中小企业网络安全管理中的社会工程学漏洞

所属栏目：计算机网络论文
发布时间：2021-07-19 10:17:31  更新时间：2021-07-19 10:17:31

　　为保障信息系统及网络的安全，企业往往投入大力气和大成本进行信息安全建设，由于企业管理的特点，公司信息安全投入都集中在信息安全设备及信息安全防护系统的搭建上，通过网络架构设计、入口管理、防火墙、备份设备、安全、审计、行为管理等设备通过技术手段来防范攻击。通过技术手段进行安全防护基本可以防范绝大部分随机攻击者的正面入侵行为，但对企业来说，这种防护手段很难防范来自竞争者或其他恶意组织或个人以获取商业秘密或数据为目的APT(AdvancedPersistentThreat)攻击。利用社会工程学进行APT攻击，往往是难度最低、效果最好的攻击手段。对企业安全管理者说，狭义的或常见的社会工程学攻击方式，如通过QQ、电话等方式伪装来骗取公司基础数据的社会工程学手段早已熟知，且较易于防范，但利用移动设备、大数据、社交网络进行社会工程学攻击却较难防范。社会工程学最早由KevinDavidMitnick在《欺骗的艺术》一书中提出，该种攻击的核心是一种针对“人”的非传统信息安全领域的入侵手段。但是，随着技术的进步与发展社会工程学攻击的外延也在逐步扩展，至今也并没有一个统一的、完备的定义。由于互联网技术的快速发展，社会工程学攻击手段所涵盖的方面更加广泛，通过与大数据技术、社交网络、人的因素相结合，毫不夸张地说，只要进行充分的准备，通过社会工程学可以“黑”掉大部分的企业网站和系统。

　　1企业常见管理漏洞分析

　　1.1绩效管理驱动，造成企业安全管理重心偏离

　　一般企业管理均采用绩效考核、目标管理等方法进行管理。由于目标管理法的特点，企业在年初制订绩效目标时应有具体目标和内容，当涉及信息安全事项时往往只强调结果、不强调路径，如“本年度不发生失、泄密事件”、“本年度因XX原因导致的服务器终止服务时间小于X小时”等指标类目标。而往往对采购、技改类则较为明确，如“本年度完成XX设备采购、完成XX系统升级”等节点类目标。需过程管控的、路径不太明确的工作目标在分解工作时易造成漏项、考虑不周，在工作中难以明确工作结果，并且很难进行日常管控。管理者在对待此类工作时会存在只要不发生事故多做、少做都一样，不影响年终考核的侥幸心理。实施、建设类工作由于其任务十分明确，完成辨识度高，一般是企业优先开展的工作。信息泄露防范工作由于管理难度大、泄露因素众多且攻击隐蔽性强等特点，经常不被企业管理者重视。而且很多企业在信息泄漏后并不知道信息已经被泄露，很长一段时间不会采取相关措施。

　　1.2信息安全管理能力不足，导致一般企业易受攻击

　　由于企业性质和规模，除总部公司、大型公司、网络相关公司外，中小型企业不会招聘专业的从事网络安全攻击测试的技术人员进行网络安全管理。即使是掌握企业安全防护理论知识的信息安全执业人员，对新的攻击手段、非常规的攻击手段的防护能力也较弱。一般来说，很多公司通过采购设备或外包服务等方式，通过安全设备、网络出入口、终端设备、制度进行管理，重点防范服务器、核心网络不被正面攻破、系统不被瘫痪、数据不会丢失。但由于企业管理人员管理水平有限，一些黑客在获取网站Webshell或系统权限后长期窃取企业信息，企业管理人员根本无法发现，造成大量数据泄漏。

　　1.3全员防范意识薄弱，导致信息安全工作失效

　　相对企业信息安全管理部门及人员来说，企业的普通员工往往对信息安全认识程度不够、对信息安全的认识、防范手段不了解。一些员工对企业已进行信息安全防护手段不认同、不配合，甚至进行抵制，通过公司网络进行网络社交、使用公司邮箱随意发送私人邮件、申请注册网络服务、用内网计算机进行违规操作，甚至一些员工通过在百度文库网上共享文档平台企业内部资料来获取积分，这些行为都给网络攻击带来机会;此外，企业在制订员工账号时会配置默认密码，许多员工从来不进行修改，即使修改也是易被破解的弱口令。

　　1.4个人移动设备隐患，风险从企业外部带入内部

　　个人移动设备是指携带自己的移动设备，如笔记本电脑、移动硬盘、智能手机等设备，这些设备由于员工个人使用等原因经常接入不同的网络环境，相对公司固定计算机而言更容易被黑客攻击，一旦接入公司内网，会造成很大的风险。现在智能手机几乎是人手必备的设备，但对手机防护的企业级应用较少，成为安全隐患和风险。

　　1.5为了使用便捷，牺牲安全管理

　　企业信息安全管理、规定和规范使用流程经常与使用方便、便捷相矛盾，在部署信息安全系统、防护措施及其制度时信息安全管理人员经常会平衡、变通地考虑这些问题，这些变通手段往往会降低公司安全防护等级。一般情况下，企业领导的账号经常是黑客的突破口，因为企业领导账号权限较高，且由于领导工作较为繁忙，密码通常比较简单。

