9.2 创建具有个人安全意识的文化
2010年7月,我所在的安全专家小组在Defcon第18届安全会议上举办了首次有组织的专业级社会工程竞赛。一群最优秀的、最聪明的人纷纷从世界各地会聚到内华达州的拉斯维加斯,参加每年一次的交流、培训和学习。
我和小组成员都认为,这将是一个举办竞赛的好机会,可以评测美国的公司是否易受此类攻击(对“竞赛”的反应)。于是我们组织了比赛,感兴趣的人都可报名参加,竞赛分成两个阶段:信息收集和主动攻击。
为了保证比赛的合法性和道德性,我们不希望任何人受到伤害,所以规定不准收集任何社保号码、信用卡和个人身份信息。我们的目的不是让任何人遭到解雇,也不是让任何公司陷入窘境,所以我们决定不涉及公司密码或其他与个人安全相关的信息。相反,我们制定了一个有25~30个“旗标”的列表,包括查出公司是否有内部自助餐厅、谁负责处理公司的垃圾、公司使用何种浏览器、用何种软件打开PDF文件等。最后,我们选择的目标公司覆盖了美国的各行各业,如天然气公司、科技类公司、制造商及零售商等。
每位参赛选手都会被秘密地指派一个目标公司,他有两周的时间去做被动的信息收集工作。这就意味着选手不能联系公司、给他们发邮件,也不能尝试用其他社会工程方法收集信息。相反,他们必须使用网络、Maltego和其他工具收集尽可能多的信息,最终完成一份专业的报告。
通过收集到的信息,我们希望选手能找出一些能够在现实世界中合理运行的攻击方法。然后选手必须来到拉斯维加斯的Defcon大会,坐在一个隔音的电话亭里,打25分钟的电话给他们的目标,实施攻击,看看可以得到什么信息。
我原本可以在接下来的20~30页中告诉你竞赛中发生了什么、结果是什么,但我只想说一件事,那就是每个选手都从目标那里获得了足够的信息,这些公司都未通过安全审查。不管选手的经验和伪装处于什么水平,他们都成功完成了预设的目标。关于这次竞赛的详细报告,请浏览www.social-engineer.org/resources/sectf/SocialEngineer_CTF_Report.pdf上的有关文档 。
这里要提到的就是安全意识。关注安全问题的公司有员工培训项目,以培养他们提防来自电话、互联网或者个人的潜在安全风险的意识。但我们发现这些公司的安全意识还是很薄弱。为什么?世界500强企业在安全、培训、教育、服务上花费了数百万美元,可为什么雇员的安全意识还是不够强呢?
这就是本节标题所提到的,安全意识不是员工的个人意识。在安全实践中,我经常和雇员聊起他们对攻击事件的看法,他们的反馈常常是:“这些又不是我的数据,我担心什么?”这种态度表明了公司想要灌输安全意识却没能切中要害,没有引起重视,没起到效果,最重要的是,没有与个人挂钩。
回顾能找到的许多所谓的安全意识培训材料和方法,我的感觉就是无聊、愚蠢,无法引起参与者的互动或思考。短暂的DVD演示涵盖了太多内容,试图在短时间内给观众灌输过多的细节,却很难深入讲解。
不管你是企业还是个人,我要给你一个挑战,那就是设计一个培训计划,通过互动模式让人们融入其中,并引发人们对安全意识的深思。不要只是告诉员工为什么要设定一个又长又复杂的密码,要让他们见识一下破解一个简单的密码是多么地容易。协助客户进行安全意识培训时,有时我会让一名员工上来,在电脑里输入一个他觉得安全的密码。我会在讲密码安全之前这样做,然后在讲的过程中破解这个密码。通常来说,1~2分钟内密码就会被破解,然后我会向大家公开这个被秘密输入的密码。迅速破解密码会给每个人带来巨大的震撼。做几次类似这样的演示之后,员工就会表示现在他们知道密码安全是多么重要了。
当讨论电子邮件中的恶意附件攻击时,我不会向员工展示如何构造一个恶意PDF文件,而是会向他们展示当恶意PDF文件被打开时,受害者和攻击者的电脑中会出现什么。这可以帮助他们理解一个简单的崩溃如何导致一场灾难。
当然,这种教学方式会引起极大的恐慌情绪。尽管这不是我的目的,但也并不是一个可怕的结果,员工会因此记忆深刻。培训的目的是让他们理解不仅要在使用办公室电脑时这样做,也要在应用个人银行账户、家用电脑时这样做,树立起自我安全意识。
希望每个听过我安全演讲或者读过本书的人都审视一下自己是如何使用互联网的,反复使用的密码是否修改过,密码和个人信息是否存储在了不安全的位置,以及用互联网连接了哪些地方。我曾无数次看到有人坐在星巴克咖啡馆里,使用免费的WiFi连接登录银行账户,或进行网络交易。我很想起身朝那个人大叫,告诉他如果有个坏人进入了同样的网络,他的整个生活就会天翻地覆,但是我没有这么做。
我希望读到这里的人也可以想想自己是如何通过电话泄露信息的。骗子和诈骗专家用许多方法窃取老年人、经济困难的人和其他人的信息。打电话仍旧是一个强有效的方式。充分认识厂商、供应商和银行的政策,了解他们会不会通过电话询问信息,可以帮你避免掉入许多陷阱。例如,许多银行在政策中申明他们永远不会通过电话询问社保号码或银行账号。知道这些有助于你保护自己,以免被骗而变得一贫如洗。
培养安全意识是一个持续不断的过程,需要你安排时间去不断地学习。在了解所有这些有用的信息后,你可以用它们来制定一个计划,以保护你的安全。