博客 / 詳情

返回

讀社會工程:安全體系中的人性漏洞(第2版)06MAPP

讀社會工程:安全體系中的人性漏洞(第2版)06M.A.P.P

1. 防治規劃

1.1. Mitigation and Prevention Plan

1.2. 一開始你可能會沒有信心,實際上你可以塑造出一種重視安全意識的文化

1.3. 第1步:學會識別社會工程攻擊

  • 1.3.1. 首先要學會識別和了解這些攻擊,這樣你的團隊就已經高於平均水平了

  • 1.3.2. 電子郵件可以用來入侵整個公司

  • 1.3.3. 電話可以用來獲取密碼和其他敏感信息

  • 1.3.4. 如果他們的移動設備被黑客控制了,就能用於攻擊他們的家庭網絡和工作網絡

  • 1.3.5. 不能因為對方面帶微笑、態度友好和善,就忽視了我們的通行證使用守則

1.4. 第2步:制定切實可行的政策

  • 1.4.1. 在安全領域,政策似乎是一個不好的詞

  • 1.4.2. 大部分人不喜歡制定政策、強制實施或被迫遵守政策

  • 1.4.3. 避免過於複雜的政策

  • 1.4.3.1. 有些政策常常過於寬泛而籠統,這會導致執行者顧慮過多並反應過度,這是政策的制定者對這些攻擊缺乏瞭解造成的

  • 1.4.4. 避免盲目的同情

  • 1.4.4.1. 不是讓你“不要有同情心”​

  • 1.4.4.2. 需要避免因同情心氾濫而忽視了制度

  • 1.4.4.3. 永遠不會阻止人們的善意關懷

  • 1.4.4.4. 護送他們到公司的任何地方之前,都要檢查通行證驗證身份

  • 1.4.5. 讓政策切實可行

1.5. 第3步:定期檢查實際情況

  • 1.5.1. 選擇合作的顧問是很重要的

  • 1.5.2. 提出好的問題

  • 1.5.2.1. 不要害怕問及之前的工作情況,或者對於特定情況,該公司傾向於如何處理

  • 1.5.3. 有合格的參考案例

  • 1.5.3.1. 很少有公司願意被當作參考案例,因為它們不想將接受過的社會工程服務讓更多人知道

  • 1.5.3.2. 社會工程公司不會將對其不滿的客户用作案例

  • 1.5.3.3. 目的在於大致瞭解他們與客户的合作方式,及其服務質量

  • 1.5.4. 能清晰地定義規則

  • 1.5.4.1. 對客户來説,如果實際的滲透測試比設想中的更為刁鑽複雜,那會是一件很麻煩的事情,所以你必須向你的上司解釋清楚情況

  • 1.5.4.2. 確保不出現這種問題的最佳方法就是有一套清晰的測試規則,以免越界

  • 1.5.4.3. 定義清晰的規則就好比拳擊比賽中選手穿戴的護具一樣

  • 1.5.4.4. 沒有什麼普適的方案—方案很大程度上取決於你的需求和想要達到預期目標的方式

>  1.5.4.4.1. 其他服務最好每年一次或半年一次,比如滲透測試

>  1.5.4.4.2. 有的服務最好每月一次,比如網絡釣魚測試

1.6. 第4步:切實可行的安全意識項目

  • 1.6.1. 把安全意識項目調整得符合客户的具體需求之後,你便能幫助員工明白,當出現問題時該做什麼,以及不該做什麼了

1.7. 綜合以上4步

1.8. 時刻保持更新

  • 1.8.1. 要確保計算機能及時更新

1.9. 從同行的錯誤中學習

  • 1.9.1. 有很多公司會出售威脅建模服務來幫助解決這個問題,你可能會需要他們的幫助

  • 1.9.2. 可以自己建模並確定哪些地方需要增強和鞏固,然後改進當前的項目和條款,從而保持對攻擊的警惕

1.10. 塑造重視安全意識的文化

  • 1.10.1. 獎勵

  • 1.10.2. 正向強化

  • 1.10.3. 附加訓練

  • 1.10.4. 自上而下的強化

