一个被入侵的网站,其中包含一个中餐馆的菜单,向针对的石油公司提供攻击。攻击的结果是攻击者能够规避公司付费实施的许多复杂的防御措施和产品。
“无法攻破一家大型石油公司的计算机网络,黑客们通过恶意软件感染了一家深受员工欢迎的中餐馆的在线菜单。当工人们浏览菜单时,他们不经意间下载了代码,使攻击者在企业广阔的计算机网络中立足。”[15]。
尽管水坑攻击不像钓鱼攻击那样流行,但在过去几年里数量逐渐增加,因为用户在发现钓鱼攻击方面越来越娴熟。水坑攻击可能永远不会超越鱼叉式网络钓鱼攻击,因为它们需要入侵目标定期使用的网站,这增加了执行攻击的复杂性。钓鱼活动的执行要简单得多。
常见攻击向量:常见结果
Operation Aurora、Operating Shady RAT 和针对 RSA 和国防承包商的有针对性攻击中的常见攻击向量都使用高度针对性的鱼叉式网络钓鱼,感染组织以前未知的恶意软件,然后从每个组织中泄漏机密信息和知识产权。另一个共同点是,这些组织花费了数百万甚至数千万美元购买了防病毒软件、入侵检测系统、指令预防系统和其他信息安全防御措施,但它们都被组织内的某人绕过了,只需简单地打开电子邮件中包含的链接或附件,就导致了整个企业网络的受损。
所有组织,无论大小,都包含攻击者感兴趣的信息,攻击者将使用任何可能的手段来获取这些信息。较小的侵犯行为没有报告,因为组织不知道它们已经被侵犯,或者他们不愿意承认他们已经丢失了数据给业务伙伴和客户。国家违规通知法的目标是解决未报告问题的一部分。你的组织可能很小或中等规模,但这并不意味着你没有有价值的信息。事实上,像大多数组织一样,很可能你的安全计划预算不足,人手不足,而攻击者则得到了充分资助,并由高度训练有素的员工全力支持。你被定为目标。实施安全意识计划是你最好的防御手段,抵御这些资金充足、意志坚定的攻击者。
注释
[1] DarkReading.com:美国国防承包商的定向攻击:RSA 漏洞的后果?www.darkreading.com/attacks-breaches/targeted-attacks-on-us-defense-contracto/229700229 [于 13 年 7 月 27 日访问]。
[2] Law.com:黑客针对法律公司,FBI 警告。legalblogwatch.typepad.com/legal_blog_watch/2009/11/hackers-targeting-law-firms-fbi-warns.html [于 13 年 7 月 27 日访问]。
[3] 彭博社:赛里斯黑客以获取机密交易数据为目标攻击律师事务所。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 7 月 29 日访问]。
[4] 彭博社:赛里斯黑客以获取机密交易数据为目标攻击律师事务所。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 13 年 7 月 29 日访问]。
[5] 互联网犯罪和投诉中心:针对美国律师事务所的伪造支票计划的新变种。www.ic3.gov/media/2010/100121.aspx [于 13 年 7 月 29 日访问]。
[6] NMissCommentor:匿名人士针对代表 Hadditha 大屠杀的士兵的国防法律公司。nmisscommentor.com/law/anonymous-targets-defense-law-firm-representing-srgt-who-led-hadditha-massacre/ [于 13 年 7 月 30 日访问]。
[7] Gawker.com:匿名人士泄露了涉及伊拉克战争罪行案件的大量电子邮件。gawker.com/5882063/anonymous-releases-huge-cache-of-emails-related-to-iraq-war-crimes-case [于 13 年 7 月 30 日访问]。
[8] www.puckettfaraj.com/ [访问日期:13.07.30]。
[9] NonProfit Quarterly:非营利组织成为全球最大黑客攻击活动的目标。www.nonprofitquarterly.org/index.php?option=com_content&view=article&id=14686:nonprofits-targeted-in-the-worlds-biggest-hacking-campaign&catid=155:nonprofit-newswire&Itemid=986 [访问日期:13.08.03]。
[10] McAfee:揭示:Shady RAT 行动。www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf [访问日期:13.08.04]。
[11] Wired:威胁级别:谷歌黑客攻击非常复杂,新细节显示。www.wired.com/threatlevel/2010/01/operation-aurora/ [访问日期:13.08.04]。
[12] NetworkWorld:赛里斯“夜龙”攻击能源公司。www.networkworld.com/news/2011/021011-night-dragon-attacks-from-china.html [访问日期:13.08.04]。
[13] McAfee:全球能源网络攻击:“夜龙”。www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf [访问日期:13.08.04]。
[14] McAfee:水坑中的狮子 - “VOHO”事件。blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair/ [访问日期:14.09.04]。
[15] 黑客潜伏在通风口和饮料机中。www.nytimes.com/2014/04/08/technology/the-spy-in-the-soda-machine.html?_r=0 [访问日期:14.09.04]。
第五章:谁负责安全?
比尔·加德纳(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
无论在组织中扮演什么角色,每个人都对安全负有责任。从 CEO 到邮件室,所有用户都面临风险,都可能成为技术和非技术攻击中社会工程师的目标。
关键词
终端用户
意识
针对性攻击
社交媒体
社会工程
信息技术(IT)人员
如果问起,大多数人会说信息技术人员负责保护组织的数据。这是正确的,因为 IT 人员负责设置服务器、网络、客户端计算机、防火墙以及组织网络边缘的其他安全产品。他们还可能负责安装防病毒软件和对软件和操作系统进行关键安全补丁的安装。
实际上,大多数 IT 人员更关心保持系统运行而不是关注数据安全问题。这是他们工作的性质。这就是为什么大多数组织依赖安全解决方案硬件和软件来关注数据安全。
因此,许多 IT 部门过于负担沉重,无法以整体、积极的方式处理安全问题。结果,安全问题往往排在优先级列表的最底部。
另一个问题是,保持系统运行需要大量的培训和技术技能。因此,IT 团队可能并不完全了解他们需要做什么来保护组织的数据。
在规划和实施安全意识计划时,不要忘记 IT。帮助台经常成为社会工程师在密码重置攻击中的目标。除非你给予 IT 人员与安全意识相关的相同信息和培训,否则可能存在他们知识的空白,因为对于非技术攻击(如社会工程、垃圾箱搜寻和钓鱼)的水平被做出了假设。
安全团队
一些组织规模不够大,无法拥有安全团队。如果你有足够的预算来组建一个安全团队,他们只能防范已知的威胁。他们无法阻止用户打开附件和链接,但他们可以成为传达安全意识信息和提醒用户有责任帮助保护组织数据的重要组成部分。
接待员
接待员通常是大多数组织中的第一道防线。接待员的工作是接待访客,并礼貌地引导访客或来电者到正确的人员处,以帮助客户或访客。由于接待员很可能是访客见到的第一人,或者他们在电话中首先接触到的人,接待员是组织的公共面孔。接待员的职责是回答问题,并且通常提供良好的客户服务体验。做其他事情会对组织产生不良影响。社会工程师会利用这种情况。
为什么一个决心的攻击者要花时间和金钱通过防火墙进行攻击来窃取数据,而不是穿着快递员或电话维修人员的制服走进公司,在网络上放置数据窃取器,或者从后门走出去带走公司的备份磁带、计算机,甚至是组织的服务器。
接待员从未被视为安全警卫,但由于这种威胁,我们把他们置于这个位置。接待员接受安全意识培训非常重要,以便他们了解自己所处的独特位置,知道如何识别社会工程威胁,并制定有助于保持组织安全的物理安全政策。这些政策包括客人/访客签到表、客人/访客徽章政策和客人/访客护送政策。
CEO
CEO 可以访问组织网络中的所有内容。CEO 也是一个繁忙的人,其首要任务是确保组织高效运行,并关注利润。CEO 是攻击者攻击目标之一。攻击者很想获取 CEO 或其他关键管理人员的计算机或笔记本电脑,或者盗取这些设备。
管理层通常是最难接受安全意识培训活动的。因此,重要的是要记住为 CEO 和其他管理人员找到替代形式的安全意识培训和提醒。
会计部门
如果攻击者对金钱感兴趣,他们会发动针对组织会计部门的钓鱼攻击。在安全评估和渗透测试中,惊人的是,对于负责处理金钱的组织部门,很少有人考虑到保护的问题。很常见地发现会计员工的桌面上存放着未加密且没有密码保护的文本文档,其中包含密码、银行账户登录信息和汇款信息。一次成功的钓鱼攻击将使攻击者有能力清空组织的银行账户。
邮件室/复印中心
邮件室/复印中心需要像其他人一样使用计算机。事实上,大量信息,包括财务数据和医疗记录,都存储在他们的计算机上用于复制和邮寄工作。因此,这些角色也需要包括在安全意识培训中。
跑腿员/快递员
这些人负责将组织的备份数据带到离岗存储地点。他们知道如何始终看管磁带或其他媒体吗?如果他们在递送到另一个地点的过程中将其放在桌子上会怎么样?如果他们将它们留在交付车辆中并被盗会怎么样?这些都是需要解决的对组织数据构成巨大风险的问题。因此,这些人需要包括在安全意识培训中。
每个人都对安全负责
用户根据工作职责的性质会继承某些风险。无论教育水平或用户角色如何,都将每个人视为相同是一个巨大的错误。像医生、律师、会计师和大学教授这样受过高等教育的专业人士可能是最难以进行安全意识培训的群体,因为他们认为多年的教育使他们对社会工程技巧免疫。然而,许多这些专业人士,尤其是律师,正成为目标,因为安全计划和安全意识计划被忽视为优先事项。
近年来,赛里斯黑客一直以破坏多伦多贝街律师事务所的方式,阻止了世界最大钾肥生产商 400 亿美元的收购[1]。2013 年 11 月,匹兹堡一名男子因“鲁莽地破坏计算机和密码交易”而被判刑,案件涉及一家律师事务所的计算机系统[2]。直到 2012 年,FBI 警告律师,他们的公司需要加强安全,因为他们成为了目标[3]。
不仅仅是律师,会计师也成为了目标[4]。许多专业组织都是机密信息的存储库,因此成为了目标。2014 年 5 月,司法部对五名赛里斯军官提出了 31 项指控,指控他们侵入六家美国公司的网络窃取知识产权。这些数据价值数十亿美元,计入了起诉书。
“多年来,赛里斯人——尤其是但不仅限于人民解放军的一个驻地于上海的部门 61398 部队(所有被起诉的军官都在这里工作)一直在侵入美国公司、国防公司和金融机构的计算机网络。奥巴马总统和几位内阁部长在几个外交论坛上提出了这个问题。每次,赛里斯官员都否认指控,并挑战美国人提供证据。这项起诉书就是回应:这是证据——而且是惊人的细节”[5]。
诸如赛里斯黑客和工业间谍等威胁并不符合组织所有员工的共识。例如,邮件室工作人员、秘书和前台接待员几乎没有概念工业间谍或知识产权是什么,更不用说如何保护它了。因此,攻击者将利用这一知识盲区,采用钓鱼、感染附件和其他社会工程手段来利用这些用户,然后将他们的攻击转移到窃取他们所追求的数据上。我们已经让前台接待员成为安全警卫;现在,通过一个有效的安全意识计划,我们要让邮件室工作人员、秘书和其他支持人员成为网络防御者。
随着社交媒体网站的普及以及社交工程攻击和社交媒体上的欺诈活动的增加,风险不仅仅是点击电子邮件中的链接和打开错误的附件。还存在机密和特权信息可能被发布到社交媒体上,这可能帮助攻击者的风险。许多用户根据诸如他们宠物的名字、配偶的名字、出生日期或其他攻击者可以在社交媒体上找到的信息来选择密码。用户还可能无意中透露组织的运营细节,如分支机构的位置或组织计算机上安装的防病毒软件类型。虽然大多数人想到社交网络的传统网站,如 Twitter 和 Facebook,但实际上有数百个用户可能正在使用的社交网络网站[6,7]。在 LinkedIn 的情况下,该服务实际上是为商业网络而设。除了数据泄露之外,这些网站还可能存在恶意软件。由于任何人通常都可以在这些网站上上传任何他们想要的代码,因此社交媒体网站曾经是零日感染的来源[8]。鉴于社交媒体在所有层面的使用普遍存在,向用户提供社交媒体平台上存在的威胁以及如何检测和避免它们的信息尤为重要。
对于中层管理人员和组织中更高层次的人员来说,指出数据泄露可能给组织带来的财务损失是有用的。最近在 Target 的一次泄露显示了公司可以遭受的财务损失,以及后果可能延伸到人们失去工作[9]。没有人希望参与一次添写简历的事件。Target 经历了大量直接与泄露相关的财务痛苦,从收益下降到与泄露相关的持续诉讼成本[10,11]。Target 的泄露是非常显著的,因为这是首次明确而广为人知的零售商因信用卡泄露而遭受巨大财务损失的案例。2007 年的 TJX 泄露事件中,股价实际上在初期损失后上涨,而且随着时间的推移股价一直表现良好。TJX 仍然是历史上规模最大的泄露事件之一[12,13]。
对于员工来说,强调组织收集的有关他们的个人信息的数量是很重要的,以便向他们支付工资,并为他们及其家属提供医疗保险和其他保险。当风险变得个人化时,更多人会注意到保护组织数据的重要性,因为现在已经解释了泄露可能如何影响到他们的个人数据。人们在工作时查看他们的银行账户,在工作时购物,并在计算机上存储他们所爱的人的照片。如果他们大学生女儿的航班预订信息落入了错误的手中,他们会感觉如何呢?
