社会工程渗透测试教程(四)
社会工程渗透测试教程(四)
原文:
annas-archive.org/md5/db987a87e1478b8a8617c263c631b477译者:飞龙
第十三章:撰写报告
安德鲁·梅森,技术总监,RandomStorm 有限公司
本章将介绍向客户提供的主要成果,即书面报告。将介绍报告清晰度和业务驱动因素的重要性,并提供社会工程学评估报告的示例模板以及汇总利益相关者发现的演示模板。
关键词
数据收集;心智绘图;报告撰写
本章内容
• 数据收集
• 操作系统文件夹结构和文本编辑器
• 心智绘图
• 文档管理工具
• 撰写报告
• 封面
• 标题页
• 免责声明页面
• 目录
• 社会工程概述
• 社会工程学方法论
• 威胁建模
• 侦察
• 场景创建
• 场景执行
• 报告撰写
• 引言
• 执行摘要
• 个人攻击向量
• 报告的交付
引言
第十二章讨论了社会工程攻击中使用的技术。本章将讨论社会工程报告以及如何撰写这样的报告以为客户提供最大价值。本章将介绍在评估过程中收集用于制定报告所需的数据,然后转向报告本身,并提出关于应包括的结构和要素的建议。最后一节将讨论报告如何向客户交付和呈现。
在专业服务机构工作的人很可能已经熟悉报告创建的任务。客户参与专业服务机构是为了执行诸如社会工程学评估之类的评估。几周的工作成果通常以书面报告的形式呈现给客户。本章的其余部分将介绍收集和组织所需信息以创建向客户提交报告的过程。
一个短期的专业服务项目通常会持续 5 天。在这 5 天中,通常会有 3 天用于测试,另外 2 天用于撰写报告。因此,报告结构的重要性对顾问至关重要,以确保建立有效的系统,提供给客户最大的价值。与大多数事物一样,顾问的经验越丰富,其流程就会变得更好。
值得注意的一点是竞争专业服务公司的报告结构之间的差异。本书的作者曾为几家公司工作,并观察到在向客户提供项目成果(报告)方面存在不同的标准。建议投资时间制作一个可根据客户基础复制的质量报告模板。
在进行评估和撰写报告之间通常会有一段时间。重要的是尽量将这段时间缩短,尽管在实践中,这通常包括旅行,在回到办公室并准备撰写所有三份评估报告之前执行两到三次评估。理想情况是在周一、周二和周三进行评估,然后在周四和周五撰写报告。
数据收集
在开始报告之前,需要收集和分析大量有意义的数据,以便在报告中加入一些有意义的数据。找到适合每个人的数据收集过程非常重要。
有许多收集数据的方法,读者找到适合自己的最佳方法非常重要。人们往往花费太多时间试图将新工具强行塞入他们的工作流程中,而不是集中精力关注实际的过程。重要的不是工具,而是如何有效地使用工具的过程,以便将数据收集到安全和可靠的格式中,以便在以后撰写报告时轻松解释。
没有什么比在完成任务结束几天后发现笔记收集不合理更糟糕的了。如果进行了多次评估,这一点尤为真实,因为评估过程中发生的事件有可能混为一谈,这使得严格记录笔记的实践变得比以往任何时候都更加重要。
收集的数据将具有敏感性质,必须小心确保这些信息在顾问的笔记本电脑上安全存储。设备安全性不在本书的范围之内,但任何提供社会工程服务的公司都应该已经实施了确保数据在传输过程中安全的流程。
将调查使用各种基于计算机的工具进行数据收集的三个示例。第一个是使用简单的文本编辑器和操作系统中的文件夹结构。第二个将是查看思维导图,这是本书作者们广泛使用的方法,第三个是使用特定的文档管理器,如 Scrivener。
这三个示例的共同过程是已经收集了数据,以便能够对其进行整理、分析和报告。这些数据将以案例文件的形式呈现。这个案例文件可以采用下面三个示例中的一个形式,也可以采用您选择的其他工具的格式。最重要的是确保数据以可以理解的格式收集,以便在返回办公室时进行整理和报告。
通常记录比所需信息更多的信息。不需要的信息可以随时排除,但没有比没有足够的信息来制定报告更糟糕的事情。因此,建议记录所做的所有工作,并拍摄所需数量的屏幕截图和照片来建立此案例文件。
操作系统文件夹结构和文本编辑器
收集数据的最简单方法之一是使用简单的文本编辑器和文件系统内的文件夹结构。所有操作系统都预装了至少一个文本编辑器。这可能是 Windows 上的记事本,OS X 上的TextEdit,或 Linux 上的vi。
这里的想法是构建一个模拟报告所有部分的文件夹结构。例如,如果有一个包括远程电话攻击、钓鱼邮件攻击和两个地点的现场物理攻击的评估任务,结构看起来类似于图 13.1 中所示的内容。
图 13.1 数据收集文件夹结构。
图 13.1 显示了在进入评估的每个服务的特定文件夹之前,顶级客户报告工作文件夹的情况。每个文件夹中都会创建一个文本文件,用于每项服务,并在评估过程中进行线性记录。随着评估的进行,任何文档证据,如屏幕截图、文件附件或照片,都可以添加到与评估的特定部分相关的文件夹中。
在评估结束时,需要有一个文件夹结构,每个文件夹中都有一个单一的文本文件,作为解释评估执行方式、采取的行动、结果和失败以及报告所需的其他任何内容的说明。除了这些文本文件,每个文件夹中还会有一系列文件,构成评估各部分发现的文档证据。
思维导图
思维导图是由英国的托尼·布赞创建的一种技术。思维导图是一种利用大脑的左右两侧协调工作的方式,通过利用左脑的技术性和右脑的更具创造性的一面。
传统学习非常偏向左脑,因为它涉及逻辑、细节和事实。右脑通常更模糊,由符号、图像和空间感知主导。
思维导图促进了可以被视为整体大脑思维的方式,利用大脑的两侧,更好地思考。思维导图通过利用左侧的技术细节和右侧的创造性展示机制来实现这一点。
所有这些听起来可能非常科学,但实际上意味着信息以一种称为思维导图的蜘蛛图表形式呈现。
一个示例思维导图可以在图 13.2 中看到。
图 13.2 示例思维导图。
要开始使用思维导图作为社会工程评估的数据收集工具,首先需要有一个初始结构。强烈建议每个客户评估创建一个单独的思维导图,为评估的每个主要部分使用一个核心分支。
使用与之前相同的示例评估,如果评估中包括两个位置的远程电话攻击、钓鱼邮件攻击和现场物理攻击,初始思维导图将类似于图 13.3 中所见。
图 13.3 数据收集思维导图。
如图 13.3 所示,有一个概述核心分支可用于与评估相关的信息和注释,然后每个后续核心分支反映评估的一部分。例如,每个核心分支也有子分支信息,以提供模板更完整结构的感觉。
要将思维导图用作数据收集工具,重要的是在评估过程中开始进行文本笔记。但是,与其以线性格式存储这些笔记,不如尝试将它们制作成思维导图的适当分支。大多数思维导图编辑器都具有创建文本笔记并从分支链接到这些笔记的能力,以便可以在应用程序内查看它们或打印出来供参考。除了在思维导图内使用文本笔记外,还可以链接到文件附件并将图像和照片直接放置到思维导图上。
思维导图已被证明有助于数据和信息回忆,并且在评估和实际撰写报告之间有几天时间时,有助于将数据置于上下文中。
作者在本章中首选的工具是思维导图。他使用思维导图作为记录评估数据的工具进行了数百次评估,并取得了很好的结果。
关于思维导图的更多信息可以从思维导图技术的创造者托尼·布赞(Tony Buzan)的网站获得,网址为www.thinkbuzan.com/。
作者在创建思维导图时的首选工具是 MindJet:www.mindjet.com。
下面是一些开源思维导图应用程序的列表:
• XMind:www.xmind.net
• FreeMind:freemind.sourceforge.net
• Compendium:compendium.open.ac.uk
• Mind42:mind42.com
• WiseMapping:www.wisemapping.com
• Bubbl.us:bubbl.us
文档管理工具
第三种数据收集方法是使用文档管理工具。这些工具专门用于收集数据和撰写文稿。作者们使用过一些这样的工具来撰写书籍和剧本,其中一些专门针对特定类型的项目。
有一款专门用于编写安全报告的工具,名为 Dradis Pro:securityroots.com/dradispro/。
Dradis Pro 旨在运行基础架构渗透测试,并且在能够直接从渗透测试人员使用的各种安全工具导入数据以及通过消除重复劳动和信息来提高报告部分的效率方面具有优势。Dradis Pro 可用于创建提交给客户的最终报告,并且可以定制以使用符合特定企业标准的模板。
Dradis Pro 的屏幕截图可以在图 13.4 中看到。
图 13.4 数据收集:Dradis Pro。
另一个文档管理工具,也是本书作者用于撰写项目的工具是来自 Literature and Latte 的 Scrivener,适用于 OS X 和 Windows,网址为 www.literatureandlatte.com/scrivener.php。该网站的介绍称该工具为“Scrivener 是一款强大的作家内容生成工具,它允许你专注于撰写和构建长篇和复杂的文稿。虽然它完全控制格式,但它的重点是帮助你完成那个令人尴尬的初稿”。
在图 13.5 中可以看到 Scrivener 项目的一个示例。
图 13.5 数据收集:Scrivener 示例。
Scrivener 提供了一个完整的写作界面,可用于创建研究和写作的文件夹结构。使用这样的工具可以快速收集信息,并且能够将其安排成反映正在执行的评估的结构化顺序。
使用与之前相同的示例评估,如果正在执行包括远程电话攻击、钓鱼邮件攻击和两个位置的现场物理攻击的评估,则初始 Scrivener 设置将类似于图 13.6 中所示。
图 13.6 使用 Scrivener 进行数据收集。
文档管理工具提供了结构化编写文本注释的功能,以及导入其他文件类型(如图片、文档和网页)的功能。它们将所有信息保存在一个地方,并且还具有一些基于数据研究和撰写报告时的演示便利性的独特功能。
值得考虑的其他文档管理应用程序包括:
• Omni Outliner:www.omnigroup.com/products/omnioutliner/
• 印象笔记:www.evernote.com
• 微软 OneNote:office.microsoft.com/en-us/onenote/
撰写报告
现在已经执行了评估,收集了数据,并将数据放入所选择的结构化格式中,是时候开始撰写报告了,这将是与客户项目的最终交付物。
报告可以使用多种选择的工具来撰写。如果使用文档管理工具,则很可能可以直接从该工具创建报告。但是,可以选择避免使用商业文字处理软件,如 Microsoft Word 或 Apple Pages;或者,对于大多数操作系统平台都有许多开源文字处理软件可用。
与数据收集阶段一样,假设这将是一个需要多次进行的过程,则首先花时间创建一个报告结构和模板会节省时间,并可作为所有客户报告的基础。
关于咨询型报告结构的创建已经有了大量的学术和专业信息。在 Google 上快速搜索会返回许多关于这种咨询报告结构的建议。我们推荐的一般结构概述如下:
• 封面
• 标题页
• 免责声明页
• 目录
• 社会工程概述
• 社会工程方法论
• 介绍
• 执行摘要
• 个人攻击向量
封面
封面页显示了报告的标题,并概述了客户名称和报告创建日期。此页可以使用咨询公司的标志进行品牌化,也可以共同展示客户的品牌。预计使用保护性标记对数据进行分类,基于行业标准安全定义。这应符合已建立的敏感客户数据企业保护性标记标准。
标题页
标题页扩展了封面页,提供了有关客户报告作者的详细信息,以及概述了当前版本和以前版本发生的任何更改的版本信息。报告的页数也可以显示出来。报告的分发列表可以显示,以及关于个人角色的指示,作为作者,信息或审查。
免责声明页
免责声明是顾问公司希望能限制其为所提供产品或服务所承担的责任的声明,这在咨询项目中是相当典型的。它概述了工作受约定条款和条件约束,并涵盖了披露的范围,因为报告中包含的内容很可能是敏感信息。
一个免责声明示例可能如下所示:
本文件中的所有信息、陈述、观点和建议均根据我们现有的最佳知识正确无误,但如果未成为双方之间单独特定协议的主题,则不应(也不应被视为)合同约束。
