44、社会工程学评估：从密码审计到攻击策略

社会工程学评估：从密码审计到攻击策略

1. 密码安全与审计

在强化安全策略时，实施安全密码策略至关重要。所有核心服务应强制使用长度和复杂度足够的强密码，对于网络上所有主机的服务和管理账户也需如此。然而，实际情况中，一些组织虽为用户设置了复杂的密码策略，但服务账户和网络设备的密码却很弱，这就像 IT 团队对用户和自身采用不同规则，一旦在测试中发现被利用的弱密码来自服务账户或 IT 团队成员，会十分尴尬。

有许多工具可用于检查用户针对各种服务的密码。以 Windows 登录密码为例，可从用户列表开始检查。密码审计工具通常使用词表，这些词表是包含用户密码的文本文件，有很多公开可用的词表，部分词表包含大量生成的密码。也可以使用如 RSMangler（http://www.randomstorm.com/rsmangler - security - tool.php）这样的工具创建自己的词表。RSMangler 会将与客户相关的小词表进行处理，每个单词可生成数千种变体，从而为组织生成特定的词表。

推荐的密码工具之一是 Hydra（http://www.thc.org/thc - hydra/），它有命令行和 GUI 两种形式，可对以下服务进行密码审计：
- Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP 等众多服务。

密码审计可用于内部测试，检查用户密码的强度，确保服务账户和网络设备也使用强密码。进行内部密码审计能在外部公司测试或潜在攻击者发现问题之前，找出并修复相关问题。

2. 社会工程学评估的攻击向量

社会工程学评估主要关注对人员和流程的测试，这是一种试图获取特权资源访问权限的活动。与基础设施测试相比，内部社会工程学评估更进了一步，且需要更多规划，因为每个组织的情况都不同。主要的攻击向量有以下三种：

2.1 电子邮件攻击向量

电子邮件攻击向量包括主动电子邮件侦察、克隆网站以窃取凭据、恶意 Java 小程序等方法。常见的攻击手段有钓鱼和鱼叉式钓鱼攻击。钓鱼攻击通过发送看似合法的邮件，诱使用户点击链接或提供敏感信息。鱼叉式钓鱼则是针对特定目标进行精准攻击。
- 防范措施：可通过内容过滤、客户端应用程序打补丁等技术手段，以及提高用户安全意识等人为手段来防御。

2.2 电话攻击向量

电话是社会工程学中很好的远程工具，可用于收集目标公司的信息或诱使用户执行导致内部安全漏洞的操作。攻击者可通过伪装来电显示、利用电话系统漏洞等方式进行攻击。
- 例如：卡取消诈骗、冒充员工等。

2.3 物理攻击向量

物理攻击向量需要在现场运用特定技能渗透组织。若顾问在组织内广为人知，可能会增加难度，但在身份不被知晓的远程办公室，这种攻击向量仍可能有效。具体方法包括翻找垃圾桶、摄影、肩窥、设置恶意接入点等。
- 例如：通过尾随和锁匠技术进入建筑物。

3. 社会工程学框架

社会工程学框架为评估提供了结构，有助于组织遵循可重复的标准进行评估。该框架主要包括以下几个阶段：

graph LR
    A[预参与交互] --> B[情报收集]
    B --> C[威胁建模]
    C --> D[执行]
    D --> E[执行后处理]
    E --> F[报告]

3.1 预参与交互

此阶段涵盖了评估开始前的所有事项，如确定范围、目标、建立沟通渠道、制定参与规则以及获取必要的法律保护。

3.2 情报收集

这是评估开始后的第一个阶段，主要收集可用于社会工程学评估的信息，如从搜索引擎和社交媒体收集公司电子邮件地址、解析公开公司文档的元数据、获取联系电话等。

3.3 威胁建模

根据情报收集的结果和客户需求，创建针对性的攻击场景。虽然威胁模型使用的攻击向量相似，但设计和实施方式因客户而异。

3.4 执行

这是评估的主要目标阶段，利用收集到的信息针对建模的威胁进行评估，顾问的目标是获取系统访问权限或破坏评估早期确定的程序。

3.5 执行后处理

在评估成功完成后进行，例如在执行阶段通过尾随进入建筑物后，执行后任务可能是收集敏感信息并在不被发现的情况下带出。

3.6 报告

评估完成后，根据执行结果创建报告，报告应满足驱动社会工程学评估的业务目标，并提供给客户。

4. 社会工程学评估的实际应用

在实际应用中，社会工程学评估可帮助组织发现安全漏洞，提高员工的安全意识。例如，通过内部测试发现密码弱、流程不完善等问题，并及时进行改进。同时，利用社会工程学框架和各种攻击向量，可设计出更具针对性的评估方案，为组织的安全提供更有效的保障。

