***大賽結(jié)果，名企員工缺乏安全意識(shí) 來(lái)源：首席安全官 資訊 國(guó)外媒體報(bào)道，最近，由一群精英***充當(dāng)?shù)臏y(cè)試者對(duì)17家財(cái)富500強(qiáng)企業(yè)中的135名員工進(jìn)行了安全意識(shí)測(cè)試，結(jié)果發(fā)現(xiàn)只有五位員工無(wú)論如何也不肯透露他們公司的任何信息。更令人驚訝的是，這五名員工竟然全部是女性。 名企員工普遍缺乏安全意識(shí) 這是組織者繼上月舉辦全球最負(fù)盛名的Defcon***大會(huì)后，實(shí)施的一次“社會(huì)工程學(xué)”（Social Engineering）安全測(cè)試活動(dòng)。社會(huì)工程學(xué)，準(zhǔn)確地說(shuō)，不是一門(mén)科學(xué)，而是一門(mén)藝術(shù)和學(xué)問(wèn)。它利用人的弱點(diǎn)，以順從你的意愿、滿(mǎn)足你的欲望的方式，讓你上當(dāng)受騙。此次測(cè)試的結(jié)果耐人尋味。組織者已向美國(guó)聯(lián)邦調(diào)查局簡(jiǎn)要匯報(bào)了他們的測(cè)試結(jié)果，但是他們還擬于下周發(fā)布一份更為詳細(xì)的報(bào)告。 在這個(gè)為期兩天的測(cè)試活動(dòng)中，測(cè)試者選擇了17家大型企業(yè)，包括谷歌、沃爾瑪、賽門(mén)鐵克、思科、微軟、百事、福特和可口可樂(lè)。測(cè)試者們坐在一個(gè)用樹(shù)脂玻璃制成的電話(huà)亭中，在觀眾的監(jiān)督下，分別給這幾家著名企業(yè)的員工打電話(huà)，試圖套取他們公司的信息。 結(jié)果令人大跌眼鏡，測(cè)試者們竟然輕松得手，測(cè)試活動(dòng)的組織者克里斯-哈德納吉說(shuō)。只有一家公司沒(méi)有泄露自己的信息，但原因只是無(wú)人接聽(tīng)電話(huà)。“如果我們選擇其中的任何一家公司進(jìn)行社會(huì)工程學(xué)方面的安全測(cè)試，恐怕沒(méi)有一家公司能夠及格。”哈德納吉說(shuō)。 在測(cè)試中，測(cè)試者不允許索要密碼或×××號(hào)等異常敏感的信息，而只準(zhǔn)套取那些可能會(huì)被別有用心的***們利用的信息，例如被測(cè)試者安裝的操作系統(tǒng)、防病毒軟件和瀏覽器等信息。他們還竭力說(shuō)服被測(cè)試者訪(fǎng)問(wèn)未經(jīng)安全認(rèn)證的網(wǎng)頁(yè)。 在測(cè)試中，人們發(fā)現(xiàn)了一種有趣的現(xiàn)象：約有一半的公司仍在使用眾所周知具有嚴(yán)重安全漏洞的IE 6瀏覽器。而且，當(dāng)測(cè)試者說(shuō)服這些企業(yè)的員工訪(fǎng)問(wèn)一個(gè)專(zhuān)為本次測(cè)試活動(dòng)設(shè)計(jì)的外部網(wǎng)站時(shí)，這些員工最后總是乖乖就范，真的按照測(cè)試者的要求行事。 這個(gè)結(jié)果表明，即使安全防御措施最嚴(yán)密的公司，也可能因?yàn)閱T工在無(wú)意中泄密而土崩瓦解。 安全培訓(xùn)不能一勞永逸 思科公司的高級(jí)安全顧問(wèn)克里斯多弗-伯吉斯說(shuō)，這些安全威脅是實(shí)際存在的。“在現(xiàn)實(shí)生活中，許許多多的公司都會(huì)接到像這樣的假冒電話(huà)。”他說(shuō)，“這已成為不法分子套取信息的一門(mén)絕活。” 