此处所含信息是在双方进一步协商的协议的基础上准备的,该协议将基于供应商名称的标准条款和条件。
除非另有双方签署的书面保密协议明确规定,否则本报告包含供应商名称和客户名称保密的信息。未经客户名称事先书面同意,不得进行披露。
目录
目录可以担任三个目的。
1. 这有助于那些不想阅读整个报告但想要轻松定位其中特定部分的读者。
2. 这有助于那些想在开始阅读整个报告之前了解报告范围和内容概述的读者。
3. 这为报告的撰写者提供了一个工具,概述了需要解决的具体方面。
大多数文字处理工具将自动创建目录,只要在文字处理器中实施了正确的样式使用,并相应地标记了标题。
社会工程概述
对于许多客户来说,这可能是他们首次进行的社会工程参与。此外,报告的当前读者可能不是客户内的发起人,因此有必要包含一些文本页面,概述社会工程是什么,测试的需求是什么以及这种测试如何有益于正在接受测试的公司。
本介绍为读者设置了舞台,以便他们理解自己即将阅读的内容。可以认为这是多余的信息和报告填充,因此仅建议对社会工程参与历史不强的客户。如果客户完全了解社会工程环境或以前进行过评估,则应删除此部分。
本节介绍了社会工程的简要概述以及常见的攻击类型,以及如何防御社会工程攻击的基本信息。
社会工程方法论
社会工程方法提供了一种机制,用于在评估过程中向客户展示所使用的方法,以处理咨询项目。
社会工程的一个示例方法可能是:
威胁建模
任何社会工程评估的初始阶段都是评估对企业的潜在威胁。这些威胁可能是从仓库盗窃、内部员工对网络资源的攻击,甚至是激进分子的破坏行为。
侦察
评估的这个阶段涉及尽可能收集有关企业的信息。这些信息主要来自公共资源,如 DNS 记录、搜索引擎、论坛和新闻组。
场景创建
社会工程师将利用收集到的信息和对企业的潜在威胁,创建可能发生的场景。这些场景将被构建以应对公司面临的特定威胁,以评估是否已经制定措施来保护公司免受这些威胁。
场景执行
一旦场景被限定,社会工程师将使用各种技术来演绎这些场景。使用的社会工程技术可能包括欺骗、虚构理由、分散注意力和冒充。
报告
在完全完成所有场景后,收集到的信息被用来编写一份详细说明评估结果的报告。这份报告将展示一个包含漏洞、暴露和补救建议的场景时间线。
该方法可以以图形方式表示,如图 13.7 所示。
图 13.7 社会工程方法。
与社会工程概述部分一样,对于熟悉社会工程参与模型的现有客户,这部分可能被视为可选的。然而,对于可能对参与社会工程评估的概念感到陌生的新客户来说,这部分同样具有价值。
介绍
在这一部分之前的所有页面都是序言,要么是为了布置情景,要么是为了报告结构至关重要的前言。报告的介绍部分阐明了报告的“什么,为什么,何时,何地,以及如何”:
• 作为社会工程评估的一部分,进行了什么?这包括哪些攻击向量被用于构成社会工程评估的一部分。客户通常会在初始咨询需求中概述攻击向量。
• 为什么进行这项评估?如果客户对评估有特定要求,将在本节中解释。
• 何时进行了这次评估?这包括所有攻击向量的参与日期,以及编写报告和交付给客户的日期。
• 评估是在哪里进行的?这通常是在客户基础设施内进行的现场工作,也可以是远程进行的针对互联网或远程工作者的评估向量。如果现场工作在多个地点进行,则列出每个地点以及每个地点访问的日期。
• 评估是如何进行的?介绍了用于执行评估的方法论的细节。
执行摘要
执行摘要主要设计为为那些最初至少不打算阅读整份报告的人提供服务。
对于需要查阅报告并了解评估工作及评估结果的人来说,执行摘要是报告中最重要的部分。执行摘要起到了报告的结论作用,尽管报告的主体内容尚未出现。
执行摘要包含作为评估的一部分选择的每个攻击向量的所有主要要点,并强调结果、结论和建议。
除了文字性内容之外,还建议在报告中包含一些重点突出的正面和负面行动的项目符号。
执行摘要通常长约两到三页,应注意确保其保持在这个长度而不是扩展到数页或太多细节以致成为摘要。
编写报告主体后撰写执行摘要可能更容易,从而按顺序编写报告。这将确保所有相关部分都以简洁而准确的方式包含在内。
单个攻击向量
执行摘要提供了结论和易于阅读的发现概述,但下一节则作为报告的主体。在这里,每个攻击向量都会被详细解释,并支持评估过程中收集到的支持证据,结果、结论和建议。
在此级别,移至涵盖每个攻击向量的各自子部分之前,会生成简要介绍。每个部分的简要结构可能如下:
• 攻击向量介绍
• 顾问意见
• 评估证据
攻击向量介绍提供了选择攻击向量的依据以及向量包含的内容的概述,然后介绍评估范围和执行内容。
顾问意见提供了关于顾问为测试攻击向量所做的事情的书面叙述。这讲述了评估的故事,并详细概述了每个部分的发现。与执行摘要一样,此级别上包含一份良好和不良发现的清单以及推荐的补救措施是有用的,以纠正评估中概述的任何缺陷。
评估证据是支持顾问意见和每个单独攻击向量的发现的支持材料。虽然这不必是一种结构,但保持按时间顺序排列并确保包括有关此攻击向量的评估发现的时间轴是有用的。
在本章的数据收集部分,我们研究了一个样本社会工程参与,在该评估中包括了远程电话攻击、网络钓鱼电子邮件攻击以及两个位置的现场实体攻击。利用这个例子,本报告的本节结构将如下所示:
• 个别攻击向量
• 介绍
• 远程电话攻击
– 介绍
– 顾问评论
– 评估证据
• 网络钓鱼电子邮件攻击
– 介绍
– 顾问评论
– 评估证据
• 现场实体攻击
– 介绍
– 第一站点
• 介绍
• 顾问评论
• 评估证据
– 第二站点
• 介绍
• 顾问评论
• 评估证据
报告的交付
此时,社会工程评估已经完成,并使用所选择的数据收集方法收集了数据。这些数据用于制定和撰写一份结构化报告,为最终用户提供价值,并形成公司所从事的咨询工作的最终交付物。下一阶段的关注点是将报告交付给客户。
关于敏感客户数据的保密性问题已经在本章的数据收集部分中讨论过。完整的保护标记介绍不在本书的范围之内,但是必须遵守组织制定的指导方针,以符合其保护标记标准。
除了数据存储问题之外,报告还必须安全地传输给客户。可以假定任何从事此类专业服务的公司的员工都将执行安全文档交付的公司标准。这可能是使用安全客户门户,客户通过加密的安全门户进行身份验证,然后安全地下载报告,或者通过使用电子邮件加密方案,其中电子邮件被加密并安全地发送给客户。
许多专业服务公司似乎采用了“点火并忘记”报告交付策略。这就是客户收到报告后,顾问或项目团队不再与客户进行任何进一步的沟通。
在客户收到报告后,建议安排客户在几天后进行一次客户简报,以便客户有时间阅读和消化提供的信息。这将给他们时间制定一些问题,以问询执行评估的顾问。这次简报可以通过电话进行,如果条件允许,最好是面对面进行。
概要
本章介绍了社会工程评估报告。从数据收集的必要性开始,并建议顾问可以采取三种方式来收集必要的数据以起草和撰写文档。接下来是讨论如何撰写报告,建议使用了一个简单的专业服务咨询报告模板,该模板涵盖了社会工程报告所需的必要要素。本章的最后一节涵盖了交付报告以及在客户消化报告中的信息后,需要注意确保报告的数据机密性和完整性,以及建议的客户简报。
下一章将提供针对社会工程攻击加固政策和程序的建议。
第十四章:制定加固的政策和程序
安德鲁·梅森, 技术总监,RandomStorm 有限公司
防御策略部分的这一起始章节将探讨读者如何加强其政策和程序,以防范可能的社会工程攻击。将提供各种方法和建议,以帮助读者识别政策弱点并进行必要的更改,以避免潜在问题的发生。
关键词
外层保护;内层保护;行业信息安全;网络安全标准;社会工程政策和程序;密码指导
本章信息
• 背景
• 外层保护
• 内层保护
• 社会工程防御:一种积极的方法
• 行业信息安全和网络安全标准
• 预期变更
• 制定适合目的的社会工程政策和程序
• 用户密码重置程序
• 请求的可接受来源
• 确认呼叫者的身份
• 重置密码
• 密码指导
• 选择密码
• 保护密码
• 更改密码
介绍
第十三章讨论了如何最好地撰写社会工程学报告。本章将讨论如何创建强有力的社会工程政策。
一个胜任的社会工程师所采用的方法的唯一限制是他们可用的工具、他们的想象力和完成攻击的胆量。
有了这一切,企业可以采取什么措施来减少成为目标的潜在风险,减少成功攻击的可能性。有效的社会工程防御策略的成功或失败是通过多层次的防御方法构建的,这些方法在很大程度上依赖于其坚实的基础。这些基础由两个关键组成部分组成:
1. 社会工程政策
2. 员工社会工程安全意识和教育计划(在第十五章中广泛涵盖)。
本章将详细介绍社会工程政策的目的以及如何构建一个适合目的并满足组织需求的政策。然而,应该记住,即使是最强大的政策,支持各种技术和物理控制,也无法完全消除受到高度决心、装备精良和胜任的社会工程师的侵害的潜在风险。
尽管如此,这两种基础都被证明是最有效和成本效益最高的方法。例如,开发可信赖的基础所需的只是管理支持,加上知识丰富的信息安全专家的奉献、热情和意愿,以及其开发和交付的时间。因此,与可用的丰富技术和物理控制相比,制定政策所需的成本相对较小。
本章还将为读者提供有关制定适当政策和程序的额外指导,深入了解什么是一份好文件。
背景
举个例子,让我们看看一个寻求加强围绕其敏感或关键资产安全的中小型零售企业。企业对其信息资产遭受侵犯的潜在成本进行风险评估,当评估估计为 400 万美元时,相当于他们的年营业额时,他们感到惊讶。因此,这引起了高级管理层的全力关注,企业开始加强其安全措施。
在外部安全产品供应商的建议下,企业花费了大约 200 万美元购买大量技术和物理设备,以确保这些资产受到良好构建的深度防御安全基础设施的保护。
工作完成了吗?还差一点…!
尽管这种方法存在着穿越世纪的问题,但仍然是最常用的模型。例如,看看特洛伊的围攻。公元前 12 世纪,数十年来,阿伽门农人围攻了保护特洛伊城的防御工事,试图进入城市。然而,特洛伊城是通过分层防御构建的,配置如下:
外层保护
外层 1:宽阔、深的壕沟
外层 2:1300 英尺宽的“禁区”,地面装有尖刺
外层 3:土墙(石加固),带有木制联接桩
外层 4:由木梁构建的塔楼
内层保护
内层 1:500 英尺宽的“禁区”
内层 2:两侧堆积的土堤
内层 3:木制内墙
内层 4:高木门
因此,在遭受持续损失后,阿尔基亚人被迫提出一种新的鼓舞人心的攻击方法,这将使他们能够隐秘地穿过强大的防御。这就是他们实施社会工程战术进行袭击的方法,利用与人相关的弱点。这就是特洛伊木马式攻击的诞生;通过这种方法,一份吸引人的礼物被送达,等待着一个信任的居民将其运送,其中包含一个隐藏的有效负载,通过各种防御层。这种方法不仅具有更大成功的潜力,而且还允许攻击者发动一次强有力的攻击(避免通过众多防御层而削弱),更靠近目标的核心。
上面的例子突出了社会工程攻击所涉及的漏洞,并清楚地展示了与利用人性的弱点相关的漏洞。
除了对特洛伊围攻的大量报道外,社会工程的概念也在各个时代大量出现。看看许多故事(无论是儿童还是成人),其中包括社会工程的使用。例如,大部分儿童童话故事都是基于社会工程的概念(《韩赛尔与格雷特》、《白雪公主》、《小红帽》、《匹诺曹》等),整个“终结者”系列电影的概念也是基于社会工程的概念创造的,当机器自我意识到威胁来自人类时,它们开始通过社会工程来消灭它们,伪装机器看起来像人类,作为脆弱性管理计划的一部分。
尽管如此,社会工程仍然是信息安全面临的最重大威胁。例如,考虑到所有前述的现成例子,为什么人们仍然易受攻击,并愿意通过打开那些虚假电子邮件,在他们的虚拟世界中将那匹神话般的木马推过各种防御层?
既然这是现实,那么如何减轻这种威胁呢?组织需要专注于那些人的弱点,确保他们的员工变得自我意识,并将人的因素纳入其脆弱性管理计划中。只有通过正式政策和程序衍生出的改善意识,并在安全意识计划的支持下,特别是在包含社会工程的情况下,才能提供实质性的保护。
回顾特洛伊的围攻,如果有关于接受意外礼物的严格政策,或者特洛伊市民接受了一个安全意识计划,强调与人类本性利用相关的漏洞,那么围攻是否会以同样的方式结束呢?事实上,最终结果可能会明显不同。例如,如果基础设施 1 和 2 是防御基础设施的一部分,那么特洛伊市居民会将大木马拉过各种防御层的机会有多大呢?
