北京時間9月5日消息,據國外媒體報道,最近,由一群精英黑客充當的測試者對17家財富500強企業中的135名員工進行了安全意識測試,結果發現只有五位員工無論如何也不肯透露他們公司的任何信息。更令人驚訝的是,這五名員工竟然全部是女性。
名企員工普遍缺乏安全意識
這是組織者繼上月舉辦全球最負盛名的Defcon黑客大會后,實施的一次“社會工程學”(Social Engineering)安全測試活動。社會工程學,準確地說,不是一門科學,而是一門藝術和學問。它利用人的弱點,以順從你的意愿、滿足你的欲望的方式,讓你上當受騙。此次測試的結果耐人尋味。組織者已向美國聯邦調查局簡要匯報了他們的測試結果,但是他們還擬于下周發布一份更為詳細的報告。
在這個為期兩天的測試活動中,測試者選擇了17家大型企業,包括谷歌、沃爾瑪、賽門鐵克、思科、微軟、百事、福特和可口可樂。測試者們坐在一個用樹脂玻璃制成的電話亭中,在觀眾的監督下,分別給這幾家著名企業的員工打電話,試圖套取他們公司的信息。
結果令人大跌眼鏡,測試者們竟然輕松得手,測試活動的組織者克里斯-哈德納吉說。只有一家公司沒有泄露自己的信息,但原因只是無人接聽電話。“如果我們選擇其中的任何一家公司進行社會工程學方面的安全測試,恐怕沒有一家公司能夠及格。”哈德納吉說。
在測試中,測試者不允許索要密碼或身份證號等異常敏感的信息,而只準套取那些可能會被別有用心的黑客們利用的信息,例如被測試者安裝的操作系統、防病毒軟件和瀏覽器等信息。他們還竭力說服被測試者訪問未經安全認證的網頁。
在測試中,人們發現了一種有趣的現象:約有一半的公司仍在使用眾所周知具有嚴重安全漏洞的IE 6瀏覽器。而且,當測試者說服這些企業的員工訪問一個專為本次測試活動設計的外部網站時,這些員工最后總是乖乖就范,真的按照測試者的要求行事。
這個結果表明,即使安全防御措施最嚴密的公司,也可能因為員工在無意中泄密而土崩瓦解。
安全培訓不能一勞永逸
思科公司的高級安全顧問克里斯多弗-伯吉斯說,這些安全威脅是實際存在的。“在現實生活中,許許多多的公司都會接到像這樣的假冒電話。”他說,“這已成為不法分子套取信息的一門絕活。”
有人曾打電話給思科公司,謊稱他們的系統崩潰,情勢危急,企圖誘使員工泄露他們本不該泄露的信息,伯吉斯說。“我們就是要訓練我們的員工,讓他們認識到社會工程學是一門手藝,許多別有用心的人欲借此操控他人實施某種行為或泄露敏感信息。”
思科公司已將其安全培訓手冊公之于眾,以期其他公司能從中有所收獲。盡管思科是此次社會工程學測試活動中被測試的公司之一,但是組織者哈德納吉并沒有透露它以及其他任何一家公司的信息。
回顧此次測試結果,伯吉斯說這表明了我們的安全培訓計劃一刻也不能放松。“在安全培訓方面,你不可能做到一勞永逸。”他說,“你必須經常變換花樣地開展這種培訓。”
許多測試者通過假冒內部審計人員或實施常規調查的顧問而成功地套取到了他們希望得到的信息。伯吉斯認為,員工應該知道何時掐斷這種假冒電話。“如果要從此次測試活動中總結一條經驗,我認為這條經驗就是:最好的防御方法就是培訓你的員工,在接聽電話時,如果辨認不出對方的聲音,請在提供有關公司的信息之前,先確認一下談話的對象是誰。”
女性員工的安全意識更強?
伯吉斯沒有談論為何所有拒絕測試者的員工均是女性。然而,根據組織者哈德納吉的觀點,不同的攻擊方法對不同的人的作用效果是不同的。也許測試者使用的這種社會工程學方法對女性并不起作用。
盡管如此,這五位女士的表現仍然令人敬服,哈德納吉承認,“在通話的前15秒,他們就直接回絕說‘這個好像不太適合我’,然后就毫無猶豫地地掐斷了電話。”然而,令人泄氣的是,他們同事的表現卻沒有這么好。
“顯而易見,他們已在職業培訓中獲得了某種安全意識。”他說。這五位女性員工拒絕測試者的原因還可能在于:所有的測試者都是男性。“當有男性摻和進來時,女性本能地會變得警覺起來。”
在這五位女性員工中,有三位是公司經理。一般來說,女性經理遭受社會工程學攻擊的可能性極小,Lake Missoula公司的總裁、曾為好幾家金融服務公司做社會工程學測試的安全顧問喬納森-哈姆說。“他們對人的信任感非常低,是最具有懷疑精神的一群人。”他說,“在針對公司高層的安全測試中,我常常會繞過女性職員,而專挑男性員工來打電話。”
進入論壇>>
(責任編輯:小齊)聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640. 如果你對網站有好的建議請點擊網站建議發表你的建議。
推薦閱讀
判決書寫道,YouTube必須停止發布這些視頻,并提供相關信息,以便計算出在這至少三起布萊曼視頻被上傳的案件中谷歌需要支付多少賠償金。 精彩推薦 據國外媒體報道,德國漢堡州立法院周五裁定,因用戶在其網站上上傳的>>>詳細閱讀
地址:http://www.sdlzkt.com/a/01/20111231/235361.html
網友點評
精彩導讀
科技快報
品牌展示