根據(jù)從事社會(huì)工程攻擊研究的安全專家表示，社會(huì)工程攻擊和其他滲透測(cè)試技術(shù)經(jīng)常讓受害者感覺他們被欺騙或者受到背叛。如果企業(yè)IT安全團(tuán)隊(duì)能對(duì)用戶進(jìn)行有效的安全意識(shí)培訓(xùn)，有助于企業(yè)中形成一種安全意識(shí)文化，從而抵御社會(huì)工程攻擊。

專業(yè)信息保險(xiǎn)公司高級(jí)信息保障分析師James Philput表示，有效的溝通是部署社會(huì)工程培訓(xùn)的核心。IT團(tuán)隊(duì)都知道，在企業(yè)內(nèi)部廣泛部署的軟件中往往存在漏洞，并且這些漏洞是可編寫腳本的、容易被利用的，可能導(dǎo)致嚴(yán)重問(wèn)題。安全行業(yè)面臨的最大問(wèn)題之一是找出一種方法，讓這些問(wèn)題的結(jié)果與用戶相關(guān)。

“你站在那里對(duì)用戶說(shuō)，攻擊者可能會(huì)入侵，拿走你所有的東西，毀了你的計(jì)算機(jī)，或者讓你的電腦崩潰，用戶都會(huì)無(wú)動(dòng)于衷，”Philput表示，“你必須想辦法提高這些問(wèn)題對(duì)用戶的重要性。”

Philput將會(huì)在拉斯維加斯舉行的2012年黑帽簡(jiǎn)報(bào)中發(fā)表演講，解釋如何與高層管理人員溝通社會(huì)工程測(cè)試的必要，以及如何有效地部署它們來(lái)建立關(guān)系，而不是破壞關(guān)系。Philput表示：“我希望這將為信息安全團(tuán)隊(duì)提供一種更積極的方式——用他們的技能幫助提高企業(yè)整體安全性。同時(shí)，與他們所保護(hù)的企業(yè)建立更好的關(guān)系。”

社會(huì)工程測(cè)試往往涉及模擬釣魚電子郵件;滲透測(cè)試者還可以故意丟失USB驅(qū)動(dòng)器，誘使員工將其連接到計(jì)算機(jī)，而員工往往會(huì)做出錯(cuò)誤的判斷;一些安全團(tuán)隊(duì)還會(huì)通過(guò)模擬電話來(lái)測(cè)試員工——假裝成業(yè)務(wù)合作伙伴的遠(yuǎn)程員工或者代表，需要盡快解決某個(gè)問(wèn)題。

Philput表示，釣魚郵件是最便宜的測(cè)試選擇，也最容易追蹤。此外，這些演習(xí)可以替代網(wǎng)上培訓(xùn)課程。隨著時(shí)間的推移，安全團(tuán)隊(duì)將可以判斷哪些員工或者哪些部門需要額外的培訓(xùn)。

Philput表示，IT團(tuán)隊(duì)在開始測(cè)試計(jì)劃之前，他們應(yīng)該評(píng)估已經(jīng)部署的政策，以及確定他們是否已經(jīng)與員工進(jìn)行了有效地溝通。其次，企業(yè)應(yīng)該定期告知員工，測(cè)試可能隨時(shí)進(jìn)行，這樣做能夠避免員工產(chǎn)生“被坑”的負(fù)面抵制情緒。最后，對(duì)通過(guò)測(cè)試的員工進(jìn)行獎(jiǎng)勵(lì)，同時(shí)，將錯(cuò)誤判斷作為學(xué)習(xí)經(jīng)驗(yàn)。

社會(huì)工程演習(xí)是非常有效的，尤其是在沒有明確安全方向或者信息安全培訓(xùn)計(jì)劃的企業(yè)。重要一步是正確地設(shè)計(jì)培訓(xùn)，以及向員工進(jìn)行培訓(xùn)。Philput表示，“如果沒有以合適的方式進(jìn)行培訓(xùn)，將不會(huì)產(chǎn)生任何影響，也不會(huì)有任何效果。最糟糕的用戶意識(shí)培訓(xùn)是每年在線提供的培訓(xùn)。最終用戶會(huì)匆忙地閱過(guò)培訓(xùn)內(nèi)容，并且，Philput還在一些企業(yè)看到用戶對(duì)不同的選擇題復(fù)制相同的答案。”

“我看過(guò)的最好的用戶意識(shí)培訓(xùn)，同時(shí)也是最難實(shí)施的培訓(xùn)，是一名信息安全團(tuán)隊(duì)成員對(duì)30到60名用戶組進(jìn)行的培訓(xùn)，”Philput表示，“這能夠拉近信息安全人員及他們保護(hù)的員工之間的距離。有時(shí)候終端用戶會(huì)提出一些基本的問(wèn)題，有時(shí)候會(huì)提出一些很精彩的問(wèn)題。通過(guò)這種方式，我發(fā)現(xiàn)社會(huì)工程攻擊減少了很多，因?yàn)楫?dāng)用戶懷疑出現(xiàn)問(wèn)題時(shí)，他們更愿意聯(lián)系安全人員。”