社会工程防御:一种积极的方法
在为确立强有力的基础的必要性铺平道路之后,本节将解释什么是好的政策以及如何有效地制定和实施。
和任何政策一样,只有得到高层管理的全力支持,政策才能发挥作用。对企业来说,一个常见的失败是当引入一个政策或程序,但企业领导并没有完全理解或支持该政策试图实现的目标。让我们看一些例子:
• 例 1。某组织最近成为了入室盗窃的受害者,因此引入了一些物理安全控制措施。随后,发现一个外部门或窗户未锁上,使得这些补充安全措施失效。作为回应,公司实施了一个正式的停工程序,要求最后一个离开大楼的人进行一次物理巡视,以确保没有敏感文件被遗漏,所有的门窗都被锁好。在引入几周后,每个人都遵守新程序,改进的安全措施的好处显而易见。然后,就像处理人们问题时总是会发生的那样,自满开始蔓延,人员开始放松。这导致窗户再次被留开,使额外的安全措施失效。管理层做出了半心半意的谴责,这提供了很少的威慑,并对减少再次发生的机会几乎没有影响。一周后,当人们得知一名高级管理人员对此只是敷衍了事,并留下了不安全的场所时,这一新程序的相关性和重要性进一步受到损害。
• 示例 2。公司做出有意识的决定,确保在不需要时将所有敏感数据安全存放。结果,他们推出了一个明确的桌面政策,要求所有员工确保任何敏感数据被锁在安全的办公家具内。这一切听起来都是为了帮助企业保护其敏感信息而采取的良好做法。然而,该政策仅由作者和审批者看到,保存在私人文件夹中,没有向公司所有员工提供,而这些员工作为其职责的一部分负责处理敏感信息资产。随后,在非工作时间,一名清洁工无意中拿起了其中一些物品以及各种垃圾,并将其送到了当地的垃圾填埋场。这样的意外可能导致保密性泄露或在需要时此关键信息不可用时对业务造成重大影响。
这两个例子展示了政策和程序在帮助确保通过解决与人员相关的弱点来保护资产方面的重要性。如果保险库的安全性在保护它的人员将门敞开时变得毫无价值。
思及到这一点,制定和实施有价值的政策和程序,以帮助应对社会工程师的利用,是任何成功的信息安全计划的基石。社会工程师的攻击利用了四个阶段(准备、操纵、执行和利用),以利用与人类行为相伴随的固有的弱点:
• 信任
• 乐于助人
• “快速成功”
• 好奇心
• 无知
• 粗心大意
因此,希望采取积极主动方法的公司,以确保减少对其组织的风险,将从撰写良好的政策和程序开始。这些文件必须针对最容易受到社会工程攻击的受众(基于人的或基于计算机/IT 的),并且使用不带行话的简洁语言编写。实质上,这些政策应该是 readily available 并清晰地阐明公司的目标以及员工必须和不能做什么。
根据商业的非常动态的性质和这些关键信息所在的技术环境,有必要定期审查任何支持文件,以确保它们保持相关性并根据需要更新版本。
行业信息安全和网络安全标准
为了帮助组织改进其信息安全和网络安全防御,有大量行业标准可供公司使用,以便将自己与之进行对标。
尽管社会工程学被报道为头号网络安全威胁,但在各种行业安全标准(IEC 27001:2013;COBIT 4.1;PCI:DSS 版本 2.0;ITIL 等)中只是间接提到。然而,也许这是对社会工程学威胁日益增加的迹象,导致支付卡行业安全标准委员会现在在 3.0 版本中直接提到了这一威胁,而以前只在附加文档“导航 PCI:DSS 版本 2.0”中涵盖:
8.2.2 在修改任何身份验证凭据之前验证用户身份——例如,执行密码重置、提供新令牌或生成新密钥 - 指导: 许多恶意个体使用“社会工程学”—例如,打电话给帮助台并假装成合法用户—来更改密码,以便他们可以利用用户 ID。考虑使用“秘密问题”,只有正确用户才能回答,以帮助管理员在重新设置或修改身份验证凭据之前识别用户。
然而,与之完全相反,ISO/IEC 27001/2:2013(信息技术—安全技术—信息安全管理系统—要求) 没有直接提及,也不需要强制执行政策要求。直到最新的 ISO/IEC 27001/2:2013 的推出。在起草本文件时,2011 年 10 月,Dejan Kosutic 确认了旧标准中省略了社会工程学。
预期变化
在撰写本章时,无法预测 ISO/IEC 27002:2013 中的所有变化,因为最终草案尚未撰写。然而,可以通过听 ISO/IEC/IEC 27001 专家的建议来判断可能的变化—以下是 ISO/IEC 27k 论坛关于 ISO/IEC 27001/ISO/IEC 27002 的主要专家论坛的建议摘要:
• 问责制:在与人力资源管理相关的定义。
• 身份验证,身份管理,身份盗窃:由于对基于网络的服务至关重要,它们需要更好的描述。
• 云计算:这种模式在现实生活中变得越来越主导,但在标准中尚未涵盖。
• 数据库安全:技术方面在现有修订中尚未系统地阐明。
• 道德和信任:在现有修订中根本没有涵盖的重要概念。
• 欺诈,网络钓鱼,黑客和社会工程学:这些特定类型的威胁变得越来越重要,但在现有修订中没有系统地涵盖。
• 信息治理:这个概念对信息安全的组织方面非常重要,但在当前修订中没有涵盖。
• IT 审计:需要更多关注计算机审计。
• 隐私:需要比现有的数据保护和法律合规范围更广,特别是因为云计算的存在。
• 弹性:这个概念在现有修订版中完全缺失。
• 安全测试,应用程序测试,漏洞评估,渗透测试等:这些在当前修订版中基本上是缺失的。
发表于 2012 年 7 月的(ISO/IEC 27032:2012 信息技术—安全技术—网络安全指南)确认了社会工程作为一种威胁的重要性。
如定义的,*“网络空间”似乎意味着一个复杂、高度可变或流动的虚拟在线环境,因此很难确定相关的信息安全风险。虽然与“网络空间”相关的许多信息安全风险(如网络和系统黑客攻击,间谍软件和恶意软件,跨站脚本,SQL 注入,社会工程等,以及与“Web 2.0”,云计算和虚拟化技术相关的信息安全问题,这些技术通常支撑虚拟在线环境和应用程序)可以被归类为正常或传统的系统、网络和应用程序安全风险,并且在实践中,标准主要关注与互联网相关的信息安全风险,而不是“网络空间”本身。然而,由于这些风险已经被其他 ISO/IEC 或 ISO/IEC 信息安全标准充分覆盖,无论是已发布还是正在开发中,目前尚不清楚哪些信息安全风险真正独特于“网络空间”。标准中提到了属于大型多人在线角色扮演游戏(MMORPGs)玩家的虚拟资产的风险,但并未直接解决,例如。在“网络空间”领域的频繁创新使得在这一领域制定国际标准尤为困难,这本身可能被归类为一种信息安全风险,尽管这种风险并未被标准覆盖。
标准的第 7 节区分了对个人和组织资产的威胁,这些威胁似乎归结为隐私/身份和公司信息的泄露,分别:当然有许多信息安全标准涵盖了这两个方面。(出于某种不明原因,第 7 节还提到了对在线政府服务和基础设施的威胁,包括恐怖主义,尽管我不清楚这些与“网络空间”有什么关系,因为我不知道任何政府提供虚拟环境或 MMORPGs,除非“管理国家经济”被归类为一种游戏!)
不幸的是,由于这被视为一种人为威胁,这个标准依赖于其他 ISO/IEC 标准来确保这些威胁已经得到解决。因此,组织可能忽视了保护自己免受社会工程攻击的必要性,但希望通过引入更新的 ISO/IEC 27001/2 标准来解决这个疏忽。
上述行业标准针对所有三个信息安全领域(技术、人员和流程),可应用于保护组织关键/敏感信息资产,这些都是信息安全管理系统(ISMS)文件集的关键领域。例如,一个良好的 ISMS 文件集的构建包括一个总体的信息安全政策,该政策涉及支持组织关键或敏感数据资产保护的任何其他政策和程序(可接受的使用、电子邮件、清晰桌面、恶意软件等)。因此,由于社会工程是这三个领域的合并,允许攻击者秘密访问数据,任何未包含政策和流程的 ISMS 都是基本有缺陷的。
制定这些政策和程序的发展必须解决社会工程攻击向量;从两个角度攻击(如本书中已经提到的),包括:
1. 基于人类
• 冒充
• 假装成一个重要的雇主
• 成为供应商
• 利用桌面支持
• “肩部冲浪”
• “跳跃式窃听”
2. 基于计算机的
• 钓鱼
• 诱饵
• 网络诈骗
制定适用的社会工程政策和程序
现在已经设定了组织需要解决与社会工程攻击相关威胁的场景,使用一种结合了政策、程序和意识培训的方法;现在至关重要的是概述正确的政策和程序制定方法。
那么一个组织从何处开始制定适用的社会工程政策和相关程序?有两个选择:
1. 购买一些现成的政策和程序怎么样?嗯,这总比没有好,但是针对一个业务类型编写的社会工程政策和程序是否适用于所有业务类型?当然不是!但是,如果一个组织不确定他们可以使用这些文件作为基础,从而构建一个适合并满足该机构需求的良好的社会工程文件集。
2. 第二种选择是用一支铅笔和一张空白的纸开始,以确定社会工程攻击的类型和业务领域,可能易受此类攻击的影响。下一阶段是与在易受攻击的区域工作的人员坐下来,深入了解他们目前使用的流程。这将成为制定任何政策和程序的基础。
人们在如何正确构建文件上感到困惑,但实际上,有效的政策或程序是能够起作用的。例如,一个人们可以轻松遵循并且特定于特定组织的政策或程序;而不是一个写得很好但像《战争与和平》一样厚重,没有人会读或遵守的政策或程序。如前所述,这些政策和程序的目的是正式传达安全和安全的操作方法。
现在已经收集了所有支持信息,可以实施到组织的社会工程文件集中。尽管不需要正式结构,以确保组织拥有有效的文件集。事实上是企业希望看到正式结构化的文件。因此,下面提供了一个关于总体社会工程政策的结构和内容示例,但不明确包括:
• 页眉:
• 公司名称和标志
• 标题
• 页脚:
• 标题
• 版本号
• 日期
• 作者/批准者
• 内容:
• 标题
– 概述
文档试图实现什么?
– 目的
提供员工对社会工程攻击发生的意识
创建特定的对策程序
– 范围
适用于业务领域、员工、承包商等的政策/程序列表。
– 社会工程攻击类型
适用于特定业务的社会工程攻击类型列表。
– 应采取的行动
详细指导以协助员工在可能受到此类攻击时应遵循的适当行动。
– 执行
奖励员工成功应用适当行动应对社会工程攻击的详细信息。
对未遵守政策或程序的员工的负面强化细节。
– 参考文件
支持额外安全防范社会工程的政策和程序列表。
– 修订历史
包含表格:
版本号
批准日期
授权者
评论
这提供了对总体社会工程政策构建的洞察;然而,正如已经提到的,根据组织面临的特定威胁,还需要额外的支持性政策和程序。因此,鉴于社会工程对帮助台存在的威胁已经被确认,这里提供了一个帮助台密码重置程序的示例:
重置用户密码的程序
请求的可接受来源
用户只能请求重置自己的密码。如果呼叫者要求重置其他人的密码,则 IT 帮助台必须要求呼叫者让用户帐户所有者直接与他们联系。
请求必须通过亲自或通过电话接收。不接受来自其他人的电子邮件地址的电子邮件请求,也不接受传真、短信等请求。
确认呼叫者的身份
如果亲自前来的用户对 IT 帮助台不熟悉,则应要求提供身份证明,例如驾驶执照,并且必须在帮助台事件记录中记录已查看此信息。
如果电话是通过电话接收的,则应采取以下步骤确认呼叫者的身份(如果电话是通过外部电话号码接收的,无论是固定电话还是移动电话,都应格外小心):
• 如果认识呼叫者,声音听起来像他们的吗?