当风险和泄露的后果被个人化时,遵守保持信息安全的政策将增加。无论我们在各自组织中的职位如何,我们都是网络防御者。
笔记
[1] 赛里斯黑客瞄准律师事务所获取机密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 2014 年 5 月 22 日访问]。
[2] 匹兹堡男子因参与律师事务所黑客攻击而被判刑。www.fbi.gov/pittsburgh/press-releases/2013/pittsburgh-man-sentenced-for-role-in-law-firm-hack [于 2014 年 5 月 22 日访问]。
[3] 赛里斯黑客瞄准律师事务所获取机密交易数据。www.bloomberg.com/news/2012-01-31/china-based-hackers-target-law-firms.html [于 2014 年 5 月 23 日访问]。
[4] 会计师的安全问题。www.lagfoa.org/Security-Issues-for-Accountants.pdf [于 2014 年 5 月 23 日访问]。
[5] 为什么司法部起诉五名赛里斯军官? www.slate.com/articles/news_and_politics/war_stories/2014/05/justice_department_indicts_five_chinese_military_officers_can_the_obama.html [于 2014 年 05 月 23 日访问]。
[6] 超越 Facebook:全球 74 个流行社交网络 www.practicalecommerce.com/articles/2701-Beyond-Facebook-74-Popular-Social-Networks-Worldwide [于 2014 年 05 月 26 日访问]。
[7] 社交网络网站列表 en.wikipedia.org/wiki/List_of_social_networking_websites [于 2014 年 05 月 26 日访问]。
[8] 最新 Adobe Flash 零日漏洞利用细节曝光 threatpost.com/details-emerge-on-latest-adobe-flash-zero-day-exploit/104068 [于 2014 年 05 月 26 日访问]。
[9] Target 首席信息官因泄露事件辞职。www.computerworld.com/s/article/9246773/Target_CIO_resigns_following_breach [于 2014 年 05 月 24 日访问]。
[10] Target 收益显示数据泄露之痛远未结束 www.businessweek.com/articles/2014-05-21/target-earnings-show-pain-of-data-breach-is-far-from-over [于 2014 年 05 月 26 日访问]。
[11] Target 面临近 70 起诉讼 blogs.wsj.com/riskandcompliance/2014/01/15/target-faces-nearly-70-lawsuits-over-breach/ [于 2014 年 05 月 24 日访问]。
[12] 大型零售商披露客户数据泄露 online.wsj.com/news/articles/SB116906153282079233 [于 2014 年 05 月 24 日访问]。
[13] 雅虎财经:TJX 股票图表 finance.yahoo.com/echarts?s=TJX+Interactive#symbol=TJX;range=my [于 2014 年 05 月 24 日访问]。
第六章:为什么当前的课程不起作用
比尔·加德纳(美国西弗吉尼亚州亨廷顿市马歇尔大学)
摘要
作为教学工具的讲座已经过时。当前的课程不起作用,因为我们依赖于旧的教学模式。人们以不同的方式学习。有些人是视觉学习者,而其他人更喜欢阅读或讨论来学习。我们需要摆脱预先录制的网络培训,转向互动、动手学习,以建立更有效的安全意识计划。
关键词
视觉
音频
动手
培训
学习
内容传递
同侪教学
讲座作为教学工具已经过时
除了可能是讲课的人之外,没有人喜欢听讲座。对于讲课者来说,讲课是一种积极的锻炼。对于听讲座的人来说,讲座是一种被动的锻炼。研究表明,传达信息时,被动学习不如积极学习有效。事实上,许多高等教育工作者表示,几个世纪以来��讲座这种教学技术已经过时[1]。
研究表明,我们应该采取过去几年大学一直在朝着的方向:用积极学习取代被动学习。积极学习,取决于如何实施,已经被称为“同侪教学”或“互动学习”。这些技术使学生对自己的学习负责,并促进与其他学生互动,以与要学习的材料互动[2]。
“同侪教学”和“互动学习”采取了给学生阅读作业或观看视频的形式,然后将学生分成小组与材料互动。这些互动包括写作业、小组讨论、团队完成指定任务,有时还有小组评分[3]。有时,学生们会根据流行的游戏节目格式进行问答游戏,以吸引他们对材料的兴趣。分数可以用糖果或用于小组评分[4]。
我们知道我们现在所做的事情并不奏效,因为我们几乎每天都看到利用人类来获取数据访问权限的违规行为的例子。用户也表现出信息疲劳的迹象。大多数用户认为他们永远不会被诱使点击链接或打开附件,因为他们认为自己是精明的互联网用户。
BT 首席安全技术官布鲁斯·施奈尔(Bruce Schneier)在 2013 年 3 月为网站Darkreading.com撰写了一篇观点文章,称在用户意识培训上花费的钱最好用于改进系统设计[5]。这篇文章在信息安全圈引起了轩然大波。有些人同意他的观点,但大多数人不同意[6,7]。每个人都同意我们必须采取行动,即使施奈尔也说:“安全是一个过程,而不是一个产品”[8]。如果我们从不告知最终用户存在的威胁,他们将永远不会知道。
安全意识与其他意识运动有很多共同之处。其他意识运动使用了像“烟熊”和“犯罪狗”这样令人难忘的代言人。他们还有像“只有你才能防止森林火灾”和“为犯罪咬一口”这样的难忘口号。在信息安全意识领域,我们未能达到这两个简单目标,因为我们继续就安全意识计划的有效性进行辩论。
正如 Bruce Schneier 所说,“安全是一个过程,而不是一个产品”[8]。安全的过程是一条漫长而艰难的道路,从获得管理层的支持开始,起草并执行给用户对组织技术资源的使用期望的政策,建立有效的安全意识计划,然后使用有意义的指标来衡量该计划的有效性。
一旦收集并处理了指标,循环就会重新开始,审核政策、意识计划和指标,并根据组织的需求进行更改。
做点什么总比什么都不做好。这本书的主要目的是给人们提供工具,让他们做点什么而不是什么都不做。虽然确保你的组织拥有最新的安全产品,而且你的 IT 人员接受了适当的安全培训是有价值的,但是如果你忽视了人的因素,这就是浪费时间和金钱。下一代防火墙、防病毒软件、入侵检测系统、入侵防御系统和 Web 应用程序防火墙都是很好的产品,但这些产品无法防范员工对点击链接、打开附件等社会工程师使用的非技术攻击做出糟糕决定。
人们根据世代和教育背景有不同的学习风格。当前进入职场的这一代人学习方式与三十年前进入职场的人有很大不同。有些人通过阅读学得更好,其他人是视觉学习者,还有些人最喜欢通过听觉学习。
七种学习风格
■ 视觉(空间):你更喜欢使用图片、图像和空间理解。
■ 听觉(听觉-音乐):你更喜欢使用声音和音乐。
■ 语言(语言):你更喜欢使用言语,无论是口语还是书面语。
■ 身体(运动):你更喜欢使用身体、手和触觉。
■ 逻辑(数学):你更喜欢使用逻辑、推理和系统。
■ 社交(人际关系):你更喜欢在团体或与其他人一起学习。
■ 孤独(个人内省):你更喜欢独自工作并进行自我学习。
为什么要了解学习风格?了解学习风格的基础
你的学习风格比你意识到的更有影响力。你偏爱的风格指导了你学习的方式。它们还会改变你内部表达经验的方式,你回忆信息的方式,甚至你选择的词语。我们在本章中更多地探讨了这些特征。
研究向我们展示每种学习风格使用不同的大脑部分。通过在学习过程中涉及更多的大脑,我们记住了更多我们学到的东西。利用大脑成像技术的研究人员已经能够找出每种学习风格所负责的大脑关键区域。
例如:
■ 视觉:位于大脑后部的枕叶管理视觉感知。枕叶和顶叶都管理空间定位。
■ 听觉:颞叶处理听觉内容。右颞叶对音乐尤为重要。
■ 口语:颞叶和额叶,特别是两个被称为布罗卡区和沃尼克区的专门区域(位于这两个叶叶的左半球)。
■ 身体:小脑和运动皮层(位于额叶后面)管理我们的大部分身体运动。
■ 逻辑:特别是左侧的顶叶驱动我们的逻辑思维。
■ 社交:额叶和颞叶管理我们的大部分社交活动。边缘系统(除了海马体之外没有显示)也影响社交和孤独两种风格。边缘系统与情绪、心情和攻击性有很大关系。
■ 孤独:额叶、顶叶以及边缘系统也是这种风格的活跃部分[9]。
最佳策略是针对不同学习风格进行教学,以确定对你的组织最有效的方法。研究表明,动手学习比其他类型的学习更易记住[10,11]。动手学习是积极学习。传统的安全意识项目由幻灯片展示、讲座和视频组成。如果幻灯片展示、讲座和视频是由人员亲自进行而不是通过网站传递,那么这是迈向更积极学习的一步,因为它为培训师和参与者提供了互动的机会。
“积极学习”被定义为“…通过谈话、写作、阅读、反思或质疑——换句话说,通过积极参与,参与课堂教学的一种方法。”积极学习摒弃了简单地向员工讲授安全最佳实践的老方法。该方法通过谈话、阅读、写作、反思和质疑的练习将安全意识项目提升到了一个新的水平[12]。
例如,与其告诉用户什么是一个好的密码策略,不如问问他们能否解释密码的最佳实践,并讨论什么构成了一个好的密码。另一个例子是让培训者讨论他们过去遇到过的恶意软件类型,以及他们认为是如何进入他们的计算机的,以及他们认为攻击者的目的是什么。这将有助于向用户说明恶意软件不仅仅是减慢计算机速度的不便,而是在线罪犯企图从他们的计算机上窃取数据,使用他们的计算机作为僵尸网络的一部分,使用他们的计算机隐藏儿童色情和其他违禁品,或使用他们的计算机在组织网络上进一步发动攻击并窃取更多数据的企图。这两个例子都涉及讨论,但如果你让他们写下他们的答案然后讨论它们,这两个例子都可以成为一个好的写作和讨论练习。另一个练习是让培训者阅读一项或多项组织的安全政策,然后反思为什么该政策存在以及为什么组织需要这样的政策。
正如你所见,当员工开始或每年进行安全意识日时,这可能需要超过几分钟的时间或一小时的时间。积极学习的练习将需要组织实施持续学习的范式(参见图 6.1)。一个个人的例子是,当人们没有锁定计算机屏幕时,我在他们的桌子上留下了提醒卡。
图 6.1 屏幕锁定提醒卡。
尽管用户觉得提醒很烦人,但随着时间推移,我们发现人们对政策变得更加遵守。如果组织在安全意识计划中投入更多的时间、金钱和价值,安全意识计划将会变得更加有效。一年一次是不够的。只需快速查看由于社会工程攻击而持续发生的违规行为的新闻或快速查看www.ponemon.org/上数据泄露持续造成的费用就足以说明,尽管安全意识计划正在变得更好,但我们做得还不够。组织每年在安全产品上花费数百万美元来保护他们的网络边缘。组织还需要开始为安全意识计划投入时间和金钱,以保护自己、他们的业务伙伴和他们的客户免受社会工程攻击。
建立安全意识计划是一个过程。人们可以做的最重要的事情是以终为始开始这个过程。没有组织会完全安全,也没有安全意识计划会完全保护您免受违规行为。违规行为仍然会发生,但通过正确的努力,您可以使您的组织更加安全,希望更不容易受到来自社会工程的违规行为的影响。
注:
[1] 讲座已死? www.theatlantic.com/health/archive/2013/01/is-the-lecture-dead/272578/ [2013 年 10 月 24 日访问].
