身份竊取已經(jīng)成為犯罪的老黃歷了。攻擊者們已經(jīng)不再滿足于把個(gè)人當(dāng)作目標(biāo)，現(xiàn)在他們看上了更具價(jià)值的東西，即你的客戶的數(shù)據(jù)。

當(dāng)涉及保護(hù)網(wǎng)絡(luò)時(shí)，IT專業(yè)人員們通常將目光投向技術(shù)。我們堆疊的技術(shù)層面越多，每個(gè)層面越多樣化，我們就認(rèn)為網(wǎng)絡(luò)一定更安全。但是，企業(yè)往往都失敗了，因?yàn)樗麄兒鲆暳藘?nèi)部安全。這并不意味著企業(yè)在仔細(xì)審閱安全策略和維護(hù)企業(yè)自身安全方面的失敗（盡管作為IT醫(yī)生的我們往往把病人們的情況弄得更糟糕）。更確切地說(shuō)，企業(yè)是忽視了那些委托我們保護(hù)他們系統(tǒng)的人——用戶。

網(wǎng)絡(luò)的物理加固很容易被一個(gè)看似簡(jiǎn)單、卻是多方面的元素——人——所規(guī)避。成功的攻擊者經(jīng)常扮演著社會(huì)學(xué)工程師的角色，通過(guò)操縱網(wǎng)絡(luò)上的用戶間接地攻擊經(jīng)過(guò)加固防護(hù)的網(wǎng)絡(luò)。由于這個(gè)常見(jiàn)而且永遠(yuǎn)存在的威脅，對(duì)于企業(yè)來(lái)說(shuō)投入時(shí)間和精力去培訓(xùn)、教育和測(cè)試這個(gè)關(guān)鍵的安全組成是非常重要的。在本文中，我們會(huì)討論實(shí)施防范社會(huì)工程學(xué)培訓(xùn)的最佳方法。

社會(huì)工程學(xué)培訓(xùn)入階

就用戶培訓(xùn)而言，首先且最需要指出的一點(diǎn)就是，這是一個(gè)循環(huán)的過(guò)程，沒(méi)有起點(diǎn)或終點(diǎn)。社會(huì)工程學(xué)的伎倆在不斷地進(jìn)化，形成新的方式來(lái)愚弄用戶并入侵他們的系統(tǒng)或是他們的組織。保持對(duì)這些手法的了解是企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)的職責(zé)，并應(yīng)該與用戶分享如何認(rèn)出這些攻擊嘗試，以及隨后如何進(jìn)行防范。測(cè)試絕對(duì)是至關(guān)重要的，因?yàn)樗茱@示出脆弱面和強(qiáng)項(xiàng)。測(cè)試結(jié)果提供了一般性的系統(tǒng)評(píng)估，使安全團(tuán)隊(duì)可以在此之上提高安全實(shí)踐，并更好地理解精力需要放在哪里。

防范社會(huì)工程學(xué)培訓(xùn)的努力需要由安全團(tuán)隊(duì)來(lái)推動(dòng)。這個(gè)團(tuán)隊(duì)?wèi)?yīng)該負(fù)責(zé)針對(duì)保護(hù)個(gè)人及企業(yè)網(wǎng)絡(luò)來(lái)創(chuàng)建策略和流程。團(tuán)隊(duì)成員應(yīng)由來(lái)自不同部門的人員組成。

團(tuán)隊(duì)次要的作用是在他們經(jīng)營(yíng)的領(lǐng)域內(nèi)提供對(duì)所有策略和流程的支持。他們也必須協(xié)助編寫雇員培訓(xùn)材料。為了達(dá)到那個(gè)目的，應(yīng)該為所有新入職的員工提供標(biāo)準(zhǔn)化的流程進(jìn)行IT安全培訓(xùn)。需要專門花時(shí)間在網(wǎng)絡(luò)安全話題和防范社會(huì)工程學(xué)培訓(xùn)上。這個(gè)培訓(xùn)不應(yīng)僅關(guān)注于如何通過(guò)社會(huì)工程學(xué)演習(xí)，而是要關(guān)注于如何識(shí)別出攻擊，且更為重要的是，當(dāng)一個(gè)人遭遇攻擊時(shí)該如何做出反應(yīng)。在這個(gè)過(guò)程中應(yīng)該考慮的威脅因素包括：

面對(duì)面的交互：這個(gè)練習(xí)通常是指“如何認(rèn)出假冒的修理工”。角色扮演游戲是特別好的工具，可以揭露攻擊者的策略花招，看最簡(jiǎn)單的問(wèn)題或假裝成生氣的供應(yīng)商是如何成為嘗試收集信息、獲得對(duì)你們網(wǎng)站訪問(wèn)權(quán)的攻擊者的。在與供應(yīng)商和同事共享計(jì)算機(jī)資源方面應(yīng)該有相應(yīng)的策略。