• 如果是内部电话,请检查用户呼叫的分机号是否与内部电话目录中其姓名旁边列出的号码相符。
• 询问他们经理的姓名——在内部网上查找正确答案。
• 如果对呼叫者的身份存在疑问,请要求他们让他们的经理发送电子邮件授权重置密码。
重置密码
一旦用户身份验证通过:
-
将密码更改为随机字母和数字序列。
-
立即告知用户密码,只要密码成功更改即可写下来。
-
让用户登录并在电话上更改密码。
-
确认他们现在可以访问网络或系统。
密码指导
应向用户提供以下有关将来密码创建的指导。
选择密码
密码是我们 IT 系统的第一道防线,与用户名一起帮助确定人们是否为自己声称的人。
选择不当或滥用密码是一种安全风险,可能影响我们计算机和系统的保密性、完整性或可用性。
一个弱密码是很容易被不应知道的人发现或检测到的密码。弱密码的例子包括从字典中选取的单词、孩子和宠物的名字、车辆注册号码以及计算机键盘上的简单字母模式。
一个强密码是设计成不太可能被不应知道的人发现,并且即使借助计算机的帮助也很难推断出来的密码。
每个人都必须使用强密码,具有以下最低标准:
• 至少八个字符
• 包含字母和数字的混合体,至少一个数字
• 比单个词更复杂(这种密码更容易被黑客破解)
保护密码
密码始终保持保护至关重要。必须始终遵守以下准则:
• 永远不要向任何人透露你的密码。
• 永远不要使用“记住密码”功能。
• 永远不要写下你的密码或将它们存储在易受盗窃的地方。
• 永远不要将密码存储在没有加密的计算机系统中。
• 不要在密码中使用用户名的任何部分。
• 不要使用相同的密码访问不同的 Sandwell Homes 系统。
• 工作内外的系统不要使用相同的密码。
更改密码
所有用户级密码必须在最多每 90 天更改一次,或者系统提示用户更改密码时更改密码。默认密码也必须立即更改。如果怀疑或明显密码已被泄露,必须立即更改,并向 IT 服务台报告任何疑虑。
用户不能在 20 次密码更改中重复使用相同的密码。
在这个特定的例子中,密码重置指向了后续电子邮件的使用,但读者可能已经注意到这已被确定为可利用的验证方法,那么这如何适用呢?这归结为平衡安全和业务利益。因此,正式流程的弱点只有通过适当的测试才能真正识别,如果识别出这样的漏洞,则可能需要采取额外的措施。比如应用定期更改的身份验证口令,该口令仅可从内部位置获取,例如公司内部网络的管理受限区域或本地区域网络上的受限文件夹。
以上所有内容展示了与人员相关的复杂性和潜在风险。但是,它还展示了如何正确应用、解释和采用这样一个服务台流程可以帮助减少成为成功的社会工程攻击对象的机会,并利用这种方法识别潜在的社会工程攻击。
总结
本章已开始探讨如何加强政策和程序以提供足够的自我意识和培训水平,以减少社会工程学攻击风险。
本章以特洛伊木马作为社会工程学事件的一个现实示例开始,然后思考了在特洛伊时代如何通过政策和程序来减轻这种风险的问题。然后讨论了另外两个更为现代的例子,然后开始研究各种行业安全标准,如 PCI:DSS 和 ISO/IEC 27001:2013,以及它们如何涵盖社会工程学政策的需求。本章最后提供了一个关于这种社会工程学政策的示例模板,该模板可以在首先评估风险并了解社会工程学攻击对企业的真实威胁之后为企业编写。
接下来的章节将继续讨论社会工程防御策略的主题,重点是意识和培训计划。
第十五章:员工意识和培训计划
加文·沃森,随机风暴有限公司高级安全工程师
员工意识培训可以是减轻社会工程攻击风险的最有效方法之一。然而,这种类型的员工培训通常设计不佳,很少执行。读者将了解企业常犯的错误以及如何避免这些错误。
关键词
意识培训;规划和设计;部门风险;部门要求;合规驱动程序;基础意识;基础培训;部门培训;个人培训
本章内容
• 当前意识培训
• 我们是否应该进行意识培训?
• 没有培训的意识
• 选择错误的管理模式
• 利用薄弱的培训计划
• 有效培训模型
• 管理的角色
• 规划和设计
• 各个部门
• 部门风险
• 部门要求
• 合规驱动程序
• 程序
• 发展
• 确保影响
• 基础意识
• 基础培训
• 部门培训
• 个人培训
• 实施
• 外部协助
• 维护
介绍
在第十四章中,详细介绍了建立强大社会工程政策的主题。本章将重点关注员工意识和培训计划。有效的安全意识计划经常被忽视,而且即使存在,也经常不符合要求。可能有读者还记得过去讨论过弱密码或重复使用密码、写下密码、将工作站解锁、打开电子邮件附件、在电话中提供个人或敏感业务信息、报告可疑行为、不允许别人在身后跟随以及在场所内质疑可疑个体的演示。不幸的是,尽管这样的安全培训经常发生,但几乎总是无法有效防止社会工程攻击。更糟糕的是,在一些罕见情况下,这种安全培训执行得如此糟糕,以至于对组织的整体安全产生负面影响。
本章将讨论意识和培训计划是否足够有益,值得进行重大投资,检查导致计划无法实现目标的各种缺陷。将涵盖各种问题,如缺乏实际的“培训”,不适合的管理模式以及容易被攻击者利用的计划。接下来将讨论如何改进设计计划的一般模型,更加关注社会工程学,而不是通用的安全良好实践。然后将讨论规划、设计、开发和实施等要素,确保在每个阶段考虑社会工程问题。将详细讨论不同类型的意识和培训计划,如基础意识、基础培训、部门培训和个人培训,包括研讨会和角色扮演练习的示例。之后,一个重要的话题是如何确保任何培训产生足够的影响,并且外部协助如何提高计划的有效性。
最后,本章将重点讨论如何确保培训计划不会淡出人们的视野。设计了有效的计划后,定期维护、测试、改进和重复是至关重要的。这种循环式的员工意识培训方法非常重要,因为社会工程师很可能会耐心等待某个员工变得冷漠并放松警惕。
当前意识培训
毫无疑问,安全意识培训对任何企业都有潜在的益处。通过演示、媒体、通讯、海报等方式提高人们对信息安全问题的意识的理念在理论上是合理的。这种意识和培训将为改善组织整体安全文化奠定基础。然而,意识和培训计划以变得乏味和未能实现其一般目标而臭名昭著,尤其是减少遭受成功的社会工程攻击的机会。事实上,大多数意识计划很少详细讨论社会工程,而是集中于基本的公司计算机使用政策和通用最佳实践等基础知识。这并不是说意识培训不应包括这些一般主题,事实上大部分都是必不可少的。问题在于大多数计划没有扩展这些概念,将其置于背景中或提供任何实际的“培训”来处理安全问题。
一个假设是,意识和培训导师可能认为“普通用户”无法吸收比绝对基础更复杂的任何东西。系统管理员经常对普通用户明显无法选择强密码而咒骂,并且几乎因发现密码写在便利贴上而气得要爆血管。用户在涉及安全性和企业面临的各种信息安全威胁时被告知政策和程序,问题在于这些信息很少被吸收。问题不在于用户,而在于培训计划。当涉及社会工程意识计划时,这甚至更为重要。一些计划会让用户意识到社会工程问题,但很少告诉他们这类攻击可能如何发生。保持培训尽可能非技术性可能会有一些好处,但这实际上不应该适用于社会工程。如前几章所述,社会工程是利用人类本性,这是一个任何人都应该能够理解的概念。
我们甚至应该进行意识培训吗?
越来越多的人认为意识培训是如此无效,以至于根本不应该进行。著名安全专家和行业大师布鲁斯·施奈尔曾评论说“……对用户进行安全培训通常是浪费时间,这些钱可以更好地用在其他地方。”。他认为安全培训的无效性源于“你知道现在应该做什么和理论上未来的好处之间的抽象差距。”。例如,鼓励使用强密码以帮助预防“可能”在未来某个时候发生的攻击。预防可能攻击的想法对于要记住多个复杂密码的烦恼来说几乎毫无安慰。因此,用户遵循这些常见的最佳实践的可能性要小得多。当涉及社会工程攻击时,这一点更加明显。用户被告知永远不要泄露诸如密码之类的敏感信息,但却没有得到太多关于为什么或如何有人可能试图欺骗他们透露这些信息的信息。不仅在良好实践建议和成功攻击的理论负面结果之间存在巨大差距,甚至对于攻击本身的具体理解也没有。因此,即使用户对安全最佳实践充满热情,他们仍然容易受到攻击。例如,用户可能知道永远不要在电话中泄露敏感的公司信息。然而,如果他们接到有关工作场所社交媒体政策的电话调查,他们可能会自由地透露公司信息。一个敏锐的社会工程师可能会问他们“您是否允许使用工作电脑浏览社交媒体网站?”。在回答这个看似无害的问题时,用户无意中透露了他们是否有出站互联网访问权限。在他们看来,他们并没有泄露任何敏感信息,而事实上出站互联网访问是社会工程师的关键信息之一。这个例子在第十章中有更详细的介绍。如果用户意识到了使用的秘密引诱技术和信息推断的概念,他们很可能会意识到并避免泄露。可以说,一项严格的政策阻止用户参与调查将阻止这种攻击,但正如前几章所示,有无数种实现相同目标的方法。例如,社会工程师可能会冒充一位同事询问“……他们是否失去了对互联网的访问?”。同样,这将揭示用户是否首先具有出站互联网访问权限。如果用户不了解攻击是如何执行的,那么他们不太可能发现变化。
在考虑近乎完美的社会工程攻击可能性时,我们真的能指望一般用户能够检测到它们吗?攻击者可能会计划一系列小攻击,持续数月甚至数年。第四章展示了长期攻击策略如何可以在很少被察觉的情况下获取敏感信息。数月间一系列完全无害的通话不太可能被注意到,但很可能正在为一个非常精心策划且严重的攻击铺平道路。简单的答案是一般用户不能期望他们会仔细审查每一次面对面的口头交流,盘问每一个打来电话的人,或者彻底检查每一封电子邮件是否存在潜在的诡计。一切都归结于风险及其减轻。企业永远无法完全消除风险,但他们需要意识到他们可以减少风险。高度组织化和资金充足的犯罪团伙在数月内策划和执行攻击的可能性相对较低,针对大多数中小型企业。然而,各种规模的企业接收到一般钓鱼邮件或可疑电话的机会相对较高。因此,通过意识和培训计划,企业并不指望能够免疫社会工程攻击;它只是降低了常见攻击成功的可能性。如果企业决定不实施意识和培训计划,因为他们无法阻止决心坚定的攻击者,那么他们将大大增加业余攻击者成功侵犯他们安全的可能性。
没有经过培训的意识
反应性安全意识和培训通常从最终开始,也就是说,它呈现了最坏的情况和不良安全实践的后果,然后推荐具体的良好实践解决方案。另一方面,对安全的积极态度必须从社会工程学的“什么”,“谁”,“为什么”和“如何”开始。例如,强调挑战未被识别的人进入场所的重要性是常见做法。也许一个佩戴访客徽章的人坐在热座位上,把笔记本电脑插入了网络。任何“安全意识强”的员工都会被期望挑战那个人。假设他们决定这样做,并收到回答“哦,嗨,我和 IT 的斯图尔特一起工作,因为电话又出问题了。他说可以在人力资源部拿一个热座位,这样会安静一些,可以吗?”。员工可能会觉得他们已经完成了任务,那个人确实受到了挑战,并且他们以一个已知的联系人和合理的故事回应了。对大多数人来说,挑战并不是一件自然的事情,只要情况看起来合适,挑战者宁愿接受它,而不是应对一个冒名顶替者的紧张局面。他们遵循了意识和培训,并以一种安全意识的方式行事。然而,意识培训并没有解决这起安全事件的“什么”,“谁”,“为什么”和“如何”。这可能是一名社会工程师试图通过冒充承包商来获取对网络的访问权限。上述冒名行骗包括伪造的访客徽章,通过提及 IT 工作人员的名字获得可信度,并提出对电话系统的维修借口。因此,更有效的反应将是“完成挑战”。个人,无论是访客还是承包商,都应该能够提供一个现场联系人。然后应该打电话确认访客的身份,因为他们目前是未陪同的。如果他们由于各种原因无法提供联系方式,则相关部门应立即被通知。
只有当安全事件从头到尾被理解时,才能理解如何解决它的概念。引入研讨会和基于角色的培训以支持意识演示,可以取得重大进展,而不仅仅依靠演示。假设意识演示告知员工社会工程师经常假装在电话上吵架,以此来阻止挑战者。员工现在将更好地应对这种特殊情况。然而,社会工程师却拄着拐杖来到,并示意要保持门开着。这种新情况没有被涵盖,员工变得更加脆弱。只有通过研讨会等团体主导的培训会议,才能探讨许多不同的情景。“意识”和“培训”之间存在根本性的区别。前者只是呈现一个安全问题,以便使人们意识到,通常仅涉及教学视频、海报和传单。后者是一个更实际的教授技能的方法。事实上,大多数安全意识和培训计划实际上并不涉及任何“培训”。
选择错误的管理模式
在设计和实施意识和培训计划时,所选择的模式可能会对其整体有效性产生重大影响。正如 NIST 的“构建信息技术安全意识和培训计划”中所述,“大多数意识和培训计划都遵循集中式程序管理模式,因此没有利用个别部门可能具有的洞察力。”集中式模型基本上由管理层监督整个计划的设计、开发和实施,然后将结果传递给各个部门。各部门随后将负责监控计划的有效性,并将任何结果传达回管理层。这种集中式模型最可能用于节省时间和一般管理的方便。然而,通过不整合每个部门的见解,存在着创建一个不会产生任何真正影响的非常通用的意识计划的风险增加。一个更可取的选择是使用“分散式”模型。这将设计、开发和实施的责任移交给每个部门,使管理层负责制定政策和预算。分散式模型通常在大型组织中采用,在这些组织中,让每个部门管理大部分任务更具实际意义。然而,该模型在社会工程方面的优势在于确保讨论部门特定的攻击,并制定适当的培训。
利用薄弱的培训计划
从攻击者的角度来看,一个标准的安全意识培训计划是一把双刃剑。一方面,它为员工提供了一般安全概念的基础知识。如果意识计划甚至部分成功,那么用户不太可能在办公室里大声喊出他们的个人电子邮件密码,或者打印出并交给大众公司的客户数据库。另一方面,由于培训是如此普遍,并且通常遵循相同的一般陈词滥调的安全主题,社会工程师可以利用它来获得信誉,并调整他们的攻击方案以与培训配合而不是反对它。例如,员工可能习惯于不向任何人透露他们的密码,即使是 IT 部门的成员也是如此。社会工程师可能会打电话给目标,冒充 IT 部门的工作人员,并声称他们收到了电子邮件帐户被锁定的报告。他们担心可能发生了漏洞,并希望确保该问题不是公司范围的。他们想要查看该员工当前是否被锁定,并可以远程检查。他们会告诉目标,他们显然不会要求通过电话透露密码。相反,他们可能会要求目标检查是否收到了解释安全问题的电子邮件,并且如果收到了,可以点击链接以确保他们仍然可以登录而没有任何问题。链接当然是恶意的,可以直接利用目标的网络浏览器中的漏洞,或者可能将其引导到公司电子邮件门户的克隆,从而收集用户的凭据。请参阅第九章以获取此类攻击的完整解析。
