社会工程学之《反欺骗的艺术》小结(一)
前段时间去360听了个讲座,有位讲师给我们分享了一本书,便是《反欺骗的艺术》。回去后便在网上下单买了回来,看了一半,深感收获很大,趁热打铁,想自己根据自己的理解、世界观来进行总结一下。
2018年8月13日,初踏入网络安全这个行业,也正是在学习中,所了解的知识没有那么深,但是很想基于现在的知识自己进行一个阶段性小结。网络的世界没有绝对的安全,有人参与的地方就有漏洞,人,是安全过程中最薄弱的环节。
最理想也是最不现实的网络安全环境便是“路不拾遗,夜不闭户”,但是在现实的世界,比如说你的数据库不加密,很轻而易举的便可以访问,虽然国家于2017年06月01日颁布了,但是如此方便的可以获得一个企业的数据,虽然知道这样做是犯法的,会有人放在那儿自觉地不去获取数据么?企业间的竞争、黑色产业链所带来的利益,足以使得很多人走上违法犯罪的道路上。教育,提高人们内心的正义感,对社会的责任感的确可以很大的减少违法的事情,但是,人性的弱点是不可能通过教育来消除的,这一点将会是永远存在的(最起码未来的时间里是不会消失的,若是人类未来出现再度进化可能会实现),所以我们要学习了解一些人性的弱点,人类的心理,同时还有特别重要的一点,要经常性的进行自我思考,反思自己的弱点,改正自己的错误,弥补自己的不足,身为一个安全人员,做到自身最起码是安全的。
在这本书中,给出的社交工程的定义是利用影响力和说服力来欺骗人们,使他们相信社交工程师所假冒的身份,或者被社交工程师所欺骗。因此,社交工程师能够利用这些人来得到重要的信息,这个过程中可能利用到技术手段,也可能根本用不到技术手段。所以,一个有些规模的公司,除了要注意技术上的安全之外,也一定不要忽视员工方面所可能带来的信息泄露。这本书里有一句话“安全不是一个产品,是一个过程。”一个公司,并不是采购了一些安全软件并且使用或者在研发过程中采取了安全措施就万无一失了。安全不仅仅是一个技术问题,而且还是人与管理的问题,网络安全更重要的还需要融入公司的每日的运行程序中去。
社交工程师们在进行攻击之前肯定会利用各种渠道了解这个公司的地址、行话、工作流程等,当接到一个陌生电话并且对方声称是公司的工作人员时,一定要进行身份确认,如可以用一个公司内部记录在案的电话号码进行身份确认;他们还会装作社会上各种需要调查了解的工作人员来对你进行咨询,这时候你一定不要暴露公司内不得信息,及时是你认为并不重要的信息,例如你的员工号等,他们深知将“关键问题隐藏在无关紧要的问题当中”,在交谈的结尾,有经验的攻击者们一般会加上几个无所谓的问题,闲聊两句,混乱你对之前问题的记忆;凡是通过电话等涉及到公司信息交谈的时候,一定不要单单因为听起来像个公司的内部人员而去透漏某些公司的可能你认为的无关紧要的信息,即使是公司内部人人都知道的信息;在中国的文化中,酒文化在中国的交际中有着很重要的地位,所以,凡是掌握公司一些比较重要的信息的工作人员,最好不要饮酒,即使饮酒,也一定要控制在自己理智大脑自控力的范围内,切忌“酒后吐真谈”、“酒壮怂人胆”。
在企业的网络安全防范的针对工作人员的这一块,需要制定具体的措施来要求工作人员,并且还需要不时地提醒。制定一项政策,禁止将公司内部的信息,即使在你看起来无关紧要的信息告诉外部人员,更重要的是要制定一个可以具体逐步执行的程序,确认某人是否是真的公司员工,当公司员工手机号或者其他的联系方式更改时候,一定要及时更新公司记录在案的联系方式;类似于职员号码等这一类的信息,不能被用作身份的验证凭据,必须要培训每一个员工,不仅要验证请求者的身份,还要看他是否有必要知道所请求的信息;培训员工时,当有陌生人提出问题或者请求帮助时,要学会首先有礼貌地拒绝,直到他或她的请求被通过验证为止。
社会工程学之《反欺骗的艺术》小结(一)相关推荐
- 到底为什么你我都要了解社会工程学
题图 | Abstract vector created by fullvector - www.freepik.com 有史以来,人类相互之间就在不断地上演着一幕幕戏耍.愚弄.诱骗和欺诈的" ...