　　1.6企业防护测试忽视社会工程学测试

　　很多企业会邀请安全厂商或技术团队对企业网站、系统进行攻击测试，这些测试基本以正面攻击、DDOS攻击为主，较容易测得系统的压力数据，也比较容易暴露一些系统漏洞，效果较好。但由于社会工程学攻击可攻击点较多，单次攻击所反馈的问题并不一定能反馈出企业管理的核心漏洞，整改难度较大。比如攻击者通过弱口令进入企业管理系统，但背后的原因往往很多且具随机性。

　　2一些利用企业管理漏洞的新型社会工程学攻击

　　2.1传统的社会工程学攻击

　　传统的社会工程学攻击是指利用欺骗的手段获取企业员工信任，从而套取信息。这类手段较易防范，一般企业经常会遇到类似攻击。通过做好培训宣传，提高员工信息安全意识，均可有效防范。但传统社会工程学攻击也有很多变种，如一些员工将系统账号密码张贴在员工工位显眼的位置上，被攻击者伪装成快递人员偷拍记录或一些攻击者故意在办公场所附近丢弃含木马U盘等，这都需企业加强防范。

　　2.2基于企业失、泄密信息的攻击

　　一些企业不重视企业资料的保管、保存，导致企业资料，尤其是系统用户使用文档在网上泄露，给攻击者带来可乘之机，一些攻击者仅通过百度文库等网站就可获取大量企业信息系统建设蓝图、网络架构图、甚至包含管理员、用户账号的内部文件，进而顺藤摸瓜登录企业内网、乃至登录管理员账户。

　　2.3利用大数据进行攻击

　　大数据攻击是利用各大网站泄露的用户名、密码数据库来破解企业管理员账号密码从而获取内网进入许可或获取系统管理权限的社会工程学攻击手段。基本的入侵手法是寻找网络边界入口，再通过社交网络渠道了解企业管理员邮箱公开账号等信息，通过庞大的社工库来获取入侵网络的账号密码。在国内各大互联网企业数据库中，凤凰网新闻黑客社区曝出一个87GB的庞大数据库，其中包括大约7.73亿个电子邮件地址、以及2100万组密码，单就邮件地址来说就占据当时全球邮件总数的1/5;另外，一些企业的用户账号均以名字来命名，一些黑客可使用中国常用名数据库+弱口令对数据库进行爆破，只要其中有一个账号存在弱口令，系统就会被攻破。

　　2.4泄露WiFi登录信息导致内网暴露

　　一些员工为了可在公共场所蹭网，会安装WiFi万能密码、WiFi钥匙等手机APP，这种类型的程序在为用户分享公共场所WiFi密码时也在获取该用户登录过的私人或办公场所WiFi。很多攻击者会在该公司附近通过WiFi万能密码这类软件登录公司内网系统、获取公司网关地址，从而推断出公司内网系统地址、服务器地址等，使公司千方百计打造的网络隔离失效。这种攻击方式比较新颖且很多企业安全管理员没有意识到这种漏洞，较难防范。

　　3企业防范手段

　　综上，企业信息安全管理中设备、技术层面的管理较易实现和操作，而与人相关的管理则较难于操作，这就导致“欺骗的艺术”———社会工程学攻击往往成为攻击企业的最好办法，企业可通过以下几种手段防范社会工程学攻击。

　　3.1企业账号公私分明

　　不通过企业邮箱处理任何个人业务，不用企业邮箱注册社交、游戏、购物等网站，不用企业邮箱作为密码找回的邮箱。个人私有账号与企业业务账号实现密码隔离，不使用一样的密码。

　　3.2加强培训

　　定期对企业员工进行培训，普及常见的社会工程学防范知识，让员工了解哪些行为容易被攻击、哪些迹象表明企业已遭受攻击。通过员工日常自发检查个人账号、密码、行为、环境中的薄弱点。从使用者的角度发现问题，要比企业信息安全人员检查高效得多。

　　3.3文档不记录账号密码

　　社会工程学攻击很依赖于信息的连贯性和连接性，通过在企业最外层的低风险弱点层层深入。很多时候，攻击者会从单个破解的企业邮箱内找到企业系统管理文档，依靠此信息登录企业更深层系统。不在企业常规文档、网页注释、系统使用手册中写明具体登录账号密码，可在很大程度上防范社会工程学攻击。

　　3.4绑定额外验证措施

　　很多公司互联网边界、VPN登录入口、内部系统登录入口不设额外验证措施，攻击者通过暴力破解手段很容易获取登录密码。如在各个系统登录界面中加入验证码、证书、短信等额外验证手段，基本就可防范这种类型的入侵。

　　3.5防范弱口令

　　很多企业管理者把弱口令简单地理解为123456、888888这种类型的密码。但实际上任何有规律的密码如账号本身、账号名字+后缀、单词都可称为弱口令，更深一层来说只要是通过大数据社工库里总结出的常用密码都可称为弱口令，企业核心系统管理密码都应避开这些密码。

　　3.6安装文件加密系统

　　在企业内部加装文件加密系统、在企业内备案计算机中安装加解密终端并做好分级防护，严控文件解密流程，即使由于各种原因流出企业，也能一定程度确保文件无法被浏览。

　　《中小企业网络安全管理中的社会工程学漏洞》来源：《办公自动化》，作者:吴非