如果用户不了解攻击是如何进行的,并且没有接受相关培训来应对,那么利用这种无知和缺乏培训的情况相对容易。一个培训计划不仅可能无法实现其一般安全目标,而且可能效果非常不佳,以至于可能助长攻击者而不是防御攻击者。如果出现这种情况,那么这个意识和培训计划将是非常昂贵的公司时间的浪费。
一个有效培训的模型
图 15.1 展示了一个可能的标准模型,用于开发意识和培训计划,基于 NIST 的 2003 年“构建信息技术安全意识和培训计划”。它采用了一个分散的模型,将责任放在每个部门上来创建大部分的计划。以下各节将讨论模型的每个部分如何与社会工程相关联。
图 15.1 社会工程意识和培训计划模型。贡献自国家标准技术研究所
管理的角色
为了使任何意识和培训计划都能够起到作用,必须得到高层管理的完全支持。这就是为什么管理部门位于模型的最顶端的原因。管理团队将被期望在与每个部门讨论后,获得并提供一个合适的预算。分散式模型将责任放在每个部门身上,让他们评估自己的个别风险和需求,并将这些信息传达回管理层。管理层还负责制定和执行公司政策,这些政策构成了程序中涉及的主题的重要基础(参见第十四章以获取创建强化政策和程序的全面细节)。然而,从社会工程学的角度来看,管理层的支持具有更大的重要性。管理角色是社会工程师攻击的高价值目标,既可以用于冒充,也可以用于获取高权限。例如,可能已经有程序来在提供信息或执行任务之前验证呼叫者。如果管理决定“利用职权”并向员工施加压力放弃程序,因为他们记不住员工号码,那么社会工程师也可以完全做同样的事情。同样,如果额外的安全控制,如双因素身份验证已经应用于电子邮件账户,并且完全得到了管理的支持,因为他们的账户可能是第一个被攻击的目标。管理人员往往可能认为他们对于基本的程序(如屏幕保护程序锁定或复杂的密码)太重要,或者他们认为这些程序会带来太多的不便。管理者必须意识到他们的角色使他们成为社会工程师的独特目标。因此,管理层有更大的责任确保他们完全参与该计划,而不仅仅是制定政策和分配预算。
策划与设计
最初的规划和设计阶段对于确保培训计划与业务要求一致、在范围内并最终支持其使命至关重要。这尤为重要,以确保它不会成为无法吸引员工注意力的通用培训。该计划应直接将企业的关键资产与其整体面临的最重大风险相对应。某个特定业务可能必须应对 Web 服务器拒绝服务(DoS)攻击的严重风险,这将导致他们损失数百万美元。另一家企业可能认为他们的客户数据库是他们的主要资产,社会工程师入侵将导致其客户信心无法恢复的不可恢复损失。这些事件通常与传统的恶意黑客利用漏洞代码和分布式拒绝服务(DDoS)攻击有关。但是,社会工程也可以用来获取对网络的远程访问权限,禁用 Web 服务器并访问客户数据库。无论企业面临的是资产、威胁、漏洞还是风险,都应清楚地反映在所设计的培训计划中。这不应与每个部门面临的风险混淆。这些应该是公司整体的风险。
计划和设计阶段确定了培训计划的“基础意识”和“基础培训”部分的内容。这个最初的规划和设计阶段将制定出反映特定业务所面临的主要风险的最佳实践建议和正确使用指南。一旦这个最初的基础内容被规划和设计出来,各个部门就可以根据自己的特定风险和要求来进一步完善这些内容。
各个部门
现在管理层已经同意并制定了政策,各个部门可以率先创建定制的意识和培训计划内容。如前所述,分散化模型将主要任务置于各个部门的控制之下。尽管每个部门始终需要培训,但评估当前的安全状况并确定应优先关注的领域仍然是一个好主意。也许用户已经非常了解社会工程的威胁,但这并不意味着他们有能力应对。
社会工程师会以非常不同的方式针对不同部门的不同员工。接待员可能会通过电话被针对,安排会议或获取门禁通行证。财务管理员可能会被以面对面的方式针对,并被欺骗以提供对企业数据库的访问权限。先前的章节已经清楚地展示了不同的目标需要不同的情景。在潜在复杂性和创造力方面,社会工程攻击的广度是巨大的。因此,来自不同部门的员工将需要非常不同的培训。例如,接待员可以说是企业中被攻击最多的个人。他们接受培训要乐于助人,而这是理所当然的。他们通常掌握着社会工程师需要进入建筑物限制区域的钥匙或信息。针对接待员角色的培训类型将专注于特定于他们角色的引诱技术(即通过电话和物理安全元素,如假徽章和尾随)。培训主要涵盖了获取建筑物访问权限所使用的各种技术。这种类型的培训与针对首席执行官角色的培训非常不同。他们的培训更有可能集中在鱼叉式网络钓鱼攻击和凭证收集技术上,毕竟,获取首席执行官的电子邮件账户可能会带来灾难性的结果。因此,首席执行官的培训可能更多地侧重于技术方面(即远程攻击、电子邮件攻击向量)。第三方参与时风险呈指数增长,因为这使得冒充他们从未见过的员工更容易。第三方的培训将重点关注攻击者可能如何尝试规避当前重置密码的程序。然而,这并不意味着企业不应对接待员进行鱼叉式网络钓鱼攻击的培训,也不意味着首席执行官和帮助台技术人员不应对尾随行为的危险进行培训。只是培训计划越专注和有针对性,其达成目标的可能性就越大。
部门风险
进行风险评估是提高安全性过程的关键部分。有许多方法可以实现这一点,例如定量和定性方法,客观和主观地表达风险。风险评估方法学超出了本书的范围,然而,了解它们在创建有效的意识和培训资料中的重要作用是很重要的。对个别部门的风险将因部门而异。财务部门可能认为其数据库完整性的丧失是最大的风险。而人力资源部门可能认为员工记录保密性的丧失是最大的风险。这些一般性风险很重要,它们必然会被纳入基础意识和培训中。然而,这些是一般部门风险,而从社会工程角度来看,可能还存在其他关注点。例如,在社会工程攻击方面,IT 部门面临被冒充以获取其权限的风险。销售部门可能面临远程电话攻击的风险,这些攻击旨在利用他们的销售意愿。销售员可能会收到一封带有诱人线索的电子邮件,只需一次点击即可查看。这些类型的社会工程风险对每个部门可能不会立即明显,特别是如果他们之前没有社会工程经验。确定谁将负责风险评估流程也很重要。管理层会承担这个过程的责任,还是会雇用第三方?应该确定并使用一般和社会工程风险作为程序部门特定培训部分的基础。
部门需求
每个部门都将拥有一套不同的个体“需求”,这些需求具有安全性影响。财务部门可能需要打印和存储大量敏感的财务文件。这些文件可能存储在办公室内外的文件柜中。在规划和设计阶段,他们可能没有考虑到社会工程师简单地走进来并使用撬锁工具打开文件柜窃取文件的可能性。他们的风险评估可能仅仅侧重于数字数据库的妥协。
社会工程攻击的目的不仅仅局限于信息获取,它也可能旨在实现拒绝服务(DoS)的情况。因此,部门需求的另一个方面是他们认为对其运作至关重要的内容。每个部门都应考虑其有哪些基本需求,并探索社会工程师如何利用它们。
合规驱动因素
法律责任对于大多数经理来说是一个持续的痛点,特别是那些处于信息安全领域的经理。然而,它们显然会提高安全性,即使只是将当前状态提升到接近令人满意的水平。如果没有合规性的驱动力,大多数公司将继续在幸福的安全无知和自满中前进,打开一切攻击的大门。在规划和设计意识和培训计划时,明显需要考虑到合规性驱动因素。在大多数情况下,由管理层制定的政策将考虑到合规性驱动因素、地方政策和国家政策,但仍然有必要在部门层面对其进行检查。公司可能确实需要进行社会工程评估和员工意识和培训。
程序
如前面的章节清楚地显示的那样,社会工程师会在能够时利用弱程序。测试当前程序和设计硬化程序的方法在 第十四章 中有详细说明。该过程的结果应纳入意识和培训计划中。应清楚地显示,看似坚固的程序如何容易受到攻击,业务自身的程序如何经过测试和硬化,以及每个部门内可能受到攻击的具体程序。通过以上每个阶段向员工介绍,他们将更好地掌握检测攻击变化和发现可能被忽视的程序新弱点的能力。员工也更不可能因为方便而误解程序的安全影响或采取捷径。
开发
此时,各个部门将已经规划并设计了他们的项目部分;现在是开发交付方法的时候了。材料应该被分解为基础意识、基础培训、部门意识和培训,以及个人意识和培训。现在需要充分明确意识和培训之间的区别。意识材料将使员工意识到具体的问题,而培训将使他们理解和应对。以下是如何分解特定安全问题的示例。这个列表并非详尽无遗,只是为了说明将会呈现的不同材料。
• 第三方帮助台
员工可以联系帮助台重置他们的微软 Outlook Web Access 电子邮件密码。
• 基础意识
用户应了解以下主题:
• 服务是什么,它是如何工作的以及程序文件。
• 公司电子邮件的敏感性质和创建强密码的指南。
• 使用弱密码、重复使用密码和书写密码的危险性。
• 使用公共访问终端和不安全的无线网络访问他们的电子邮件账户的危险。
• 基础培训
用户参与研讨会和动手演示,涵盖以下主题:
• 社会工程师可能会尝试访问他们的电子邮件账户
• 社会工程师可能会尝试欺骗用户透露其密码,包括电话技巧和恶意网站
• 部门意识和培训
帮助台人员参与研讨会和动手演示,涵盖以下主题:
• 探索当前密码重置程序的发展历程,重点关注它们如何加固防范社会工程攻击。
• 合法呼叫者可能会尝试规避当前的密码重置程序。
• 社会工程师可能会尝试规避当前的密码重置程序。
• 执行内部社会工程演习的结果,以评估员工是否正确验证呼叫者并检测社会工程攻击企图。
• 个人意识和培训
• 高度特权的部门工作人员,如管理人员或监管人员,参与讨论和研讨会,重点关注他们的具体特权以及如何利用它们(例如,如果密码重置程序在任何阶段都涉及他们的输入)。
确保影响力
此阶段开发的意识和培训材料不仅与业务相关,而且与员工相关。部门和个人级别的培训将极大地提高用户对培训内容的理解。通过了解攻击如何在他们特定的部门或特定的流程中被规划和执行,员工更有可能意识到其重要性。
通过将安全问题与员工的个人生活联系起来,可以进一步提高影响力。例如,钓鱼电子邮件不仅被企业接收,而且被每个人接收。
当特定的部门培训被开发出来并且社会工程攻击被分解成阶段时,强调每个安全问题的最坏情况非常重要。如果不呈现不遵循建议的最终后果,即使他们彻底理解了攻击的始终过程,培训者也很难充分意识到问题的严重性。例如,用户经常被告知不要重复使用密码,因为这是一个非常常见的糟糕的安全实践。很少有人解释这一建议背后的原因。安全问题的解释可以如下所示。
如果密码在多个网站上重复使用,那么它们都只能像最薄弱的网站一样安全。攻击者可能会访问一个安全性较差且不包含敏感信息的网站,然后使用“重复使用”的密码访问包含敏感信息的网站。如果密码在个人和业务账户之间重复使用,这将成为公司的严重问题。
每个提出的安全问题都应该伴随着一个对企业造成最坏后果的场景,以便为员工提供背景信息。
鉴于不同的人对不同的培训方法有不同的反应(例如,有些人可能更喜欢通过阅读书籍和文章来吸收信息,而其他人则通过听演示和观看视频来学习),因此确保采用多种培训交付方法以确保有效的意识吸收是很重要的。
要小心不要在太长时间内向观众提供过多信息。定期进行短暂的 1 小时培训会议通常比全天研讨会更有效。
基础意识
基础意识计划材料应适用于所有员工,但不应过于通用。重要的是要根据企业的价值观、目标和使命来定制材料。这一部分通常涵盖的主题可能包括以下内容:
• 病毒、蠕虫和恶意软件的威胁
• 正确的互联网使用
• 正确的电子邮件使用
• 密码管理
• 工作站安全、屏幕保护程序和锁定屏幕
• 笔记本电脑安全、盗窃和加密
• 移动设备安全
• 数据处理和分类
• 网络安全
• 隐私问题
通常社会工程只是上述列表中的一个单一主题。员工将了解什么是社会工程以及一些最陈词滥调的故事来解释犯罪分子可能如何使用它。仅以这种方式涵盖基础知识不太可能提供足够的意识水平来进行培训。因此,扩展这些一般主题以至少包括基本的常见社会工程技术是很重要的。以下是可能考虑包含的主题示例:
• 社会工程方法
• 尾随和质疑
• 窥视和隐私
• 鱼叉式网络钓鱼技术和垃圾邮件
• 电话信息引诱技术
• 利用公共信息
• 现实世界的社会工程示例
在这个阶段,意识和培训计划的基础正在被奠定。员工将获得所有他们可能需要的一般安全信息和最佳实践建议。下一步是在那些培训对他们最有益处的关键领域提供实际培训。
基础培训
在进行社会工程训练时,动手研讨会对于培养人员可能需要探索、测试并了解各种安全问题的防御技能非常宝贵。当他们了解攻击是如何执行的时候,他们将能够检测到在不同情境下试图进行此类攻击的迹象。例如,发现常规钓鱼邮件相对较容易,通常是因为它们糟糕的英文使用和坚持常见主题,如银行账户被锁定或一次性赚钱计划。然而,发现针对性的钓鱼邮件并不那么容易,特别是如果它们是高度针对性和精心制作的。对于员工来说,培训他们了解这些攻击的工作原理比提供他们发现常见示例的一般提示更有效。
以下是可能用于考虑的典型研讨会活动示例:
公司正在考虑以下四种密码重置程序。以下程序存在哪些弱点,社会工程师如何利用它们?思维导图的想法,团队一起探索可能性。
1. 为了重置密码,您需要致电帮助台并提供您的用户名。
2. 帮助台要求您的部门经理发送一封电子邮件,才会重置您的密码。
3. 帮助台已同意重置您的密码,但只会将新密码的详细信息发送到另一个当前的工作电子邮件地址。
4. 您自己的密码重置程序与这些程序相比如何?
