社會(huì)工程學(xué) 信息安全對(duì)抗新領(lǐng)域
信息安全的脆弱性是普遍存在的,任何一個(gè)系統(tǒng)都具有潛在的安全風(fēng)險(xiǎn)。 近年來(lái),利用社會(huì)工程學(xué)手段,突破信息安全防御措施的事件,已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì),成為信息安全保密工作中最脆弱的 一個(gè)環(huán)節(jié)。
社會(huì)的與風(fēng)險(xiǎn)的
社會(huì)工程學(xué)(Social Engineering)是一種利用人的弱點(diǎn): 如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
近年來(lái),由于信息 安全廠商不斷開(kāi)發(fā)出更先進(jìn)的安全產(chǎn)品,系統(tǒng)安全防范在技術(shù)上越來(lái)越嚴(yán)密,使得攻擊者利用技術(shù)上的漏洞變得越來(lái)越困難。于是, 更多的人轉(zhuǎn)向利用人為因素的手段----社會(huì)工程學(xué)來(lái)進(jìn)行攻擊。
許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念: 他們認(rèn)為自己的系統(tǒng)部署了先進(jìn)、周密的安全設(shè)備----防火墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過(guò)濾、安全審計(jì)、身份認(rèn)證 和訪問(wèn)控制系統(tǒng),甚至于最新的UTM和防水墻,以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。
事實(shí)上,很多安全行為出 現(xiàn)在騙取內(nèi)部人員(信息系統(tǒng)管理、使用、維護(hù)人員等)的信任,從而輕松繞過(guò)所有技術(shù)上的保護(hù)。信任是一切安全的基礎(chǔ),對(duì)于保 護(hù)與審核的信任,通常被認(rèn)為是整個(gè)安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險(xiǎn),技術(shù)專家精心設(shè)計(jì)的安全解決方案,卻很少重視和 解決最大的安全漏洞----人為因素。
無(wú)論是在現(xiàn)實(shí)世界還是在虛擬的網(wǎng)絡(luò)空間,任何一個(gè)可以訪問(wèn)系統(tǒng)的人,都有可 能構(gòu)成潛在的安全風(fēng)險(xiǎn)與威脅。很多最敏感的信息存在于人的頭腦當(dāng)中,各種安全設(shè)施要由人來(lái)掌控,這意味著如果沒(méi)有把“人 ”這個(gè)因素放進(jìn)整體安全管理策略中去,僅僅熱衷于技術(shù)層面的所謂全面解決方案,仍將會(huì)存在一個(gè)很大的安全“裂縫 ”,或者說(shuō)是整個(gè)安全“木桶”存在著最短的一塊木板。
缺乏對(duì)社會(huì)工程學(xué)防范的信息系統(tǒng),不管 其安全技術(shù)多么先進(jìn)完善,很可能會(huì)成為一種自我安慰的擺設(shè),其投入大筆資金購(gòu)置的最先進(jìn)的安全設(shè)備,很可能成為一種浪費(fèi)。
Gartner集團(tuán)信息安全與風(fēng)險(xiǎn)研究主任Rich Mogull認(rèn)為:“社會(huì)工程學(xué)是未來(lái)10年最大的安全風(fēng)險(xiǎn),許多破壞 力最大的行為是由于社會(huì)工程學(xué)而不是黑客或破解行為造成的”。一些信息安全專家預(yù)言,社會(huì)工程學(xué)將會(huì)是未來(lái)信息系統(tǒng)入侵 與反入侵的重要對(duì)抗領(lǐng)域。
新的攻擊手段
社會(huì)工程學(xué)攻擊基本上可以分為兩個(gè)層次:物理的和心理 的。與以往的入侵行為相類似,社會(huì)工程學(xué)在實(shí)施之前要完成很多相關(guān)的前期工作的,這些工作甚至要比后續(xù)的入侵行為本身更為繁 重和更具技巧,或者說(shuō)更為“藝術(shù)”。
這些工作包括:社會(huì)工程學(xué)的實(shí)施者(一般稱為社會(huì)工程師)必須 掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識(shí)與技能,以便收集和掌握實(shí)施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的, 社會(huì)工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運(yùn)用。其常見(jiàn)形式包括了:
第一,偽裝。從早期的求職信病毒、 愛(ài)蟲(chóng)病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚(yú),都是利用電子郵件和偽造的Web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)的。有調(diào)查顯示,在所有接觸詐騙 信息的用戶中,有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。攻擊者越來(lái)越喜歡玩弄社會(huì)工程學(xué)的手段,把惡件、間諜軟件、勒索軟件 (ransom-ware)、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來(lái)欺騙被害者。