  • 1.10.5. 保持耐心

  • 1.10.5.1. 不要想當然地認為,因為你的指導方式是正確的,所以員工就能立刻跟上節奏

  • 1.10.5.2. 讓員工看到你的熱情並和你一樣充滿熱情是需要時間和持續努力的

  • 1.10.6. 管理預期

  • 1.10.6.1. 不僅有助於建立融洽關係,還能給你的公司構造出一種重視安全意識的文化

  • 1.10.6.2. 並不是説你能發現網絡釣魚、識別詐騙電話或識別不屬於你公司的人,就代表每位員工都能在短時間內做到這一點

  • 1.10.7. 可以通過保持耐心和管理預期,來幫助你的員工適應新的培訓標準

2. 成為社會工程人員的特質

2.1. 謙遜

  • 2.1.1. 在這一行出類拔萃的人無疑都很謙遜

2.2. 動力

  • 2.2.1. 工作是每天上班完成任務,而下班後又能完全拋諸腦後的東西

2.3. 外向

  • 2.3.1. 建議你一次只練習一種技巧,直到你能做到信手拈來為止

2.4. 樂於嘗試

  • 2.4.1. 害怕失敗是很難幹好這個職業的

  • 2.4.1.1. 甚至會讓人止步不前

  • 2.4.2. 那些在職業社會工程人員成長之路上表現優異的人,都能夠走出舒適區,並且明白失敗有時才是最好的老師

  • 2.4.3. 那些願意嘗試新鮮事物的人也能夠融入各種圈子,並且更容易適應不同的情況

2.5. 真的管用

3. 走上職業道路

3.1. 專業技能

  • 3.1.1. 職業技能對這份事業來説非常重要,因為你會一直和技術打交道

  • 3.1.2. 掌握USB密鑰、計算機啓動,以及連接到VPN之類的簡單技術,能在很大程度上幫助你構造偽裝和取得訪問權限

  • 3.1.3. 基本的計算機知識

  • 3.1.4. 基本的辦公軟件知識(比如Word和Excel)

  • 3.1.5. 瞭解計算機的各種部件及其運作方式

  • 3.1.6. 能正確操作Mac、Windows和Linux等操作系統

  • 3.1.7. 瞭解網絡是如何工作的

  • 3.1.8. 知道如何搭建郵件服務器

  • 3.1.9. 編輯照片的技能

  • 3.1.10. 知道如何利用框架,如Metasploit和Empire

  • 3.1.11. 讀懂代碼的能力

  • 3.1.12. 編寫代碼的能力

3.2. 教育

  • 3.2.1. 心理學

  • 3.2.1.1. 你要牢記,即使你不是一名訓練有素的心理學家或心理治療師,也很有必要對人類如何做決策有基本的認知

  • 3.2.2. 語言、語法和寫作

  • 3.2.2.1. 哪怕你是全世界最優秀的社會工程人員,如果寫不出用詞準確、條理清晰的報告,你的付出將永遠得不到認可

  • 3.2.3. 社會心理學

  • 3.2.4. 你的最終目的不是成為心理學家、心理治療師、語言學家或社會心理學家

  • 3.2.5. 只需要有足夠的知識,從而能發現某個特定的原則在發揮作用

3.3. 工作前景

  • 3.3.1. 自己創業

  • 3.3.2. 入職滲透測試公司

  • 3.3.2.1. 絕大多數滲透測試公司會以某種形式提供社會工程服務

  • 3.3.3. 入職社會工程公司

4. 社會工程的未來

4.1. 戀童癖用社會工程手段來誘騙兒童就是一個令人不安的趨勢

4.2. 戀童癖會通過線上聊天工具進入孩子們的“族羣”

4.3. 需要人們站在正義的一邊,幫助守衞、保護和教育他人,讓更多的人瞭解這些技巧,並學習如何抵禦這些攻擊,從而能免受其害

4.4. 學會如何使用這些技巧不僅有益於你的事業,也會對你的日常生活大有裨益

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.