已经给出了一个任务,设计一封钓鱼邮件,以说服用户点击恶意链接。此恶意链接将利用其过时的 Web 浏览器软件中的漏洞。团队讨论:
• 你会把钓鱼邮件发送给谁?
• 您的消息会说些什么?
• 你会如何使你的邮件令人信服?
如今,下载电子邮件附件可能会有危险已是常识。恶意附件以各种不同的形式出现,从 Microsoft Office 文档到 PDF 文件都有。团队讨论:
• 社会工程师如何说服用户下载并运行附件,尽管众所周知不要这样做。
• 如果钓鱼邮件和附件巧妙伪装成同事发送的,您如何发现它们?
• 哪种附件对于针对业务的用户来说是个不错的选择?
接待员已成功被欺骗,提供了有效的通行证,允许进入目标建筑物。但是,在能够进入服务器房间之前,顾问被一名员工拦住。他们质疑身份和来此的目的。团队讨论:
• 根据您对业务的了解,您能说些什么来说服这位挑战者您是合法的员工?
• 如果您是挑战者,您会认为哪些行为可疑?
• 对于那些感到不舒服挑战不认识的人的人,你会给出什么建议呢?
• 有小组中的任何人挑战过别人吗?如果有,结果是什么?
将小组分成两个团队后,一组应该想出尽可能多的不同方式进入建筑物而不需要有效通行证,而另一组则想出尽可能多的不同方式阻止一个人进入建筑物而没有有效通行证。
• 组二的任何缓解策略与企业当前的策略相匹配吗?
• 一组是否设计了任何无法采取有效缓解策略的情景?
• 将小组分成两对,一人扮演挑战者,另一人扮演社会工程师。
• 挑战者在走廊上停下来询问这个人,因为他们没有证件。
• 挑战者停下来询问这个人,因为他们在干扰办公室的门锁。
• 挑战者停下来询问这个人,因为他们刚刚从文件柜中取走了一些敏感文件。
这些活动鼓励参与者探索各种安全情况,使他们更深入地了解社会工程师的思维方式。通常情况下,员工已经知道自己程序中的弱点,他们可能只是从未探讨过如何利用这些弱点。这种类型的培训通常可以揭示出企业员工开始剖析所工作企业的所有安全方面时的新安全问题。这些培训课程的结果通常会导致政策和程序的改进。
这些研讨会显然只是提高意识的一种方式,但应该是最有效的。同样的材料可以通过计算机培训、网络培训甚至书面测试来传达。然而,头脑图思想、交换故事和讨论各种可能性的小组情境非常有效。
部门培训
部门级培训遵循与基础培训相同的主题,但焦点更窄。这个级别的培训将专注于特定部门的当前流程和风险。因此,每个部门都将参与部门级培训,但每个部门的内容可能大不相同。
以下是一个专门针对接待工作的研讨会活动示例。正如前几章所讨论的,接待员是高价值目标。他们面临许多风险,这些风险很少包括在任何一般的工作培训中。
已经给目标企业的主要接待部门打电话,以确定 IT 部门经理的姓名。作为一个小组讨论:
• 如果仅仅问是不行的,你怎样才能从接待员那里获取这些信息?
• 如果你是接待员,并且意识到来电者试图引诱信息,你会如何处理这种情况?
• 如果你成功获取了 IT 部门经理的姓名,你可以通过冒充他们实现什么目的?
在电话中验证来电者并不是一件容易的事,尤其是如果社会工程师准备充分的话。作为一个小组...
• 尽可能构思出验证电话中来电者身份的各种不同方式。
• 这些方法中有多少个有可能被纳入你们当前的程序中?
• 可以实施的方法中,如何可以被准备充分的社会工程师规避?
安全通行证通常存放在前台并分发给访客和承包商。社会工程师通常会试图安排有效通行证以获取进入建筑物的权限。作为一个小组讨论:
• 是否有任何当前的程序可以确保一个冒名顶替者无法获得有效通行证?
• 作为一个小组讨论这些程序如何被规避。社会工程师需要哪些信息?
• 你会如何改进当前的程序?
将团队分成两人一组,一个扮演前台接待员,另一个扮演社会工程师。
• 社会工程师试图找出首席执行官办公室的位置。
• 社会工程师试图找出员工午餐时间去哪里。
• 社会工程师正在冒充第三方技术支持公司,试图安排进入大楼的通行证。
上述例子涵盖了前台接待员可能面临的一些特定社会工程风险。在与会者尝试提供尽可能多不同场景的情况下,每个安全问题都会得到探讨。一旦前台人员参与了这种类型的培训,他们就会变得对攻击更加有抵抗力,因为他们将把它们视为培训中已经讨论过的另一种变化。
个别培训
培训专业化应进一步提供个别级培训。企业内可能存在具有非常特殊权限的个别人员;也许他们是少数几个知道特定门禁码的人之一,也许他们是唯一有权访问闭路电视系统的人。无论是哪种特权,他们可能会因此而成为目标。这种类型的培训可以通过定制的基于计算机的学习、基于网络的评估,或者通过专业安全顾问提供的个别一对一培训来进行。该计划的重要部分是首先识别这些个别。明显的例子包括首席执行官和高层管理人员。然而,如果一个清洁工有一把可以打开建筑物内任何一扇门的钥匙,那么他们很可能是主要目标。另一个例子可能涉及到对离场位置的物理介质备份。因此,负责将介质从一个位置移动到另一个位置的个人(或第三方)可能会成为高价值目标。
实施
现在每个部门都已经制定了意识和培训材料,是时候实施培训了。分散模式将实施责任分配给每个部门。然而,他们将被要求向管理层定期提供进展和绩效更新。
在推出之前,员工应该被告知意识和培训计划以及为什么开发该计划。例如,该计划是因为企业对信息安全的持续奉献还是因为最近的违规事件而制定的?理由应该是完全透明的,并在可能的情况下支持该计划。
外部协助
当企业在社会工程方面忽视了其易受攻击性以及对意识和培训计划的认识时,他们很可能会设计出低于标准的材料。同样,这些企业可能缺乏足够的知识来自信地向员工介绍这个主题。当这对于一家企业来说确实如此时,可能需要外部帮助。
可以提供的第一个和最明显的帮助是进行社会工程评估。这将提供企业对社会工程攻击易受攻击性的当前快照,并帮助企业评估他们是否需要投资于特定的意识和培训计划。如果当前已经存在培训计划,那么评估可能会突出该计划的弱点。前几章已经详细讨论了执行评估的各种好处,然而,当涉及到意识和培训计划时,评估的好处取决于结果如何被使用。评估结果可以作为基础,创造出真正有影响力的材料。各个部门可以根据实际发生的事件(即顾问能够实现的内容)来规划和设计他们的意识和培训计划,而不仅仅是可能发生的事情。基于实际事件的材料将有效地引起员工的共鸣,最终实现更大的影响和持久性。
有可能一家企业非常清楚自己的弱点,并认为评估不会揭示他们不知道的任何事情。当真正成功的社会工程攻击已经被检测到而未被阻止时,通常会出现这种情况。此时最常见的反应是聘请顾问提供标准培训课程,以尝试减轻未来的风险。然而,这些培训课程通常相当通用,不一定适用于特定企业可能面临的各种风险。相反,企业可以聘请安全顾问提供以下服务:
• 为了深入了解社会工程学,以协助设计公司特定的意识和培训材料。
• 作为传递公司特定培训的工具,而不是提供模板化的培训课程。
第一项服务允许公司在保持对意识和培训材料设计的控制的同时,利用顾问的知识。第二项服务通过让专业社交工程师传达材料,增加了额外的影响力。这并不是说模板化服务没有好处,只是企业理想情况下应该为员工提供相关的业务特定材料。当然,请求这两项服务可以真正加速项目的进展和表现。
对于非常注重安全的企业,他们对意识和培训计划的主要关注可能与维护相关,已经完全建立了一个计划。他们可能已经聘请了专业社交工程师来识别他们的程序中的漏洞和员工培训中的差距。在这一点上,企业可能决定探索与长期攻击策略相关的风险。也许企业资产的重要性非常重要,以至于需要减轻不太可能的风险。可以聘请专业社交工程师来探索跨越几个月的社交工程技术。顾问可以被聘请来针对特定个人或设计涉及多种混合攻击向量的精心构思的情景。这类评估的结果将形成非常具体的培训基础,也许与单个个人相关联。这种服务类型必然会附带巨大的价格标签,但会发现短期评估永远无法发现的弱点。
维护
商业信息安全可以被视为一个不断变化的生命体。政策和程序会更新,新员工入职,现有成员改变角色或离职,技术不断进步,攻击每天都在演变。要保持竞争力和有效性,别无选择,只能接受这个不断变化的环境,并在可能的情况下尽量拥抱它。然而,意识和培训材料是根据某一时刻的快照计划、设计和开发的,而不是根据一个不断变化的系统。如果材料被设计成适用于企业,而不管其当前状态如何,那么它将不可避免地变得普遍化并失去影响力。因此,任何意识和培训计划必须定期测试,以确保它仍然有效,并在必要时进行更新。
企业应记录所有意识演示和培训会议的情况,以确定该计划是否真正得到正确实施。如果员工不在场或不参加培训会议,那么安全的弱点将会产生。然而,跟踪其进展与跟踪其有效性是完全不同的。通常,一个计划的有效性是通过调查、访谈、问卷调查和正式报告的结果来确定的。这些可能会提供一些关于意识和培训材料是否提高了整体安全性的见解。然而,要真正知道该计划的有效性如何,唯一的方法就是实际测试。
要小心,不要通过多项选择测试或类似的纸质活动来评估社会工程意识和培训计划的有效性。这种测试可能适用于一般的基础意识材料,但不太可能确定个人对社会工程攻击的洞察力水平。这只能通过内部评估、基于评估的研讨会活动,甚至是一对一的讨论来实现。
如第十六章中所讨论的,内部社会工程评估是实际测试该计划有效性的最佳方式。这种内部评估可以高度控制,并且非常具体于安全的各个方面,比如一个单一的程序,甚至可能是一个特定的员工,尽管在这种情况下显然会涉及道德考虑。社会工程意识计划的每个方面都应定期进行测试,无论是内部测试还是通过专业的第三方公司。通过这些测试的结果,当前的材料可以得到改进,新的材料可以被创建。意识和培训计划应该与企业一起不断增长和发展。
总结
一般的意识和培训计划存在其缺陷,特别是在社会工程方面。缺乏实际的动手培训使员工无法有效地检测攻击,更不用说防止它们了。虽然安全专家们就意识培训是否应该进行进行争论不休,但社会工程培训却被推到了更加边缘的位置。令人担忧的问题在于,意识和培训计划是公司防范社会工程类攻击的一个至关重要的部分。技术、严格的政策和程序能够实现的有限。如果企业要有效地防范社会工程,他们需要妥善培训那些被攻击的个人。然而,重要的是要确保该计划经过适当设计、测试和定期改进,以免存在可以被攻击者利用的弱点。
提出了一个创建意识和培训计划的一般模型,并将每个部分与社会工程的各个方面进行了讨论。 在规划和设计的初期阶段,管理层的“买入”以及保持计划与企业使命的一致性的重要性是关键的第一步。 然后,各个部门可以主导创建定制的培训材料,确保正确的资产被识别出来,并解决最重要的风险。
部门和个人级别培训的使用为员工提供了他们需要的知识和技能,以帮助防止攻击。 像研讨会和角色扮演活动这样的培训鼓励用户探索各种安全问题,深入了解攻击及如何最好地防御它们。
一旦意识和培训计划被设计出来,就应该系统地实施,并监测其进展和表现。 应定期进行测试以确保计划达到其目标。 任何失败都应该迅速识别出来,并用来进一步改进计划,必要时利用专业社会工程师的外部协助。
下一章将讨论企业自行进行内部社会工程测试的好处和挑战。
第十六章:内部社会工程评估
安德鲁·梅森,RandomStorm 有限公司技术总监
