39、社会工程攻击防范：政策与程序的关键作用

社会工程攻击防范：政策与程序的关键作用

1. 社会工程攻击防范的重要性

在当今数字化时代，信息安全面临着诸多威胁，其中社会工程攻击已成为头号网络安全威胁。要实现对信息资产的有效保护，需要通过正式的政策和程序提高安全意识，并配合包含社会工程内容的安全意识培训项目。

以特洛伊围城为例，如果当时有关于接受意外礼物的严格政策，或者特洛伊居民接受过强调利用人性弱点的安全意识培训，围城的结局可能会大不相同。这表明，良好的安全政策和程序对于保护资产至关重要。

1.1 政策实施的常见问题

许多企业在实施政策和程序时存在问题，以下是两个典型例子：
- 例一 ：某组织因遭遇盗窃引入了一系列物理安全控制措施，随后制定了下班检查程序，要求最后离开的人确保门窗关闭和敏感文件妥善保管。起初效果良好，但随着时间推移，员工产生懈怠，窗户再次被打开，管理部门的警告也未能有效阻止类似情况再次发生，甚至高级管理人员也未认真执行该程序。
- 例二 ：某公司为保护敏感数据引入了桌面整洁政策，要求员工将敏感数据锁在安全的办公家具中。然而，该政策仅作者和审批人知晓，未向所有处理敏感信息的员工公开。结果，一名清洁工在清理时误将敏感文件当作垃圾扔掉，可能导致机密泄露或业务受到重大影响。

这些例子说明，政策和程序对于解决人员相关的安全弱点、确保资产保护至关重要。如果负责安全的人员不认真执行，再好的安全措施也会失去价值。

1.2 社会工程攻击的阶段与人性弱点

社会工程攻击者通常通过四个阶段（准备、操纵、执行和利用）来利用人类行为中的固有弱点，包括：
- 信任
- 乐于助人
- 追求“快速胜利”
- 好奇心
- 无知
- 粗心大意

因此，企业若想采取积极主动的方法降低风险，应从制定完善的政策和程序开始。这些文件应针对最容易受到社会工程攻击的两类人群（基于人类的攻击和基于计算机/IT的攻击），使用通俗易懂的语言，简洁明了地阐述公司的目标以及员工必须做和不能做的事情。同时，由于业务和技术环境不断变化，必须定期审查这些支持文件，确保其相关性并及时更新版本。

2. 行业信息安全和网络安全标准

为帮助组织提高信息安全和网络安全防御能力，有许多行业标准可供企业参考。然而，尽管社会工程攻击是头号网络安全威胁，但在各种行业安全标准（如IEC 27001:2013、COBIT 4.1、PCI:DSS版本2.0、ITIL等）中，社会工程仅被间接提及，很少直接引用。

不过，支付卡行业安全标准委员会在版本3.0中直接提及了这一威胁。例如，标准8.2.2要求在修改任何认证凭证（如重置密码、提供新令牌或生成新密钥）之前验证用户身份，并建议使用只有合法用户才能回答的“秘密问题”来帮助管理员识别用户。

与之形成鲜明对比的是，ISO/IEC 27001/2:2013最初未直接提及社会工程，也没有强制要求执行相关政策。直到最新版本发布，情况才有所改变。

2.1 ISO/IEC 27002:2013的预期变化

虽然目前无法预测ISO/IEC 27002:2013的所有变化，但根据ISO/IEC 27k论坛专家的建议，可能会有以下变化：
| 变化领域 | 具体内容 |
| ---- | ---- |
| 问责制 | 明确在人力资源管理方面的定义 |
| 认证、身份管理和身份盗窃 | 由于对基于网络的服务至关重要，需要更好的描述 |
| 云计算 | 该模式在现实生活中越来越普遍，但现有标准未涵盖 |
| 数据库安全 | 现有版本未系统阐述技术方面 |
| 道德和信任 | 现有版本完全未涉及的重要概念 |
| 欺诈、网络钓鱼、黑客攻击和社会工程 | 这些威胁的重要性日益增加，但现有版本未系统涵盖 |
| 信息治理 | 对信息安全的组织方面非常重要，但当前版本未涉及 |
| IT审计 | 需要更注重计算机审计 |
| 隐私 | 需要超越现有的数据保护和法律合规要求，特别是考虑到云计算 |
| 弹性 | 现有版本完全缺失的概念 |
| 安全测试、应用程序测试、漏洞评估、渗透测试等 | 当前版本基本缺失 |