有人曾打電話(huà)給思科公司，謊稱(chēng)他們的系統(tǒng)崩潰，情勢(shì)危急，企圖誘使員工泄露他們本不該泄露的信息，伯吉斯說(shuō)。“我們就是要訓(xùn)練我們的員工，讓他們認(rèn)識(shí)到社會(huì)工程學(xué)是一門(mén)手藝，許多別有用心的人欲借此操控他人實(shí)施某種行為或泄露敏感信息。” 思科公司已將其安全培訓(xùn)手冊(cè)公之于眾，以期其他公司能從中有所收獲。盡管思科是此次社會(huì)工程學(xué)測(cè)試活動(dòng)中被測(cè)試的公司之一，但是組織者哈德納吉并沒(méi)有透露它以及其他任何一家公司的信息。 回顧此次測(cè)試結(jié)果，伯吉斯說(shuō)這表明了我們的安全培訓(xùn)計(jì)劃一刻也不能放松。“在安全培訓(xùn)方面，你不可能做到一勞永逸。”他說(shuō)，“你必須經(jīng)常變換花樣地開(kāi)展這種培訓(xùn)。” 許 多測(cè)試者通過(guò)假冒內(nèi)部審計(jì)人員或?qū)嵤┏Ｒ?guī)調(diào)查的顧問(wèn)而成功地套取到了他們希望得到的信息。伯吉斯認(rèn)為，員工應(yīng)該知道何時(shí)掐斷這種假冒電話(huà)。“如果要從此次 測(cè)試活動(dòng)中總結(jié)一條經(jīng)驗(yàn)，我認(rèn)為這條經(jīng)驗(yàn)就是：最好的防御方法就是培訓(xùn)你的員工，在接聽(tīng)電話(huà)時(shí)，如果辨認(rèn)不出對(duì)方的聲音，請(qǐng)?jiān)谔峁┯嘘P(guān)公司的信息之前，先 確認(rèn)一下談話(huà)的對(duì)象是誰(shuí)。” 女性員工的安全意識(shí)更強(qiáng)？ 伯吉斯沒(méi)有談?wù)摓楹嗡芯芙^測(cè)試者的員工均是女性。然而，根據(jù)組織者哈德納吉的觀點(diǎn)，不同的***方法對(duì)不同的人的作用效果是不同的。也許測(cè)試者使用的這種社會(huì)工程學(xué)方法對(duì)女性并不起作用。 盡管如此，這五位女士的表現(xiàn)仍然令人敬服，哈德納吉承認(rèn)，“在通話(huà)的前15秒，他們就直接回絕說(shuō)‘這個(gè)好像不太適合我’，然后就毫無(wú)猶豫地地掐斷了電話(huà)。”然而，令人泄氣的是，他們同事的表現(xiàn)卻沒(méi)有這么好。 “顯而易見(jiàn)，他們已在職業(yè)培訓(xùn)中獲得了某種安全意識(shí)。”他說(shuō)。這五位女性員工拒絕測(cè)試者的原因還可能在于：所有的測(cè)試者都是男性。“當(dāng)有男性摻和進(jìn)來(lái)時(shí)，女性本能地會(huì)變得警覺(jué)起來(lái)。” 在 這五位女性員工中，有三位是公司經(jīng)理。一般來(lái)說(shuō)，女性經(jīng)理遭受社會(huì)工程學(xué)***的可能性極小，Lake Missoula公司的總裁、曾為好幾家金融服務(wù)公司做社會(huì)工程學(xué)測(cè)試的安全顧問(wèn)喬納森-哈姆說(shuō)。“他們對(duì)人的信任感非常低，是最具有懷疑精神的一群 人。”他說(shuō)，“在針對(duì)公司高層的安全測(cè)試中，我常常會(huì)繞過(guò)女性職員，而專(zhuān)挑男員工來(lái)打電話(huà)。”

轉(zhuǎn)載于:https://blog.51cto.com/2186877/402645

總結(jié)

以上是生活随笔為你收集整理的***大赛结果，名企员工缺乏安全意识的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。