[2] 讲座的黄昏。harvardmagazine.com/2012/03/twilight-of-the-lecture [2013 年 10 月 24 日访问].
[3] 物理套件:点对点指导问题。www.physics.umd.edu/perg/role/PIProbs/ [2013 年 10 月 24 日访问].
[4] 如何通过游戏激发点对点学习 www.quora.com/Michelle-Jaramilla/Posts/How-to-Ignite-Peer-to-Peer-Learning-with-GamesHow-to-Ignite-Peer-to-Peer-Learning-with-Games [2013 年 10 月 24 日访问].
[5] 关于安全意识培训 www.darkreading.com/hacked-off/on-security-awareness-training/240151108 [2013 年 11 月 29 日访问].
[6] 安全意识培训是否真的能提高企业安全性 www.safelightsecurity.com/does-security-awareness-training-actually-improve-enterprise-security/ [2013 年 11 月 29 日访问].
[7] 安全教育和意识的辩论 www.trustedsec.com/march-2013/the-debate-on-security-education-and-awareness/ [2013 年 11 月 29 日访问].
[8] 安全过程 www.schneier.com/essay-062.html [2013 年 11 月 29 日访问].
[9] 学习风格概述 www.learning-styles-online.com/overview/ [2014 年 5 月 24 日访问].
[10] 利用学习风格创新来提高保留率 ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=483166&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D483166 [2014 年 5 月 24 日访问].
[11] 通过动手、技术为基础的活动增强学习,加强认知知识和记忆? files.eric.ed.gov/fulltext/EJ458788.pdf [2014 年 5 月 24 日访问].
[12] 明尼苏达大学教学与学习中心 www1.umn.edu/ohr/teachlearn/tutorials/active/ [2014 年 5 月 24 日访问].
第七章:社会工程学
瓦莱丽·托马斯(Securicon,弗吉尼亚州洛顿,美国)
摘要
一个常见的误解是所有攻击都是纯技术性质的。社会工程学是一种获取信任或接受的艺术,以说服某人提供信息或执行行动以使攻击者受益。攻击者然后将新获得的信息与技术攻击结合起来,通常通过研究和多次攻击获得,以产生对目标灾难性的结果。
关键词
社会工程学
钓鱼
钓鱼邮件
垃圾倒卖
欺骗
什么是社会工程学?
“我们这天气真不错,”马克一边笑着,一边用打火机点燃了嘴里的香烟,同时还挣扎着撑着他的雨伞。“是啊,确实很好,”杰瑞同意道,一边往办公楼的窗户吐出一团烟雾。杰瑞再次抽了一口烟,问道:“昨晚你看球赛了吗?” 马克把一些烟灰丢到地上,“没有啊,老婆想去尝尝一家新的塔帕斯餐厅。花了 70 块钱,我还是饿。” 杰瑞冷笑着,两个男人熄灭了烟。 “是啊,我知道那是什么感觉,”他点了点头,马克刷了一下他的门禁卡,然后把门拉开,杰瑞从他的夹克衫上摇掉雨水,然后走进了大楼。 两人在走廊上朝相反的方向走去。马克回到他的办公桌接听电话。杰瑞找了一个空的会议室,打开他的笔记本电脑,然后开始窃取公司的数据。
你看,杰瑞不是一名雇员;他是一名攻击者。
社会工程学是一种获取信任或接受的艺术,以说服某人提供信息或执行行动以使攻击者受益。尽管大多数社会工程攻击是非技术性的,但与技术攻击相结合时,对目标的结果可能是灾难性的。著名黑客凯文·米特尼克在他的第一本书《欺骗的艺术》中创造了社会工程学这个术语。米特尼克利用说服和欺骗与技术攻击相结合,成功渗透了太平洋贝尔和北电公司等组织,在 1995 年被捕之前。在 2000 年获释后,米特尼克成立了米特尼克安全咨询公司,现在是世界上最受追捧的计算机专家之一。
谁是社会工程师?
并非所有的黑客都符合一个生活在妈妈地下室的反社会青少年的刻板印象;社会工程师也是如此。大多数社会工程师非常外向,对与陌生人聊天毫不犹豫。为了操纵人们的信任,一个人必须愿意与他们交谈。通常,他们穿着以融入环境,但偶尔也会穿着突出,如果情况合适的话。也不能认为所有的社会工程师和黑客都是男性。女性被认为比男性更不具威胁性,这使她们成为非常有效的攻击者。最重要的是,他们是讨人喜欢的人,让他们接触的人感觉良好。
为什么会奏效?
从小我们就被教导“黄金法则:待人如己”。当我们看到有人在挣扎时,我们的第一反应是帮助他或她。特别是如果这个人表示如果目标不帮助他或她就会陷入麻烦,这一点尤为真实。社会工程利用我们的心理构造来对抗我们,通过努力获得目标的同情心。同情心是识别另一个人的情绪和/或思想并以适当的情绪做出回应的动力。最后,这些类型的攻击是有效的,因为许多人不了解社会工程攻击是什么以及它们构成的威胁。
它是如何工作的?
并非所有的社会工程攻击都旨在获取敏感信息,比如密码。有些是为了获取目标看似微不足道的信息,比如他们清洁公司的名称。攻击者利用这些较小的信息来编造一个掩护故事,或借口,以执行攻击。借口的目标是通过古老的“鸭子测试”:如果看起来像鸭子,游泳像鸭子,嘎嘎叫像鸭子,那么它很可能就是鸭子。
攻击周期可以分为三个阶段:
■ 信息收集
■ 攻击计划
■ 攻击执行
为了讨论,我们将攻击计划和执行合并在一起,因为我们将列举许多例子,不想让它们混淆。
信息收集
欺骗是一项非常细致的业务,涉及到最微小的细节,有时甚至包括天气。为了让社会工程师成功,他们必须融入目标环境。
融入不仅仅是外表上的,一个人还必须能够说出组织的行话并了解其关键人物。信息来自多种互联网来源。我们将讨论最流行的资源以及社会工程师如何使用它们。
公司网站
社会工程师仔细检查目标网站的原因有一些显而易见的,比如识别他们的行业和产品/服务。一些不那么明显的项目包括以下内容:
■ 员工人数—在每个人都以名字相称的组织中进行社会工程更加困难,但并非不可能。
■ 地点 - 了解目标公司的办公地点至关重要。如果攻击者要冒充工程部的员工,他们需要确保目标不是坐在隔壁的隔间里。
■ 职位空缺 - 详细的职位发布提供了关于目标可能正在使用的特定技术的见解,比如防病毒和入侵检测系统(IDS)。职位发布还提供了关于公司部门位置的高层次细节。例如,有三个会计工作岗位在达拉斯发布。
■ 高管和经理的姓名 - 这些信息可以用来起草组织结构图。
■ 电子邮件地址格式 - 一旦攻击者知道目标的电子邮件方案,比如 john.smith@abc.com,他们可以创建包含从其他来源发现的姓名的电子邮件列表。用户在他们的电子邮件地址中的命名方案有时可能与他们的登录用户名的格式相同。
■ 当前事件 - 目标公司最近是否与另一家公司合并?冒充来自新收购公司的员工可能是一个可能的攻击向量。他们是否有任何对公众开放的活动?这些活动可以是学习公司行话和观察他们安全意识水平的机会。
最终,攻击者需要对目标有一个细致的了解,以便冒充成员工或信任的内部人员。公司网站是一个宝贵的情报来源,但不是唯一的来源。
社交媒体
虽然社交媒体网站非常适合与朋友和同事保持联系,但它们也是攻击者的肥沃猎场。Facebook 和 Twitter 提供了对潜在目标个人生活的深入了解。除了对个人活动的几乎实时更新外,通常还包括其他有用的信息。一些例子包括
■ 家庭成员的姓名
■ 就读的高中
■ 生日
■ 宠物的名字
■ 最喜欢的颜色
■ 爱好或兴趣
上述所有项目提供了重置密码或其他与安全相关问题的潜在答案。这些个人信息还为攻击者提供了感染受害者计算机的潜在攻击向量,稍后会详细介绍。
对于社会工程师来说,LinkedIn 是一个目标的购物清单。细致的搜索选项允许使用过滤器,如当前雇主、以前的雇主、实际位置、行业等。想知道谁在你目标公司的工程部工作吗?没问题。通过一个高级的 LinkedIn 账户和一些定制的搜索,你可以在几分钟内得到一个名单。更好的是,大多数个人资料包括部分简历,详细介绍工作职责和技术技能,这提供了目标组织所采用的防御技术的概述。
搜索引擎
使用您选择的搜索引擎,可能可以获取“爆炸性”文件。这些文件可能包含内部信息,如常见首字母缩写、财务细节、网络图表等感兴趣的内容。有些人称之为“Google 黑客”,但任何搜索引擎都可以。以下示例适用于 Google 搜索:
■ “公司名称” 内部 文件类型:doc
■ “公司名称” 敏感 文件类型:xls
■ “公司名称” 机密 文件类型:ppt
■ “公司名称” “不得传播” 文件类型:pdf
垃圾箱
垃圾箱潜水是一种古老而流行的信息收集方法。虽然不是很愉快,但通常会产生很好的结果。在红队评估期间,我的团队发现了从标有“敏感-请勿打印”标记的文件到可以打开设施门的身份证的一切。你会惊讶于垃圾箱可能包含的信息量……只是不要忘记戴手套。
受欢迎的午餐地点
听过“泄露的嘴唇会沉船”这句话吗?通常情况下,如果攻击者(或其他任何人)想要了解组织内部发生的事情,他们只需去吃午餐。在目标位置周围流行的餐馆和咖啡馆是收集数据的无风险方法。如果两个或更多的同事在一起一段时间,他们几乎不可避免地会“谈论工作”。团体越大,谈话就越详细。当我培训安全专业人员进行社会工程方面的工作时,其中一个任务就是出去吃午餐,什么都不做,只是倾听周围的谈话并做笔记。通常会有一个奖品等着那些带回最爆炸性故事的人。下次你在餐厅或咖啡店时,试试自己做一下,看看仅仅通过倾听可以获得什么样的知识。目标公司的员工通常很容易辨认,可以根据他们脖子上挂着的遗忘的身份证或公司衬衫和夹克。这也是学习公司行话的绝佳机会。
攻击规划与执行
攻击者杰瑞
让我们重新审视本章开头的人物。在到达现场之前,杰瑞已经收集了多张目标位置的航拍地图,试图找到潜在的吸烟区域。一般来说,吸烟区域位于建筑物的侧面或后面,远离主入口和大多数安保人员。杰瑞到达现场后,在街对面的一家咖啡馆吃了早餐,并从远处观察了建筑物。当侍者端上他的汉堡和薯条时,杰瑞看到马克和另外两个男人在吸烟区域。杰瑞通过 LinkedIn 的个人资料照片认出了马克,这证实了目标位置的正确性。他吃了几根薯条,看着这些男人交谈,然后看到马克为大家开门,让大家在雨中回到建筑物内。
尽管上述示例看起来简单明了,但攻击者花费了大量时间研究目标公司的潜在攻击向量。杰瑞不仅需要一个计划来获取建筑物访问权限,还需要计划进入后的目标,并在被发现时制定退出策略。
鱼叉式网络钓邮件
在信息收集阶段,攻击者发现他们的目标公司正在使用思科 VPN 客户端。员工可以在他们的工作笔记本电脑上安装客户端,通过适当的身份验证连接到公司网络。攻击者随后创建了一个恶意版本的 VPN 客户端软件,该软件将为他们提供对受害者计算机的访问权限,但仍将作为正常的 VPN 客户端运行。一旦恶意 VPN 客户端完全功能,攻击者执行以下操作来进行攻击:
■ 购买了一个类似目标公司的域名。
■ 通过审查收集的姓名和职位来选择目标员工。他们从市场部门中频繁出差(因此非常依赖 VPN)的“丹”中进行选择。丹还因为在公司的非技术职位而被选中。非技术员工不太可能质疑公司网络团队的同事要求安装软件。
■ 选择了要发送攻击邮件的员工。根据他的 LinkedIn 个人资料,乔伊是公司的首席网络工程师。选择一个有资历的人更好,因为人们更有可能遵从来自权威人士而不是低级或中级员工的请求。
■ 为乔伊在他们新购买的域名上配置了一个电子邮件地址。
■ 然后,他们等待。记住,在社会工程攻击中,时机至关重要。他们等到乔伊在 Twitter 上宣布他将在本周剩余时间出州参加会议。
■ 星期五上午晚些时候,攻击者从乔伊的虚构账户向丹发送了电子邮件:
“为了提高连接速度和可用性,我们已升级了 VPN 基础设施。需要进行客户端软件更新以使用。今天下班前未更新的用户将不再拥有 VPN 访问权限。
所有 VPN 用户必须通过运行附加的安装程序来更新他们的客户端软件。
不需要系统重新启动。如需额外帮助,请联系用户支持。”
敬上,
乔伊·史密斯
网络运营
分机 1402
■ 团队监视了虚构的电子邮件账户的活动。几分钟后,丹回复说他已安装了软件。攻击者随后获得了对丹的系统和公司网络的完全访问权限。
一个攻击者花费几周时间研究和准备一次攻击只为发送一封电子邮件可能看起来不切实际,但这是一个现实世界社会工程攻击的典型例子。从多个来源获取小段数据并编造一个可信的故事是社会工程的核心。另一个角度来看,几周的情报收集、一封电子邮件和一款软件就已经挫败了公司数十万美元的安全基础设施。
你好,技术支持?
