***大赛结果,名企员工缺乏安全意识
来源:首席安全官 资讯
国外媒体报道,最近,由一群精英***充当的测试者对17家财富500强企业中的135名员工进行了安全意识测试,结果发现只有五位员工无论如何也不肯透露他们公司的任何信息。更令人惊讶的是,这五名员工竟然全部是女性。
名企员工普遍缺乏安全意识
这是组织者继上月举办全球最负盛名的Defcon***大会后,实施的一次“社会工程学”(Social Engineering)安全测试活动。社会工程学,准确地说,不是一门科学,而是一门艺术和学问。它利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当受骗。此次测试的结果耐人寻味。组织者已向美国联邦调查局简要汇报了他们的测试结果,但是他们还拟于下周发布一份更为详细的报告。
在这个为期两天的测试活动中,测试者选择了17家大型企业,包括谷歌、沃尔玛、赛门铁克、思科、微软、百事、福特和可口可乐。测试者们坐在一个用树脂玻璃制成的电话亭中,在观众的监督下,分别给这几家著名企业的员工打电话,试图套取他们公司的信息。
结果令人大跌眼镜,测试者们竟然轻松得手,测试活动的组织者克里斯-哈德纳吉说。只有一家公司没有泄露自己的信息,但原因只是无人接听电话。“如果我们选择其中的任何一家公司进行社会工程学方面的安全测试,恐怕没有一家公司能够及格。”哈德纳吉说。
在测试中,测试者不允许索要密码或×××号等异常敏感的信息,而只准套取那些可能会被别有用心的***们利用的信息,例如被测试者安装的操作系统、防病毒软件和浏览器等信息。他们还竭力说服被测试者访问未经安全认证的网页。
在测试中,人们发现了一种有趣的现象:约有一半的公司仍在使用众所周知具有严重安全漏洞的IE 6浏览器。而且,当测试者说服这些企业的员工访问一个专为本次测试活动设计的外部网站时,这些员工最后总是乖乖就范,真的按照测试者的要求行事。
这个结果表明,即使安全防御措施最严密的公司,也可能因为员工在无意中泄密而土崩瓦解。
安全培训不能一劳永逸
思科公司的高级安全顾问克里斯多弗-伯吉斯说,这些安全威胁是实际存在的。“在现实生活中,许许多多的公司都会接到像这样的假冒电话。”他说,“这已成为不法分子套取信息的一门绝活。”
有人曾打电话给思科公司,谎称他们的系统崩溃,情势危急,企图诱使员工泄露他们本不该泄露的信息,伯吉斯说。“我们就是要训练我们的员工,让他们认识到社会工程学是一门手艺,许多别有用心的人欲借此操控他人实施某种行为或泄露敏感信息。”
思科公司已将其安全培训手册公之于众,以期其他公司能从中有所收获。尽管思科是此次社会工程学测试活动中被测试的公司之一,但是组织者哈德纳吉并没有透露它以及其他任何一家公司的信息。
回顾此次测试结果,伯吉斯说这表明了我们的安全培训计划一刻也不能放松。“在安全培训方面,你不可能做到一劳永逸。”他说,“你必须经常变换花样地开展这种培训。”
许 多测试者通过假冒内部审计人员或实施常规调查的顾问而成功地套取到了他们希望得到的信息。伯吉斯认为,员工应该知道何时掐断这种假冒电话。“如果要从此次 测试活动中总结一条经验,我认为这条经验就是:最好的防御方法就是培训你的员工,在接听电话时,如果辨认不出对方的声音,请在提供有关公司的信息之前,先 确认一下谈话的对象是谁。”
女性员工的安全意识更强?
伯吉斯没有谈论为何所有拒绝测试者的员工均是女性。然而,根据组织者哈德纳吉的观点,不同的***方法对不同的人的作用效果是不同的。也许测试者使用的这种社会工程学方法对女性并不起作用。
尽管如此,这五位女士的表现仍然令人敬服,哈德纳吉承认,“在通话的前15秒,他们就直接回绝说‘这个好像不太适合我’,然后就毫无犹豫地地掐断了电话。”然而,令人泄气的是,他们同事的表现却没有这么好。
“显而易见,他们已在职业培训中获得了某种安全意识。”他说。这五位女性员工拒绝测试者的原因还可能在于:所有的测试者都是男性。“当有男性掺和进来时,女性本能地会变得警觉起来。”

在 这五位女性员工中,有三位是公司经理。一般来说,女性经理遭受社会工程学***的可能性极小,Lake Missoula公司的总裁、曾为好几家金融服务公司做社会工程学测试的安全顾问乔纳森-哈姆说。“他们对人的信任感非常低,是最具有怀疑精神的一群 人。”他说,“在针对公司高层的安全测试中,我常常会绕过女性职员,而专挑男员工来打电话。”

转载于:https://blog.51cto.com/2186877/402645

***大赛结果,名企员工缺乏安全意识相关推荐

  1. 员工缺乏责任心的四大原因

    ·引言 几乎所有的管理者都在强调员工责任心的重要性,但是并没有太多的人去思考这样一个问题:"员工为什么没有责任心?"或许,许多管理者对这一问题不屑一顾,但任何一个管理者都不能对员工 ...