2.2 ISO/IEC 27032:2012对社会工程的确认

2012年7月发布的ISO/IEC 27032:2012《信息技术 - 安全技术 - 网络安全指南》确认了社会工程作为一种威胁的重要性。“网络空间”是一个复杂、高度可变的虚拟在线环境，与之相关的信息安全风险难以确定。虽然许多信息安全风险（如网络和系统黑客攻击、间谍软件和恶意软件、跨站脚本攻击、SQL注入、社会工程等）可归类为常规的系统、网络和应用程序安全风险，但该标准主要关注与互联网相关的信息安全风险。

该标准区分了对个人和组织资产的威胁，分别涉及隐私/身份泄露和企业信息泄露。然而，由于这被视为人为威胁，该标准依赖其他ISO/IEC标准来解决这些威胁。因此，组织可能会忽视防范社会工程攻击的必要性，但随着ISO/IEC 27001/2标准的更新，这一问题有望得到解决。

2.3 行业标准与信息安全管理体系

上述行业标准涵盖了信息安全的三个领域（技术、人员和流程），这些领域是信息安全管理体系（ISMS）文档集的关键部分。一个完善的ISMS文档集通常包含一个总体的信息安全政策，以及支持保护组织关键或敏感数据资产的其他政策和程序（如可接受使用、电子邮件、桌面整洁、恶意软件等）。

由于社会工程攻击融合了这三个领域，使攻击者能够秘密获取数据，因此任何未包含相关政策和流程的ISMS从根本上说是有缺陷的。社会工程攻击的发展需要针对其攻击途径制定相应的政策和程序，攻击主要来自两个方面：

基于人类的攻击

• 冒充他人
• 冒充重要雇主
• 冒充供应商
• 利用桌面支持
• “窥视”
• “跳跃策略”

基于计算机的攻击

• 网络钓鱼
• 诱饵攻击
• 在线诈骗

下面通过mermaid流程图展示社会工程攻击的两种类型：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;

    A([社会工程攻击]):::startend --> B(基于人类的攻击):::process
    A --> C(基于计算机的攻击):::process
    B --> B1(冒充他人):::process
    B --> B2(冒充重要雇主):::process
    B --> B3(冒充供应商):::process
    B --> B4(利用桌面支持):::process
    B --> B5(“窥视”):::process
    B --> B6(“跳跃策略”):::process
    C --> C1(网络钓鱼):::process
    C --> C2(诱饵攻击):::process
    C --> C3(在线诈骗):::process

3. 制定适用的社会工程政策和程序

3.1 制定政策和程序的两种选择

组织在制定适用的社会工程政策和相关程序时有两种选择：
- 购买现成的政策和程序 ：这比没有要好，但为一种业务类型编写的社会工程政策和程序不一定适用于所有业务类型。不过，如果组织不确定格式，可以将这些文件作为基础，构建适合自身需求的社会工程文件。
- 从头开始创建 ：从一张白纸和一支铅笔开始，识别可能遭遇的社会工程攻击类型以及业务中容易受到攻击的领域。然后与这些易受攻击领域的员工交流，深入了解他们目前使用的流程，以此为基础制定政策和程序。

3.2 有效政策和程序的特点

人们常常纠结于如何正确构建这些文件，但实际上，有效的政策或程序是能够发挥作用的。例如，它应该是员工容易遵循的，并且针对特定组织量身定制，而不是语言优美、结构严谨但冗长复杂，无人阅读或执行的文件。政策和程序的目的是正式传达安全可靠的操作方法。

3.3 社会工程总体政策的结构和内容示例

虽然组织不一定需要正式的结构来确保文件集有效，但企业通常期望看到正式结构化的文件。以下是一个社会工程总体政策可能包含的结构和内容示例：
| 部分 | 具体内容 |
| ---- | ---- |
| 页眉 | 公司名称和标志、标题 |
| 页脚 | 标题、版本号、日期、作者/审批人 |
| 内容 | - 标题
- 概述：文件试图实现的目标
- 目的：提高员工对社会工程攻击的认识，制定具体的应对程序
- 范围：政策/程序适用的业务领域、员工、承包商等
- 社会工程攻击类型：与特定业务相关的攻击类型列表
- 应采取的行动：在可能遭受攻击时，指导员工采取适当行动的详细说明
- 执行：对成功应对社会工程攻击的员工给予奖励，对未遵守政策或程序的员工进行惩罚的详细信息
- 参考文件：支持防范社会工程攻击的其他政策和程序列表
- 修订历史：包含版本号、批准日期、授权人、备注的表格 |

