Mitnick 说,这个部门应接受社会工程学的训练,能敏锐地察觉任何可疑的安全攻击并加以调查,且能有效、迅速地随机应变。
这位Mitnick 安全顾问公司(昔称Defensive Thinking)的创始人也呼吁,企业应妥善向员工宣导,巩固内部的“人身防火墙”(human firewall)。
本周在雪梨举行的一场社会工程学预防工作小组座谈会中,Mitnick 与商业合伙商人Alex Kasperavicius警告,黑客可能利用社会工程学的一些技巧,利用员工心理上的弱点,回避企业的安全技术防护。
CNET
Mitnick 说,若黑客能轻易说服公司的某个员工透露登录信息,企业就算砸下数百万美元安装最新型的软硬件保护企业网络,又有何用?
他说:“黑客会寻找最弱的环节切入。安全计划是由人员、程序与技术组成的。你的公司可能在某方面很强,例如技术方面,但或许员工未接受良好的训练,那正是歹徒下手的对象。黑客会找最方便的门路溜进去。”
Mitnick 和Kasperavicius 举例说,两人在离开洛杉矶之前,曾到某知名女艺人的办公室,取得她所属公司的一些垃圾袋。去除披萨盒、饮料罐等垃圾之后,留下的是大量印出来的电子邮件信息、传真、薪资单、电话帐单等文件。两人要求与会者搜索这些“垃圾”,看看能否找出任何有助于发动攻击之物。
在薪资清单和发票中,与会代表发现竟有知名流行歌手Christina Aguilera与另一知名摇滚乐吉他手的住宅电话号码及移动电话号码,以及印有某电视明星个人网站网址、使用者名称及密码的打印文件。
“在这堆垃圾中,你发现便利贴字条、行事录、帐单、系统名称以及通讯信件。翻寻企业垃圾的人士也找得到竞争情报,那不只是黑客或工业间谍的专利,”Mitnick 说。
他还示范社会工程学者如何运用假扮IT服务员、说服员工透露密码等伎俩,向不知情的员工套出重要的信息。有的人甚至精心安排复杂的骗术,在组织内潜伏数月,假冒他人身份,进行信息收集。
Mitnick 建议与会代表建立并落实安全政策,包括对这类社会工程技俩的防范措施在内。他说,不同部门的员工应训练他们提防不同类型的攻击,例如,锁定安全警卫或远距上班员工的攻击伎俩,就不大可能用来对付接待人员。
- 关键字搜索:
- 传奇
看完这篇文章觉得
排序