前言:尋找寫作靈感?中文期刊網用心挑選的網絡信息安全之社會工程學,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
[摘要]本文主要介紹了網絡信息安全因素中的社會工程學,重點結合其常用手段進行分析學習。通過分析學習,使大家在日常生活、工作中,對社會工程學有一個初步的了解,提升自身安全管理意識。
[關鍵詞]社會工程學;基礎數據分析;網絡信息安全;人
說到社會工程學,人們第一反應是hacker、信息竊取、非法手段獲取等。筆者認為要對社會工程學做一個定義的話,社會工程學是通過一系列的手段,對社會中存在的人,利用各種思路進行分析的手段,通過手段應用、組合分析從而達到目的的過程。其具體可以用在于網絡攻防中,可以用于商業談判,甚至于可以大到國于國的談判,具體定義不同,其展現的方式也不相同。網絡信息安全中的社會工程學,是指利用人的粗心、輕信、疏忽、警惕性不高,來操縱其執行預期的動作或泄漏機密信息的一門藝術與學問,屬于網絡信息安全中的一個新的分支,其主要特點就是利用人的弱點進行攻擊。在安全意識逐步增強的環境下,使用正面的滲透手段越來越難的情況下,更多的hacker助社會工程學實現攻擊。如國內出現的密碼“泄露門”,以及安全界比較著名的APT攻擊,就是典型利用社會工程學而進行的攻擊,這種攻擊危害巨大,后果嚴重。文章從學習社會工程學的意義出發,詳細研究社會工程學攻擊的部分應用手段和方式,并在此基礎上,對相應的防范措施進行研究和探討,通過這些安全防范措施的實現,增強網絡信息的安全意識。
1社會工程學之信息獲取
不敏感信息,是指某些關鍵人物的資料:部門、職位、郵箱、手機號、座機分機號等;機構內部某些操作流程步驟,如報銷流程、審批流程等;機構內部的組織關系,隸屬關系、業務往來、職權劃分、強勢還是弱勢等;機構內部常用的術語和行話。通過這些看似不敏感的非重要信息,最終組合成一套具有針對性的基礎數據。所有目標的散布于網絡中的信息,都是能被hacker獲取到利用社會工程學重新進行組合,形成能夠利用的基礎數據。獲取到基礎數據后,通過技術手段進行組合分析,利用這些數據生成字典庫、獲取id信息,進行猜解,能夠更有效的破譯目標的密碼等行為,實現最終目的。常見的信息獲取手段可分為以下幾種:利用特定程序獲取信息。例如:社交軟件—QQ展示資料,QQ空間展示,微信的朋友圈、微博等,通過分析目標日常的信息,從而間接的了解目標的興趣、愛好、交友、關聯關系、生日、性格特點等。通過搜索引擎進行數據獲取。是指運用搜索引擎工具對目標的網站、論壇、郵箱、或招聘求職等信息對目標特征進行搜索分析。例如:目標曾經在某app或是某網站過求職信息、租賃信息等,這些信息都是極其容易泄露的。另外有些不合規的網站,缺乏合理的監管,從而造成用戶信息泄露。更有部分違法者,于在用戶不知情的情況下,將用戶的信息進行售賣,成為地下黑產的產業鏈,好在近年來國家開始大力整治這些違法違規行為。通過詞典暴庫進行猜解。是指利用購買或是其他渠道的來的某些社工庫數據、特征詞典,從這些庫中得到目標的有用信息,從而進行破解分析。社工攻擊之信息刺探。其常用信息刺探流程:充分獲得已知或易獲取信息,順藤摸瓜,擴展信息,偵探偽裝(并非必須),信息重組利用。或是通過工具軟件,偽裝成目標感興趣網站的或是鏈接、登陸對話框,利益誘導目標點擊黑鏈等,通過如上操作獲取到用戶的一系列信息。環境滲透。對特定的環境進行滲透,是社會工程學為了獲得所需的情報或敏感信息經常采用的手段之一。社會工程學攻擊者通過觀察目標對電子郵件的響應速度、重視程度以及可能提供的相關資料,比如一個人的姓名、生日、ID電話號碼、管理員的IP地址、郵箱等,通過這些收集信息來判斷目標的網絡構架或系統密碼的大致內容,從而獲取情報。反向社會工程。讓被攻擊者求助于攻擊者。反向社會工程學是指攻擊者通過技術或者非技術的手段給網絡或者計算機應用制造“問題”,使其公司員工深信,誘使工作人員或網絡管理人員透露或者泄漏攻擊者需要獲取的信息。這種方法比較隱蔽,很難發現,危害特別大,不容易防范。通過發起破壞->發送廣告->接受服務->安裝后門等一系列手段,逐步的誘惑目標進入陷阱,最終成為被攻擊的目標。多學科交叉技術。心理學技術:分析網管的心理以利用于獲得信息;常見配置疏漏:明文密碼本地存儲、便于管理簡化登陸;安全心理盲區:容易忽視本地和內網安全、對安全技術(比如防火墻、入侵檢測系統、殺毒軟件等)盲目信任、信任過度傳遞;組織行為學技術:分析目標組織的常見行為模式,為社會工程提供解決方案
2社會工程學的核心——“人”
前面講到社會工程學的基礎數據獲取,那么這些基礎數據是哪里來的?答案肯定是“人”,社會工程學研究的對象是“人”,而不是數據,數據只是作為達到目的一種構成條件,數據的來源是人。人作為操作使用者,屬于計算機信息安全鏈中最薄弱的環節,人具有貪婪、自私、好奇、信任等心理弱點,所以,社會工程學是通過研究人的弱點而達到目的的學科。現實中,無論是企業信息化建設還是事業單位網絡建設,所有基于網絡安全防范設備的建設,其最終使用者是“人”!利用人的特征點,通過欺騙、分析、暴力猜解等手段實現入侵攻擊。企業可能采取了很周全的技術安全控制措施,例如:身份鑒別系統、防火墻、入侵檢測、加密系統等,但由于目標無意中通過電話或電子郵件泄露機密信息(如系統口令、IP地址),或被非法人員欺騙獲取到的信息,就可能對目標單位的信息安全造成嚴重損害。因此在網絡安全管理策略中,一定要把“人”的因素作為一個必要的安全管理策略,否則將會成為一個很大的安全裂縫。
3如何應對防范社會工程?