Sarah 的目标是一家遍布美国各地的大型保险公司。使用一些定制的搜索词很容易找到他们的基于 Web 的电子邮件和 VPN 站点。这些网站不需要基于证书的身份验证,并且据 Sarah 所知,没有有效的登录凭据,双因素身份验证也没有设置。这意味着她只需要一个有效的用户名和密码就能访问公司的资源。使用工具 FOCA,Sarah 检查了位于公司网站上的各种文档和演示文稿中的元数据。元数据搜索结果显示了十个用户名,使用了姓氏首字母和姓氏的方案。现在,Sarah 了解了用户名的格式,她可以轻松推断出仅凭员工姓名的用户名。然后,Sarah 在 Facebook 上搜索了目标公司的员工,并发现了 43 个。其中 43 个档案中,有 20 个是完全向公众开放的。开放的档案显示了 Facebook 中输入的所有数据,包括用户的状态更新。Sarah 列出了拥有公开 Facebook 档案的女性员工,并开始搜索其他信息,如签名框和办公电话号码。
那是圣诞节的一周,假期季节正酣。Sarah 监视着女性员工名单,直到 Natalie Green 发布了合适的状态更新。"前往夏威夷度过美好的十天,远离雪和冰!"这对 Sarah 来说是个好消息!现在,Sarah 可以尝试控制 Natalie 的账户,而几乎不会被发现。Sarah 整理了她对 Natalie 的笔记,包括生日、家乡、办公室和手机号码、家庭地址、部门名称、工作职称和主管姓名。
在圣诞前夕晚上 7:00,萨拉使用一个来电者 ID 欺骗程序联系了帮助台,使她的号码显示为娜塔莉的手机。一个听起来很愉快的年轻人接听了电话。“帮助台,我是保罗。有什么我可以帮你的吗?”使用她最好的“哭丧声音”,萨拉回答说。“嗨,保罗。我是来自丹佛办事处的娜塔莉·格林。我本周早些时候更改了我的密码,现在我忘记了。如果我这周没有值班,那就不是什么大事了。”她叹了口气说。保罗知道地笑了笑。“太了解了。让我帮你恢复在线状态,娜塔莉。我只需要你的办公室电话号码来验证你的身份。”萨拉惊讶地眨了眨眼。这真的这么容易吗?她咬住舌头,克制住兴奋。“当然,保罗。”她回答,并继续从笔记中读取电话号码。电话那边安静了下来,但萨拉能听到打字声和背景中低低的圣诞音乐旋律。“你已经设置好了,娜塔莉。我将你的密码设置为‘2013Denver$’,但你登录后必须立即更改它。”萨拉微笑着,发出了一声明显的宽慰。“保罗,谢谢你的帮助。我今晚非常感激你。希望明天你也不会被困在那里。”保罗回答说:“幸运的是,不会,但如果你遇到任何问题,我今晚都会在这里。”萨拉开始输入娜塔莉的用户名和新密码,以验证它们是否正常工作。“看起来我没问题了。再次感谢你,保罗。圣诞快乐!”萨拉现在在整个星期内可以不受限制地访问娜塔莉的账户。在娜塔莉预定回归之前,萨拉安装了一个后门,允许她即使在密码更改后也能访问娜塔莉的账户。
服务台是攻击者的主要目标,因为它们的整个目的就是帮助人们。攻击是在假日的晚上进行的,因为有很大可能是一名经验较少的员工在值班。这是一个防止萨拉缺少关键信息来验证她身份的安全措施。新员工更有可能违反程序,以帮助别人避免麻烦。
社会工程防御框架(SEDF)
作为一名安全顾问,我为众多客户执行了社会工程评估——从电子商务到政府,各个领域都有。每次参与都是独一无二的,但几乎总是会引发管理层同样的问题:“我们如何阻止社会工程攻击?”我发现我没有一个明确的资源可以参考,甚至没有一个高级别的指导方针可以让他们开始。
简单的事实是,社会工程攻击不能仅仅通过技术来阻止,也不能仅仅通过培训来阻止。我创建了社会工程防御框架(SEDF),以帮助组织在企业级别防止社会工程攻击。 SEDF 概述了攻击防范的基本阶段:
■ 确定曝光
■ 评估防御
■ 教育劳动力
■ 简化现有技术和政策
SEDF 阶段彼此独立,可以按照组织优先级的顺序执行。如果你刚刚完成了一次大规模的培训活动,那么也许评估防御就是你的下一步。
确定曝光
这个阶段的重点是以社会工程师的视角看待网站和其他可用资源。Web 暴露评估是一种非侵入式的方法,用于收集客户信息,以便清楚地了解暴露在互联网上的数据。
一个主要的关注领域是公司网站。你是否提供了过多的信息?在线员工目录,虽然对客户有帮助,但对社会工程师来说是一座金矿。在大多数情况下,列出关键的面向客户的员工,为客户提供联系点,而不是列出公司的所有员工。过多的职位发布可以提供有关你的环境中部署的软件的详细信息。向世界宣布你的防病毒品牌和其他部署的安全技术,就像为攻击者铺设了欢迎地毯一样。元数据分析是评估的关键部分,以确定是否在发布在你的网站上的文档中暴露了用户名、密码和操作系统详细信息。
评估的另一部分是搜索泄露的文件。并非所有这些文件都是通过谷歌发现的。点对点网络、社交媒体和其他信息共享网站可能是极好的资源。每当我执行这些评估并附上发现的文件时,客户总是问:“你从哪里得到这个!?”
关注的另一些领域如下:
■ 技术支持论坛——你会惊讶地发现有多少人注册这些论坛时使用的是他们公司的电子邮件地址。在规划技术攻击时,代码片段和文件路径可能非常有帮助。
■ 社交媒体——这些资源提供了对员工生活的洞察,是攻击者的肥沃猎场。个人细节,如他们上过的高中或宠物名字,通常用作密码重置问题。此外,了解某人是否将要休假一周,为攻击者提供了冒充该员工的机会,而又极少被发现。
■ 流行的黑客网站——类似于pastebin.com的网站是攻击者的常用倾倒场所,可能包含从账户数据到知识产权的所有内容。
一旦研究完成,就会制作一份报告,总结发现的信息和最可能的攻击向量。除了列出攻击向量外,还包括降低发现数据曝光的建议。
评估防御
这个阶段可以用来评估员工对模拟攻击的抵抗力和反应。组织也可以选择评估检测技术的有效性和适当的应对团队。模拟攻击的类型包括钓鱼、电话和实体。通常情况下,将这些评估外包给专门的供应商是一种常见做法,但并非必须。
钓鱼评估组织对恶意电子邮件内容的抵抗力。内容可以是超链接、附件,或者 HTML 表单,用于收集员工信息或获取他们的计算机访问权限。钓鱼攻击在攻击者中很受欢迎,应该是您组织网络威胁清单中的重点。如果您的组织尚未执行过这种类型的评估,模拟钓鱼攻击应该是这个过程中首先评估的防御措施。有关创建模拟钓鱼攻击的详细过程,请参阅第十章。
电话攻击,又称为 vishing,通过电话或短信欺骗个人透露信息。攻击者进行来电显示欺骗,使他们的电话看起来来自一个已知的电话号码。在美国,来电显示欺骗并不违法,可以使用商业服务或个人设备进行。虽然 vishing 可能看起来过时,但对攻击者来说仍然是一个极其有用的工具,因为他们的目标没有时间在向攻击者提供信息之前仔细考虑情况。将初始模拟电话攻击重点放在主要与公众打交道的员工身上。帮助台人员、销售、公共关系和人力资源应该包括在初始评估中。
在意识计划中,物理安全教育经常被忽视。尽管物理安全和网络安全通常归不同部门负责,但它们都致力于保护相同的资产。完成物理安全评估对于物理安全和网络安全都是一次启发性的经历。物理渗透测试通过获取对指定设施或房间的访问来评估安全控制。团队成员经常利用电子控制并利用社会工程学来获取访问权限。通常,物理安全评估与网络渗透测试同时进行。物理安全基础知识和评估在第八章中有详细介绍。
本阶段的结果应该回答以下问题:
员工
■ 是否获得访问或信息?
■ 工作站
■ 服务器
■ 物理
■ 有多少员工提供信息或访问权限?
■ 利用了哪些弱点或漏洞来获取信息或访问权限?
■ 技术
■ 人类
■ 物理屏障,如围栏
■ 有多少员工报告了可疑活动?
■ 正确地
■ 不正确地
防御者
■ 检测到多少次攻击?
■ 平均检测时间是多少?
■ 如何检测到攻击?
■ 员工报告了可疑活动
■ 来自入侵检测系统/防病毒软件/代理的技术警报
■ 安全摄像头或门禁系统的警报
■ 巡逻中保安队发现
■ 攻击发生时是否有适当的响应程序?
■ 是否遵循了响应程序?
■ 事件是否得到适当升级?