5. 攻击策略与应对措施

5.1 短期攻击策略

短期攻击策略通常在较短时间内完成，需要有效利用分配的时间。常见的短期场景包括针对特定区域进行攻击，如通过钓鱼邮件、电话诈骗等方式获取信息。
- 目标定位 ：确定攻击的重点区域，如关键部门、重要系统等。
- 时间利用 ：合理分配时间，确保在有限的时间内达到最大的效果。

5.2 长期攻击策略

长期攻击策略则需要更深入的规划和持续的行动。包括扩展初始侦察、进行长期监控、创建虚假社交媒体资料等。
- 信息扩展 ：通过各种渠道收集更多关于目标的信息，如员工的兴趣爱好、工作习惯等。
- 内部协助 ：尝试获取内部人员的帮助，如不满的员工或合作伙伴。

5.3 应对措施

为了应对社会工程学攻击，组织应采取以下措施：
- 安全培训 ：提高员工的安全意识，让他们了解常见的攻击手段和防范方法。
- 强化策略 ：制定和执行严格的安全策略，如密码策略、访问控制策略等。
- 技术防护 ：使用防火墙、入侵检测系统等技术手段，防止攻击的发生。

6. 技术支持与工具

6.1 远程连接技术

为了支持攻击向量的实施，可使用各种远程连接技术，如 3G/4G 支持、SSH 隧道配置等。
- 3G/4G 支持 ：通过添加 3G/4G 模块，实现远程设备的网络连接。
- SSH 隧道配置 ：确保数据传输的安全性和隐蔽性。

6.2 工具使用

还可使用各种工具来辅助攻击和评估，如 Hydra 进行密码审计、Zed Attack Proxy 进行漏洞扫描等。
- Hydra ：可对多种服务进行密码审计，发现弱密码。
- Zed Attack Proxy ：帮助发现网站的安全漏洞。

7. 报告撰写与交付

报告撰写是社会工程学评估的重要环节，一份完整的报告应包括以下内容：
- 封面 ：包含报告的标题、日期等信息。
- 免责声明页 ：说明报告的使用范围和责任限制。
- 执行摘要 ：简要总结评估的主要结果和发现。
- 目录 ：列出报告的各个章节和页码。
- 引言 ：介绍评估的背景和目的。
- 社会工程学方法 ：详细描述评估所采用的方法和流程。
- 攻击向量分析 ：对各个攻击向量的执行情况和结果进行分析。
- 结论与建议 ：总结评估的结果，提出改进的建议和措施。

报告完成后，应及时交付给客户，并提供必要的解释和支持。通过有效的报告，组织可以了解自身的安全状况，采取相应的措施来提高安全水平。

社会工程学评估是一个复杂而重要的过程，涉及密码审计、攻击策略、技术支持和报告撰写等多个方面。通过合理运用各种方法和工具，组织可以发现潜在的安全威胁，提高自身的安全防护能力。

8. 数据收集与管理

在社会工程学评估中，数据收集与管理是关键的基础工作。它能为后续的威胁建模和攻击策略制定提供有力支持。

8.1 数据收集方法

• 开源情报收集 ：从互联网上收集公开信息，如公司网站、社交媒体、DNS 记录等。例如，通过搜索引擎收集公司的电子邮件地址、员工姓名、联系电话等。
• 主动信息收集 ：采用一些主动的手段获取信息，如 dumpster diving（翻找垃圾桶）、摄影、肩窥等。这些方法可以获取一些未公开的信息，如文件碎片、密码等。

