来源:远方网络 | 2005-5-15 18:12:44 | (有1776人读过)
关联
不管怎么说,社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。我们可以说系统管理员、计算机安全执行官、技术研究人员、那些依靠计算机/网络进行工作又或者通过其进行通信的人与大多数黑客使用社会工程学进行攻击的目标都是有莫大的关联的。
有高度关联性的个体大多会被强而有利的论据所说服。事实上你可以给予他们更多强而有利的论据来支持你的观点。当然,那些观点也有薄弱的一面。你是否将论点薄弱的一面展现给有高度关联的人知道将极大可能地决定你是否能说服此人。当某人有可能直接被社会工程学攻击所影响,若此时出现薄弱的论据将有可能会导致其思想上产生“相反”的意识。所以面对与你的目的有关联的人时你必须给予强而有力的论据,而避免出现理由薄弱的论据。
相对于对你的指引或你想得到的结果并不敢兴趣的人,你可以把他们列入“低关联的人”这个类别中去。相关的例子如:一个网络系统机构中的保安人员、清洁工人、又或者是前台接待小姐等。因为低关联类别的个体并不会直接对你的目的/结果造成影响,而且他们往往不会去分析你用来说服他们的论点的双面性问题。他们的决策往往会遵循你的意愿又或者是完全不受其它的“意识”所影响。这些的“意识”如:社会工程学所提供的理由、表面形势上的迫急性又或者是在某人强烈的说服下。凭经验而论,在这样的情况下我们只能尽可能地给予其更多的论据与理由了,估计这样的效果会更好一些。基本上,对于那些与你的意识不一致的人,试图用大量的论据和指引去说服他们更胜于他们与你的目的的关联程度。
有一点是需要注意的:在进行某些工作的时候,能力低的个体更多会去仿效能力高的个体的行为模式。在计算机系统管理方面,“能力低的个体”大多是指上文所提到的“低关联的人”。站在上述的观点上考虑,不要试图对系统管理员这类别的个体进行社会工程学攻击,除非其能力不及你,不过这样的可能性非常的低。
防御他人的攻击
综合上述的资料能否让读者更好地保障他们整个计算机系统的安全呢?其实踏出“美好的”第一步就是要视乎员工们能否在自己的工作岗位上保障自己的计算机系统的信息安全。这不但需要你无条件地增强他们的安全防范意识,而且你自身也必须具备更高的警惕性。打个比方,如果你让某人专门负责保护你的计算机系统安全的话,那么就有便利于那个人在没有正常许可的情况下访问你系统的可能了。
无论如何,对付与防御这类型攻击的最有效手段,也作为最常见的手段,就是“教育/培训”了。第一步是教育你的雇员与那些有可能被利用作为社会工程学实施目标的人关于计算机/信息安全的重要性。直接给予容易攻击的人们一些预先的警告已经足以让他们去辨认社会工程攻击了。不过要记着,在教育他们计算机信息安全的时候可以使用一些故事及其“双面性”来作为例子。这并不是我自己的个人喜好哦。当个体明白了这个焦点的“双面性”以后他们基本上就不会动摇他们所处的立场了。而且如果他们是专注于计算机安全技术的话,那么他们更有可能会站在维护你的数据安全的立场上。
也有不会遵从人们的说服力倾向而作出行动的思维因素的。在这里你必须有清晰的思维、高度的创造力、可以应付和处理压力的能力与适当的自信。压力的处理能力与自信可以通过后天培养。至于自身的主张和见解常常被用于对员工的管理方面,训练它可以减少某些个体被施行社会工程学攻击的机会,也有助于其他方面的工作。
了解各种使人们的信息安全意识降低与威胁你的安全策略的因素。其实这方面只需要投入小量的精力就可以在降低安全风险方面产生很大的成效了。
结论
与普遍的思想观念相反,运用社会工程学捕捉人们的心理状态的技巧要比入侵一个sendmail容易得多。但如果你想让你的员工去预防与检测社会工程学攻击的话,其效果绝对不会比你让他们去维护UNIX系统安全的效果明显。
站在系统管理员的立场上,不要让“人之间的关系”问题介入你的信息安全链路之中,以至于让你的努力前功尽弃。站在黑客的立场上呢,当系统管理员的“工作链”上存放有你所需要的数据时,千万不要让他“摆脱”自身的脆弱环节
|