■ 门禁警报是否得到调查?
上述问题的答案可用于评估您当前的意识计划的有效性。评估结果还可用于更新现有政策并修改物理和网络机制的检测设备配置。为了最大限度地提高效果,应定期评估防御措施。至少每两年应进行钓鱼和电话评估。如果预算允许,物理评估应每年进行一次。
员工教育
描述一次攻击可能很有启发性,但展示一次攻击的影响更大。我参加过的最好的培训课程是为一个政府机构举办的,开始时播放了一个视频,其中一名机构员工向对手透露了关键防御项目的敏感细节。除了“对手”实际上是一名卧底特工试图通过社会工程获取信息;而且成功了。视频结束后,礼堂里一片寂静。这段简短的自制视频对观众产生了真正的启发作用。它清楚地传达了信息“这些威胁是真实存在的,你可能是下一个目标。” 会议的其余部分继续详细介绍这些攻击是如何进行的,以及如果怀疑自己被针对时该怎么做。
在社会工程教育中,分解攻击场景是一个重要步骤。向受众展示每个获取的信息以及如何在攻击中使用它建立了对过程的真正理解。接下来,您需要讨论防止数据泄漏和其他攻击的策略。讨论的几个方面包括以下内容:
■ 元数据 - 确保您的受众了解元数据及其如何被利用对他们的影响。提供关于如何在发布前删除文档中的元数据的教程。许多微软办公软件都内置了此功能,但未启用。
■ 钓鱼攻击 - 员工了解如何识别和报告钓鱼消息至关重要。演示链接可以伪装以及如何伪造电子邮件地址是传达信息的一种方式。
■ 社交媒体安全 - 教育您的受众如何设置社交媒体的隐私设置。逐步指导他们如何限制 Facebook 个人资料,禁用位置服务,并使材料不特定于公司,以便员工可以与家人分享。
■ 您公司的电子邮件地址——绝不能低估您公司电子邮件地址的重要性。它绝不能用于订阅论坛、邮件列表或其他特殊兴趣小组。这不仅会暴露公司技术,还可能被用来制作冒充邮件列表更新的钓鱼攻击。
■ 电话攻击——演示来电号码欺诈以强调电话号码可以轻松伪造。讨论员工收到可疑电话时应该怎么办。他们如何报告?
■ 物理攻击——正如我们在本章前面讨论过的,有时,进入目标环境的最简单方法就是直接通过门。强调尾随攻击的影响以及访客程序。
防止社会工程攻击的最重要步骤是教育您的员工,提问是可以的。如果有人试图尾随进门,员工可以问:“您可以扫描您的工作证吗?”在联系其经理进行验证时,可以把电话接通等待。每个意识计划的目标应该是教育员工向安全团队报告可疑行为,而不是让他们成为安全专家。对于许多组织来说,这将需要文化转变。如果他们了解威胁,管理层更有可能批准这种范式转变,因此准备好向管理层介绍这些类型的攻击。
简化现有技术和政策
尽管单靠技术不能防止社会工程攻击,但它可以最小化成功攻击的影响。您的环境中可能存在有效的防御技术,但通过配置更改可能会有所改善。与其逐行审查配置,不如通过头脑风暴会议聚焦于大局,从涉及网络安全团队关键技术成员的高级场景开始。这种策略在防御工业中被广泛使用,术语为桌面演练,通常涉及多个军种和民用机构。桌面演练是在非正式环境中对脚本场景进行讨论的活动。通常由主持人引导,这些演练使安全团队能够逐步地走过攻击场景,以进行审查。
■ 当前的事件响应政策
■ 业务连续性(COOP)计划
■ 预防性技术
■ 检测能力
■ 一旦发生利用事件,最小化影响的方法
场景旨在鼓励建设性讨论并突出需要在一个非威胁环境中完善的领域。桌面练习可以涵盖广泛的范围,包括许多审查领域,或者聚焦于特定领域,例如已部署技术的检测和预防能力。桌面练习费用低廉,还可以作为新员工的在职培训。不要忘记从实际执行工作的员工那里获得一些意见。因为有些任务在纸上看起来很好,但可能需要其他组的几个相关任务,并依赖于完全支持其工作职能的其他任务。
计划桌面练习
桌面练习的三个阶段是设计、执行和事后。设计阶段对练习的成功至关重要,根据练习的规模和复杂性,设计阶段可能需要花费几天到几周的时间才能完成。
设计阶段
如果您的组织尚未进行过桌面练习,最好从包括网络安全团队的狭窄重点练习开始。对于 SEDF,主要关注的领域包括识别
■ 网络和主机操作系统中基于钓鱼攻击的潜在检测点
■ 使用当前部署的技术来最小化成功攻击的影响的方法
■ 社交工程攻击和事件响应的响应策略
建议每个桌面练习都有一个重点领域。这样可以使参与者更有效地集中精力。确定了焦点之后,可以创建场景。场景是一个连续的、叙事性的假设事件描述,为练习提供催化剂,旨在引入激发响应的情况[1]。每个场景应包含一个讨论主题和讨论要点,以便将小组集中在所需的讨论上。一些样本场景包括以下内容:
■ 钓鱼攻击—一组攻击者正在使用一封看似来自您人力资源部门的钓鱼邮件针对您的组织进行攻击。该电子邮件指出员工必须完成隐私政策确认,以便获得本年度的保险福利。电子邮件中显示的链接似乎将员工引导至公司网站;然而,一旦点击,员工就会被引导至恶意网站,该网站试图捕获输入到网站中的信息。
■ 检测讨论—目前已经部署了哪些机制来检测主机和网络层的可疑电子邮件和/或可疑链接?它们能否被配置为阻止包含伪装链接的电子邮件?
■ 减少影响讨论—一旦网络安全团队收到恶意电子邮件的通知,是否可能确定哪些员工收到了该电子邮件?可以从收件人邮箱中删除电子邮件以防止进一步攻击吗?是否可能使用代理或网络上的其他设备阻止恶意网站(URL 和 IP 地址)?
■ 政策讨论—当员工向网络安全团队报告可疑消息时会采取什么行动?如何阻止对恶意网站的访问?这次攻击中可以利用哪些信息进一步教育员工?
■ 恶意文档—在网络上发现了一个被感染的 PDF。一旦打开 PDF,后门软件就会安装在机器上,使攻击者能够访问机器和企业网络。企业防病毒软件无法检测到后门软件或恶意 PDF。尚未确定 PDF 的来源,网络上感染的机器数量也未知。
■ 检测讨论—如何识别受损机器?是否可能检测后门软件与其命令和控制地址之间的通信?
■ 减少影响讨论—代理或其他网络设备是否可以阻止命令和控制流量?有哪些选项可以用来移除感染的 PDF 和后门软件?是否可能确定从感染机器中删除了数据?
■ 政策讨论—当发现可疑文件时会执行哪些分析步骤?在端点和/或代理策略中修改检测签名需要哪些授权?这次攻击中可以利用哪些信息进一步教育员工?应通知哪些部门有关攻击的情况?
桌面演练需要以下角色:
■ 主持人—主持人的角色是营造一个鼓励对话并引导讨论以达到演练目标的环境[2]。考虑聘请一位经验丰富的顾问来主持演练,因为主持是一种专业技能。顾问将对参与者持中立意见,使演练能够在没有偏袒的情况下进行。最后,对公司网络的外部视角可以激发新的讨论思路。
■ 数据收集者—数据收集者的目的是记录每个场景的主要讨论点以及在桌面演练期间达成的任何决定。数据收集者还将制作总结演练的事后报告。
■ 参与者——选择与演练重点相关的工作责任的参与者,而不仅仅是经理们。对于检测和最小化影响的演练,除了网络和终端实施的关键员工外,还包括了信息安全团队。基于政策的演练应该包括每个部门的代表,这些代表在当前政策中有指定的角色。
同时也应将后勤、设备和文件纳入设计阶段。一些组织选择在会议空间或酒店会议室外举行演习,以消除参与者在办公室日常环境中的干扰,从而使参与者能够专注。演练地点应该是一个足够大的空间,可以舒适地容纳演习参与者的数量,并包括一台投影仪、白板和足够的电源资源供参与者使用笔记本电脑。到达时,每个参与者都应该收到一个参与者指南。参与者指南应包括
■ 演练目的
■ 范围和目标
■ 演练场景
■ 支持材料(网络图或政策)
主持人指南应包括与参与者指南相同的材料,以及在每个场景中应该提出的主持人问题。数据收集表应包括以下列:
■ 问题或目标
■ 受影响的部门
■ 当前的应对行动或技术
■ 决议或建议
执行阶段
在引入主持人之前,演练应以信息安全管理层的评论开始。主持人应要求每个参与者介绍自己和在组织中的角色。虽然大多数员工都熟悉个人的角色和责任,但主持人不是。然后主持人提供演练日程安排和基本规则的概述。基本规则旨在促进思想交流的中立环境。一些示例性的基本规则如下:
■ 没有对错答案。所有的想法都受欢迎,并且会根据需要被记录和采纳。
■ 保持无过错、无压力的环境。讨论应该由团体决策和问题解决来推动,因此环境必须保持开放、积极和鼓励性。
■ 使用场景提供背景并激发创造性思维。所有的想法和思考都应基于场景提供的信息,但这不应限制你的思维。
■ 不要把讨论限制在官方立场或政策上。在思考所呈现的情况时,不要害怕超越你的头衔/职位。
主持人应介绍第一个情节。如果参与者对情节事件没有问题,主持人应问第一个列出的情节问题,然后退后一步,让参与者讨论。如果组开始关注与演练范围无关的主题,主持人将引导讨论回到情节上。在每个情节结束时,组应进行热洗。热洗是对情节、讨论要点和结论的高层次概述。热洗不仅确保参与者对结论达成一致,还验证数据收集者是否保留了正确的信息。
在演练时间表中包括休息时间,让参与者补充咖啡因并呼吸新鲜空气。如果情节过于拖沓,注意力会逐渐减弱,导致讨论减少。典型的时间表包括 90 分钟的会议,中间有 20 分钟的休息时间。午餐应尽可能在室外地点提供,以提供参与者一个环境变化。
一旦参与者完成最后一个情节,对整个演练进行热洗。一些可问的示例问题如下:
■ 今天演练的一些关键收获是什么?
■ 有关改善此演练质量的建议是什么?
■ 场地
■ 参与者
■ 支持文件
■ 下次演练应包括哪些目标?
演练后阶段
从数据收集器那里分析和编制信息,制作详细的演练事件报告。接下来是演练最关键的部分,从演练报告中创建和分配行动项目。如果组织没有采取行动,演练中的信息将毫无用处。因此,分配和跟踪行动项目对演练过程的成功至关重要。演练组织者应召开后续会议,讨论以下内容:
■ 演练是否成功?
■ 是否包括适当的人员?
■ 主持人是否足够?
■ 场地是否提供足够的空间和电力资源?
■ 有哪些措施可采取以改进未来的演练?