本章讨论内部社会工程评估作为一种防御策略的角色。内部社会工程评估是针对您自己的员工进行的一种测试,旨在突出安全弱点并在企业内部提高安全意识。本章探讨了为什么要进行这样的测试,并推荐了一些进行此类评估的框架。
关键词
内部测试;Hacktober;漏洞扫描;密码审计
本章内容
• 内部测试的必要性
• Facebook Hacktober
• 设计内部测试
• 测试基础设施
• 漏洞扫描
• 密码审计
• 测试人员和他们遊戏的流程
简介
第十五章讨论了围绕安全意识和培训计划的益处和挑战。
本章讨论内部社会工程评估作为一种防御策略的角色。内部社会工程评估是针对组织人员进行的一种测试,旨在突出安全弱点并在企业内部提高安全意识。本章探讨了为什么应该进行这样的测试,并推荐了一些进行此类评估的框架。
内部测试的必要性
突出的美国管理顾问彼得·德鲁克曾经说过,不能管理没有被衡量的事物。当考虑衡量组织内部政策和程序在信息安全方面的有效性时,这句话非常有道理。
第十四章和第十五章涵盖了硬化政策和程序以及员工意识培训的防御策略。以安全为重点创建硬化政策和程序有助于创建安全实践的基石,提供安全业务流程的框架。这些流程,无论多么强大和设计良好,只有实施它们的人才能做到。员工意识培训试图通过培训使员工了解风险并相应调整其行为。员工必须认识到需要安全工作实践的重要性,才能使任何员工意识培训计划被视为成功。
对于规模庞大的组织来说,这项工作可能是相当大的,并且需要组织内高级管理层在财务和时间方面进行大量投资,以便正确实施。
假设一个组织已经进行了调查现有政策和程序的工作,以期创建更安全的政策和程序,并且进行了全员意识培训计划,那么问题是如何衡量这些政策的实施以便进行管理?如果没有对这种干预进行充分的衡量,企业的利益相关者将无法真正知道变革的实施是否成功。
创建和执行内部社会工程评估是衡量组织内部政策和程序的有效性以及员工如何实施和遵循这些程序的一种方式。
一个经常被问到的问题是为什么需要进行内部测试,尤其是如果已经通过与外部专业测试公司进行基础设施渗透测试和社会工程评估。可以争论的一点是,如果外部公司定期进行测试,那么就不需要通过内部员工进行定期内部评估。然而,通常发现外部公司通常被合同要求每年进行测试,特别是在需要每年进行测试的合规要求下。外部评估可能非常昂贵,因为它们需要劳动密集型的高技能顾问,并且通常会审视整个基础设施,无论是出于需求还是合规要求。
内部评估将由内部资源执行,通常比外部公司能提供的更有针对性,这是由于时间和预算限制。进行漫长的内部评估并不罕见,这将会很昂贵,并且不是外部顾问可计费时间的最有效利用。内部评估的创建和执行扮演三个角色:
主要角色是衡量组织的安全姿态以及通过传统基于网络的手段或社会工程用户来获取未经授权访问企业资源的难易程度。
第二个角色是衡量最近提供的员工安全意识培训或其他旨在提高安全性的干预措施的有效性。
第三个角色是提高内部设计和执行评估的 IT 员工的技术技能。
公司的安全姿态只有在定期测试之后才能确保。经常听到 IT 管理员声称他们有反病毒软件,并且定期打补丁,所以他们的网络是安全的,这是在专业服务开始前客户常说的一句话,然而在评估中却发现网络存在许多安全漏洞,这些公司遮掩的安全流程和程序没有解决。这会让客户震惊地意识到,攻击一个单一入口有多容易,并且一旦在内部就可以完全控制基础架构。内部测试提供了定期测试的方式和方法,并且可以非常有针对性。试着选择一个领域,例如用户密码,然后设计并执行用户密码的评估,这在本章后面有所涉及。这种持续的测量为企业提供了关于真实安全姿态的反馈,并且可以用来调动预算资源,与外部公司签订合同,提供进一步的安全意识培训或更深入的安全测试,以彻底调查业务中的问题。
如果已经提供了安全意识培训或其他旨在提高业务安全姿态的干预措施,那么进行内部测试是评估进展的重要工具。显然,第一次执行任何内部评估时,将设定基线,然后未来的评估可以提供一种衡量安全姿态改善或退化的方式。这些评估必须经过精心设计,以考虑到新员工在角色内的情况或可能影响评估结果的新政策和程序。同样,这是一种希望证明改善业务安全姿态的投资产生了积极效果的好方法。
内部 IT 员工穿多顶帽子是相当普遍的,在当前的金融经济形势下,裁员似乎影响了各个 IT 部门的人员配备,导致员工在 IT 部门内承担多个角色。希望我们能够一致认为基础设施的安全是一个关键角色,而且不能简单地外包给外部咨询公司。鉴于此,重要的是要投资于内部 IT 团队的安全技能。并不是假设内部团队会获得专业知识或经验成为完全成熟的渗透测试人员,能够对第三方网络进行评估,但希望对团队进行的培训投资水平足够,使他们能够理解概念,并设计和实施有效的内部评估,以突出内部安全姿态的必要改进。除了为员工提供有价值的技能,可以为企业提供支持,这种最新的培训还有助于员工参与度,因为他们会感觉更加现代化,员工参与度与公司生产力之间存在许多积极联系。
当员工知道自己正在接受测试时,对员工的心理影响也是存在的。人们在知道可能被发现并在同事面前被作为榜样时,往往会展现出不同的行为。可以假设,意识到内部测试正在进行的员工更不太可能从事不安全的活动,通常会以更安全的方式工作。一个简单的行为,比如要求用户在离开工作区时锁定他们的工作站,可以通过抓住那些忘记锁定工作站的人来强制执行,从而产生一种安全恐慌感,员工会离开工作场所然后返回,因为他们意识到自己没有锁定工作站。
一个例子是许多零售环境中采用的个人包检查。在零售环境中,如果实施了随机抽查政策,每天都会检查某人的个人包,员工就不太可能盗窃商品。
一个进行内部测试的知名公司的例子是 Facebook 的 Hacktober 活动。
Facebook Hacktober
如前所述,一个非常著名的公司进行此类内部安全测试的公司是 Facebook。自 2011 年以来,Facebook 每年十月都会举办他们所谓的 Hacktober 活动。这是一个为期一个月的活动,其中包含一系列模拟安全威胁,攻击 Facebook 员工的计算机,以查看谁会上当,谁会报告问题。这个事件是一个特别的事件,补充了不断进行的内部安全测试计划,以提高 Facebook 员工的意识。
图 16.1 Facebook Hacktober。
针对 Facebook 员工尝试了各种攻击,旨在以社会工程为基础欺骗员工以使他们屈服于攻击。这些攻击非常狡猾,通常与员工的工作角色一致,以免引起太多怀疑。如果员工识别并报告了一次钓鱼诈骗或安全威胁,他们将获得奖品和同行的赞誉。如果他们屈服于攻击,他们将获得进一步的安全意识培训,并被教育发生了什么,他们错在哪里,以及如何识别和报告未来可能出现的问题。
Facebook 采取的方法有助于企业内部的文化。Facebook 安全团队的一名主管报告说:“网络研讨会在这里并不是很合适,所以我们想做一些符合我们黑客文化的独特的事情,教员工有关网络安全的知识,所以我们以十月、恐惧和恶作剧的主题创造了一些既有趣又有教育意义的东西。”
Facebook 发现这种方法对员工非常吸引人,并且同事之间的内置竞争真的让员工意识到发生了什么。这就像在客户知道顾问即将到来时进行社会工程评估,他们只是不知道他们是谁,他们什么时候来,或者他们要做什么。这让整个企业都处于高度警惕状态,这使得员工更加质疑活动。
除了提高员工的意识和提高防范社会工程攻击的机会外,这种类型的练习还为衡量任何改进政策或程序的成功提供了一个很好的基准,以及衡量最近实施的安全意识培训的有效性。由于这是每年都进行的,它提供了根据这个记录的基准来衡量希望的改进的能力。
本月底,与万圣节相符,Facebook 为员工举办了一次以 Hacktober 为主题的欢乐时光和南瓜雕刻活动。
设计内部测试
现在,我们已经讨论了内部测试的需求以及进行内部测试的原因和好处。议程上的下一件事是如何计划和设计内部测试?每家企业都不同,每家企业都将根据其执行的业务流程有自己的需求,因此每个设计都将不同,但以下是一些建议可以在内部测试中进行考虑的领域。
内部测试有两个方面。第一个是测试基础设施,第二个是测试人员和他们遵循的流程。基础设施测试更符合传统的渗透测试,而测试人员和流程更符合社会工程测试。提供了两者的摘要以及一些建议的行动方案。
测试基础设施
本书涵盖了社会工程学,但没有涵盖基础设施测试领域。当人们谈论渗透测试时,大多数人想到的就是这种类型的测试,它涵盖了对客户基础设施的测试。这种基础设施由具有可达 IP 地址的项目组成(或者在适当情况下使用其他网络层协议),通常由网络设备组成,例如路由器、交换机和防火墙,以及用户工作站和服务器。基础设施不限于这些设备,本书的作者曾对从网络连接的冰箱到基于网络的百叶窗门控制器等任何东西进行基础设施测试。
可对基础设施运行的两个测试可以为内部评估提供有效结果,这两个测试是漏洞扫描和密码审计。
漏洞扫描
漏洞扫描是大多数渗透测试的初始步骤之一,其中包括多个主机的范围,因为这是检查多个主机并提供初始漏洞列表的快速方法,这些漏洞可以由顾问进一步测试。为了执行漏洞扫描,需要一个漏洞扫描工具。幸运的是,针对大多数平台都有许多商业和开源扫描器可用,并且谷歌搜索将返回许多结果。在SecTools.org网站上有一个可用扫描器的列表,网址为sectools.org/tag/vuln-scanners/。
可以使用的一个免费开源扫描器是 OpenVAS,可以从www.openvas.org获取。
漏洞扫描器提供了一个 IP 地址或可解析的主机名列表,并通过首先确定主机的可用性,然后通过各种端口扫描技术进行服务发现来执行扫描过程。一旦主机和服务确认,扫描器就会继续对主机进行分析,寻找软件漏洞和配置漏洞。大多数漏洞扫描器允许进行所谓的凭证扫描。这是一种漏洞扫描,其中扫描器可以获得管理员权限,以便它可以将驱动器映射到目标主机,并且还可以查询诸如主机注册表之类的项目,以提供更详细的评估水平。
软件漏洞是已知的安装在商业或开源软件中的 bug。一个软件漏洞的例子可能是微软在他们的安全公告 MS08-067 中宣布的 Conficker 漏洞的存在。这是一个众所周知的 Windows Server 漏洞(令人惊讶的是作者们仍然在商业网络中发现),微软在一个安全补丁中修复了它。漏洞扫描器知道如何从其插件数据库中识别这个漏洞,并将在扫描管理界面中报告它以及相应的风险细节。每年各个供应商都会发现成千上万个这样的漏洞,其中大多数都被 NIST 记录在他们的国家漏洞数据库中—nvd.nist.gov。所有这些都被分配了所谓的 CVE 参考。上面的软件漏洞示例被分配了 CVE 编号 CVE-2008-4250,并且可以在web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4250找到。这个编号指的是它被发现的年份和从 0001 开始的时间顺序。因此,2014 年被分配 CVE 的第一个漏洞将是 CVE-2014-0001。
