社會(huì)工程學(xué) 信息安全對(duì)抗新領(lǐng)域

　信息安全的脆弱性是普遍存在的，任何一個(gè)系統(tǒng)都具有潛在的安全風(fēng)險(xiǎn)。 近年來，利用社會(huì)工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)，成為信息安全保密工作中最脆弱的 一個(gè)環(huán)節(jié)。
 
社會(huì)的與風(fēng)險(xiǎn)的

　　社會(huì)工程學(xué)（Social Engineering)是一種利用人的弱點(diǎn)： 如人的本能反應(yīng)、好奇心、信任、貪婪等進(jìn)行諸如欺騙、傷害等危害手段，獲取自身利益的手法。

　　近年來，由于信息 安全廠商不斷開發(fā)出更先進(jìn)的安全產(chǎn)品，系統(tǒng)安全防范在技術(shù)上越來越嚴(yán)密，使得攻擊者利用技術(shù)上的漏洞變得越來越困難。于是， 更多的人轉(zhuǎn)向利用人為因素的手段----社會(huì)工程學(xué)來進(jìn)行攻擊。

　　許多信息技術(shù)從業(yè)者都普遍存在著類似的一種觀念： 他們認(rèn)為自己的系統(tǒng)部署了先進(jìn)、周密的安全設(shè)備----防火墻、IDS、IPS、漏洞掃描、防病毒網(wǎng)關(guān)、內(nèi)容過濾、安全審計(jì)、身份認(rèn)證 和訪問控制系統(tǒng)，甚至于最新的UTM和防水墻，以為靠這些安全設(shè)施即可保證系統(tǒng)的安全。

　　事實(shí)上，很多安全行為出 現(xiàn)在騙取內(nèi)部人員（信息系統(tǒng)管理、使用、維護(hù)人員等）的信任，從而輕松繞過所有技術(shù)上的保護(hù)。信任是一切安全的基礎(chǔ)，對(duì)于保 護(hù)與審核的信任，通常被認(rèn)為是整個(gè)安全鏈條中最薄弱的一環(huán)。為規(guī)避安全風(fēng)險(xiǎn)，技術(shù)專家精心設(shè)計(jì)的安全解決方案，卻很少重視和 解決最大的安全漏洞----人為因素。

　　無論是在現(xiàn)實(shí)世界還是在虛擬的網(wǎng)絡(luò)空間，任何一個(gè)可以訪問系統(tǒng)的人，都有可 能構(gòu)成潛在的安全風(fēng)險(xiǎn)與威脅。很多最敏感的信息存在于人的頭腦當(dāng)中，各種安全設(shè)施要由人來掌控，這意味著如果沒有把“人 ”這個(gè)因素放進(jìn)整體安全管理策略中去，僅僅熱衷于技術(shù)層面的所謂全面解決方案，仍將會(huì)存在一個(gè)很大的安全“裂縫 ”，或者說是整個(gè)安全“木桶”存在著最短的一塊木板。

　　缺乏對(duì)社會(huì)工程學(xué)防范的信息系統(tǒng)，不管 其安全技術(shù)多么先進(jìn)完善，很可能會(huì)成為一種自我安慰的擺設(shè)，其投入大筆資金購置的最先進(jìn)的安全設(shè)備，很可能成為一種浪費(fèi)。

　　Gartner集團(tuán)信息安全與風(fēng)險(xiǎn)研究主任Rich Mogull認(rèn)為：“社會(huì)工程學(xué)是未來10年最大的安全風(fēng)險(xiǎn)，許多破壞 力最大的行為是由于社會(huì)工程學(xué)而不是黑客或破解行為造成的”。一些信息安全專家預(yù)言，社會(huì)工程學(xué)將會(huì)是未來信息系統(tǒng)入侵 與反入侵的重要對(duì)抗領(lǐng)域。

　　新的攻擊手段

　　社會(huì)工程學(xué)攻擊基本上可以分為兩個(gè)層次：物理的和心理 的。與以往的入侵行為相類似，社會(huì)工程學(xué)在實(shí)施之前要完成很多相關(guān)的前期工作的，這些工作甚至要比后續(xù)的入侵行為本身更為繁 重和更具技巧，或者說更為“藝術(shù)”。

　　這些工作包括：社會(huì)工程學(xué)的實(shí)施者（一般稱為社會(huì)工程師）必須 掌握心理學(xué)、人際關(guān)系學(xué)、行為學(xué)等知識(shí)與技能，以便收集和掌握實(shí)施入侵行為所需要的相關(guān)資料與信息。通常為了達(dá)到預(yù)期目的， 社會(huì)工程學(xué)攻擊都要將心理的和行為的攻擊兩者結(jié)合運(yùn)用。其常見形式包括了：

　　第一，偽裝。從早期的求職信病毒、 愛蟲病毒、圣誕節(jié)賀卡到目前流行的網(wǎng)絡(luò)釣魚，都是利用電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)的。有調(diào)查顯示,在所有接觸詐騙 信息的用戶中，有高達(dá)5%的人都會(huì)對(duì)這些騙局做出響應(yīng)。攻擊者越來越喜歡玩弄社會(huì)工程學(xué)的手段，把惡件、間諜軟件、勒索軟件 （ransom-ware）、流氓軟件等網(wǎng)絡(luò)陷阱偽裝起來欺騙被害者。