存在许多演练计划资源。联邦紧急事务管理局(FEMA)提供了完整的网络演练包,可在www.fema.gov/media-library/assets/documents/26845获取。
预防提示
除了头脑风暴和桌面演练的结果外,以下是一些建议,可加强您的环境抵御社会工程攻击:
■ 用户名改头换面 — 攻击者可以轻松枚举用户名,利用本章前面讨论过的策略,比如通过社交媒体收集名字。基于名字或任何其他可识别特征的用户名会使社会工程攻击复杂化,因为攻击者无法快速确定与他们希望攻击的员工相关联的用户名。与其使用 vthomas 作为用户名,考虑使用一个唯一标识符,比如 HN90346283。这种改变不仅会使攻击者的行动变得更加困难,还会使网络安全团队的威胁检测和日志分析变得更容易。来自与唯一标识符不符的用户名的登录尝试将是明显的攻击尝试,使网络安全团队能够适当地调查涉及的机器。由于这种类型的改变会影响组织中的每个人,部署的初始阶段可能会产生负面影响,比如来自忘记新用户名的员工的帮助台呼叫增加。用户名改头换面还需要高级管理支持,因为这将需要组织文化变革以利用新的格式。
■ 域购买 — 社会工程师利用受害者无法察觉攻击中的细微细节。钓鱼攻击的一个常用策略是购买一个类似目标主要域的域。例如,如果你的主要域是www.myorganization.com,攻击者将购买www.myogranization.com或www.my-organization.com,这样恶意链接乍一看会显得合法。如果用户误输入您的网站地址并意外访问攻击者的网站,这些恶意域也可以用来攻击您组织的客户。从恶意域注册电子邮件帐户会增加钓鱼消息的可信度,因为电子邮件地址看起来来自您的组织内部。购买与您组织相似的域将降低攻击者使用虚构网站和电子邮件地址来诱骗目标的风险。在购买时包括流行的域扩展名,如.org 和.net,以实现最大的预防效果。
■ 网页邮件地址 — 注册网页邮件地址,如 myorganizationadmin@yahoo.com,可以降低攻击者利用网页邮件提供商发起钓鱼攻击的可能性。如果攻击者无法购买一个令人信服的域或创建一个令人信服的网页邮件帐户,他们的攻击被垃圾邮件过滤器检测到的机会就会增加。
综合起来
安全工程防御框架(SEDF)提供了一个高层次的路线图,帮助组织确定需要改进的领域,以防止、检测或应对社会工程攻击(图 7.1)。这些阶段没有先决条件,可以按任意顺序执行。
图 7.1 社会工程防御框架的阶段。
成功实施该框架的关键在于根据每个阶段的结果创建环境变化。环境变化可以包括技术、政策、员工教育、组织文化或对物理安全控制的修改。预防社会工程攻击是一个持续的过程,将需要定期重复每个 SEDF 阶段。
我在哪里可以了解更多关于社会工程的信息?
在这一简短章节中,我只是浅尝辄止地介绍了社会工程学及其工作原理。我强烈推荐以下书籍:
■ 《欺骗的艺术》、《入侵的艺术》和《鬼影缠身》 by Kevin Mitnick
■ 《逮捕我如果你能》 by Frank W. Abagnale
■ 《无技术黑客》 by Johnny Long
注释
[1] 《事件响应计划桌面演练》 ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/F2010/Simon%20-%20Tabletop%20Exercise%20Webinar.pdf [于 2014 年 5 月 22 日访问]。
[2] 《网络安全桌面演练》 www.fema.gov/media-library-data/20130726-1834-25045-1623/nle_12_ttx___facilitator_s_notes_5.10.12_final__508.pdf。
第八章:物理安全
瓦莱丽·托马斯(美国弗吉尼亚州洛顿 Securicon)
摘要
当有人提到物理安全时,通常会想到围栏和保安。虽然这些是组成部分,但还有许多其他元素构成了物理安全计划。在本章中,我们将讨论建筑物安全、数据中心安全、物理安全评估以及物理安全对员工意味着什么。
关键词
物理安全
自然威胁
非故意的威胁
人为威胁
红队
侦察
什么是物理安全?
物理安全描述了旨在控制未经授权人员进入建筑物、设施或资源的安全措施。未经授权的人员包括希望对受保护环境造成伤害的攻击者和意外入侵者,例如可能不知道受限区域的员工[1]。物理安全可以分为三个基本级别:外围安全、内部围栏安全和内部安全。
外围安全
财产边界定义了外围。对于一些组织来说,这包括一个建筑物;对于其他组织来说,这是一个由多个建筑物和停车设施组成的校园。保护外围的目标是控制谁可以步行或驾驶进入财产[2]。
内部围栏安全
内部围栏由建筑物外部的门、窗户和墙壁组成。控制谁进入和离开建筑物(以及何时进入和离开)是保护内部围栏的目标。
内部安全
建筑物内部形成内部安全级别。内部安全的目标是仅为授权的员工提供对建筑物部分的适当访问权限。这不仅是为了安全,还为了在包含有害化学品或工作条件的环境中保障员工的安全。
物理安全层
物理安全层包括各种方法和工具,以支持它们的目的。这些层的部分将包含在上述所有三个物理安全级别中。
遏制
遏制层包括可以阻碍或阻止攻击发生的环境结构。这些的例子如下:
■ 围栏
■ 大门
■ 刺刀网
■ 减速带
■ 检查站
■ 车辆阻隔
■ 车辆高度限制
■ 沟渠
■ 照明
■ 警示标志
这些结构可以结合起来,引导外围的入口和出口点数量,并创建多个检查点。
控制
物理安全控制指的是限制进入受限区域的能力。控制功能在所有安全级别上都被使用。控制可以是机械的、程序的或电子的。例如:
■ 旋转门或人防
■ 电子卡系统
■ 机械钥匙
■ 组合保险柜和门
■ 由警卫队授权
■ 签到簿
■ 由安全护送访问
除了访问控制外,许多这些项目还提供责任追究。电子或纸质签到和签出日志可用作进入受控建筑物或房间的凭证。
检测
检测和警报系统在检测到未经授权的访问时触发响应。检测设备的目标是向物理安全人员发出可能有入侵的警报。一些示例包括以下内容:
■ 报警系统或灯光的运动传感器
■ 电子卡系统的报警功能
■ 玻璃破碎检测器
如果您的组织雇用保安队伍,这些设备将向他们发出警报,以便进行进一步调查。有些组织没有保安队伍,而是依靠警方对报警系统的响应。
标识
标识层专注于视频监控。虽然视频摄像头可以用作威慑和检测设备,但其主要目的是进行历史分析。如果检测设备发出警报,视频摄像机可用于验证该区域的活动。如果已经发生了攻击,视频录像可用于识别攻击者和他们攻击造成的损害。
对物理安全的威胁
攻击者并不是对物理安全的唯一威胁。物理安全威胁的三种主要类型如下:
■ 外部——通常被称为自然威胁。这包括火灾,洪水,地震,飓风和龙卷风。
■ 内部——该类别包括意外的破坏行为,如糟糕的管道或电线,溢出的饮料,操作错误和设备掉落。
■ 人为——被视为有意的破坏行为。这些威胁包括盗窃,破坏,蓄意破坏和间谍活动。黑客可以根据攻击者的目标融合其中一个或多个这些威胁[3]。
为什么物理安全对意识计划至关重要
物理安全通常与网络安全分开管理;但是,两个部门都在保护同样的使命:关键项目,公司基础设施和知识产权。尽管两个部门保护相同的资产,但网络安全被认为是更专业化的职业道路。这种看法创造了安全的分裂个性,如图 8.1 所示。
图 8.1 安全的分裂个性。
组织可能拥有一个价值数百万美元的网络安全计划,配备最新技术和专业人员,但如果攻击者可以轻易进入他们的建筑物并获得网络访问权限,那么安全实施就存在缺陷。正如第七章所提到的,物理安全漏洞和社会工程学密切相关。员工对物理安全的意识对于保护组织的信息和员工安全的成功至关重要。为了正确地教育员工防范物理攻击,我们详细说明了红队或物理评估团队通常会采取的步骤,以获取对建筑物或校园的未经授权访问。
物理攻击的工作原理
组织通常聘请安全公司执行物理渗透评估。物理渗透测试评估目标设施的入侵防止、延迟入侵以及在某些情况下安全部队的响应时间的控制。评估目标可能因组织的最大物理安全关切而异。一些示例目标包括以下内容:
■ 进入内部边界
■ 获取对建筑物任意部分或所有部分的访问权限
■ 获取对数据中心或其他高价值目标的访问权限
■ 通过技术或非技术手段获取敏感信息
■ 获得网络和/或计算机访问权限
物理安全评估的基本流程包括三个阶段:侦察、攻击规划和攻击执行。与社会工程攻击类似,评估团队大部分时间都花在侦察和规划阶段。
侦察
优质的侦察对物理攻击的成功至关重要。把自己放在评估团队成员的位置上。如果你要未经授权地进入一栋建筑,你不会想在攻击之前尽可能多地获取信息吗?评估团队很可能不是物理上就在目标设施附近。大多数组织不会为评估团队进行数周的旅行而提供资金,因此需要进行远程和现场侦察。
远程侦察
利用各种互联网资源可以获取大量关于组织的信息。在此阶段尽可能多地收集有关目标位置、周围环境、平面图、日常运作和安全控制的信息将增加评估团队成功的机会。下面讨论了远程侦察的主要领域。
地图
远程侦察的第一步是了解情况。多亏了 Google 和 Bing 地图,这比以往任何时候都更容易(图 8.2)。这两个地图程序提供了美国地点的航拍图和大多数情况下的街景图。
图 8.2 谷歌地图的航拍图像。
理解目标设施和周边区域是离场侦察阶段的主要焦点。在线地图和街道级别图像用于
■ 确定周边安全机制,包括围栏、大门和检查站
■ 查找建筑停车场或车库
■ 确定潜在的入口点,包括门、装卸区和地下停车场
■ 确定垃圾箱的位置
■ 查看周围区域
古老的房地产谚语“位置,位置,位置”也适用于物理评估领域。目标周围的区域在评估动态中起着重要作用。离场侦察阶段最重要的目标之一是找到潜在的现场侦察区域。如果目标位于被办公大楼、咖啡店和餐馆环绕的人口稠密地区,评估团队将有许多现场侦察区域。然而,如果目标位于农村地区,则现场侦察选择可能极为有限。在一些人口稠密地区,您可以利用互联网交通和天气摄像头几乎实时地查看目标区域(图 8.3)。谷歌地图为特定地点提供网络摄像头选项。
图 8.3 通过谷歌地图查看摄像头位置。
除了谷歌地图之外,搜索城市赞助的交通和天气摄像头也可能提供有价值的结果。
公司网站
尽管公司网站上列出的信息可能被视为平凡,但它可以为物理评估团队提供大量信息。公司网站上的关键信息包括以下内容:
■ 营业时间——通常与客户服务和公共关系电话号码一起列出,营业时间可以提供目标建筑可能空无一人或雇员数量极少的时间段。如果公司网站指示提供 24/7 客户服务,则呼叫中心员工可能整晚都在现场。
■ 地址具体信息——在此阶段,物理评估团队可能无法获得楼层平面图。然而,通过检查邮寄地址或员工目录细节,团队可能能够创建楼层地图的路线估计。例如,如果客户服务的地址列为东主街 145 号,2 楼,则评估团队可以开始创建粗略的建筑楼层平面图。
■ 来自照片的信息- 照片可以成为评估团队的宝贵信息来源。公司经常包含他们建筑大堂区域、健身中心、杂货店和建筑其他公共区域的照片。这些照片可以组合起来为评估团队提供建筑物前门后面的基本布局。此外,可以通过定位公司照片背景中的安全摄像头、报警面板、ID 卡读卡器和员工 ID 卡来收集组织的安全态势信息。
附加来源
公司网站和地图程序并不是攻击者唯一有用的信息来源。通常,可以从房地产公司、建筑许可证和社交媒体获取信息:
■ 税务记录- 分析目标建筑物的税务记录,以确定该物业是由公司还是由房地产公司拥有。除了所有权外,还可以从税务记录中获取有关总平方英尺和物业线的详细信息。
■ 房地产公司- 如果目标建筑物由房地产公司拥有,他们的网站可能提供有关建筑物特点的详细信息,包括健身中心、地下停车场、现场安全监控和租车服务。房地产公司通常有多张建筑物内部和外部的照片,以吸引潜在客户。这些照片被分析以获取类似公司网站照片的信息。此外,可能可以确定目标组织是租赁整栋建筑还是部分建筑。通过电话迅速与房地产经纪人联系,可以确认建筑物的可用性。评估团队成员经常作为一个虚构的公司接触房地产公司,该公司有意在目标建筑物租用空间,并安排在现场侦察阶段参观可用办公空间。
■ 社交媒体- 社交媒体用于为评估团队提供员工名单。搜索流行的社交网站,如 LinkedIn,可以为团队成员提供目标公司员工的姓名、职位和照片。此外,其他社交媒体网站用于收集和分析员工上传的照片,这些照片可能提供 ID 卡照片或其他有用的信息。
完成了现场外侦察阶段后,评估团队对以下内容有了了解
■ 评估范围内的建筑物
■ 建筑物周围环境
■ 可能的现场侦察地点
■ 基本周边安全知识
■ 建筑物的所有权或租赁情况
■ 营业时间
■ 大厅区域的基本视图
■ 使用中的 ID 卡读卡器
■ 可以提供进入建筑物的公共活动
■ 入口的街头视图
■ 可能的吸烟区域
现场侦察
尽管大部分研究工作是在场外侦察期间进行的,但现场侦察侧重于观察建筑运营情况和员工意识。现场侦察阶段的目标是收集足够的信息来计划攻击。
监视
到达目标位置后,团队成员将驾驶或步行经过建筑物,观察活动水平和观察时间。目标是确定白天和夜晚不同时间建筑物的活动水平。首次夜间监视更为理想,因为建筑物不太可能被高度占用。夜间监视的目标包括以下内容:
■ 确认警卫人员是否在场。
■ 记录建筑物特定区域是否有灯光亮着。
■ 确定清洁人员是否在工作时间之后出现。
■ 找到垃圾箱并评估其周围的安全控制措施。
■ 记录员工是否进出建筑物。
如果垃圾箱看起来没有受到监护,评估团队可以进行垃圾潜水以检索丢弃的敏感信息。
白天监视可以在一天中的多个地点进行。团队成员将分散开来,以观察建筑物的各个方面。并不是所有的监视都是在车里用望远镜进行的。在人口稠密的地区,最好的监视地点通常是在咖啡店、餐厅、人行道上的长凳上或者徒步绕行该区域。评估团队成员经常改变自己的外貌,包括服装、帽子和配饰,以避免引起对一个人在建筑物附近长时间处于近距离的怀疑。白天监视的目标包括以下内容:
■ 确定吸烟区域,因为它们是收集信息或进入建筑物的理想地点。
■ 记录每个入口的进出观察情况。员工是否互相为对方开门?