8.2 数据管理工具

• Mind Mapping ：通过思维导图的方式对收集到的数据进行整理和分析，帮助理清信息之间的关系。

graph LR
    A[公司信息] --> B[员工信息]
    A --> C[合作伙伴信息]
    B --> D[姓名]
    B --> E[职位]
    C --> F[公司名称]
    C --> G[合作项目]

• Document Management Tools ：使用文档管理工具对收集到的文档进行分类和存储，方便后续的查阅和分析。

9. 威胁建模与场景设计

9.1 威胁建模的重要性

威胁建模是社会工程学评估的核心环节，它能根据收集到的信息和客户需求，创建针对性的攻击场景。通过威胁建模，可以更好地了解组织面临的潜在威胁，为制定有效的防御策略提供依据。

9.2 场景设计要素

• 目标识别 ：确定攻击的目标，如系统、数据、人员等。
• 攻击向量选择 ：根据目标和收集到的信息，选择合适的攻击向量，如电子邮件攻击、电话攻击、物理攻击等。
• 场景构建 ：结合目标和攻击向量，构建具体的攻击场景。例如，设计一个钓鱼邮件场景，诱使用户点击链接并提供敏感信息。

要素	描述
目标识别	明确攻击的具体对象，如财务系统、人力资源数据库等
攻击向量选择	根据目标的特点和环境，选择最有效的攻击方式
场景构建	详细描述攻击的过程和步骤，包括邮件内容、电话话术等

10. 社会工程学防御策略

10.1 安全意识培训

提高员工的安全意识是防御社会工程学攻击的基础。通过培训，让员工了解常见的攻击手段和防范方法，如不随意点击邮件链接、不透露敏感信息等。
- 培训内容 ：包括社会工程学的基本概念、常见攻击方式、防范技巧等。
- 培训方式 ：可以采用线上课程、线下讲座、模拟演练等方式进行。

10.2 强化安全策略

制定和执行严格的安全策略，如密码策略、访问控制策略、信息披露政策等。
- 密码策略 ：要求员工使用强密码，并定期更换。
- 访问控制策略 ：限制员工对敏感信息和系统的访问权限。
- 信息披露政策 ：明确员工在对外交流中可以披露的信息范围。

10.3 技术防护措施

使用防火墙、入侵检测系统、内容过滤等技术手段，防止攻击的发生。
- 防火墙 ：阻止未经授权的网络访问。
- 入侵检测系统 ：实时监测网络活动，发现异常行为及时报警。
- 内容过滤 ：过滤恶意邮件和网站，防止员工访问。

11. 实际案例分析

11.1 RSA 数据泄露事件

RSA 是一家知名的安全技术公司，但在 2011 年发生了严重的数据泄露事件。攻击者通过鱼叉式钓鱼邮件，诱使 RSA 员工点击链接并下载恶意软件，从而获取了公司的敏感信息。
- 攻击方式 ：鱼叉式钓鱼邮件，邮件伪装成重要通知，诱导员工点击链接。
- 后果 ：导致 RSA 的 SecurID 令牌算法泄露，给众多使用 RSA 安全产品的企业带来了安全风险。

11.2 某公司电话诈骗事件

某公司接到一个自称是银行客服的电话，要求员工提供账户信息。由于员工安全意识不足，轻易地提供了相关信息，导致公司账户资金被盗取。
- 攻击方式 ：电话诈骗，攻击者伪装成银行客服，利用员工的信任获取信息。
- 教训 ：公司应加强员工的安全培训，提高员工对电话诈骗的识别能力。

12. 总结与展望

社会工程学评估是保障组织信息安全的重要手段。通过对密码安全、攻击向量、框架流程、攻击策略、应对措施等方面的全面评估，可以发现组织存在的安全漏洞，提高员工的安全意识，为组织的安全提供有力保障。

未来，随着技术的不断发展和攻击者手段的不断更新，社会工程学评估也需要不断创新和完善。例如，结合人工智能和大数据技术，提高评估的准确性和效率；加强对新兴技术如物联网、区块链等的安全评估。同时，组织也应更加重视员工的安全培训和安全文化建设，形成全员参与的安全防护体系。

总之，社会工程学评估是一个持续的过程，组织需要不断地进行评估和改进，以应对日益复杂的安全威胁。