配置漏洞与软件配置方式有关,或者更恰当地说是配置错误。各种软件应用都需要配置。希望今天的软件供应商发布具有默认安全配置的软件,但是历史上许多供应商发布的软件并非如此,而是不安全的,依赖用户来保护它。这可以称为开放或封闭配置。最好从封闭配置开始,然后打开需要的部分。然而,最简单的解决方案是从开放配置开始,关闭不需要的部分,但是很多时候这些部分从未关闭,这就导致了配置漏洞,这将始终被严肃的渗透测试人员或更糟的是潜在的攻击者利用。配置漏洞的一个例子可能是网络设备,如路由器或交换机,使用了不安全的 Telnet 连接方法,而不是安全的 SSH 方法。如果不需要密码即可访问设备,则可能会进一步加重这种情况。这两者都是通过正确配置设备可以纠正的配置漏洞。
漏洞扫描可用于内部测试,以检查软件和配置漏洞。这对于确认服务器的补丁级别非常有用,在 Windows 环境中非常有用,以确保已应用所有关键的安全补丁。这种类型的扫描还可用于查找组织内部设备可能存在的任何配置错误。跟踪漏洞扫描结果,并确保任何主机都没有高级别漏洞,是提高安全性姿态并极大减少潜在攻击者访问任何企业资源能力的好方法。
密码审核
在现代数字生活中,无论在工作还是家庭中,都需要对多种服务进行身份验证。一个非常好的内部测试是对组织内核心服务的用户密码强度进行测试。本书的作者定期执行基础设施评估,其中网络和服务器没有可利用的漏洞,但是一个弱用户或管理员密码允许他们访问网络,然后他们可以提升其权限,最终接管基础设施。密码似乎仍然是大多数组织安全姿态的软肋,存在长期以来的问题,即要么密码太复杂以至于难以记忆,要么密码易于记忆但过于简单。
假设作为政策强化的一部分,已实施了安全密码政策,并已实施相关控制,以确保所有基础架构中的核心服务强制执行足够长度和复杂度的强密码,以及在需要更高级身份验证时进行双因素身份验证。这也必须对网络上所有主机的服务和管理帐户强制执行。作者曾见过组织为其用户执行非常复杂的密码策略,但在未链接到密码策略的服务帐户和网络设备上发现了非常弱的密码。这就像一些 IT 团队对用户有一个规则,对自己有另一个规则一样,当发现测试中利用的弱密码属于服务帐户或 IT 团队成员时,这是相当令人尴尬的。
有许多工具可用于检查用户密码是否与各种服务匹配。 Windows 登录密码是开始检查用户列表的好地方。密码审核工具使用所谓的单词列表。这些单词列表是用户密码的文本文件。有许多公开可用的单词列表,其中一些包含大量生成的密码。也可以使用诸如www.randomstorm.com/rsmangler-security-tool.php的工具创建自己的密码。RSMangler 接受一个与客户通用的小单词列表,然后将其转变为每个单词可能产生数千个变种,从而提供一个特定于组织的庞大单词列表。
一个推荐的密码工具是来自www.thc.org/thc-hydra/的 Hydra。 Hydra 作为命令行工具和 GUI 工具都可用,用于针对以下服务执行密码审核:
• Asterisk、AFP、Cisco AAA、Cisco auth、Cisco enable、CVS、Firebird、FTP、HTTP-FORM-GET、HTTP-FORM-POST、HTTP-GET、HTTP-HEAD、HTTP-PROXY、HTTPS-FORM-GET、HTTPS-FORM-POST、HTTPS-GET、HTTPS-HEAD、HTTP-Proxy、ICQ、IMAP、IRC、LDAP、MS-SQL、MYSQL、NCP、NNTP、Oracle Listener、Oracle SID、Oracle、PC-Anywhere、PCNFS、POP3、POSTGRES、RDP、Rexec、Rlogin、Rsh、SAP/R3、SIP、SMB、SMTP、SMTP Enum、SNMP v1+v2+v3、SOCKS5、SSH(v1 and v2)、SSHKEY、Subversion、Teamspeak(TS2)、Telnet、VMware-Auth、VNC 和 XMPP。
可以使用密码审核在内部测试中检查用户密码的强度,并确保服务帐户和网络设备也应用了强密码。执行内部密码审计可以概述任何可能在外部公司测试或以前由潜在攻击者突出显示之前被纠正的问题。
测试人员及其遵循的流程
测试人员和流程是本书的主要关注点。这是社会工程学参与,其中人员和流程被放在考验中,以尝试获取特权资源。执行内部社会工程风格的参与比测试基础设施更进一步,也需要更多的规划,因为这些是针对每个组织定制的场景。
这提供了利用本书各章节中解释的一些项目的机会,以设计、筹备和执行内部组织的社会工程评估。
第八章涵盖了侦察和建立评估基础。本章展示了如何查找和操纵可用的数据。这包括收集电子邮件地址、文档元数据、公司网站和社交媒体。接下来的两章将介绍威胁建模的行为,以创建有效的场景。提供了三种攻击向量作为示例,这构成了社会工程师工作的支柱。这些是:
1. 电子邮件攻击向量
2. 电话攻击向量
3. 物理攻击向量。
第九章涵盖了电子邮件攻击向量,并涵盖了钓鱼和矛头钓鱼的非常有效方法。这提供了一个关于创建成功的钓鱼攻击所涉及的过程和工具的实例,以作为内部社会工程评估的一部分,旨在改进防御措施以抵御此类攻击。
第十章涵盖了电话攻击向量。电话是一种用于社会工程的很好的远程工具,可以用于收集有关目标公司的信息,或者欺骗用户执行导致内部安全完全被破坏的操作。由于电话的远程性质,以及许多服务允许匿名性,很明显这是远程工程师的一个不错选择,因为这是获取有关组织信息的一种相当安全的方法。
第十一章涵盖了物理攻击向量,这是可以在现场使用特定技能渗透组织的地方。如果顾问在整个组织中被认识,这可能会很困难,尽管如果有未知身份的远程办事处。这仍然可以是一个有效的攻击向量,本章解释了如何发展评估的物理方面。
利用这些章节中的信息将有助于开发一个内部评估,可用于确定内部组织的安全姿态。
摘要
本章已经解释了对组织进行内部评估的必要性。本章以解释在展示 Facebook 的例子之前对这种评估的需求开始,以及他们如何利用他们的 Hacktober 倡议来推动员工的安全意识。接下来看一下评估如何制定,并涵盖对组织内部基础设施的测试,以及对人员和流程的测试。漏洞扫描和密码审计被确定并概述为两种可以在查看人员和流程之前使用的方法,并涵盖了本书大部分内容涵盖的三种攻击向量:电子邮件攻击向量,电话攻击向量和物理攻击向量。
回到开头的一句话,管理不被衡量的事物是不可能的,而进行内部测试,正如前面提到的那样,是建立初始基准的一个很好的方法,然后再利用进一步的测试来展示希望员工的安全意识会有所改善。
下一章是本书的结束章节,将提供一个社会工程师的作弊表。本章将把整本书汇集成一个简单易用的作弊表和流程图,帮助安全工程师规划和执行社会工程评估。流程图将引用本书的章节,读者可以在其中获取进一步了解所需工具和技术的信息,目的是提供一个基于整本书中提出的方法论的易于使用的系统。
第十七章:社会工程评估备忘单
安德鲁·梅森,技术总监,RandomStorm 有限公司
本章将整本书汇总成一个简单易用的备忘单和流程图,帮助安全工程师规划和执行社会工程评估。流程图将引用书中的章节,读者可以进一步了解所需的工具和技术,目的是提供一个基于整本书中提出的方法论的易于使用的系统。
关键词
社会工程; 框架; 备忘单; 流程; 方法论
本章内容
• 社会工程框架
• 社会工程备忘单
介绍
第十六章讨论了社会工程评估如何在公司内部作为一种提高安全意识和建立更强策略的方法,希望能够防止真正的社会工程威胁暴露。
本章的目的是将书中所有要素汇总成一个简单易用的备忘单和流程图,帮助安全工程师规划和执行社会工程评估。流程图将引用书中的章节,读者可以进一步了解所需的工具和技术,目的是提供一个基于整本书中提出的方法论的易于使用的系统。
社会工程框架
第五章提出了一个社会工程框架,该框架在某种程度上基于渗透测试执行标准或 PTES—www.pentest-standard.org/index.php/Main_Page。该框架的理念是为规划和执行社会工程评估提供结构,以便组织在进行此类咨询时遵循可重复的标准。
提议框架的基于流程图的概述可在图 17.1 中看到,并在下面解释如下。
• 前期互动
本初步部分涵盖了参与之前发生的一切,并涵盖了诸如范围界定、目标、建立沟通渠道、参与规则和作为参与一部分所需的法律保护等主题。其中一些概念在第十三章中有涉及。
• 情报收集
本节是在参与过程中的第一节,涵盖了揭示可作为社会工程评估一部分的信息的初步工作。收集信息的示例可以包括从搜索引擎和社交网络收集公司电子邮件地址,从公开可用的公司文件中解析文档元数据,以及建立电话交换和接待处的电话号码等联系方式。本节在第八章中有详细介绍。
• 威胁建模
本节为社会工程评估创建了一个模型。该模型查看了初始信息收集的结果,并结合了客户的要求,使您可以基于所选的攻击向量创建一个有针对性的攻击方案。尽管威胁模型使用类似的攻击向量,但它们的设计和实施对于每个客户都是独特的。威胁建模在第六章和第七章中已有涉及。
• 执行
本节涵盖了社会工程评估的实际执行,这被视为参与的主要目标。在此阶段,将使用收集到的所有信息来应对已经建模的威胁,以执行基于威胁的评估。顾问的目标是获得对早期评估阶段识别出的系统的访问权限,或者打破程序。有关通过三种主要攻击向量执行此类评估的信息可以在第九章至第十一章中找到。有关如何通过技术支持这些攻击向量的更多信息可以在第十二章中找到。
• 执行后
本节涵盖了评估成功执行后才可能实现的次要目标。例如,主要目标可能是通过尾随来获取进入建筑物的物理访问权限,在执行期间已完成。执行后任务和次要目标可能是在不被发现或注意的情况下收集敏感信息并外泄。执行后的社会工程方面在第九章至第十二章中已有涉及。许多执行后任务是基于网络的,不在本书的范围内,因为它们被认为更符合基础设施渗透测试的范畴。
• 报告
评估完成后,将从评估结果和执行评估的结果中创建报告。这是交付给客户的,并且是一个非常重要的工作,必须符合驱动社会工程评估的业务目标。报告采用书面形式,包括收集的所有证据和使用的方法。通常,报告由执行实际评估的顾问整理和撰写。还建议让顾问提供口头报告或至少参加电话会议,回答客户可能对执行的评估有关的任何问题。有关收集信息和撰写实际报告的更多信息可以在第十三章中找到。
图 17.1 社会工程框架。
社会工程小抄
在图 17.2 中看到的框架流程图的基础上,可以添加更多组件到图表中,以创建一个更深入的备忘单,总结并链接到本书提供的关键概念。本书在流程图中提供了广泛的章节和页面参考,以便可以将流程图与书中与主题相关的部分进行交叉引用。
图 17.2 社会工程备忘单。
摘要
这一最终章节提供了社会工程框架的简要总结和相关流程图,该框架在第五章中提出。接下来,流程图被扩展以在每个部分下包含更多细节,试图将其更多地转化为本书涵盖的主要概念的图形表示。希望这份备忘单可以作为一个摘要指南,将模型中的步骤与书中的章节联系起来,以便日后快速参考。