■ 记录大多数员工早上报到和晚上离开工作的时间。
■ 确定停车区是否通过无线射频识别(RFID)标签进行控制。
■ 如果建筑物通过 Zipcar 或 Hertz 等公司提供每小时租车服务,请预订车辆并记录是否存在 RFID 标签。
■ 获取员工身份证的照片。大多数员工会在公共区域佩戴,比如咖啡店。
■ 记录警卫人员是否在设施内,并确定其位置。
■ 记录员工着装情况。如果团队成员计划冒充员工,他们需要相应地着装。
正如你所看到的,简单观察和记录建筑物周围的活动可以为攻击者提供大量关于其安全状况的信息。
房地产会议
如果评估团队能够在到达之前安排与建筑房地产经纪人的会议,只有一两名团队成员会参加会议,以防引起怀疑。 对建筑进行导览是团队成员观察建筑运营并询问与建筑和办公空间相关问题的理想机会。 如果可能的话,团队将选择与目标公司同一楼层的可用办公空间以及另一楼层的额外空间。 评估团队将提出的一些问题包括以下内容:
■ 建筑物是否需要门禁卡进入?
■ 个人办公空间需要相同的门禁卡还是单独的门禁卡?
■ 是否提供全天候访问?
■ 建筑物是否有现场保安人员?
■ 办公室清洁是否包含在月租中?
■ 清洁人员何时进入办公空间?
■ 办公空间是否有报警系统?
除了列出的问题外,团队成员还应该询问办公空间的其他细节(与安全无关),以避免引起怀疑。
RFID 凭证窃取
许多组织利用 RFID 门禁系统防止未经授权进入其设施。 这些门禁系统依赖于 ID 卡和读卡器来验证人员的访问级别。 大多数 ID 卡是基于近距离的。 当 ID 卡被放在读卡器上时,它会从读卡器那里接收电源以验证其内容。 门控制器和服务器随后确定所呈现的凭证是否被允许进入受保护区域。 读取和复制 ID 卡的内容可能会危及某些 RFID 门禁卡系统。 用于 RFID 凭证捕获的两种流行设备是 Proxmark3 和 Bishop Fox 长距离 RFID 窃取者。 这些设备可以读取和存储在读取范围内的 RFID 卡的内容。 这些设备的两个主要挑战是在不引起怀疑的情况下靠近目标人员以及运输必要的电源和天线硬件。 一些设计包括使用 Velcro 将硬件固定在文件夹内部。 乍一看,文件夹看起来未经修改。 但是,隔间隐藏了 Proxmark3、电源和天线(图 8.4–8.6)。
图 8.4 用于隐藏 Proxmark3 硬件的文件夹。
图 8.5 Proxmark3 和电源在文件夹内部。
图 8.6 文件夹内的天线。
Proxmark3 的另一种移动设计包括使用弹性带将组件固定在组织者上(图 8.7)。 这些组织者在市面上有多种尺寸可供选择。
图 8.7 带有组织者的 Proxmark3。
组织者在移动时将所需的组件和电缆固定在一个位置。评估团队成员然后将组织者插入基本的笔记本袋中携带,以免引起怀疑。
尽管 Proxmark3 容易携带,但其能读取 ID 卡内容的范围约为 6 英寸。在高度人口密集的区域中,将伪装的 Proxmark3 放置在距离一个人的 ID 卡不到 6 英寸的地方相当困难。为解决这个问题,Bishop Fox 的员工创建了一个长程 RFID 偷窃器[4]。该设计采用了长程 RFID 卡读取器,如 图 8.8 所示。
图 8.8 商用长程 RFID 读卡器。
设计师修改了设备,加入了独立供电、数据存储和显示功能(见 图 8.9)。
图 8.9 Bishop Fox 长程 RFID 偷窃器。
修改后的读卡器首先读取卡的内容,将数据显示在液晶屏上,然后将卡的内容写入微型 SD 卡以供在计算机上进行分析。评估团队在现场侦察期间利用 RFID 凭证窃取技术收集 ID 卡信息。一旦卡信息被收集并分析,团队将适当的电子内容写入 ID 卡。最后,团队成员将创建一个虚构的 ID 卡打印品,包括团队成员的照片;将其附加到程序化的 ID 卡上;并将成品覆膜。这个过程产生的 ID 卡很可能通过基本的视觉检查和访问控制系统。
攻击规划
在规划阶段,评估团队分析收集到的数据,确定执行攻击的最佳方案。规划攻击的关键决策点包括以下内容:
■ 何时是最佳攻击时间?
■ 在工作时间内
■ 在清洁人员在场时,工作时间结束后
■ 在工作时间结束后,建筑物空无一人时
■ 主要方法是什么?
■ 假扮成一名员工
■ 在非工作时间进入,无需伪装身份
■ 自称来自电信提供商或供应商
■ 假扮成清洁工作人员
■ 如果主要方法失败,那么次要方法是什么?
■ 团队成员在完成任务时需要哪些配件?
■ 适当的服装(清洁人员制服或公司 polo 衫)
■ 与任务相关的工具
■ ID 卡
■ 名片
■ 在封锁情况下,目标公司的授权信
攻击执行
攻击执行阶段是物理攻击过程中最短的阶段。在攻击过程中,评估小组成员之间的联系至关重要。如果主要攻击失败,小组可以立即执行次要攻击。蓝牙耳机和手持无线电是评估小组最流行的通信机制。一旦攻击成功并且小组进入内部,典型步骤包括以下内容:
■ 拍摄照片以证明小组的成功。
■ 如果小组还在执行网络渗透测试,则将自定义恶意后门上传到具有提升权限的员工的台式机上。这些员工是在物理攻击之前使用社交网络发现的。
■ 获取对服务器房或数据中心的访问权限。
■ 收集在桌面上、键盘下和文件柜中公开显示的敏感数据。
■ 获取对高级管理人员办公室的访问权限。
评估小组通常会根据安全监控日程在现场停留大约 20 分钟。通常情况下,评估小组尽量减少在现场停留的时间,以避免被发现。
最小化物理攻击的风险
如上所述,物理攻击需要密集和耗时的研究。然而,用于规划攻击的大部分信息都是公开可用的。评估您组织的物理攻击风险最流行的方法是执行物理安全评估或物理渗透测试。通常由专业顾问执行,物理渗透测试可以突出显示潜在的弱点。
准备进行物理评估
如果您过去没有进行过物理安全评估,则需要采取特定的计划步骤以确保取得满意的结果。
设定目标
清晰的目标是物理安全评估中最关键的规划项目之一。你物理安全方案中最担心的是哪些方面?常见的目标包括以下内容:
■ 获取对受控区域的访问权限,例如数据中心
■ 绕过周边安全控制
■ 评估电子安全控制
一些组织选择执行零知识物理安全评估。这种类型的评估不提供评估小组任何背景信息,并允许小组破坏任何安全控制以获得尽可能多的设施访问权限。
宣布禁止进入的区域
列出评估小组未被授权进入的特定区域。一些组织使用可能会危害评估小组的危险材料。通常情况下,公司总裁办公室被宣布为物理安全评估的禁区。
日程安排
选择一系列可接受的日期和时间,以便评估团队执行攻击。确保关键人员,如物理安全主管和首席信息官,随时可用于确认评估团队的目标并在评估团队被发现时进行身份确认。
授权信
授权信通常被称为“免责通行证”,列出团队成员的姓名以及他们的评估目标摘要。应列出员工姓名,例如物理安全主管,并应提供保安部队联系并核实授权活动的电话号码。
即使是最复杂的组织,物理安全评估也可能是一次令人大开眼界的经历。最重要的是,这是一次实际的学习经验,将为改进您组织的物理安全姿态提供宝贵的见解。
无法支付物理安全评估费用?
