社会工程是任何没有人的主题之一真的喜欢谈论。诚然,如果没有某种社会工程计划的影响,我们都是脆弱的。问题是,我们没有意识到50%到60%的社会工程攻击每天都在发生。我们经常关注安全的技术和物理方面。这些话题更容易讨论,因为它们与简单的“物理”或“逻辑”系统或想法有关。随着社会工程的发展,这个问题扩展到心理学、所有员工之间的统一政策,还包括更多的变量。你会问,这与聚合网络有什么关系?在第一个保护Line系列中,我们讨论了分层安全方法。在分析任何环境时,安全分析通常包括固有的技术弱点、不充分的公司或组织政策、人为错误、物理安全以及单点故障漏洞。通常不被讨论或分析的东西才是真实的风险社会工程引入到任何技术环境中。有一个文章由Sarah Granger在SecurityFocus网站上这是关于2001年关于社会工程的危险陷阱。虽然它已经七岁了,但同样的基本想法仍然适用。Sarah引用了若干目标电信环境的例子:
"Hackers are able to pretend they are calling from inside the corporation by playing tricks on the PBX or the company operator, so caller-ID is not always the best defense. Here’s a classic PBX trick, care of the Computer Security Institute: “’Hi, I’m your AT&T rep, I’m stuck on a pole. I need you to punch a bunch of buttons for me.’” " (Granger) Why is telecommunications infrastructure such an easy target for social engineering? One of the major weaknesses of any organization's telecom infrastructure is this: there are simply too many cooks in the kitchen. We have internal telecom / PBX / network staff, dialtone providers and carriers, and slew of external vendors and solution providers.社会工程攻击如何减轻恐病?我已经尝试了几种不同的技术来打击社会工程,少数人非常成功。首先,对于我们的案例中的每个关键系统或资源,例如“拨号器运营商”,将一个或两个人委派为该环境的“通信中心”。当我说一两个人时,我真的很有意义。这些人很了解环境,并接受培训,以回应查询和潜在的信息收集攻击者。他们确切地知道谁需要在什么时候提供的信息。组织内的任何人都可以立即将请求转发给“通信中心”代表以进行进一步分析。即使是高级电信工程师知道外部来源构成的问题的答案,信息发布由通信委托控制。进行“社会工程日”那些利用社会工程袭击的人是聪明的,资源丰富的人。每个工作人员都从行政助理到首席执行官需要了解社会工程漏洞。甚至甚至一点点培训,整个组织都可以在寻找这种攻击时。含有真实示例的频繁培训课程通常会使每个人都受益,甚至是兼职人员。警觉这最终,长期以来一直在偿还的警惕。这是涉及的积累警惕每个人,由于组织的最弱链接可能会损害整个环境。