读社会工程:安全体系中的人性漏洞(第2版)06MAPP

读社会工程:安全体系中的人性漏洞(第2版)06M.A.P.P

1. 防治规划

1.1. Mitigation and Prevention Plan

1.2. 一开始你可能会没有信心,实际上你可以塑造出一种重视安全意识的文化

1.3. 第1步:学会识别社会工程攻击

  • 1.3.1. 首先要学会识别和了解这些攻击,这样你的团队就已经高于平均水平了

  • 1.3.2. 电子邮件可以用来入侵整个公司

  • 1.3.3. 电话可以用来获取密码和其他敏感信息

  • 1.3.4. 如果他们的移动设备被黑客控制了,就能用于攻击他们的家庭网络和工作网络

  • 1.3.5. 不能因为对方面带微笑、态度友好和善,就忽视了我们的通行证使用守则

1.4. 第2步:制定切实可行的政策

  • 1.4.1. 在安全领域,政策似乎是一个不好的词

  • 1.4.2. 大部分人不喜欢制定政策、强制实施或被迫遵守政策

  • 1.4.3. 避免过于复杂的政策

  • 1.4.3.1. 有些政策常常过于宽泛而笼统,这会导致执行者顾虑过多并反应过度,这是政策的制定者对这些攻击缺乏了解造成的

  • 1.4.4. 避免盲目的同情

  • 1.4.4.1. 不是让你“不要有同情心”​

  • 1.4.4.2. 需要避免因同情心泛滥而忽视了制度

  • 1.4.4.3. 永远不会阻止人们的善意关怀

  • 1.4.4.4. 护送他们到公司的任何地方之前,都要检查通行证验证身份

  • 1.4.5. 让政策切实可行

1.5. 第3步:定期检查实际情况

  • 1.5.1. 选择合作的顾问是很重要的

  • 1.5.2. 提出好的问题

  • 1.5.2.1. 不要害怕问及之前的工作情况,或者对于特定情况,该公司倾向于如何处理

  • 1.5.3. 有合格的参考案例

  • 1.5.3.1. 很少有公司愿意被当作参考案例,因为它们不想将接受过的社会工程服务让更多人知道

  • 1.5.3.2. 社会工程公司不会将对其不满的客户用作案例

  • 1.5.3.3. 目的在于大致了解他们与客户的合作方式,及其服务质量

  • 1.5.4. 能清晰地定义规则

  • 1.5.4.1. 对客户来说,如果实际的渗透测试比设想中的更为刁钻复杂,那会是一件很麻烦的事情,所以你必须向你的上司解释清楚情况

  • 1.5.4.2. 确保不出现这种问题的最佳方法就是有一套清晰的测试规则,以免越界

  • 1.5.4.3. 定义清晰的规则就好比拳击比赛中选手穿戴的护具一样

  • 1.5.4.4. 没有什么普适的方案—方案很大程度上取决于你的需求和想要达到预期目标的方式

>  1.5.4.4.1. 其他服务最好每年一次或半年一次,比如渗透测试

>  1.5.4.4.2. 有的服务最好每月一次,比如网络钓鱼测试

1.6. 第4步:切实可行的安全意识项目

  • 1.6.1. 把安全意识项目调整得符合客户的具体需求之后,你便能帮助员工明白,当出现问题时该做什么,以及不该做什么了

1.7. 综合以上4步

1.8. 时刻保持更新

  • 1.8.1. 要确保计算机能及时更新

1.9. 从同行的错误中学习

  • 1.9.1. 有很多公司会出售威胁建模服务来帮助解决这个问题,你可能会需要他们的帮助

  • 1.9.2. 可以自己建模并确定哪些地方需要增强和巩固,然后改进当前的项目和条款,从而保持对攻击的警惕

1.10. 塑造重视安全意识的文化

  • 1.10.1. 奖励

  • 1.10.2. 正向强化

  • 1.10.3. 附加训练

  • 1.10.4. 自上而下的强化

  • 1.10.5. 保持耐心

