【TechTarget中国原创】这一系列的其它技巧文章已经从安全性角度上探讨了OSI七层模型。虽然安全性并不是OSI模式设计的第一目标,但是在这些技巧的宗旨都是为了强调在模型每个层上添加安全性的重要性,以使读者从更深层的角度来考虑深度防御概念。目前我们已经完成了第7层,有人可能认为我们已经完成全部内容了。虽然OSI模式是一个数据通信架构,但是安全仅止于此吗?不,还有一个神秘的第8层的。虽然它并不包括在OSI模式中,但是这个关于人的层面是存在的。第8层是人与技术相关联的层面。第8层解决的是人和政策的问题。让我们从人开始说起。
Willie Sutton是美国一个臭名昭著的银行窃匪,据说他曾经这样说过,“我抢劫银行是因为那里有钱。”而黑客攻击计算机是因为那里有信息。但是还有哪些地方可以找到这些信息呢?攻击者在哪里窃取那些没有防火墙、IDS和IPS保护的信息呢?答案是——人!据不完全推测,80%的公司信息储存在人们自己的头脑中。这对于攻击者而言是一个好消息,因为人——没有受过适当培训——会比计算机系统更容易成为目标。而人被利用的最主要方法是通过社会工程。
社会工程是一种操作艺术。其中一个最著名的社会工程师是Kevin Mitnick。他的作品,The Art of Deception详细的阐述了社会工程师使用的技术。这些技术可以用在一个人身上、电话中或甚至邮件中。先不管如何处理受害者,社会工程师一般都会使用以下的六种技术:
1. 权威:社会工程师一般都扮演权威位置的角色,这样职员就很可能服从他的要求。
2. 好感:社会工程师会让自己成为一个受人喜欢的人,一般情况下,人们乐意为他们所喜欢的人做事情。
3. 回报:如果某人给我们一个礼物或为我们提供了一次帮助,我们就会想做点事情来回报。研究已经显示人们会用更有价值的东西来回报得到东西,如笔或钥匙链。
4. 一贯性:人们乐意于做与他们的价值观一致的行动,特别是他们在公共致辞提到的价值观。
5. 社会确认:人们都希望有所归属以及被接受。最佳的归属方法就是与他人一样。
6. 紧俏:人们都想要那些缺货的或只能短时供应的东西。你可能会推迟你毕生所追求的事物,因为你相信它最终是能得到的,但是当你觉得你获得这个特别的东西的机会可能会最终消失的,你就会有冲动立刻去获取它。
安全培训
随着诸如防火墙的逻辑控制变得越来越先进,黑客也着手寻找更容易攻击的方式。例如很多新的钓鱼攻击如知名的鱼叉式网络钓鱼也逐渐增加。最佳的防范社会工程是保证职员要接受安全培训并明白潜在攻击。你可以使用以下的一种或多种方式来培训你的职员:
- 报纸或邮件的安全新闻通讯
- 在公用区的海报
- 对职员积极的安全方面的行为进行竞赛性奖励
- 当用户登陆他们的计算机或当他们打开一个特别的程序如邮件,给出标示信息提示
安全政策
第8层的第二条防线是政策。在组织防范攻击方面,建立安全政策、方针和流程是至关重要的一步。缺乏完善的设计、可行的安全政策和文档是很多大型组织容易受到攻击的最大原因之一。政策将把所有人都放在相同的文档上,然后清楚地标明高层管理所主张的政策问题。它们同时让所有人连成一气,同时详细说明如何让组织中的所有人知道安全政策。
政策的实施必须从组织的高层开始。早在2002年,Bill Gates给我们了一个很好的例子。他写了一个备忘录并给全体职员作了演讲。在他的备忘录中,Gates讲述了为什么安全应该是Microsoft的第一优先级的事务。这个故事更重要的一点是Gates并不仅仅是在口头上把安全定位为目标;他还为此提供了一个战略蓝图,详细地阐述了如何实现安全性的目标。这些改变可以从备忘录发表之后开发的产品中看到。如果良好的政策和流程没有教给员工并强化,它们也不会有效的。员工必须进行培训,这样他们才能理解安全政策和流程的重要性。最后,在接受了培训之后,员工还应该签署一份声明来表示他们理解了政策。
虽然人是一个组织最重要的资产,但是他们也同样可以是其最脆弱的部分。为了减少社会工程的威胁,员工必须进行培训以保证他们认识到他们所面对的威胁。员工并不会自动地理解良好的程序和方法。因此,政策定义了特别的控制和条件,它们是用以帮助保护公司的资产以及其运营能力的。
关于作者:
Michael Gregg 在IT方面有15年左右的工作经验。Michael是Houston-based 培训和咨询公司Superior Solutions Inc.的总裁。他是一位网络、安全和因特网技术专家。他有两个辅修学位,一个学士学位和硕士学位。目前他拥有下列证书:MCSE、MCT、CTT、A+、 N+、CAN、CCNA、CIW Security Analyst 和 TICSA。