渗透测试中的社会工程风险

    [多云 December 30, 2007 00:03 | by ]
来源:CNW
渗透测试作为企业风险评估的重要手段,目前已经得到了广泛应用。但在这一技术的测试下,各种基于社会工程风险的问题也暴露出来了,值得企业注意。

有效的测试手段

近期,美国Norwich大学John Orlando博士在其博客上披露了其利用渗透测试工具的经验。他在文中指出,经过多年的使用,他发现企业在渗透测试中暴露的最大威胁在于社会工程风险。

细心的读者可能还记得,记者在去年就曾对社会工程威胁进行过跟踪报道,其中涉及了信任攻击、欺诈攻击、信息诱惑攻击、疏忽攻击等多个环节。只不过这次的威胁与渗透测试与这种广泛被人认可的风险评估工具结合在了一起。

渗透测试是一种评估一家企业信息安全强度的重要手段。从内部看,企业安全系统可能显得很好,但测试是决定它能否抵御压力的最好办法。这些测试可以从简单的端口扫描到全面的黑客攻击。

但是,由于安全性取决于人而不只是技术,因此,社会工程是渗透测试中经常被使用的一种工具。欺骗是攻下安全系统的常见手段,而社会工程测试可以确定政策的强度以及雇员遵守这些政策的情况。

集中暴露的问题

多年的测试结果表明,大部分企业对于社会工程风险的考虑不足,集中表现为四类行为。

第一,捎带。一位穿西装打领带、手提公文包的安全咨询师站在一家企业的前门。他在等待一位漫不经心的雇员用她的ID扫描打开门并跟随她进门。

第二,窥探:一位安全咨询师注意到在休息时间站在门外吸烟的雇员。这时他走过去,当雇员输入密码重新进入大楼时从雇员背后窥探,利用得到的信息,这位安全咨询师进入了大楼。

第三,计算机技术员:两位安全咨询师穿着印有“计算机医生”的连身衣走进办公室并告诉行政助理,他们收到了修理系统的命令。助理说:“老板没有跟我提过这件事,他今天休假去了,联系不上。”两位安全咨询师回答说:“我们后两周的时间安排满了。系统温度过高,可能随时烧毁。如果系统因不允许我们修理而烧毁,有人要因此被解雇。你肯定没忘了命令吧?”助理神情紧张地让他们进去了。

第四,行贿:一位装作另一家公司代表的安全咨询师走近一位下班的雇员,向他开出50000美元的支票,以获得一些有关公司新产品计划的备忘录。

事后剖析

从这些案例不难看出,强大的信息技术在面临社会工程攻击时都有弱点。有趣的是,有的国内企业在这方面做的稍稍有些领先。据国内某保险公司IT经理透露,他们仅在北京地区进行的类似安全演习每年就不下四次,每次的主题都会涵盖业务连续性安全、规章制度挑战、人员安全意识考核等众多层面,其中还有针对不同部门的信息安全笔试等内容。

另外,记者上周曾接触了一位来自中国运载火箭技术研究院的工程师。他透露说,单位里不仅每月进行安全演习,而且对于人们经常会缺乏警惕或者被遗忘的安全问题,会在办公区域内进行公示,比如“注意笔记本电脑安全、禁止非工作人进入办公区、禁止拷贝、禁止连接网络”等,这些无时无刻都在提醒人们注意安全的简单、传统规则,确实对防御社会工程风险上起到了积极作用。

国内有安全专家警告企业的IT经理要提高警惕,目前安全威胁中基于社会工程进行的渗透正在大幅增长。企业除了要进行各种基于行为的安全演习,还必须能够做到事后的总结,包括记录那些有意义的改进措施,然后计划分阶段实施它们。

在这方面,一些美国企业推出了“安全改进日程表”标准。据悉,这一标准除了包括建议外,还包括资源限制和依赖关系的网络图示,对于社会工程资源的安全掌控非常有意义。
InfoSecurity | Comments(0) | Trackbacks(0) | Reads(7163)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive