利用最强大的安全性(第二部分)

自从我5月份写了这篇文章的第一部分以来,几篇相关文章出现在不同的知名在线资源中。 我认为,其中最引人注目的是《财富》上的那篇文章,它试图将信息安全和业务与他们之前尝试过(而且大多数失败)的业务联系起来。 您不必阅读所有文章的文本即可了解它和其他文章的共同点:第一段以我们大家早已习惯的陈述结尾。 如果您的公司像大多数公司一样,那么您将在安全方面花费大量的信息技术预算:用于保护组织的安全产品,用于帮助您了解弱点所在的安全顾问,以及在发生某些事情时请律师解决不可避免的混乱情况出错。 这种方法可以奏效,但它没有考虑安全防护网中最薄弱的环节:员工。 因此,如果您已经阅读了有关该主题的第一篇文章,那么您就会想到,本文中的任何后续内容都可能被这种刻板印象所误导。 我上次警告您,任何听起来类似于“人类是最薄弱的安全链接”的内容,都应在“默认情况下”之前或之后。 “默认”是指“万一贵公司的安全管理没有做 任何 改变”。 但是说起来容易做起来难,对吧? 那么,为了充分利用安全性中最强大的因素-人性,该怎么办? 要了解这一点,有必要了解一下我们大脑的功能。 我花了很多时间通过阅读当代科学研究的结果来熟悉这个话题。 我鼓励您也这样做! 但是,为了这篇博客文章的缘故,我将总结一些最强的要点,这些要点是您必须接受的,以便看到亮点。 想象一下,在每个人的大脑中都有三种动物:鳄鱼,猴子和实际的人。 如果您熟悉大脑的结构,那么您已经知道:大脑的不同部分在不同的进化时期已经生长。…

利用安全性最强的因素(第一部分)

2013年1月,加里·麦格劳(Gary McGraw)撰写了一篇出色的文章,内容涉及13个安全设计原则,总结了任何安全工程师或架构师都应该熟悉的高级概念,以便被称为。 McGraw博士当然是Cigital的聪明绅士,他们撰写了《软件安全》一书,录制了《 Silver Bullet》播客,并在安全行业的许多职业选择中发挥了作用。 他解释的第一个原则非常合逻辑且直观: “确保最薄弱的环节” 。 该原则跨越了许多学科,例如项目管理和物流,并且对许多人来说是显而易见的:除了最糟糕的部分并加以修复之外,没有其他方法可以显着改善某些东西。 很简单,对吧? 绝大多数信息安全专业人员都认为人为因素是任何安全系统中最薄弱的因素。 而且,我们大多数人都提倡这种想法,并且不会错过“责怪用户”或解决人为愚蠢的无限安全问题源的机会。 但是,当您开始挑战这个想法并询问他们实际上是为了改变局势而试图做什么时,答案却很少。 只需自己尝试一下:每当您听到有人说“……您无法与网络钓鱼/社会工程/人为错误等作斗争”时,请问他们:“您是否尝试过?……”我一直这样做,并相信我,其乐无穷。 令人不安的事实是,人脑在检测和处理威胁方面非常有效。 实际上,它花费了大部分的计算时间和卡路里消耗来维持这种“态势感知”,这使我们能够在解决代表汽车速度和轨迹的方程组之前很早就踩到断路,侧。 如果我们的大脑经过适当的培训,可以作为一种有效的安全对策,可以在检测或响应方面超越任何安全监控工具。 问题是,作为一个行业,我们没有足够的时间来培训人类来监视,检测和应对技术威胁,就像自然界训练我们避免开火,躲避虎跳而逃脱时一样。树。…

网络安全童话:用户意识

要说我们可以用用户意识程序解决很多问题是正确的,但是不幸的是,对于《幸福的结局》而言,这还远远不够,因为在《幸福的结局》中,几乎所有事情都可以得到最好的解决。 信息安全意识计划是“有组织的工作,旨在使员工和客户意识到个人和公司信息的风险,并向他们提供有关信息技术的必要技能和知识,以避免这些风险。” 让我们明确用户意识计划及其通常涉及的内容; 因为我们可以将它们分为两种类型。 首先,一些课程可以向经理,高级经理或董事会介绍最相关的网络安全主题,以确保他们掌握做出更明智的决策和管理业务风险的知识。 这些课程是全球性的,可洞悉当前的威胁状况,风险以及任何网络安全漏洞的潜在后果。 拥有管理级别的支持将带来更多的自由,更大的预算和更多的支持,从而使网络安全性更加可见和可信。 可信度将在以后的文章中讲述自己的故事……。 我将在这里集中讨论第二种类型,其中程序更适合最终用户,而不论其位置如何。 这些意识提供的大多数都是标准的,内容由一系列可能的基于计算机的培训部分驱动: ·威胁概述:恶意软件,网络钓鱼,社会工程 ·密码策略最佳做法 ·Web保护:怎么做; 避免什么 ·电子邮件保护:怎么办; 避免什么 现在,在同意这些培训很重要并向所有人提供有用信息的同时,我们能否说这将改变一切? 嗯……

您最近接受过社交工程吗?