在心理上,預防指向性暗示,面對誘惑保持冷靜,提高警惕性,增強安全防范意識。在技術上,制定易被利用環節可能性預案,以便及早識別攻擊,分割關鍵工作,使風險在某一環節無法延續,借助第三方工具減少風險。從主觀意識上重視。前面講到社會工程學的核心是“人”,那么日常中,我們將人的因素作為一種安全防范策略,以規則策略驅動目標,迫使人民逐步形成一種安全意識,通過安全意識的建立,從主觀上避免一些可以被利用的漏洞信息。保護個人信息資料不外泄。目前網絡環境中,論壇、博客、新聞系統、電子郵件系統等多種應用中都包含了用戶個人注冊的信息,其中也包含了很多包括用戶名賬號密碼、電話號碼、通訊地址等私人敏感信息,尤其是目前網絡環境中大量的社交網站,是用戶無意識泄露敏感信息的最好地方,這些是黑客最喜歡的網絡環境。因此,在網絡上注冊信息時,如果需要提供真實信息的,需要查看注冊的網站是否提供了對個人隱私信息的保護功能,是否具有一定的安全防護措施,盡量不要使用真實的信息,提高注冊過程中使用密碼的復雜度,盡量不要使用與姓名、生日等相關的信息作為密碼,以防止個人資料泄露或被黑客惡意暴力破解利用普及社會工程學知識。通過對社會工程學的學習,了解社會工程學的意義,hacker常用的攻擊手段,盡可能的避免在日常生活、工作中,給對方留下可以攻擊的漏洞信息。盡可能的不去碰觸一些未知的鏈接、網站、網絡詐騙電話。在現實中,由于監管不嚴、利益驅使,大量的網絡誘騙鏈接充斥于我們的生活中,正確的區分鏈接是否合規,成為我們必備的一個知識點,近年來通過國家的大力整治,整體網絡環境有所好轉,但是任務依然艱巨,生活中大量的推廣、詐騙、電信詐騙等隨處可見,稍有不慎就被社會工程學滲透、誘騙,因此應避免盡可能不去點擊、下載一些未知的鏈接、app等,對于陌生電話,號碼較為怪異的組合直接拒接,通過不接觸來避免被又誘導、欺騙等。為每個賬戶分別建立一個強大的密碼。筆者曾嘗試使用字典生成工具,生成一個不帶有特征的8位的,包含大小寫字母+阿拉伯數字+特殊符號的密碼組合,最后生成后詞典為幾千TB,當使用此類方法進行暴力猜解,所占用時間、資源都是十分恐怖的,如果在獲取社工信息組合失敗后,對目標進行暴力破解時,一般入侵者會選擇直接放棄。
4結語
為避免成為被攻擊的對象,企業應加強內部管理,嚴格執行保密管理、敏感信息保護辦法,建立安全訪問等級,避免信息泄露。同時注意培養員工的自我保護意識,增強安全防范意識;在應用層面加強對用戶身份識別、認證的能力;與第三方安全公司的合作,引入應用安全檢測機制;對各分發渠道進行安全監測,并會同工信部門、公安部門采取必要措施,提高防范釣魚攻擊的能力。通過對社會工程學的學習,引起對社會工程學的重視,企業應增強網絡信息安全的防范手段,個人應該做到上網過程中,平時生活中,盡可能的保護個人信息資料不外泄。
【參考文獻】
[1]陳偉力.淺談社會工程學的入侵與防范[J].科學之友,2011(18).
[2]孟偉.淺談社會工程學的可操作性與攻擊特性[J].科教導刊:電子版,2019(8).
[3]馬明陽.針對社會工程學攻擊的防御技術研究[J].北京:北京郵電大學,2015.
作者:李亞利 單位:武警山西總隊參謀部綜合信息保障中心運維室
