扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共4页)
早在1978年,加利福尼亚的Security Pacific银行因受一个员工的诡计诱骗而将钱汇入其在瑞士银行的户头,损失了1000万美金。而前段时间,HP公司又因调查“董事会向主要媒体泄露消息”的事件而爆出巨大丑闻。该公司雇用私人调查员来对付电话公司。通过伪称是董事会的相关成员,私人调查员向电话公司要求获取公司秘密,该成员的电话通话记录,并最终得到了这些信息。
这些事件有些共同点。它们都属于因受到攻击而导致财产受损,无论该攻击是来自一把枪或是一台电脑。在具体个例中,财产的损失是因为有人受骗,有人不遵守规程,或者有人忽视了安全措施。而攻击者用于使公司职员吐露机密信息,或执行某些行为危及公司安全的方法,则被称为“托辞学”或“社会工程学”。而对“社会工程学”,安全顾问Kevin Mitnick给出的定义是:“诱使人们完成来自陌生人的指令,而该陌生人指令在正常情况下人们不会听从”(Kevin Mitnick本身是一个著名的计算机黑客,后来成立了自己的安全公司)。
对今天的公司来说,“社会工程学”提出了一个严峻的挑战。因为数据的损失不仅会伤害一个公司的竞争力,同时也可能会导致公司负上法律责任,或导致公司背负巨大的负面社会影响。不幸的是,即使是先进的硬件和软件所组成的安全系统对此依旧会败下阵来,而败阵的关键却出在公司员工的身上。
这个问题揭示了当公司和他们的员工遇到来自陌生人(可能是合法的正常人,也可能是社会工程学的攻击者)的请求时所必须处理的,进退两难的局面。本着“服务客户”或“柔和可亲”的原则,她们可能会应允每一个请求——但是这么做,他们就等于给黑客偷取贵重信息敞开了大门。
好消息是,通过学习和训练,公司雇员可以更好的抵御社会工程学的攻击。
《孙子兵法》的经验
2000年前,中国的军事策略大师孙子写出了他的经典著作《孙子兵法》,虽然这本书非常古老,但它至今还备受人们推崇。实际上,这本书对于如何抵御和反击“社会工程学”有非常中肯的建议。在孙子提出的众多兵法法则中,有三条非常贴合我们的需求:
* 兵不厌诈
* 知己知彼,百战百胜。
* 制人而不制于人
下面让我们来仔细的研究一下这些法则,并依据每条法则提出一些更具操作性的规则或章程。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者