  • 1.10.5.1. 不要想当然地认为,因为你的指导方式是正确的,所以员工就能立刻跟上节奏

  • 1.10.5.2. 让员工看到你的热情并和你一样充满热情是需要时间和持续努力的

  • 1.10.6. 管理预期

  • 1.10.6.1. 不仅有助于建立融洽关系,还能给你的公司构造出一种重视安全意识的文化

  • 1.10.6.2. 并不是说你能发现网络钓鱼、识别诈骗电话或识别不属于你公司的人,就代表每位员工都能在短时间内做到这一点

  • 1.10.7. 可以通过保持耐心和管理预期,来帮助你的员工适应新的培训标准

2. 成为社会工程人员的特质

2.1. 谦逊

  • 2.1.1. 在这一行出类拔萃的人无疑都很谦逊

2.2. 动力

  • 2.2.1. 工作是每天上班完成任务,而下班后又能完全抛诸脑后的东西

2.3. 外向

  • 2.3.1. 建议你一次只练习一种技巧,直到你能做到信手拈来为止

2.4. 乐于尝试

  • 2.4.1. 害怕失败是很难干好这个职业的

  • 2.4.1.1. 甚至会让人止步不前

  • 2.4.2. 那些在职业社会工程人员成长之路上表现优异的人,都能够走出舒适区,并且明白失败有时才是最好的老师

  • 2.4.3. 那些愿意尝试新鲜事物的人也能够融入各种圈子,并且更容易适应不同的情况

2.5. 真的管用

3. 走上职业道路

3.1. 专业技能

  • 3.1.1. 职业技能对这份事业来说非常重要,因为你会一直和技术打交道

  • 3.1.2. 掌握USB密钥、计算机启动,以及连接到VPN之类的简单技术,能在很大程度上帮助你构造伪装和取得访问权限

  • 3.1.3. 基本的计算机知识

  • 3.1.4. 基本的办公软件知识(比如Word和Excel)

  • 3.1.5. 了解计算机的各种部件及其运作方式

  • 3.1.6. 能正确操作Mac、Windows和Linux等操作系统

  • 3.1.7. 了解网络是如何工作的

  • 3.1.8. 知道如何搭建邮件服务器

  • 3.1.9. 编辑照片的技能

  • 3.1.10. 知道如何利用框架,如Metasploit和Empire

  • 3.1.11. 读懂代码的能力

  • 3.1.12. 编写代码的能力

3.2. 教育

  • 3.2.1. 心理学

  • 3.2.1.1. 你要牢记,即使你不是一名训练有素的心理学家或心理治疗师,也很有必要对人类如何做决策有基本的认知

  • 3.2.2. 语言、语法和写作

  • 3.2.2.1. 哪怕你是全世界最优秀的社会工程人员,如果写不出用词准确、条理清晰的报告,你的付出将永远得不到认可

  • 3.2.3. 社会心理学

  • 3.2.4. 你的最终目的不是成为心理学家、心理治疗师、语言学家或社会心理学家

  • 3.2.5. 只需要有足够的知识,从而能发现某个特定的原则在发挥作用

3.3. 工作前景

  • 3.3.1. 自己创业

  • 3.3.2. 入职渗透测试公司

  • 3.3.2.1. 绝大多数渗透测试公司会以某种形式提供社会工程服务

  • 3.3.3. 入职社会工程公司

4. 社会工程的未来

4.1. 恋童癖用社会工程手段来诱骗儿童就是一个令人不安的趋势

4.2. 恋童癖会通过线上聊天工具进入孩子们的“族群”

4.3. 需要人们站在正义的一边,帮助守卫、保护和教育他人,让更多的人了解这些技巧,并学习如何抵御这些攻击,从而能免受其害

4.4. 学会如何使用这些技巧不仅有益于你的事业,也会对你的日常生活大有裨益

posted @ 2025-11-19 06:59  躺柒  阅读(0)  评论(0)    收藏  举报