像大多数系统集成商一样,我们非常重视网络安全,因为我们明白,我们保护的不仅仅是我们自己的基础设施,我们也在保护我们客户的基础设施。网络安全是一个复杂的游戏,识别和保护您的系统,以最大限度地减少攻击面和补救潜在的攻击向量。
在之前的文章中,我们讨论了一个好的网络安全方法如何包括补丁管理、威胁检测、活动目录的使用,以及适当的网络设计和隔离。然而,我们并没有花太多时间在网络安全的人员方面——一个被称为社会工程的领域。
社会工程是一个广泛的术语,描述了用于获取私人信息、细节或其他有价值信息的操作技术。在渗透测试(通常是用于发现漏洞的授权模拟网络安全攻击)中,社会工程在研究目标以收集信息时被大量使用。这些活动可以很简单,比如打电话给前台,询问问题,或者发送大量电子邮件,以确定电子邮件约定和共享邮箱。
许多标准的安全实践——例如徽章旋转门以防止追尾和多个安全检查点——都被设计用来加强基本的攻击面。这些做法帮助很大,但你有没有想过你在LinkedIn或其他社交媒体上分享了什么?
许多渗透测试使用黑客手段,比如在网上搜索员工的社交媒体资料,以收集尽可能多的信息。个人手机号码、全名、头衔、报告结构、使用的软件包、徽章设计等详细信息都可以在LinkedIn等平台上轻易获得。想想看:你在领英(LinkedIn)上见过多少写着姓名和身份证号码的员工徽章?又有多少关于笔记本电脑屏幕的帖子显示了打开了哪些软件或网络标签之类的细节?不要忘记那些给导师和经理贴上标签的帖子。
虽然看似无害,但所有这些细节都可以用来发动网络攻击。事实上,这些方法是如此普遍地使用,以至于它们已经成为渗透测试的常规过程的一部分。
想象一下这样一个场景:攻击者可以使用这些细节打电话给一家大公司的员工,假装自己是经理或代表他们的经理。他们需要一些详细信息、密码或登录信息,因为这很紧急。也许他们在提出更大、更有破坏性的要求之前,会先提出一些小要求来衡量合规程度。他们可能会把自己称为IT人员,因为他们有足够的信息在对话中作假。所有这些技术都是为了开始破解原本坚固的防守漏洞。
虽然全面的训练计划是应对这种情况的最佳防御,但以下是一些我们自己使用的关键技巧来加强保护:
- 验证身份。我们要求员工做的第一件事就是核实可疑的电子邮件、电话或短信的身份。这可以亲自、通过电话或通过Microsoft Teams等安全的公司间通信渠道完成。
- 限制在社交媒体上展示的信息。查看你的社交媒体资料并筛选可能被用于邪恶目的的信息是一个很好的做法。有疑问时,不要发帖!
- 训练你的团队。良好的网络安全和社会工程意识的培训和例行提醒可以帮助我们在这些特定的情况下走在前面。
将Aja是客户运营副总裁在万能的技术的认证会员控制系统集成商协会(相)。有关Panacea的更多信息,请访问它的简介工业自动化交易所.