第二,引誘。社會(huì)工程學(xué)是現(xiàn)在多數(shù)蠕蟲(chóng)病毒進(jìn)行傳 播時(shí)所使用的技術(shù),它使計(jì)算機(jī)用戶本能地去打開(kāi)郵件,執(zhí)行具有誘惑性同時(shí)具有危害的附件。例如,用一些關(guān)于某些型號(hào)的處理器 存在運(yùn)算瑕疵的“瑕疵聲明”或更能引起人的興趣的“幸運(yùn)中獎(jiǎng)”、“最新反病毒軟件”等說(shuō)辭, 并給出一個(gè)頁(yè)面連接,誘惑你進(jìn)入該頁(yè)面運(yùn)行下載程序或在線注冊(cè)個(gè)人相關(guān)信息,利用人們疏于防范的心理引誘你上鉤。
第三,恐嚇。利用人們對(duì)安全、漏洞、病毒、木馬、黑客等內(nèi)容會(huì)特別敏感,以權(quán)威機(jī)構(gòu)的面目出現(xiàn),散布諸如安全警告、系統(tǒng) 風(fēng)險(xiǎn)之類的信息,使用危言聳聽(tīng)的伎倆恐嚇欺騙計(jì)算機(jī)用戶,聲稱如果不及時(shí)按照他們的要求去做就會(huì)造成致命的危害或遭受嚴(yán)重?fù)p 失。
第四,說(shuō)服。社會(huì)工程師說(shuō)服目標(biāo)的目的是增強(qiáng)他們主動(dòng)完成所指派的任務(wù)的順從意識(shí),從而變?yōu)橐粋(gè)可以被信 任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺(tái)人員一般接受的訓(xùn)練都是要求他(她)們熱情待人并盡可能地為來(lái)人來(lái)電提供幫 助,所以這里就成了社會(huì)工程學(xué)實(shí)施者獲取有價(jià)值信息的“金礦”。
第五,恭維。社會(huì)工程師通常十分友 善,很講究說(shuō)話的藝術(shù),知道如何借助機(jī)會(huì)去迎合人,投其所好,使多數(shù)人會(huì)友善地作出回應(yīng),恭維和虛榮心的對(duì)接會(huì)讓目標(biāo)樂(lè)意繼 續(xù)合作。
第六,滲透。通常社會(huì)工程學(xué)攻擊者都擅長(zhǎng)刺探信息,很多表面上看起來(lái)豪無(wú)用處的信息都會(huì)被他們利用來(lái) 進(jìn)行系統(tǒng)滲透。通過(guò)觀察目標(biāo)對(duì)電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料,比如一個(gè)人的姓名、生日、ID、電話號(hào)碼 、管理員的IP地址、郵箱等都可能被利用起來(lái),通過(guò)這些收集信息來(lái)判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容,從而用口令心理學(xué) 來(lái)分析口令,而不僅僅是使用暴力破解。
除了以上的攻擊手段,一些比較另類的行為也開(kāi)始在社會(huì)工程學(xué)中出現(xiàn),其 中包括像翻垃圾(dumpster diving)、背后偷窺(shoulder surfing)、反向社會(huì)工程學(xué)等都是竊取信息的捷徑辦法。
催生新型防御手段
俗話說(shuō)道高一尺,魔高一丈,面對(duì)社會(huì)工程學(xué)帶來(lái)的安全挑戰(zhàn),企業(yè)必須適應(yīng)新的防御方法, 主要包括了:
第一,增加網(wǎng)站被假冒的難度。據(jù)國(guó)際反網(wǎng)絡(luò)詐騙組織2005年的報(bào)告顯示,中國(guó)已經(jīng)成為世界上第二大 擁有仿冒域名及網(wǎng)站的國(guó)家,占全球的12%。銀行界人士分析,域名過(guò)長(zhǎng)是假冒的根源。據(jù)悉,為預(yù)防不法分子用假域名進(jìn)行網(wǎng)絡(luò)釣魚(yú) ,截至今年上半年國(guó)內(nèi)已有14家銀行更改了網(wǎng)銀域名,包括更多地使用.CN域名。如建設(shè)銀行網(wǎng)銀域名從ccb.com.cn升級(jí)為ccb.cn,中 國(guó)銀行域名由bank-of-china.com變更為boc.cn。同時(shí),企業(yè)需要定期對(duì)DNS進(jìn)行掃描,以檢查是否存在與公司已注冊(cè)的相類似的域名 。此外,一般來(lái)說(shuō),在網(wǎng)頁(yè)設(shè)計(jì)技術(shù)上不使用彈出式廣告、不隱藏地址欄及框架的企業(yè)網(wǎng)站被假冒的可能性較小。
第 二,加強(qiáng)內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時(shí)進(jìn)行分離,合理分配每個(gè)系統(tǒng)管理員所擁有的權(quán)力,避免權(quán)限過(guò)分集中。為防 止外部人員混入內(nèi)部,員工應(yīng)佩戴胸卡標(biāo)示,設(shè)置門(mén)禁和視頻監(jiān)控系統(tǒng);嚴(yán)格辦公垃圾和設(shè)備維修報(bào)廢處理程序;杜絕為貪圖方便, 將密碼粘貼或通過(guò)QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系。
第三,開(kāi)展安全防范訓(xùn)練。安全意識(shí)比安全措施重要的多 。防范社會(huì)工程學(xué)攻擊,指導(dǎo)和教育是關(guān)鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示,讓他們知道這些方法是如何 運(yùn)用和得逞的,學(xué)會(huì)辨認(rèn)社會(huì)工程攻擊。在這方面,要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力,包括:辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。