3.4 帮助台密码重置程序示例

以帮助台密码重置程序为例，具体步骤如下：

3.4.1 可接受的请求来源

用户只能请求重置自己的密码。如果来电者要求重置他人密码，IT帮助台必须要求来电者让用户账户所有者直接联系他们。请求必须通过亲自到场或电话接收，通过他人电子邮件地址发送的电子邮件、传真、短信等方式的请求均不接受。

3.4.2 确认来电者身份

• 亲自到场 ：如果IT帮助台不认识亲自到场的用户，应要求其提供驾驶执照等身份证明，并在帮助台事件记录中记录已查看该证明。
• 电话请求 ：如果通过电话接收请求（特别是来自外部电话号码，无论是固定电话还是移动电话），应采取以下步骤确认来电者身份：
  • 如果认识来电者，判断声音是否相符。
  • 如果是内部来电，检查用户来电的分机号码是否与内部电话目录中其姓名对应的号码一致。
  • 询问其经理的姓名，并在内部网上核实答案。
  • 如果对来电者身份有疑问，要求其让经理发送电子邮件授权重置密码。

3.4.3 重置密码

一旦验证了用户身份，按以下步骤操作：
1. 将密码更改为随机的字母和数字序列。
2. 立即告知用户密码，允许其记录，但要求其随后成功更改密码。
3. 让用户在电话上登录并更改密码。
4. 确认用户现在可以访问网络或系统。

3.4.4 密码指导

向用户提供以下关于创建未来密码的指导：

选择密码

密码是IT系统的第一道防线，与用户名一起用于确认用户身份。选择不当或使用不当的密码会带来安全风险，可能影响计算机和系统的机密性、完整性或可用性。
- 弱密码 ：容易被不应知晓的人发现或检测到，例如从字典中选取的单词、孩子和宠物的名字、汽车注册号码以及键盘上简单的字母组合。
- 强密码 ：设计方式使其不太可能被不应知晓的人检测到，即使借助计算机也难以破解。每个人必须使用至少包含八个字符、字母和数字混合且至少有一个数字、比单个单词更复杂的强密码。

保护密码

必须始终保护好密码，遵守以下准则：
- 绝不向任何人透露密码。
- 绝不使用“记住密码”功能。
- 绝不写下密码或存放在容易被盗的地方。
- 绝不将密码存储在未加密的计算机系统中。
- 密码中不使用用户名的任何部分。
- 不使用相同的密码访问不同的桑德韦尔家园系统。
- 不使用相同的密码用于工作内外的系统。

通过以上政策和程序的制定与实施，组织可以更好地防范社会工程攻击，保护信息资产的安全。

4. 社会工程政策与程序的实施与维护

4.1 实施过程中的挑战与应对

在实施社会工程政策和程序时，组织可能会面临各种挑战。例如，员工可能对新政策不理解或不愿意遵守，这可能源于缺乏培训、对政策重要性认识不足或认为政策过于繁琐。为应对这些挑战，组织可以采取以下措施：
- 加强培训 ：提供全面的安全意识培训，不仅要介绍政策和程序的内容，还要解释其背后的原因和重要性。培训可以采用多种形式，如面对面培训、在线课程、模拟演练等，以确保员工真正理解并掌握应对社会工程攻击的技能。
- 建立激励机制 ：正如前面提到的，对成功应对社会工程攻击的员工给予奖励，对未遵守政策的员工进行惩罚。激励机制可以提高员工的积极性和参与度，促使他们主动遵守政策。
- 持续沟通 ：管理层应与员工保持良好的沟通，及时解答员工的疑问，听取他们的反馈，并根据实际情况对政策和程序进行调整。

