根据从事社会工程攻击研究的安全专家表示,社会工程攻击和其他渗透测试技术经常让受害者感觉他们被欺骗或者受到背叛。如果企业IT安全团队能对用户进行有效的安全意识培训,有助于企业中形成一种安全意识文化,从而抵御社会工程攻击。
专业信息保险公司高级信息保障分析师James Philput表示,有效的沟通是部署社会工程培训的核心。IT团队都知道,在企业内部广泛部署的软件中往往存在漏洞,并且这些漏洞是可编写脚本的、容易被利用的,可能导致严重问题。安全行业面临的最大问题之一是找出一种方法,让这些问题的结果与用户相关。
“你站在那里对用户说,攻击者可能会入侵,拿走你所有的东西,毁了你的计算机,或者让你的电脑崩溃,用户都会无动于衷,”Philput表示,“你必须想办法提高这些问题对用户的重要性。”
Philput将会在拉斯维加斯举行的2012年黑帽简报中发表演讲,解释如何与高层管理人员沟通社会工程测试的必要,以及如何有效地部署它们来建立关系,而不是破坏关系。Philput表示:“我希望这将为信息安全团队提供一种更积极的方式——用他们的技能帮助提高企业整体安全性。同时,与他们所保护的企业建立更好的关系。”
社会工程测试往往涉及模拟钓鱼电子邮件;渗透测试者还可以故意丢失USB驱动器,诱使员工将其连接到计算机,而员工往往会做出错误的判断;一些安全团队还会通过模拟电话来测试员工——假装成业务合作伙伴的远程员工或者代表,需要尽快解决某个问题。
Philput表示,钓鱼邮件是最便宜的测试选择,也最容易追踪。此外,这些演习可以替代网上培训课程。随着时间的推移,安全团队将可以判断哪些员工或者哪些部门需要额外的培训。
Philput表示,IT团队在开始测试计划之前,他们应该评估已经部署的政策,以及确定他们是否已经与员工进行了有效地沟通。其次,企业应该定期告知员工,测试可能随时进行,这样做能够避免员工产生“被坑”的负面抵制情绪。最后,对通过测试的员工进行奖励,同时,将错误判断作为学习经验。
社会工程演习是非常有效的,尤其是在没有明确安全方向或者信息安全培训计划的企业。重要一步是正确地设计培训,以及向员工进行培训。Philput表示,“如果没有以合适的方式进行培训,将不会产生任何影响,也不会有任何效果。最糟糕的用户意识培训是每年在线提供的培训。最终用户会匆忙地阅过培训内容,并且,Philput还在一些企业看到用户对不同的选择题复制相同的答案。”
“我看过的最好的用户意识培训,同时也是最难实施的培训,是一名信息安全团队成员对30到60名用户组进行的培训,”Philput表示,“这能够拉近信息安全人员及他们保护的员工之间的距离。有时候终端用户会提出一些基本的问题,有时候会提出一些很精彩的问题。通过这种方式,我发现社会工程攻击减少了很多,因为当用户怀疑出现问题时,他们更愿意联系安全人员。”
