第9章 预防和补救

前面的章节向大家展示了社会工程人员诱骗目标泄露重要信息的各种方法和途径,同时也描述了社会工程人员用来影响和操纵他人的许多心理原则。

有时在听完我的演讲或是安全培训之后,人们会显得非常恐惧和害怕,他们会这样说:“似乎根本没有办法保障安全。我该怎么做呢?”

这是一个很好的问题。我建议制定一个良好的灾难恢复计划和事件响应机制,因为就目前而言,被黑客攻击可能不是“是否”会发生的问题,而是 “何时”会发生的问题。你可以采取一些防御措施,至少在安全战役中给自己一个反击的机会。

减轻社会工程攻击并非只需确保硬件安全那么简单。按照传统的安全防御思路,你会把钱投到入侵检测系统、防火墙、防病毒程序以及其他维护周边安全的解决方案上。可是在社会工程攻击面前,没有任何软件系统可以安装到你的员工和自己身上以保障安全。

本章列出了我为客户提供的预防和减轻社会工程攻击的6大步骤:

 

归根结底,这6点旨在创建安全意识文化。安全意识并非是每年花个40分钟、60分钟或90分钟做一次培训,而是需要创建一种文化或一套标准,让每个人在一生中都坚定不移地运用。它不只关乎工作或“重要的”网站,而是一个人实现整体安全的方式。

本章涵盖了上述的6点,并分析了为什么创建安全意识文化是防御恶意社会工程人员最有效的措施。