2.8 KiB
2.8 KiB
社会工程学与培训教育
一、社会工程学
理解社会工程学攻击的概念及在信息安全中的重要性;
了解社会工程学利用的6种“人类天性基本倾向”;
理解社会工程学攻击方式及防御措施。二、培训教育
了解“人”在信息安全体系中的作用;
理解以建立持续化体系的方式实施信息安全培训的必要性。
一、社会工程学
1、什么是社会工程学攻击
-
利用人性弱点(本能反应、贪婪、易于信任等)进行欺骗获取利益的攻击方法
人性的弱点(Robert B Cialdini):
- 信任权威
- 信任共同爱好
- 获得好处后报答
- 期望守信
- 期望社会认可
- 短缺资源的渴望
- ... ...
2、社会工程学的危险
- 永远有效的攻击方法
- 人是最不可控的因素
凯文·米特尼克在他所著的关于社会工程学书籍《欺骗的艺术》中这样形容社会工程师:一个无所顾忌的魔术师,用他的左手吸引你的注意,右手窃取你的秘密。他通常十分友善,很会说话,并会让人感到遇上他是件荣幸的事情。
3、传统社会中的社会工程学
- 中奖通知
- 欠费电话
- 退税短信
- 催交房租
- ... ...
4、网络社会的社会工程学
- 直接用于攻击
- 正面攻击(直接索取)
- 建立信任
- 利用同情、内疚和胁迫
- ... ...
- 间接用于攻击
- 口令破解中的社会工程学利用
- 网络攻击中的社会工程学利用
5、社会工程学防御
-
安全意识培训
- 知道什么是社会工程学攻击
- 社会工程学攻击利用什么
安全意识:是信息安全的最低标准。
培训:向工作人员提供具体知识,以便他们履行职责。 -
建立相应的安全响应应对措施
- 不构建完善的技术防御体系
- 有效的安全管理体系和操作流程
-
注意保护个人隐私
- 保护生日、年龄、E-mail邮件地址、手机号码、家庭电话号码等信息
二、培训及教育
1、人员培训的重要性
2、培训应持续性
3、建立培训计划
4、培训与发展挂钩
所有安全措施的基石都是教育:
- 首次加入组织时加以培训
- 定期接受最新的培训