9.6 学习社会工程审计案例
如果你有过骨折的经历,就知道在恢复时医生会为你安排一些康复理疗。在康复师进行恢复性理疗时,你会进行一些压力测试。这种类型的测试会帮助医生发现你还有哪些薄弱之处需要加强。同样的方法也适用于公司,只不过社会工程审计不是在“损坏”发生后再进行“测试”,而是在入侵破坏发生前所做的测试。
以下小节回答了一些有关社会工程审计的重要问题,并且阐释了如何选择最优秀的审计人员。在深入学习社会工程审计之前,你需要知道审计的真正含义是什么。
9.6.1 理解什么是社会安全审计
社会工程审计的基本定义为,雇用专业安全人员模仿恶意社会工程人员所使用的攻击方式对企业中的人、规章以及物理环境所进行的安全测试。恶意社会工程人员与专业安全审计人员主要有三点不同:
通常,专业的安全审计人员会遵循道德与法律上的约束。
专业安全审计人员的目的是帮助客户,而不是窃取客户资料、使客户陷入窘境或者伤害客户。
专业的安全审计人员会花费大量的时间去分析和收集“目标”或客户的信息,然后使用这些信息展开真实的攻击。在此过程中,专业的安全审计人员会牢记审计的目标。这是很重要的一点,因为他们可能会偏离路线,从而给社会工程人员和目标都带来可怕的后果。明确定义的目标可以避免社会工程审计人员犯这种错。
9.6.2 设立审计目标
专业社会工程人员的行为必须符合道德和伦理,同时又要跨越界线,戴上真正的“黑帽”,暂时担任恶意社会工程人员的角色。这就意味着需要注意他能利用什么手段入侵公司并暴露公司防御的漏洞或弱点,不管手段有多么低下。
在寻找安全漏洞的同时也要考虑员工。在社会工程安全审计中被入侵的公司通常认为解雇那个在攻击中上当的员工就能修正问题,堵住漏洞。客户没有意识到的是,审计过后,在审查中犯过错的员工很可能成为大楼中安全意识最高的人。
专业社会工程人员必须采取额外的防范措施,确保员工不至于被开除。我个人的做法是尽量不透露责任员工的姓名,并且告诉客户审计的关键点不是员工。如果我无能为力,必须透露员工的姓名,那么在报告中我会重点强调,是公司的培训、规章和防御不完善才导致员工“犯错”。
一般的社会工程审计绝不会对员工落井下石,摧毁他的名誉和生活。和审计人员制定审查目标时,我会针对关键方面列出从0到10不等的强度等级:
当然,可以审计和测试的领域很多,但是我只能尽可能列出企业所要求审计的目标。我发现,企业通常不知道他们需要什么。审计人员的职责就是为公司介绍多种入侵公司的方法,然后确定他们到底需要测试哪些方面。
明确目标后,还要列出一张表单,注明审计中不应该包含的事项。
9.6.3 审计中的可为与不可为
检测企业是否存在安全漏洞可以采用多种不同的测试方法。运用本书中所有的原则,可以帮助你编制出一个不错的攻击计划。但是在策划攻击时,需要避免以下几点:
这样的事要应该不惜一切代价来避免,因为它们与审计目标不符,而且让被审查方有种被侵犯的感觉。然而问题来了,如果在审计过程中出现了诸如此类的证据该如何处理。每个审查人员必须自己决定该如何处理,但也不妨参照一些例子。
在一次审计中,审计人员发现一名员工利用公司的高速网络下载色情影片到外部硬盘中。该员工可能因此被解雇,但审计人员并不想这种结果出现,所以只是过去警告他停止该行为。该员工显得很尴尬、沮丧,并且认为审计人员还是会揭发他,于是决定先发制人、倒打一耙,他跑去和老板说审计人员故意在他的电脑中植入了这些让人反感的证据。
当然,在纠纷发生时,审计人员有日志和屏幕截图为证,最后那名员工还是被解雇了。同时,审计人员也受到了批评,因为公司严令禁止该员工的行为,而审查人员在发现证据时没有第一时间报告。
在另一个案例中,审计人员发现有人下载儿童淫秽视频并在互联网上传播,而且在该人的电脑上同时发现了他妻子和孩子的照片。他知道如果揭露此事,可能导致他妻离子散,身陷囹划圄,家庭和事业就此毁于一旦。
当地的法律规定,传播儿童淫秽视频是违法的,而且在道德上也属于恶劣行径。审计人员将此事告知公司和权威部门,该男子因此失去了事业、家庭以及自由。
明确列出“不可为”的事项来强化审查活动,能使你在法律与道德的边缘把握住正确的方向。在与身体语言大师乔·纳瓦罗(Joe Navarro)的一次会面中,他就此发表了自己的观点。他指出,除非你是执法者,否则在介入某事件前,必须决定什么可为以及什么不可为。那么审查人员应该在审查中做些什么呢?