尽管物理安全评估为当前部署的防御机制提供了价值和洞见,但其代价不菲。如果你的组织无法支付外部供应商进行物理安全评估的费用,可以采取一些预防步骤而无需外部协助:
■ 进行自己的侦察——您组织的网络或物理安全团队可以执行侦察阶段列出的步骤。这种非侵入式评估可以揭示物理安全计划中的几个漏洞。
■ 完成安全巡视——安全巡视是另一种非侵入式评估,涉及审查放在桌子或公共场所的信息。找到被处理不当的多个敏感信息可能表明员工意识不足。
■ 注意门的情况——简单地观察员工如何进入和离开建筑物可以提供有关物理安全意识状况的宝贵信息。如果员工为身后的人开门,执行严格的身份证扫描政策可能会消除搭便车行为。
物理安全远不止于围墙和保安人员。将物理安全威胁纳入您的意识计划将提高您组织的整体安全性。
注释
[1] 物理安全 www.police.psu.edu/physical-security/what-is-physical-security.cfm [上次访问时间:2014 年 5 月 25 日]。
[2] 如何保护你的建筑和财产 bizsecurity.about.com/od/physicalsecurity/a/What_is_physical_security.htm [上次访问时间:2014 年 5 月 25 日]。
[3] 保护您的系统:物理安全 nces.ed.gov/pubs98/safetech/chapter5.asp [上次访问时间:2014 年 4 月 29 日]。
[4] RFID 攻击工具 www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/ [最后访问于 2014 年 5 月 26 日]。
第九章:培训类型
瓦莱丽·托马斯(美国弗吉尼亚州洛顿 Securicon)
摘要
有许多交付方法可用于您选择的培训材料。本章概述了基本的正式和非正式培训类型以及每种方法的优缺点。列出的类型并非详尽无遗,但包含迄今为止最流行的方法。
关键词
讲座
视频
基于计算机的培训(CBT)
基于网络的培训(WBT)
意识海报
培训类型
有多种选项可用于呈现您的培训材料。在本章中,我们将讨论各种培训技术及其优缺点。本章提供了培训技术的高层概述。在接下来的章节中,我们将讨论如何打包或混合这些技术以适应您的环境。
正式培训
我们将从正式培训类型开始。正式培训是一种受控和结构化的方法,通常涉及基于书面法规或标准、政策或一组要求的材料[1]。内容开发过程通常是劳动密集型的,因为大多数项目需要开发课件。评估,如测验,通常在内容传递后完成,以评估员工对所呈现材料的理解和保留情况。
面对面培训
面对面培训,或由讲师主导的培训,在培训技术中被认为是一种传统方法。通常,这包括为目标受众定制的幻灯片。但是,它不一定局限于仅幻灯片。其他交付方法可以用于传达材料,包括以下内容:
■ 视频:包括短视频片段可以打破讲座的单调性,为观众提供一个视觉焦点。这种方法最适合演示威胁,如尾随入侵。
■ 讲故事:讲故事是在讲座中加入个人风格的好方法。它使讲师能够提供员工遵循程序或向安全部门寻求指导的情况示例。讲故事还使讲师能够提供先前课程中涵盖的材料示例,以重申信息[2]。
虽然会话的主要交付方法是讲师的讲座,但其他方法可以用于融入观众互动。讨论方法通常以包括基本信息的简短讲座开始,然后进行开放式讨论或问题(来自讲师或观众)以对材料进行澄清。要求观众识别钓鱼邮件的指标是讨论方法的一个例子[3]。
优势
■ 由讲师主导的培训对于向大群人员呈现大量材料非常有效。
■ 会话可以录制并在以后重新播放,例如,新员工入职培训。这些录音也可以用于远程办公室。
■ 幻灯片可以存档在安全部门的网站上供随时观看。
■ 讲师可以立即回答观众的问题。
■ 可以与讲师和观众的其他成员进行跟进讨论。
■ 如果由安全部门的成员领导,会提供一个让员工与安全部门关联的人员。如果呈现得当,这可以描绘一条双向交流路径,鼓励员工与安全部门互动,而不是仅仅是规定规则。
缺点
■ 会议的成功程度高度依赖于讲师的技能水平。
■ 如果分配的时间窗口太短,或者会议正在播放录音,观众可能没有机会提问。
■ 为大型团体安排教室会议通常在可用空间和员工时间表方面很困难。
■ 对于以英语为第二语言的员工来说,在讲师的速度下保留材料可能会很困难。
■ 雇佣一位讲师可能会很昂贵,特别是如果他们要访问多个地点。
■ 员工可能会因试图在短时间内保留大量呈现的数据而感到不知所措。
■ 对员工来说,要在整个培训过程中找到一个特定的主题可能会很困难[4]。
计算机辅助培训
多年来,计算机辅助培训(CBT)的使用已经迅速增长,在某些情况下完全取代了面对面培训。CBT 是通过计算机传递的,可以利用诸如文本、音频、视频、交互式测验等多种交付选项。然而,CBT 材料通常存储在硬盘上或通过 CD-ROM 分发。材料往往是为了组织在某个特定时间点的要求而专门创建的[3]。
优点
■ 随时观看。员工可以在适合他们的时间复习材料。
■ 材料可以完全按照组织的要求进行定制。
■ 它可以在内部生产,但通常是外包的。
■ 通过 CD-ROM 分发对于带宽有限的偏远地区(例如军事基地)非常理想。
■ 课程是自主学习的,所以员工可以以最适合他们的速度学习。
缺点
■ 这些分发选项可能很难修改或更新以反映当前的安全威胁或政策变化。
■ 如果外部公司制作了材料,内容修改可能会很昂贵。
■ 如果材料是由一名不再在组织中的员工自行开发的,则内容修改可能会很复杂。
■ 重新分配可能在物流上有困难,特别是对于偏远地区。
■ 如果材料设计不佳,员工可能会很快失去兴趣,而且不会保留任何呈现的材料。
基于网络的培训
基于网络的培训(WBT)类似于 CBT,但是通过公司网络服务器或外部培训提供商进行在线存储。由于内容存储在少量位置,因此很容易更新。课程可以整合到培训门户中,使组织能够提供多个课程并电子跟踪每个员工的进度。这种交付方式使得为不同受众(如帮助台或营销部门)创建定向培训变得容易。WBT 是传递小型、集中的材料的绝佳方法,例如网络钓鱼意识。许多优点与 CBT 相似,还有其他优点。
关于测验的一点说明
测验非常适合衡量员工在基于网络的培训中的学习进度。然而,如果员工回答问题不正确,提供后续页面解释为什么答案不正确至关重要。
WBT 具有灵活性,可以在幻灯片材料之外展示来自行业专业人士的视频片段。传递方式的组合将材料分成片段,使其更容易理解。如果员工无法跟上讲话者的节奏,他们还可以重播视频片段。
互动片段和测验可以评估从提供的材料中所保留的知识,并根据员工的答案选择后续培训选项。一些商业产品供应商包括赛门铁克、KnowBe4 和 SANS。
优点
■ 以较低的成本获得高度专业化的培训师和课程开发人员的接触,而不是雇佣一次性面对面会议的成本较高[5]。
■ 按需查看。员工可以在方便的时间复习材料。
■ 适用于专业培训,如法规要求。
■ 材料可以完全定制为组织。
■ 内容可以整合到培训门户中,这样每个员工的进度都可以进行跟踪。
■ 它可以在内部生产,但通常是外包的。
■ 内容可以轻松更新。
■ 幻灯片、视频和互动内容的结合可以有效传达材料。
缺点
■ 员工可能有一些常见问题没有在常见问题解答中得到解答。
■ 如果培训时间过长或者内容不足以引起兴趣,员工可能会在不保留材料的情况下点击内容。
■ 浏览器和/或带宽限制可能会限制使用视频或互动会话的能力[6]。
■ 如果外包,初始开发成本可能较高[7]。
视频培训
视频培训是独立于其他形式的培训的,不需要员工的互动。这些片段在短时间内涵盖了一到两个主题,例如可移动媒体的使用。视频培训在融入视频活动中时最有效。视频活动包括一组视频和其他支持材料,如海报、预览视频、通知电子邮件以及每个视频的参考资料。
优点
■ 给安全内容带来新的视角,引起员工的兴趣。
■ 让员工专注于学习,而不是为了课程内容而紧张。
■ 商业生产的材料可立即使用。
缺点
■ 可用的商业产品涵盖了一般的安全主题。定制内容将另外收费。
■ 一些员工可能觉得视频不够有趣,因此不会观看完整的片段。
非正式培训
非正式培训设计有整体目标,但没有正式培训的标准和程序。虽然正式学习通常是员工的要求,但非正式学习是自愿的。实质上,非正式学习为教育提供了手段,但员工必须决定追求材料。虽然非正式学习环境对一些员工来说是理想的,但并不意味着它们可以取代正式培训项目。非正式学习是对正式培训项目的额外支持层。
午餐学习会
通常,持续时间短(约 30 分钟或更短)且自愿参加的午餐学习会议或讨论可以涵盖各种主题。成功举办自愿会议的关键在于选择能吸引员工的主题和标题。一些示例包括
■ 保护孩子在网上的安全
■ 移动安全技巧与诀窍
■ 刷卡支付信用卡:你需要了解的信息
■ 在旅行时的在线安全
任何人都可以主持午餐学习会。理想情况下,安全团队的成员应轮流主持会议,以便员工熟悉所有团队成员。这有助于将安全团队的面孔与之联系起来,并加强双向对话。如果预算允许,邀请客座演讲者是增加出席率的好方法。
并非所有非正式会议都需要面向广大观众。考虑与部门负责人合作,创建对技术员工有吸引力的午餐学习会议。一些示例主题包括
■ 你正在犯的前 5 个编码错误(以及如何修正它们)
■ 开发者为社会工程师最喜欢的目标
■ 你的 LinkedIn 资料是否透露了太多信息
■ 高级路由技术
虽然以上标题都没有直接涉及安全问题,但可以将其纳入整体信息中。我们将在未来的章节中讨论如何有效地打包安全培训。
自制视频活动
诸如 YouTube.com 这样的在线视频网站已经极大地改变了世界观看视频内容的方式。在今天的社会中,短小的家庭视频已成为新的常态。从跳舞的猫和咯咯笑的婴儿到软件安装过程和烹饪说明都可以通过几次点击鼠标就能让任何人观看。像大多数话题一样,安全意识培训也可以利用这种视频狂潮。
为组织的内部网站制作简短的非正式视频可以强化之前在正式培训中涵盖的内容。这种几乎没有成本的技术还可以通过展示首席信息安全官(CISO)在打印机上忘记敏感文件来将工作人员融入到教育过程中。其他员工可以被描述为按照程序行事,例如质疑试图跟随进入大楼的人。
制作您自己的视频活动时需要考虑的事项:
■ 保持视频的简短和有趣。少于两分钟是最好的,以保持观看者的注意力。
■ 确保在最后强调预期的信息。如果视频中有员工向安全团队报告可疑电子邮件的情况,请包含用于报告这些电子邮件的电子邮件地址。
■ 包括下一个视频的简短预览。
■ 为员工创建一个提交未来视频想法的电子邮件账户。
海报
安全意识海报是在正式会议之间加强良好安全实践原则的低成本方法。成功的海报活动的两个最重要因素是内容和位置。内容应该言简意赅,传达一个清晰的信息。安全意识海报的典型例子来自二战期间的“多嘴容易露馅”运动。由战时广告委员会设计,该活动提醒所有美国人要慎重分享信息,以防止向敌人意外泄露数据 [9]。
在正确的地方放置海报是成功的第二步。理想情况下,海报应放置在员工有空闲时间的地方。以下是一些例子:
■ 在电梯内。如果建筑物有多个电梯,请在每个电梯车厢内放置一个独特的海报。
■ 在复印机旁边。这是提醒保护敏感数据的理想位置。
■ 休息室或自助餐厅,尤其是在微波炉旁边。
■ 靠近出口门。这可以是员工最后提醒他们将身份证放好并且不易被看到的地方。
一些网站提供免费的意识海报供您的组织使用。在互联网上快速搜索可以提供足够的免费材料,以支持您的活动长达数月。
注释
[1] 正式和非正式学习的 8 个好处。 www.langevin.com/blog/2012/05/10/8-benefits-of-formal-and-informal-learning/ [访问日期:2013 年 12 月 02 日]。
[2] 最有效的培训技术 trainingtoday.blr.com/employee-training-resources/How-to-Choose-the-Most-Effective-Training-Techniques [访问日期:2014 年 01 月 08 日]。
[3] 培训交付方法 www.referenceforbusiness.com/management/Tr-Z/Training-Delivery-Methods.html [访问日期:2014 年 12 月 01 日]。
[4] 面对面培训与在线培训优势及成本比较表。 www.elearncampus.com/online_training/comparisontable.aspx [访问日期:2014 年 01 月 12 日]。
[5] 组织使用在线培训的 7 个理由 www.knowbe4.com/resources/7-reasons-why-organizations-use-online-training/ [访问日期:2014 年 01 月 27 日]。
[6] 网络培训的优缺点 www.webbasedtraining.com/primer_advdis.aspx [访问日期:2014 年 01 月 27 日]。
[7] 网络培训概述 www.etc.edu.cn/eet/articles/webbtraining/start.htm [访问日期:2014 年 01 月 30 日]。
[8] 正式培训 vs. 非正式培训:哪种更有意义? www.mindflash.com/blog/2012/03/formal-training-vs-informal-learning-which-makes-more-sense/ [访问日期:2014 年 01 月 31 日]。
[9] 战争信息安全 - 唇亡齿寒 (1942–1945) www.aef.com/exhibits/social_responsibility/ad_council/2175 [访问日期:2014 年 02 月 03 日]。