  2. 怎么提高员工的信息安全意识????

    信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体.与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全:对组织机构来说, ...

  3. 沈坤:中国餐饮严重缺乏创新意识

    10多年前的一次偶然机缘,使我误打误撞进入了餐饮业的策划,在朋友投资的酒楼小试牛刀,虽然当时我还不懂得运用横向思维的破局营销,不知道可以策划出什么样的效果来,但最后的结果却弄出了很大的声音,应该堪称中 ...

  4. 如何提升员工的网络安全意识?

    根据近年中国网民网络安全意识调研报告统计,约90%网民认为当前的网络环境是安全的.但实际上82.6%的网民都没有接受过任何形式的网络安全培训,通过对网络安全事故的分析发现,超过70%的事故是由于内部人 ...

  5. 疫情放开后,如何保护居家员工的办公安全?

    随着疫情的放开,大多数企业的员工因"阳"不得不在家办公. 据当前的趋势来看,一线城市的大小企业已经出现高比例的员工感染,不少工作人员或出于安全的考虑选择居家办公. 但无论是被迫居家 ...

  6. 如何进行系统安全评估

    当今世界的很多行业都离不开计算机系统,但是这些系统也经常会面临各种安全威胁,比如黑客攻击.病毒.勒索软件等等.因此,当涉及到系统安全时,评估和分析是非常重要的.系统安全评估是企业信息技术管理中至关重要 ...

  7. 固定资产管理流程和技巧

    企业固定资产是保证企业正常运行的重要基础物质条件,其管理及核算状况影响对企业业务活动的开展,经济效益的提高.从目前实际情况看,企业在固定资产管理,核算等方面存在诸多问题,因此,加强企业固定资产管理成为 ...

  8. 《无处不在的安全,无孔不入的间谍》论企业信息泄漏防御

    一 信息的定义及其重要性 每一年,由于信息泄漏而给企业造成重大损失的新闻报道屡见不鲜,信息泄漏仿佛成为企业发展过程中的必然遭遇,小到个体私营,大到国企乃至跨国集团,信息泄漏这一陋习如影随形.然而令人惋 ...

  9. 33 | 安全防御工具:如何选择和规划公司的安全防御体系?

    在前面几个模块中,我们重点讲解了常见的安全防御工具和手段.这些工具和手段包括:安全标准和框架.防火墙.WAF.IDS.RASP.SIEM 和 SDL 等.它们分别从不同的方面,为公司提供了防御攻击和发 ...

最新文章

  1. Python之常用的高阶函数——abs、map、reduce、filter、sorted
  2. 计算机视觉黑魔法 | 16个案例
  3. 052_Function对象
  4. 2007年9月c语言真题及答案,2007年9月二级C语言笔试真题和答案(已再修改).doc
  5. maven重新指定仓库存储路径
  6. Scikit-learn 数据预处理之归一化MinMaxScaler
  7. html5 coverflow,使用FancyCoverFlow实现3D无限循环切换视图
  8. Redmi 9将升级双频WiFi:定义2020入门机新标准
  9. Essential SQLAlchemy2th学习笔记之反射Reflection
  10. SNAP7 C++ 通讯
  11. 【Java】转义字符
  12. 用甘特图控件VARCHART XGantt搞定项目管理
  13. 保研夏令营面试、考研复试自我介绍、个人展示模板与撰写注意事项
  14. Kindle Windows版本 中文字体修改工具
  15. 来吧,我是BOSS!
  16. 找不到 xxx 的DNS地址,现在正在诊断问题
  17. MBSE系统工程是什么
  18. Python实现输出手写体图片
  19. LwIP 协议栈移植教程
  20. 技能梳理23@语音模块+stm32+nfc

热门文章

  1. VTK:PolyData之MergeSelections
  2. VTK:几何对象之SourceObjects
  3. 为Qt Designer创建自定义Widgets小部件
  4. Qt Creator编辑2D内容
  5. OpenGL Compute Shader Image Processing计算着色器图像处理的实例
  6. OpenGL立方体的纹理
  7. C语言实现高斯-赛德尔迭代gauss seidel(附完整源码)
  8. OpenCv——merge()函数数据合并
  9. php如何实现添加到购物车_PHP实现添加购物车功能
  10. easypoi 如何合并相同的列,如何在Java中的POI中使用XWPFTable合并单元格(或应用colspan)?...