人因安全
在信息安全中,我们把人称为安全程序的“薄弱环节”。不管你设置了什么安全措施,都几乎无法控制你的员工,他们可能会点击危险链接、通过不受保护的通道发送敏感信息、泄露密码或在显眼位置发布重要数据等。
更糟糕的是,攻击者可以利用这些癖好进行社会工程学攻击,操控他人来获取信息或访问设备。这些攻击通常依赖于人们帮助他人的意愿,特别是当面对似乎陷入困境的人、有威胁性的人(如高层经理)或看起来熟悉的人时。
搜索信息实施社会工程学攻击
- 人力情报
- 开源情报(简历与招聘信息,社交媒体,公共记录,谷歌黑客,文件元数据)
- 其他类型的情报(地理空间情报,测量和签名情报,信号情报,技术情报,金融情报,网络情报)
谷歌黑客
- site 将结果限制在特定站点(site:nostarch.com)
- filetype 将结果限制为特定的文件类型(filetype:PDF)
- intext 查找包含一个或多个词的页面(intext:security)
- inurl 查找 URL 中包含一个或多个词的页面(inurl:security)
社会工程学攻击类型
- 托词(伪装值得信任的人)
- 钓鱼攻击
- 尾随
通过安全培训计划来培养安全意识
密码
- 强密码避免
- 使用相同密码
社会工程学培训
网络使用
恶意软件
- 他们不认识的人发来的电子邮件附件。
- 包含潜在可执行文件类型并可能包含恶意软件(如 EXE、ZIP 和 PDF)的电子邮件附件。
- 使用http://bit.ly/等短URL的网页链接(如果有疑问,可以使用诸如http://LinkExpander.com/或http://unshorten.me/等工具验证短URL的目的地)。
- 名称与预期名称略有不同的 Web 链接(例如,myco.org 而不是 myco.com)。
- 来自非官方下载网站的智能手机应用程序。
- 盗版软件。