飞越疯人院全文:《欺骗的艺术》第十六章 推荐的信息安全策略

第十六章 推荐的信息安全策略（1）

由FBI主导的调查结果显示，超过90%的大企业和政府机构遭受过计算机入侵者的攻击，美联社在2002年4月对其进行了报导。有趣的是，只有大约三分之一的公司报导或公开了这些攻击，沉默意味着他们学到了很多东西，为了避免失去客户的信任，为了防止更多入侵者的出现，大部分的商业公司不会公开报导计算机安全事件。

似乎没有任何社会工程学攻击的统计，就算有，数据也很不可靠，在大部分情况下一家公司永远也不会知道社会工程师已经“偷走了”信息，因此许多攻击都没有记录。

有效的策略能针对大多数的社会工程学攻击类型进行防范，但是让我们现实——除非企业里每一个人都认识到安全的重要性并把它作为他（或她）的职责（遵守公司的安全策略），否则社会工程学攻击将永远是企业面临的严重威胁之一。

事实上，针对安全攻击的技术手段一直在进步，通过社会工程学途径获取私有的公司信息或渗透企业网络，这种攻击将越来越频繁并引起信息窃贼的关注。商业间谍通常会选择使用最简单同时也是最隐蔽的方法来达到他（或她）的目标。事实上，那些使用了最先进的安全技术保护计算机系统和网络的公司，可能会面对更多来自于使用社会工程学策略和方法的攻击。

本章介绍了防范社会工程学攻击的详细策略，这些策略除了针对基于技术漏洞的攻击，还涉及到几种引导信任的员工提供信息或执行操作的骗局，阻止攻击者访问敏感商业信息或企业计算机系统与网络。

什么是安全策略？

安全策略是指导员工行为、保护信息安全的明确指南，是安全体系中防范潜在威胁的重要组成部分，这些策略在察觉并防范社会工程学攻击时尤其有效。

有效的安全管理需要培训员工精心设计的策略和程序，然而，即使每一个员工都严格地遵守了安全策略，也无法保证防御所有的社会工程学攻击。相反，合理的目标总是能用可接受的标准减小威胁。

在这里介绍的这些策略包括了一些与社会工程学攻击无关的防范措施，之所以放在这里，是因为它们涉及到了一些攻击者常用的技术。例如， email附件攻击——可以安装特洛伊木马软件让攻击者控制受害者的电脑——就被定义为计算机入侵者频繁使用的方法。

制定程序的步骤

一个全面的信息安全程序通常从威胁评估开始：

需要保护哪些企业信息资产？

有哪些针对这些资产的具体威胁？

如果这些潜在的威胁成为现实会对企业造成哪些损失？

威胁评估的主要目标是对需要立即保护的信息资产按优先次序排列，而不是对安全措施进行成本效益分析。首先想一想，哪些资产需要首先保护，保护这些资产需要花多少钱。

高级管理人员的支出和对安全策略和信息安全程序的大力支持非常重要。正如其它的企业程序一样，如果一个安全程序成功了，管理层可以对其进行推广，前提是要有个人案例证明其有效性。员工们需要意识到信息安全和保护公司商业信息的重要性，每一个员工的工作都依赖于这一程序的成功。

设计信息安全策略蓝图的人需要以非技术员工也能轻松理解的通俗方式书写安全策略，并解释为什么这些是重要的，否则员工可能会认为一些策略是在浪费时间而对其忽略。策略书写者应当创建一份介绍这些策略的文档，并把它们分开来，因为这些策略可能会在执行的时候有小范围的修改。

另外，策略的书写者应当了解哪些安全技术能被用来进行信息安全培训。例如，大部分的操作系统都能用指定的规则（比如长度）限制用户密码。在一些公司，可以通过操作系统的本地或全局策略阻止用户下载程序。在允许的情况下，策略应当要求使用安全技术代替人为的判断。
必须忠告员工不遵守安全策略与程序的后果，应当制定并宣传违反策略的处罚。同样，要对表现优异或者发现并报告了安全事件的员工进行奖励。当一名员工受到奖励时，应当在公司范围内广泛地宣传，比如在公司时讯中写一篇文章。

安全培训程序的一个目标是传达安全策略的重要性和不遵守这些规则的后果。拜人性所赐，员工们有时候会忽略或绕过那些看上去不合理或者太费时间的策略。管理层有责任让员工们了解其重要性与制定这些策略的原因，而不是简单地告诉他们绕过策略是不允许的。

值得注意的是，信息安全策略不是固定不变的，就像商业需要变化一样，新的安全技术和新的安全漏洞使得策略在不断的修改或补充。应当加入常规的评估与更新程序，可以通过企业内网或公共文件夹让企业安全策略与程序不断更新，这增加了对策略与程序频繁审核的可能性，并且员工可以从中找到任何与信息安全有关的问题和答案。