这个清单可以帮助专业审计人员确立指南,列出在审查中什么可为、什么不可为。此外,许多公司还面临的一个最大的问题是,如何挑选优秀的审计人员来完成这些任务。
9.6.4 挑选最好的审计人员
如果你摔断了骨头,病情十分严重,医生告诉你痊愈的机会只有50%,但是如果是非常出色的医生来医治的话,痊愈的几率会增加,你会尽力寻找这样一位医生来医治你吗?当找到他的时候,你会问什么问题?你不想看看他过去的工作成就吗?你会想要一些证据,证明他具有理论和实践能力,能提高你康复的机率。
你可以依照类似的方式,找寻合适的审计人员。在与审计划成本人员交流时,以下问题可供参考。
知识 这个团队是否发表过研究报告、论文、演讲或者其他显示其社会工程知识的材料?他们是否是这个领域的领先者?你不应该安全审查工作交给那些使用过时方法、不能与时俱进的团队。
不经过一番调查,很难判断一名审查人员和一个审计团队的知识水平。询问他们是否发表过有关安全审计的论文、文章等是一个不错的主意。确保你雇用的团队是这个领域的佼佼者。
经验 客户通常不愿意被指名道姓、大肆宣扬。以我的经验来看,许多客户不愿被放上网站或市场宣传材料中,因为他们会感到尴尬,也怕导致入侵事件的发生。但你可以通过其他方式判断审计人员的经验。不妨询问他曾使用过的方法以及解决方案。
审计人员在初次会面时通常不会将所有的秘密全盘托出,但是多问一些他进行过的攻击,能帮助你判定他的技能水平。
合同 为审查活动列出框架、形成文件并设定相应的限制,是审查成功的前奏。个人而言,我不喜欢大量的限制,因为大部分恶意社会工程人员根本不讲什么限制。但至少应该就一些规则和不允许的条目达成一致。
社会工程人员希望对方准许其进行电话录音,在巡查建筑物或交互的过程中进行录像,尤其是在进行物理安全审计时,可以获得从办公场所拿走一些东西的书面许可。审查人员可不想在完成审查任务后得到一张逮捕令或一份起诉书。
同时要指派紧急联系人,他知道审计一事并且能为审计人员和他的团队担保。如果审计人员陷入法律纠纷,他可以打电话给紧急联系人。没人想在半夜翻垃圾的时候被警察抓去蹲拘留所。有了紧急联系人,就等于有了“免于司法纠纷”的通行证,长久来看这能省去许多麻烦。
共识 运用本书中的原则去寻找优秀的审计人员。与他通电话或见面时,他给你什么感觉?你看到了什么?你有没有感觉他非常专业,他的目的就是要帮助你?
审计团队对自己的描述和业务方式与你的要求一致吗?如果你是雇用审计人员的项目经理,责任都需要你来承担。审计人员也许不想和整个项目组的人见面,因为越少人知道社会工程团队的外貌,对物理安全审计就越有利。所以他们可能只想见项目组中的一到两个人。这就意味着你必须确保审计人员的素质很高,有足够的能力完成任务。
时间 公司在寻找审计人员时经常会犯一大错误,即不给审计人员足够的时间去完成工作。他们认为打几通电话、上一下网站完全可以在一天内完成。尽管这可能是真的,但是如何进行信息收集、计划和目标研究呢?这些都需要花时间的。时间非常重要,但也是把双刃剑——足够的时间有利于审查工作更好地完成,但时间太长会增加成本。管理,但是不要微管理。
这些只是在为公司挑选合适审计队伍时所要考虑的一部分问题。最后,社会工程团队必须让你感到舒服和满意,让你相信他们是真心想帮助你,他们将尽全力保持专业并遵守规则。