4.2 定期审查与更新

由于信息技术和社会工程攻击手段不断发展变化，政策和程序必须定期进行审查和更新。审查的频率可以根据组织的规模、业务性质和技术环境的变化情况来确定，一般建议每年至少进行一次全面审查。在审查过程中，应考虑以下因素：
- 行业标准的更新 ：随着行业标准的不断发展，组织的政策和程序也应与之保持一致。例如，当新的信息安全标准发布时，应及时评估其对现有政策的影响，并进行相应的调整。
- 新技术的应用 ：新的技术如云计算、物联网等的应用可能带来新的安全风险，因此需要对政策和程序进行更新，以涵盖这些新技术相关的安全要求。
- 攻击趋势的变化 ：关注社会工程攻击的最新趋势和案例，分析组织可能面临的新威胁，及时调整政策和程序以应对这些威胁。

4.3 文档管理与版本控制

为了确保政策和程序的有效实施，必须建立完善的文档管理和版本控制系统。以下是一些关键要点：
- 文档存储 ：将所有与社会工程相关的政策和程序文档集中存储在一个安全的位置，确保员工可以方便地访问。可以使用电子文档管理系统来实现这一目标。
- 版本控制 ：对文档的每个版本进行编号和记录，明确每个版本的发布日期、作者和主要变更内容。这样可以方便员工了解文档的历史变更情况，确保他们使用的是最新版本的政策和程序。
- 备份与恢复 ：定期对文档进行备份，以防数据丢失或损坏。同时，建立恢复机制，确保在需要时可以快速恢复到之前的版本。

下面通过mermaid流程图展示社会工程政策与程序的实施与维护流程：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;

    A([开始实施]):::startend --> B(员工培训):::process
    B --> C(政策执行):::process
    C --> D(定期审查):::process
    D --> E{是否需要更新?}:::process
    E -->|是| F(更新政策和程序):::process
    E -->|否| C
    F --> G(文档管理与版本控制):::process
    G --> C

5. 案例分析：成功防范社会工程攻击

5.1 案例背景

某金融机构面临着日益增长的社会工程攻击威胁，为了加强信息安全防护，该机构制定并实施了一套完善的社会工程政策和程序。

5.2 政策与程序实施

• 制定全面政策 ：该机构结合行业标准和自身业务特点，制定了涵盖技术、人员和流程三个领域的社会工程政策。政策明确了员工在面对各种社会工程攻击场景时应采取的行动，以及违反政策的惩罚措施。
• 开展培训活动 ：组织了一系列安全意识培训，包括针对不同岗位的定制化培训课程、模拟社会工程攻击演练等。通过培训，员工对社会工程攻击的认识和应对能力得到了显著提高。
• 建立监控机制 ：利用技术手段对网络活动进行监控，及时发现潜在的社会工程攻击迹象。同时，鼓励员工报告可疑情况，形成了全员参与的安全防护体系。

5.3 实施效果

在实施政策和程序一段时间后，该金融机构取得了显著的效果。具体表现如下：
| 指标 | 实施前 | 实施后 |
| ---- | ---- | ---- |
| 社会工程攻击成功案例数量 | 每年10起 | 每年2起 |
| 员工对安全政策的遵守率 | 60% | 90% |
| 安全事件响应时间 | 平均3天 | 平均1天 |

通过以上案例可以看出，制定和实施有效的社会工程政策和程序对于防范社会工程攻击具有重要意义。

6. 总结与建议

6.1 总结

社会工程攻击是当今信息安全领域的重大威胁，它利用人类行为的弱点，通过融合技术、人员和流程三个领域的手段，使攻击者能够秘密获取组织的敏感信息。为了有效防范社会工程攻击，组织需要制定和实施完善的政策和程序，同时加强员工的安全意识培训。行业标准为组织提供了参考，但在实际应用中，需要根据自身情况进行定制化。

6.2 建议

• 重视政策制定 ：组织应将社会工程政策和程序的制定作为信息安全工作的重要组成部分，确保政策涵盖了各种可能的攻击场景，并明确员工的责任和义务。
• 加强培训与沟通 ：持续开展安全意识培训，提高员工对社会工程攻击的认识和应对能力。同时，加强管理层与员工之间的沟通，确保政策的有效实施。
• 定期审查与更新 ：定期对政策和程序进行审查和更新，以适应不断变化的技术和攻击手段。
• 全员参与 ：信息安全是全员的责任，组织应鼓励员工积极参与安全防护工作，形成全员参与的良好氛围。

通过以上措施的实施，组织可以提高自身的信息安全防护能力，有效防范社会工程攻击，保护组织的关键信息资产。