電子郵件：現(xiàn)實(shí)中有豐富的利用郵件攻擊的例子。通常，人們每周會(huì)看到一些進(jìn)入他們收件箱的郵件，這些郵件應(yīng)該保存下來(lái)用于識(shí)別偽造郵件地址的培訓(xùn)指導(dǎo)。應(yīng)該教育員工如何驗(yàn)證域名（例如fdic.com與 fdic.gov），以及他們可能遇到的典型的攻擊者策略。在這些郵件中應(yīng)該可以發(fā)現(xiàn)一些例子，如提供太劃算以至于不能相信的交易、或是帶有典型的緊急性標(biāo)簽，諸如“現(xiàn)在就行動(dòng)起來(lái)”和“只剩20個(gè)位子”。應(yīng)該培訓(xùn)員工們小心不一致的跡象，如那些看似“來(lái)自”員工但是不符合公司郵件策略的郵件。也許是缺失簽名部分、或字體不符合公司的標(biāo)準(zhǔn)。類似這樣危險(xiǎn)信號(hào)就是眾所周知的“嗅探測(cè)試”。如果碰到這種情況就很可能是惡意的，應(yīng)立刻尋求指導(dǎo)。

Web站點(diǎn)：對(duì)于web站點(diǎn)安全的培訓(xùn)應(yīng)該與電子郵件相互配合。教導(dǎo)員工如何審查而不是點(diǎn)擊鏈接。許多釣魚(yú)攻擊郵件或包含指向攻擊者Web站點(diǎn)的鏈接。很多情況下，顯示的鏈接與郵件真正指向的鏈接并不匹配。參加培訓(xùn)的人員應(yīng)該學(xué)會(huì)如何讀懂頻繁遇到的域名后綴，例如“www.computerhope.com.jargon/num/domains.htm”。再一次，這也適用于嗅探測(cè)試，“來(lái)自”FDIC的郵件不會(huì)由于這個(gè)虛構(gòu)的位于日本的域名而將你指向FDIC.com.jp。

電話：應(yīng)該有到位的流程指導(dǎo)員工如何處理電話攻擊。應(yīng)該教導(dǎo)員工不要盲目地遵從打電話人的指令。教育他們正確地、有效地使用手邊的資源，例如來(lái)電顯示和內(nèi)部的目錄。

硬拷貝數(shù)據(jù)：搜尋垃圾桶對(duì)于攻擊者來(lái)說(shuō)是一個(gè)權(quán)宜的，經(jīng)常采用的獲取信息的方法，進(jìn)而入侵企業(yè)和個(gè)人。應(yīng)該有到位的嚴(yán)格策略來(lái)減少這種威脅的發(fā)生。防范這種風(fēng)險(xiǎn)的建議包括使用可以鎖起來(lái)的文件抽屜和文件柜，以及可鎖的粉碎箱。

上面闡述的可行的防范社會(huì)工程學(xué)的培訓(xùn)建議可以作為基本的終端用戶安全培訓(xùn)計(jì)劃的基礎(chǔ)。不過(guò)，雇員的培訓(xùn)才剛剛開(kāi)始，需要定期加強(qiáng)培訓(xùn)。對(duì)于安全計(jì)劃的成功真正必需的是一家勝任的社會(huì)工程學(xué)測(cè)試公司。一個(gè)好的公司將通過(guò)實(shí)際測(cè)試你的團(tuán)隊(duì)幫助評(píng)估培訓(xùn)計(jì)劃。公司在第三方參與下的社會(huì)工程攻擊中的表現(xiàn)，可以驗(yàn)證你們培訓(xùn)的成功、展示培訓(xùn)的不足，并且有助于辨識(shí)可能需要補(bǔ)救或額外培訓(xùn)的個(gè)人。

測(cè)試應(yīng)該定期地進(jìn)行，每次測(cè)試后需要舉行會(huì)議來(lái)決定培訓(xùn)/再次培訓(xùn)的需要。這包括評(píng)審所有相關(guān)的策略和流程。根據(jù)測(cè)試的結(jié)果和策略的評(píng)審，應(yīng)該批準(zhǔn)再次培訓(xùn)以確保培訓(xùn)是保持當(dāng)前的、并且是基于需要和潛在的威脅。

信息安全被破壞是要付出代價(jià)的。每年，組織花費(fèi)數(shù)億美元嘗試從安全破壞中恢復(fù)。單是名譽(yù)上的風(fēng)險(xiǎn)就足以為這種不幸而擔(dān)憂了。盡管IT專業(yè)人員能使用分層的技術(shù)方法來(lái)完全的保護(hù)他們的計(jì)算機(jī)系統(tǒng)，人為因素仍是需要考慮的關(guān)鍵部分。無(wú)法解決潛在的人為錯(cuò)誤會(huì)給整個(gè)企業(yè)安全留下顯眼的漏洞，留下不可避免的指向敏感客戶信息可追尋的路徑，而這些信息的泄漏意味著災(zāi)難。防范社會(huì)工程學(xué)培訓(xùn)的努力能讓組織在發(fā)生攻擊前而不是事后積極地處理這些風(fēng)險(xiǎn)。