垃圾搜寻:从一家公司的垃圾中(通常是在外部和易受攻击的地方)找出被抛弃的可用于社会工程学攻击的信息,例如内部的电话号码或资料。
可能这对于詹姆士•邦德而言太卑鄙了——电影人更愿意看到他用计谋去打败坏人,而不是在垃圾堆中努力奋斗。当一些有价值的东西周围堆放着香蕉皮、咖啡渣、报纸和食品目录时,现实中的特工很少有放弃的,特别是如果搜集这些信息不会给他们带来危险的话。
当大卫回来的时候,哈伦要他再次连接到公路局的电脑系统并用一个相同的文件覆盖掉之前找到的那个文件。之后哈伦给大卫看了那个电视游戏机,并许诺一切顺利的话,第二天他就可以拿到它。
想不到预算听证会这种很无聊的事情能让这么多人感兴趣,郡参议会的办公室里挤满了记者、专业兴趣组的代表、公众成员,甚至还有两个电视新闻组。 乔治在这些会议上总是有些战战兢兢。郡参议会掌管着财政,如果他不能拿出一份有说服力的报告的话,公路局的预算就会被否决掉,然后每个人都会开始抱怨道路上的洞坑、不亮的红绿灯和危险的十字路口,并且责怪他,接下来整整一年的生活都会变得极度拮据。但是这天晚上当他被介绍时,他很有自信地站了起来。他已经为这个报告工作了六个星期,还给他的妻子、高层的同事和一些敬重的朋友试验过这个 PowerPoint 演示,每个人都认为这 是他有过的好的报告。 起先的三个 PowerPoint 图片显示得很好,换了个心情,每一个参议会的成员都专心起 来,他有效地表达了自己的观点。 然后一切都突然变得不正常了,第四张图片应该是去年新扩建的公路日落时的美丽画面,却变成了一些令人难堪的东西,一张来自《阁楼》或《好色客》杂志的图片。当他匆忙点击便携式电脑的按钮进入下一张图片时,他听到下面的观众全都倒吸了一口气。 这一个更糟,简直就难以想象。 他仍然试图单击到另一张图片,但观众里的某个人拔下了放映机的插头,然后主席重重地敲下了他的槌子,压过喧闹大声宣布会议暂停。
经验和统计图表都清晰地表明了企业面临的大威胁来自于内部人员,内部人员知道哪里有贵重信息,攻击哪里可以造成大伤害。
慎重处理垃圾 垃圾搜寻的故事揭示了公司的垃圾存在的潜在危险。 下面是八条与之相关的至理名言:
1.基于敏感程度对敏感资料进行分类。
2.在整个公司范围内建立敏感资料丢弃程序。
3.坚持在丢弃敏感信息时先将其粉碎,并使用一个安全的方法去除无法再剪碎的小纸片上的重要信息。碎纸机绝对不能处于低档粉碎状态,一个坚定的攻击者,加上足够的耐心,就可以把这些低档粉碎出来的纸片拼起来。只要很好的使用了交叉碎纸机,他们得到的就会是无用的纸浆
4.将那些电脑媒体——软盘、Zip 盘、被用来存储文件的 CD 和 DVD、可移动磁盘、旧硬盘等——完全清除或使其无法使用,在它们被丢掉之前。记住,删除文件事实上并没有将其清除,它们还可以被恢复——就像 Enron 主管和其他许多人从他们的惊讶中学到的那样,把电脑媒体扔到垃圾桶里是在向当地友好的垃圾搜寻者发出邀请。(处理媒体与设备的详细指导方针见第 16 章)
5.在选择清洁队成员上保持适当程度的控制,如果允许的话进行后台检查。
6.周期性地提醒员工回想他们扔到垃圾桶里的资料种类。
7.锁定垃圾搜寻者。
8.对敏感资料使用分散存储空间,与可信赖的专业资料处理公司签订合同。
对员工说再见
这一点在这几页之前就谈到了,当一名离职员工想要获得敏感信息、密码、拨入号码等等时,需要执行严格的程序。你的安全程序需要提供一个多种系统的授权纪录。也许很难阻止一个坚定的社会工程师突破你的防御网,但是不要让一个离职员工都可以轻易做到。
另一个措施很容易被忽视:当一名可以从存储器恢复备份数据的员工离开时,应当为存储器调用一个写好的策略,马上通知将她的名字从授权列表中删除。
这本书的第十六章详细讲述了这个重要主题,但是在这里列出某些适当的安全措施很有帮助,就像通过那个故事强调的那样:
按照一张完整、严格的步骤列表上的内容处理一名员工的离职,对于访问过敏感数据的员工要有特殊的规定。
关闭员工的直接访问权限——好在其离开公司之前。
不仅恢复员工 ID 证件需要按程序进行,任何密匙或电子访问设备也同样需要。
规定在允许任何没有安全密码的员工进入之前安全警卫要查看他或她的照片 ID,在验 证列表上核实姓名,确定这个人仍是这家公司的员工。
更多的步骤对于一些公司而言未免太繁琐或太昂贵了,但是却适合一些其他的公司,下 面是一些更严格的安全措施:
电子 ID 证件结合入口处的扫描器,当每个员工将他的证件从扫描器上划过时,电子实时判断会得出此人为当前员工并有权进入大楼。(注意,无论如何还是必须被培训安全警卫提防蒙混过关者——一个未经认证紧跟在合法员工身后的人。)
所有员工都必须在同一组内,当某个人离开时(尤其是如果这个人被解雇了)更改他们的密码。(看上去很偏激?在通用电器公司工作的那一段时间之后很多年,我了解到当太平洋电话的警卫听到通用电器公司把我解雇了时,“到处都是笑声。”但是对于通用电器公司的信任,当他们了解到一个有名的黑客曾经为他们工作时,在解雇了我之后,他们就必须更改公司里所有人的密码!)
你不想让你的公司变得像牢房一样,但是同时你需要防范那些刚被解雇就跑来想做坏事的人。
保护 IT 部门!
忠告:在你的公司里,IT 部门的每一位员工或许都知道(或能花几分钟时间找出)你 的收入、CEO 的实得工资和谁用了公司的钱去滑雪度假。
在一些公司甚至有可能出现 IT 人员或会计人员给他们自己加工资、向一个伪造的卖家付款、删除人力资源档案中消极的评价等情况。有时候只是因为担心被抓住,他们才没有那样做,直到有一天,某个贪婪或本性不诚实的人冒着风险做了所有他认为能免于责罚的事情。
这里当然也有解决方案,可以通过配置严格的访问控制来保护敏感文件,所以只要验证访问者有权打开它们。有一些操作系统的审核控制能设定保留事件的日志,比如每一个试图访问敏感文件的人(无论是否访问成功)。
2020-05-21