- 安全测试(三) 服务器安全 渗透测试 常规服务器安全漏洞 高危端口暴露、弱口令密码、暴力破解、服务器提权、Mysql数据库提权等 浅谈《社会工程学》实战案例
文章目录 一.前言 二.服务器安全 高危端口 2.1 端口号(Port number) 2.2 常见端口后及其用途表 2.3 端口号 扫描工具介绍 2.4 端口号 端口说明 攻击技巧 2.5 安全警示 ...
- 网络安全的魔法——社会工程学
如今的网络威胁不仅仅只有关于技术的漏洞了,更多的其实是依赖于人际互动.在Verizon的2022年"数据泄露调查报告"中显示,82%的数据泄露涉及人为因素.网络攻击者们利用社会工程 ...
- 网络安全入门学习:社会工程学
在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵国际安全系统,并在最后逃之夭夭.在电影中,有一句经典的台词: 所有黑客手段中最有效的.最伟大的幻想艺术 ...
- 什么是社会工程学?如何防范社会工程学攻击
黑客技术就像魔术,处处充满了欺骗. 不要沉迷于网络技术,人才是突破信息系统的关键. 只要敢做就能赢. 在电影<我是谁:没有绝对安全的系统>中,主角本杰明充分利用自己高超的黑客技术,非法入侵 ...
- 社会工程学——基础与认知建立
社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的.社会的和制度上的途径来逐步地解决各种复杂的社会问题. 世界第 ...
- 社会工程学到底有多可怕
题图 | Pixabay 九号传教士 CFA 持证人 / 高临签约顾问 / CCIE 路由安全方向持证人 / 国家心理咨询师 作者本身从事欺诈/反欺诈/风控相关工作,一直并长期关注/潜伏于黑产产业链 ...
- 社会工程学在网络***中的应用与防范
1.引言 社会工程学(Social Engineering)是把对物的研究方法全盘运用到对人本身的研究上,并将其变成技术控制的工具. 社会工程学是一种通过对受害者心理弱点.本能反应.好奇心.信任.贪婪 ...
- 郭盛华:黑客使用社会工程学进行欺骗的3种方式
近日,国际知名白帽黑客.东方联盟创始人郭盛华微博发布一篇技术论文,他提到黑客使用社会工程学进行欺骗的3种方式,我们来仔细研读一下. 1.黑客通过网络钓鱼电子邮件或电话进行攻击. 网络工程是最常见的社会 ...
- 可怕的社会工程学黑客渗透技术,比骗术更高明的艺术
社会工程学渗透到底有多可怕?一个真正的黑客,他是一个喜欢整夜熬夜的人,他和机器处于一种爱恨交织的关系,他们凭借自己的技术知识,利用漏洞或漏洞攻击计算机系统. 在国内,黑客安全组织东方联盟的社会工程渗透 ...
最新文章
- ==和equals()的区别
- “三次握手,四次挥手”你真的懂吗?
- Linux桌面环境与命令行环境切换快捷键,以及linux 图形界面 X Server 关闭 启动
- SringIOC中Bean的后置处理器
- Oracle imp字符集转换,imp/exp 字符集转换
- Linux基础 —— 操作系统简介
- 软件工程(总体设计②设计原理)
- C# 对垒 VB.NET C#不行了?
- shell的date命令:使用方法,以及小时、分钟的计算
- 2019开发者调查:Python 或成赢家,Java 最不赚钱?
- python技巧——使用list comprehension生成素数(prime number)
- 条码打印软件如何添加新字体
- 最新hadoop大数据零基础入门高薪就业视频教程
- 英式和美式的单词拼写差异详细对照表
- JAVAFX如何在文本框内插入图片
- 内置函数 ,匿名函数
- 大疆精灵4多光谱无人机P4M影像辐射定标方法(二)
- 用Cheat Enginee(CE)分析“初级”、“中级”和“高级”的棋盘内存地址范围
- C#从入门到精通学习笔记——(2)
- JavaScript轻应用UI介绍
热门文章
- python语法分析图_Python的抽象语法树(二)
- 谷歌推出全能扒谱AI:只要听一遍歌曲,钢琴小提琴的乐谱全有了
- java上下载不了jdk_新手想学java,到哪里下载jdk?我在甲骨文官网下载jdk下载不了。...
- MATLAB中文显示乱码如何解决
- 大数据Vue项目案例总结
- talib python文档_TALib中文文档代码实现
- 简单迅速解决windows电脑下载windows应用商店(Microsoft Store)
- 2021年MathorCup数学建模A题自动驾驶中的车辆调头问题全过程解题论文及程序
- W3cschool 离线手册下载资源
- 零基础学python电子书-《零基础入门学习Python》电子书PDF+笔记+课后题及答案免费下载...