　　第二，引誘。社會(huì)工程學(xué)是現(xiàn)在多數(shù)蠕蟲病毒進(jìn)行傳 播時(shí)所使用的技術(shù)，它使計(jì)算機(jī)用戶本能地去打開郵件，執(zhí)行具有誘惑性同時(shí)具有危害的附件。例如，用一些關(guān)于某些型號(hào)的處理器 存在運(yùn)算瑕疵的“瑕疵聲明”或更能引起人的興趣的“幸運(yùn)中獎(jiǎng)”、“最新反病毒軟件”等說辭， 并給出一個(gè)頁面連接，誘惑你進(jìn)入該頁面運(yùn)行下載程序或在線注冊(cè)個(gè)人相關(guān)信息，利用人們疏于防范的心理引誘你上鉤。

　　第三，恐嚇。利用人們對(duì)安全、漏洞、病毒、木馬、黑客等內(nèi)容會(huì)特別敏感，以權(quán)威機(jī)構(gòu)的面目出現(xiàn)，散布諸如安全警告、系統(tǒng) 風(fēng)險(xiǎn)之類的信息，使用危言聳聽的伎倆恐嚇欺騙計(jì)算機(jī)用戶，聲稱如果不及時(shí)按照他們的要求去做就會(huì)造成致命的危害或遭受嚴(yán)重?fù)p 失。

　　第四，說服。社會(huì)工程師說服目標(biāo)的目的是增強(qiáng)他們主動(dòng)完成所指派的任務(wù)的順從意識(shí)，從而變?yōu)橐粋�(gè)可以被信 任并由此獲得敏感信息的人。大多數(shù)企業(yè)咨詢幫助臺(tái)人員一般接受的訓(xùn)練都是要求他（她）們熱情待人并盡可能地為來人來電提供幫 助，所以這里就成了社會(huì)工程學(xué)實(shí)施者獲取有價(jià)值信息的“金礦”。

　　第五，恭維。社會(huì)工程師通常十分友 善，很講究說話的藝術(shù)，知道如何借助機(jī)會(huì)去迎合人，投其所好，使多數(shù)人會(huì)友善地作出回應(yīng)，恭維和虛榮心的對(duì)接會(huì)讓目標(biāo)樂意繼 續(xù)合作。

　　第六，滲透。通常社會(huì)工程學(xué)攻擊者都擅長(zhǎng)刺探信息，很多表面上看起來豪無用處的信息都會(huì)被他們利用來 進(jìn)行系統(tǒng)滲透。通過觀察目標(biāo)對(duì)電子郵件的響應(yīng)速度、重視程度以及可能提供的相關(guān)資料，比如一個(gè)人的姓名、生日、ID、電話號(hào)碼 、管理員的IP地址、郵箱等都可能被利用起來，通過這些收集信息來判斷目標(biāo)的網(wǎng)絡(luò)架構(gòu)或系統(tǒng)密碼的大致內(nèi)容，從而用口令心理學(xué) 來分析口令，而不僅僅是使用暴力破解。

　　除了以上的攻擊手段，一些比較另類的行為也開始在社會(huì)工程學(xué)中出現(xiàn)，其 中包括像翻垃圾（dumpster diving）、背后偷窺（shoulder surfing）、反向社會(huì)工程學(xué)等都是竊取信息的捷徑辦法。

　　催生新型防御手段

　　俗話說道高一尺，魔高一丈，面對(duì)社會(huì)工程學(xué)帶來的安全挑戰(zhàn)，企業(yè)必須適應(yīng)新的防御方法， 主要包括了：

　　第一，增加網(wǎng)站被假冒的難度。據(jù)國際反網(wǎng)絡(luò)詐騙組織2005年的報(bào)告顯示，中國已經(jīng)成為世界上第二大 擁有仿冒域名及網(wǎng)站的國家，占全球的12%。銀行界人士分析，域名過長(zhǎng)是假冒的根源。據(jù)悉，為預(yù)防不法分子用假域名進(jìn)行網(wǎng)絡(luò)釣魚 ，截至今年上半年國內(nèi)已有14家銀行更改了網(wǎng)銀域名，包括更多地使用.CN域名。如建設(shè)銀行網(wǎng)銀域名從ccb.com.cn升級(jí)為ccb.cn，中 國銀行域名由bank-of-china.com變更為boc.cn。同時(shí)，企業(yè)需要定期對(duì)DNS進(jìn)行掃描，以檢查是否存在與公司已注冊(cè)的相類似的域名 。此外，一般來說，在網(wǎng)頁設(shè)計(jì)技術(shù)上不使用彈出式廣告、不隱藏地址欄及框架的企業(yè)網(wǎng)站被假冒的可能性較小。

　　第 二，加強(qiáng)內(nèi)部安全管理。盡可能把系統(tǒng)管理工作職責(zé)時(shí)進(jìn)行分離，合理分配每個(gè)系統(tǒng)管理員所擁有的權(quán)力，避免權(quán)限過分集中。為防 止外部人員混入內(nèi)部，員工應(yīng)佩戴胸卡標(biāo)示，設(shè)置門禁和視頻監(jiān)控系統(tǒng)；嚴(yán)格辦公垃圾和設(shè)備維修報(bào)廢處理程序；杜絕為貪圖方便， 將密碼粘貼或通過QQ等方式進(jìn)行系統(tǒng)維護(hù)工作的日常聯(lián)系。

　　第三，開展安全防范訓(xùn)練。安全意識(shí)比安全措施重要的多 。防范社會(huì)工程學(xué)攻擊，指導(dǎo)和教育是關(guān)鍵。直接明確地給予容易受到攻擊的員工一些案例教育和警示，讓他們知道這些方法是如何 運(yùn)用和得逞的，學(xué)會(huì)辨認(rèn)社會(huì)工程攻擊。在這方面，要注意培養(yǎng)和訓(xùn)練企業(yè)和員工的幾種能力，包括：辨別判斷能力、防欺詐能力、 信息隱藏能力、自我保護(hù)能力、應(yīng)急處理能力等。