12、社会工程学安全评估：从短期到长期的策略与实践

社会工程学安全评估：从短期到长期的策略与实践

在信息安全领域，社会工程学攻击已成为一个不容忽视的威胁。一些看似无关紧要的信息，如“周五的饼干”，可能比密码更有价值。社会工程学安全评估可分为短期和长期策略，不同策略有着不同的特点和应用场景。

短期与长期攻击策略

• 短期策略 ：在进行社会工程学安全评估时，可能会采用“短期游戏”攻击策略。虽然这种策略不一定完全符合现实情况，但仍能为客户提供巨大价值。关键在于针对最相关的领域，并有效利用有限的时间，最终为客户提供对整体安全态势有重大影响的信息。
• 长期策略 ：对于没有时间限制的真实攻击者来说，他们采用的方法往往非常有效。攻击时间跨度越长，如持续数周或数月，成功的可能性就越大。客户若想探究“长期游戏”攻击技术相关的风险，有两种选择：一是投入大量资金进行长期的社会工程学评估；二是采取“风险管理”方法，将其作为书面练习来处理。不过，要记住社会工程学专业人员能为可能的“长期游戏”攻击提供深刻见解，使书面练习更准确、更相关。

社会工程学服务的商业需求

大多数企业在分配安全预算时，往往会完全忽视社会工程学，而将精力集中在传统的安全服务和产品上，如防火墙、入侵防御系统（IPS）和防病毒软件。然而，一个有动机且狡猾的社会工程师可以轻易绕过这些技术。这导致绝大多数企业和个人在应对恶意社会工程学时准备不足，最终可能导致数据丢失、尴尬局面，在合规方面还可能面临巨额罚款和工作量增加等问题。

过去，安全支出很难获得批准，因为它常被视为没有回报的保险政策而被忽视。但在过去5 - 10年里，情况发生了巨