最后，使用社会工程学方法与策略进行的周期性渗透测试与安全评估应当暴露出培训或公司策略和程序的不足。对于之前使用的任何欺骗渗透测试策略，应当告知员工有时候可能会进行这种测试。

第十六章 推荐的信息安全策略（2）

怎样使用这些策略

本章中介绍的详细策略是我认为对减轻所有安全威胁非常重要的信息安全策略子集，因此，这些策略并不是一个完整的列表，更确切的说，它们是创建合适的安全策略的基础。

企业的策略书写者可以基于他们公司的独特环境和商业目的选择适合的策略。每一家有不同安全需求（基于商业需要、法律规定、企业文化和信息系统）的企业都能在这些介绍找到所需的策略，而忽略其它的内容。

每一种策略都会提供不同的安全等级选择。大部分员工都互相认识的小型公司不需要担心攻击者会通过电话冒充员工（当然攻击者还可以伪装成厂商）。同样，一家企业文化轻松休闲的公司可能会希望只用这些策略中的一部分来达到它的安全目标，虽然这样做会增加风险。

数据分类

数据分类策略是保护企业信息资产、管理敏感信息存取的基础。这一策略能让所有员工了解每一种信息的敏感等级，从而提供了保护企业信息的框架。

没有数据分类策略的操作——几乎所有公司的现状——使得的大部分的控制权掌握在少数员工手里。可想而知，员工的决定在很大程度上依赖于主观判断，而不是信息的敏感性、关键程度和价值。如果员工不了解被请求信息的潜在价值，他们可能会把它交到一名攻击者手里。
数据分类策略详细说明了信息的贵重程度。有了数据分类，员工就可以通过一套数据处理程序保护公司安全，避免因疏忽而泄漏敏感信息，这些程序降低了员工将敏感信息交给未授权者的可能性。

每一个员工都必须接受企业数据分类策略培训，包括那些并不经常使用计算机或企业通信系统的人。因为企业中的每一个人——包括清洁工、门卫、复印室职员、顾问和承包人，甚至是实习医生——都有可能访问敏感信息，任何人都能成为攻击的目标。

管理层必须指定一个信息所有者负责公司目前正在使用的任何信息，信息所有者的职责之一就是保护信息资产。通常，所有者负责确定基于信息保护需要的分类等级，周期性地评估分类等级，并在必要的时候对其进行修改，信息所有者可能还会负责指定管理人员或其他人员来保护数据。

分类类别与定义

应当基于敏感程度将信息分成不同的分类等级。一旦建立了详细的分类系统，重新分类信息将十分昂贵和费时。在我们的策略范例中，我选择了4个适合几乎所有大中型企业的分类等级。依靠敏感信息的编号和分类，商业公司可以选择增加更多分类以适应将来的特殊类型。在小型商业公司，三个等级的分类方案可能就够了。记住——分类方案越复杂，企业培训员工和执行方案的费用就越高。

机密是最敏感的信息分类，机密信息只能在企业内部使用。在大多数情况下，机密信息只能让少数有必要知道的人访问。机密信息的泄漏会严重影响到公司（股东、商业伙伴和（或）客户）。机密信息通常包括以下内容：

商业机密信息、私有源代码、技术或规格说明书、能被竞争者利用的产品信息。
并不公开的销售和财政信息。
关系到公司运转的其它任何信息，比如商业战略前景。

私有是仅在企业内部使用的个人信息分类。如果未授权的人（尤其是社会工程师）获得了私有信息，员工和公司都将受到严重影响。私有信息内容包括：员工病历、健康补助、银行帐户、加薪历史，和其它任何没有公共存档的个人识别信息。

注释：

内部信息分类通常由安全人员设定，我使用了“内部”这个词，因为这是分类使用的范围。我列出的这些敏感分类并不是详细的安全等级，而是查阅机密、私有和内部信息的快捷方式，用另一句话说，敏感程度涉及到了任何没有指定为公共权限的公司信息。

内部信息分类能提供给任何受雇于企业的员工。通常，内部信息的泄漏不会对公司（股东、商业伙伴、客户或员工）造成严重影响，但是，熟悉社会工程学技能的人能用这些信息伪装成一个已授权的员工、承包人或者厂商，从没有丝毫怀疑的员工那里获得更多敏感信息突破企业计算机系统的访问限制。

必须在传递内部信息给第三方（提供商、承包人、合作公司等等）之前与其签署一份保密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息，比如企业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。

公共信息被明确规定为公共可用。这种信息类型，比如新闻稿、客服联系信息或者产品手册，能自由地提供给任何人。需要注意的是，任何为指定为公共可用的信息都应当视为敏感信息。

第十六章 推荐的信息安全策略（3）

数据分类术语

基于其分类，数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证的人访问信息，在这些策略中，未验证的人指的是员工并不亲自认识的人和不能确定是否有访问权限的员工，还有无法保证可信的第三方。

在这些策略中，可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问，也可以是与你的公司有合作关系的人（比如，客户、厂商或者签署了保密协议的战略合作伙伴）。

