信息安全的脆弱性是普遍存在的,任何一个系统都具有潜在的安全风险。 近年来,利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势,成为信息安全保密工作中最脆弱的 一个环节。
社会的与风险的
社会工程学(Social Engineering)是一种利用人的弱点: 如人的本能反应、好奇心、信任、贪婪等进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
近年来,由于信息 安全厂商不断开发出更先进的安全产品,系统安全防范在技术上越来越严密,使得攻击者利用技术上的漏洞变得越来越困难。于是, 更多的人转向利用人为因素的手段----社会工程学来进行攻击。
许多信息技术从业者都普遍存在着类似的一种观念: 他们认为自己的系统部署了先进、周密的安全设备----防火墙、IDS、IPS、漏洞扫描、防病毒网关、内容过滤、安全审计、身份认证 和访问控制系统,甚至于最新的UTM和防水墙,以为靠这些安全设施即可保证系统的安全。
事实上,很多安全行为出 现在骗取内部人员(信息系统管理、使用、维护人员等)的信任,从而轻松绕过所有技术上的保护。信任是一切安全的基础,对于保 护与审核的信任,通常被认为是整个安全链条中最薄弱的一环。为规避安全风险,技术专家精心设计的安全解决方案,却很少重视和 解决最大的安全漏洞----人为因素。
无论是在现实世界还是在虚拟的网络空间,任何一个可以访问系统的人,都有可 能构成潜在的安全风险与威胁。很多最敏感的信息存在于人的头脑当中,各种安全设施要由人来掌控,这意味着如果没有把“人 ”这个因素放进整体安全管理策略中去,仅仅热衷于技术层面的所谓全面解决方案,仍将会存在一个很大的安全“裂缝 ”,或者说是整个安全“木桶”存在着最短的一块木板。
缺乏对社会工程学防范的信息系统,不管 其安全技术多么先进完善,很可能会成为一种自我安慰的摆设,其投入大笔资金购置的最先进的安全设备,很可能成为一种浪费。
Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏 力最大的行为是由于社会工程学而不是黑客或破解行为造成的”。一些信息安全专家预言,社会工程学将会是未来信息系统入侵 与反入侵的重要对抗领域。
新的攻击手段
社会工程学攻击基本上可以分为两个层次:物理的和心理 的。与以往的入侵行为相类似,社会工程学在实施之前要完成很多相关的前期工作的,这些工作甚至要比后续的入侵行为本身更为繁 重和更具技巧,或者说更为“艺术”。
这些工作包括:社会工程学的实施者(一般称为社会工程师)必须 掌握心理学、人际关系学、行为学等知识与技能,以便收集和掌握实施入侵行为所需要的相关资料与信息。通常为了达到预期目的, 社会工程学攻击都要将心理的和行为的攻击两者结合运用。其常见形式包括了:
第一,伪装。从早期的求职信病毒、 爱虫病毒、圣诞节贺卡到目前流行的网络钓鱼,都是利用电子邮件和伪造的Web站点来进行诈骗活动的。有调查显示,在所有接触诈骗 信息的用户中,有高达5%的人都会对这些骗局做出响应。攻击者越来越喜欢玩弄社会工程学的手段,把恶件、间谍软件、勒索软件 (ransom-ware)、流氓软件等网络陷阱伪装起来欺骗被害者。
第二,引诱。社会工程学是现在多数蠕虫病毒进行传 播时所使用的技术,它使计算机用户本能地去打开邮件,执行具有诱惑性同时具有危害的附件。例如,用一些关于某些型号的处理器 存在运算瑕疵的“瑕疵声明”或更能引起人的兴趣的“幸运中奖”、“最新反病毒软件”等说辞, 并给出一个页面连接,诱惑你进入该页面运行下载程序或在线注册个人相关信息,利用人们疏于防范的心理引诱你上钩。
第三,恐吓。利用人们对安全、漏洞、病毒、木马、黑客等内容会特别敏感,以权威机构的面目出现,散布诸如安全警告、系统 风险之类的信息,使用危言耸听的伎俩恐吓欺骗计算机用户,声称如果不及时按照他们的要求去做就会造成致命的危害或遭受严重损 失。
第四,说服。社会工程师说服目标的目的是增强他们主动完成所指派的任务的顺从意识,从而变为一个可以被信 任并由此获得敏感信息的人。大多数企业咨询帮助台人员一般接受的训练都是要求他(她)们热情待人并尽可能地为来人来电提供帮 助,所以这里就成了社会工程学实施者获取有价值信息的“金矿”。
第五,恭维。社会工程师通常十分友 善,很讲究说话的艺术,知道如何借助机会去迎合人,投其所好,使多数人会友善地作出回应,恭维和虚荣心的对接会让目标乐意继 续合作。
第六,渗透。通常社会工程学攻击者都擅长刺探信息,很多表面上看起来豪无用处的信息都会被他们利用来 进行系统渗透。通过观察目标对电子邮件的响应速度、重视程度以及可能提供的相关资料,比如一个人的姓名、生日、ID、电话号码 、管理员的IP地址、邮箱等都可能被利用起来,通过这些收集信息来判断目标的网络架构或系统密码的大致内容,从而用口令心理学 来分析口令,而不仅仅是使用暴力破解。
除了以上的攻击手段,一些比较另类的行为也开始在社会工程学中出现,其 中包括像翻垃圾(dumpster diving)、背后偷窥(shoulder surfing)、反向社会工程学等都是窃取信息的捷径办法。
催生新型防御手段
俗话说道高一尺,魔高一丈,面对社会工程学带来的安全挑战,企业必须适应新的防御方法, 主要包括了:
第一,增加网站被假冒的难度。据国际反网络诈骗组织2005年的报告显示,中国已经成为世界上第二大 拥有仿冒域名及网站的国家,占全球的12%。银行界人士分析,域名过长是假冒的根源。据悉,为预防不法分子用假域名进行网络钓鱼 ,截至今年上半年国内已有14家银行更改了网银域名,包括更多地使用.CN域名。如建设银行网银域名从ccb.com.cn升级为ccb.cn,中 国银行域名由bank-of-china.com变更为boc.cn。同时,企业需要定期对DNS进行扫描,以检查是否存在与公司已注册的相类似的域名 。此外,一般来说,在网页设计技术上不使用弹出式广告、不隐藏地址栏及框架的企业网站被假冒的可能性较小。
第 二,加强内部安全管理。尽可能把系统管理工作职责时进行分离,合理分配每个系统管理员所拥有的权力,避免权限过分集中。为防 止外部人员混入内部,员工应佩戴胸卡标示,设置门禁和视频监控系统;严格办公垃圾和设备维修报废处理程序;杜绝为贪图方便, 将密码粘贴或通过QQ等方式进行系统维护工作的日常联系。
第三,开展安全防范训练。安全意识比安全措施重要的多 。防范社会工程学攻击,指导和教育是关键。直接明确地给予容易受到攻击的员工一些案例教育和警示,让他们知道这些方法是如何 运用和得逞的,学会辨认社会工程攻击。在这方面,要注意培养和训练企业和员工的几种能力,包括:辨别判断能力、防欺诈能力、 信息隐藏能力、自我保护能力、应急处理能力等。
|