在最近的案例研究中突出显示,社会工程师成功地将澳大利亚全国中小型企业的业务主管作为攻击目标,他们试图用假发票欺骗他们。 该小组危害了其目标企业的电子邮件服务器,以将电子邮件发送给首席财务官(CFO)。 在交换电子邮件之后,他们成功地欺骗了CFO,将钱汇入他们的帐户。 在新西兰也观察到了这样的社会工程策略,新西兰护士组织向成千上万的恶意个人发送了成千上万的会员详细信息。 在这种情况下,电子邮件服务器不会受到威胁,黑客使用了伪造的雅虎电子邮件地址,上面写有行政长官的名字。 社会工程学的复杂程度可能会有所不同。 但是,就其本身而言,对员工的基本培训和意识不可能带来预期的安全结果。 组织还必须考虑他们自己的安全卫生在最大程度地减少成功进行社会工程攻击的影响和可能性方面的作用。 Thycotic在2017年的Black Hat Hacker调查中强调了这一点,其中32%的黑客表示访问特权帐户是他们轻松快速访问敏感数据的首选。 用户角色和访问配置文件的维护和处理不善可能会使员工对数据的访问权限超出他们的需要。 攻击者可以通过社交媒体(如LinkedIn和Facebook)创建可能拥有特权帐户的潜在目标的命中列表。 在一个组织内担任过各种不同职务的长期服务的员工和个人迅速升为最高职位。 为了解决这个问题,安全团队需要确保用户角色和访问配置文件的目录适合于员工及其现有职责,并防止不必要的访问权限累积。 这涉及用于添加,更改或撤销访问权限的请求的适当过程,以确保只有授权用户才能授予对特定信息的访问权限。 当员工更换角色时,还需要进行检查,并进行定期检查或审核。 为什么网络钓鱼继续成功…

如何让自己变成另一个人?— —社交工程学攻防知识(上)

一名活动家被警察的卧底骗取了五年的感情和信任,这是最近公开的解密文件中暴露的惊人情节。我们都在谴责这种肆无忌惮的监视行为,但之所以所以它没能在短时间内是揭露,正是因为活动家的防御警惕性不充分。于是,整个故事最关键的部分之一就是这里的主题: 伪装 。 不必以为您自己不会遇到这种最邪恶的欺骗,也许您不是异议人士,也许您对政治一窍不通,也许您真的只是一个极端普通的人,但是,您依旧很有可能遇到社交工程高手,因为您身上究竟有什么值得攻击者垂涎的价值,您自己说了不算,我说了也不算,而​​是相应攻击者。 如果您已经成为政治异议,财务活动家,社会边缘人群,拥有或没有宗教信仰(这就是不同的国家),性认同少数人群,或者您只是被欠薪的打工族,被洗脑教育虐到发疯的学生……甚至您只是希望做一点正义的事,您都应该确信自己已经成为了攻击的重点目标 。 我们一直在专家数字监视的无处不在,这是确实的,但是直开始—并且完全可以确信在未来足够长的替换内—当权者依旧会钟情于使用人力的注意防,也就是前面这么做的警察卧底。对于中国而言,此时间只会再次。 于是,您完全有必要警惕身份伪装者的入侵,他们有可能就存在于你我的身边,以你我的“朋友”的身份存在于我们身边的人— — 千万不要误会!我绝不是说鼓励不是的,还是希望您可以清楚地分辨恶意和善意 。这是保护自己,自己的家人,自己的同伴和合作者的最佳方案。 本文主要介绍伪装的技巧— —即那些渗透进反抗组织内部,异议人士身边的恶意监视者使用的方法,也是任何希望做正义的事的人免不了要使用的技巧。者,如果您确定自己的目的正义,您可以决定如何使用这些技巧。 伪装— —社交工程学的关键基础设施 什么是伪装?有人认为它只是社交工程过程中编造的故事或者谎言,不不,没这么简单,这是非常狭义的理解。 准确的定义应该是:以背景故事,衣着,仪表,个性和态度来塑造的角色,以完成社交工程审计工作。伪装包括你所能想到的基于对象角色的方方面面。作为社交工程师,你伪装得越一般情况下, 伪装得越简单,说明技术越娴熟…

只有自己学会伪装才能识破伪装者— —社交工程学攻防知识(下)

继续前文。 2.5伪装得越简单效果越好 如果伪造错误错综复杂的细节,以至于忘记了任何一个细节都会导致失败,那么就真的会失败了。保持故事情节,事实和细节的简单性。就能增强可信性。 人际欺骗领域最有名的心理学家和研究人员Paul Ekman 很多时候你没有时间去准备,进行练习和记忆。就算事前有充分的预案,也有可能突然冒出一个不能预见的方向。你可能很聪明,但是也很难预见所有可能被问到的问题,于是并且,即使不是为情势所迫改变方向,某些撒谎者也会由于记忆问题而想不起前面的描述,结果就不能快速解答新的问题。 如果重要的观点将为什么越简单越好,解释得非常清楚。如果伪装得很复杂,努力去记住所有内容几乎是不可能的,一个很小的错误就会毁掉你的全部。 一个简单的伪装允许故事发展,并且允许目标运用想象去填满那些空隙。切勿试图将伪装做得很精致,但必须牢记伪装中的关键细节 。 并且— —我们曾经提到过那个方法— —专业的罪犯和骗子们会使用一些伎俩,包括故意错误。这个想法是基于“人无完人”而建立的,一些小错误会让人感觉你更真实。如果运用这个策略,就必须留心你决定去犯的那些错误,虽然这确实能使对话更自然,但是也增加了伪装的复杂性。还是建议少用这一花招,如果有必要使用,要让它能够简单。 2.6伪装必须遵守自然 要想让伪装突然自然,就需要使用如前文中突出的轮廓模式,而不是剧本模式。大纲模式下社交工程人员可以自由地发挥作用,使用太详细的剧本会使你变得很机械。 如果每次有人问一个问题或者导致一个问题,你都支支吾吾,需要深入的思考,而不能立即做出明智的回答,你的可信性就会大打折扣。 以下是一些可以让伪装更加自然的方法: 通常️ 不要考虑自己的感受:这点很重要。因为通常在伪装时如果想太多就会合并更多的个人情绪,然后恐惧,不安或担心就会随之而来,这些都可能导致失败。你可能不会经历不安和担心,但有可能过度兴奋,这同样会导致你犯很多错误。…