在第三方的保证中，可信的人可以验证一个人的职业或身份，和这个人请求信息或操作的权限。注意，在某些情况下，这些策略会要求你在响应信息或操作请求之前确认保证者仍然受雇于公司。

特权帐户是指需要超越基本用户帐户权限的计算机（或其它）帐户，比如系统管理员帐户。有特权帐户的员工通常能更改用户权限或执行系统操作。

常规部门信箱是指回答一般问题的语音信箱，用来保护在特殊部门工作的员工的名字和分机号码。


验证与授权程序

信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴，使用欺骗策略访问机密商业信息。为了保护信息安全，员工在接受操作请求或提供敏感信息之前，必须确认呼叫者的身份并验证他的权限。

本章中推荐的程序能帮助一名收到请求（通过任何通讯方式，比如电话、email或传真）的员工判断其是否合法。

可信者的请求

针对可信者的信息或操作请求：

确认其是否当前受雇于公司或者有权访问这一信息分类，这能阻止离职员工、厂商、承包人、和其他不再与公司有关系的人冒充可信的职员。


验证此人是否有权访问信息或请求操作。

未核实者的请求

当遇到未核实者的请求时，必须使用一个合理的验证程序确认请求者是否有权接收请求的信息，尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工程学攻击的关键：只要实施了这些验证程序，社会工程学攻击成功的可能性将大大减小。
需要注意的是，如果你把程序设置得过于复杂，将超过成本限制并被员工忽略。

下面列出了详细的验证程序步骤：

验证请求者是他（或她）所声称的那个人。
确认请求者当前受雇于公司或者与公司有须知关系。
确认请求者已被授权接收指定信息或请求操作。

第一步：验证身份

以下列出的推荐步骤按有效性从低到高排列，每一条中还加入了社会工程师行骗的详细说明。
1、来电显示（假设这一功能已经包括在了公司的电话系统之中）。用来电显示确认电话是来自公司内部还是公司外部，显示的名字和电话号码是否符合呼叫者提供的身份。
弱点：外部来电显示信息可以被任何能用PBX或者电话交换机连接到数字电话服务的人伪造。
2、回拨。在公司的目录中查询请求者的名字，并通过列出的分机号码回拨确认请求者的身份。
弱点：当员工回拨电话时，准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点：攻击者可以伪装成一个可信员工，让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号，比如每日密码。
弱点：如果有很多人知道这个接头暗号，攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点：如果请求者提供了他（或她）的上司的电话号码，员工联系上的也许是攻击者的同谋。
6、安全Email。请求数字签名信息。
弱点：如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码，他便可以像普通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点：这是相当安全的方法，攻击者无法轻易突破，但是如果没有见过请求者（或者和请求者说过话），这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案（比如安全ID）识别自身。
弱点：攻击者可以获取其中的动态密码设备和相应的员工PIN码，或者欺骗员工读出PIN设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点：攻击者可以偷窃员工证件，或者直接伪造一张。然而，攻击者通常会避免这样做，以减小被发现的可能性。

第二步：验证员工身份

最大的信息安全威胁并不是专业的社会工程师，也不是熟练的计算机入侵者，而是刚刚解雇想要报复或者偷窃公司商业信息的员工。（注意，这一步骤的另一个版本可用于和你的公司有另一种商业关系的人，比如厂商、顾问或契约工人）
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前，使用下面这些方法验证请求者是否仍是公司的员工：
查看员工目录。如果公司有一份活动员工目录，可以查看请求者是否仍在列表中。
请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司，而不是使用请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组，从该部门或工作组的任何人那里确认请求者仍是公司的员工。

第三步：验证权限

除了验证请求者是否为活动员工或者与公司有关联之外，仍然有必要确认确认请求者已被授权访问所请求的信息，或者已被授权指导指定的计算机或计算机相关的设备操作。

可以使用以下这些方法进行验证：

职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息，并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常，信息所有者应当负责创建并维护这一列表，监控信息的访问。

注释

值得注意的是，维护这种列表是在邀请社会工程师，试想一下，如果攻击者将一家公司作为目标，就会知道这一列表的存在，并有足够的兴趣获取一份，这一列表能为攻击者打开方便之门，使公司陷入严重的危机之中。

获得上司授权。员工联系他（或她）自己的上司，或者请求者的上司，请求授权同意这一请求。

获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问，基于计算机的访问控制程序可以让员工联系他（或她）的顶头上司申请访问基于工作任务的信息，如果这一任务不存在，管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当保证信息所有者不会拒绝常用信息的请求。

获得专业软件程序授权。对于高竞争性产业的大公司，可以使用专业软件程序进行授权。这种软件的数据库中存储了员工的姓名和机密信息访问权限，用户无法查看每个人的访问权限，但可以输入请求者的名字，并找到相关的权限信息。这种软件提供了响应标志，可以判断员工是否已被授权访问这一信息，并用独立的权限信息消除了创建个人列表的危险性。