最近，由一群精英黑客充當(dāng)?shù)臏y試者對17家財富500強(qiáng)企業(yè)中的135名員工進(jìn)行了安全意識測試，結(jié)果發(fā)現(xiàn)只有五位員工無論如何也不肯透露他們公司的任何信息。更令人驚訝的是，這五名員工竟然全部是女性。 　精彩推薦

北京時間9月5日消息，據(jù)國外媒體報道，最近，由一群精英黑客充當(dāng)?shù)臏y試者對17家財富500強(qiáng)企業(yè)中的135名員工進(jìn)行了安全意識測試，結(jié)果發(fā)現(xiàn)只有五位員工無論如何也不肯透露他們公司的任何信息。更令人驚訝的是，這五名員工竟然全部是女性。

名企員工普遍缺乏安全意識

這是組織者繼上月舉辦全球最負(fù)盛名的Defcon黑客大會后，實(shí)施的一次“社會工程學(xué)”（Social Engineering）安全測試活動。社會工程學(xué)，準(zhǔn)確地說，不是一門科學(xué)，而是一門藝術(shù)和學(xué)問。它利用人的弱點(diǎn)，以順從你的意愿、滿足你的欲望的方式，讓你上當(dāng)受騙。此次測試的結(jié)果耐人尋味。組織者已向美國聯(lián)邦調(diào)查局簡要匯報了他們的測試結(jié)果，但是他們還擬于下周發(fā)布一份更為詳細(xì)的報告。

在這個為期兩天的測試活動中，測試者選擇了17家大型企業(yè)，包括谷歌、沃爾瑪、賽門鐵克、思科、微軟、百事、福特和可口可樂。測試者們坐在一個用樹脂玻璃制成的電話亭中，在觀眾的監(jiān)督下，分別給這幾家著名企業(yè)的員工打電話，試圖套取他們公司的信息。

結(jié)果令人大跌眼鏡，測試者們竟然輕松得手，測試活動的組織者克里斯-哈德納吉說。只有一家公司沒有泄露自己的信息，但原因只是無人接聽電話。“如果我們選擇其中的任何一家公司進(jìn)行社會工程學(xué)方面的安全測試，恐怕沒有一家公司能夠及格。”哈德納吉說。

在測試中，測試者不允許索要密碼或身份證號等異常敏感的信息，而只準(zhǔn)套取那些可能會被別有用心的黑客們利用的信息，例如被測試者安裝的操作系統(tǒng)、防病毒軟件和瀏覽器等信息。他們還竭力說服被測試者訪問未經(jīng)安全認(rèn)證的網(wǎng)頁。

在測試中，人們發(fā)現(xiàn)了一種有趣的現(xiàn)象：約有一半的公司仍在使用眾所周知具有嚴(yán)重安全漏洞的IE 6瀏覽器。而且，當(dāng)測試者說服這些企業(yè)的員工訪問一個專為本次測試活動設(shè)計的外部網(wǎng)站時，這些員工最后總是乖乖就范，真的按照測試者的要求行事。

這個結(jié)果表明，即使安全防御措施最嚴(yán)密的公司，也可能因?yàn)閱T工在無意中泄密而土崩瓦解。

安全培訓(xùn)不能一勞永逸

思科公司的高級安全顧問克里斯多弗-伯吉斯說，這些安全威脅是實(shí)際存在的。“在現(xiàn)實(shí)生活中，許許多多的公司都會接到像這樣的假冒電話。”他說，“這已成為不法分子套取信息的一門絕活。”

有人曾打電話給思科公司，謊稱他們的系統(tǒng)崩潰，情勢危急，企圖誘使員工泄露他們本不該泄露的信息，伯吉斯說。“我們就是要訓(xùn)練我們的員工，讓他們認(rèn)識到社會工程學(xué)是一門手藝，許多別有用心的人欲借此操控他人實(shí)施某種行為或泄露敏感信息。”

思科公司已將其安全培訓(xùn)手冊公之于眾，以期其他公司能從中有所收獲。盡管思科是此次社會工程學(xué)測試活動中被測試的公司之一，但是組織者哈德納吉并沒有透露它以及其他任何一家公司的信息。

回顧此次測試結(jié)果，伯吉斯說這表明了我們的安全培訓(xùn)計劃一刻也不能放松。“在安全培訓(xùn)方面，你不可能做到一勞永逸。”他說，“你必須經(jīng)常變換花樣地開展這種培訓(xùn)。”

許多測試者通過假冒內(nèi)部審計人員或?qū)嵤┏Ｒ?guī)調(diào)查的顧問而成功地套取到了他們希望得到的信息。伯吉斯認(rèn)為，員工應(yīng)該知道何時掐斷這種假冒電話。“如果要從此次測試活動中總結(jié)一條經(jīng)驗(yàn)，我認(rèn)為這條經(jīng)驗(yàn)就是：最好的防御方法就是培訓(xùn)你的員工，在接聽電話時，如果辨認(rèn)不出對方的聲音，請?jiān)谔峁┯嘘P(guān)公司的信息之前，先確認(rèn)一下談話的對象是誰。”

女性員工的安全意識更強(qiáng)？

伯吉斯沒有談?wù)摓楹嗡�有拒絕測試者的員工均是女性。然而，根據(jù)組織者哈德納吉的觀點(diǎn)，不同的攻擊方法對不同的人的作用效果是不同的。也許測試者使用的這種社會工程學(xué)方法對女性并不起作用。

盡管如此，這五位女士的表現(xiàn)仍然令人敬服，哈德納吉承認(rèn)，“在通話的前15秒，他們就直接回絕說‘這個好像不太適合我’，然后就毫無猶豫地地掐斷了電話。”然而，令人泄氣的是，他們同事的表現(xiàn)卻沒有這么好。

“顯而易見，他們已在職業(yè)培訓(xùn)中獲得了某種安全意識。”他說。這五位女性員工拒絕測試者的原因還可能在于：所有的測試者都是男性。“當(dāng)有男性摻和進(jìn)來時，女性本能地會變得警覺起來。”

在這五位女性員工中，有三位是公司經(jīng)理。一般來說，女性經(jīng)理遭受社會工程學(xué)攻擊的可能性極小，Lake Missoula公司的總裁、曾為好幾家金融服務(wù)公司做社會工程學(xué)測試的安全顧問喬納森-哈姆說。“他們對人的信任感非常低，是最具有懷疑精神的一群人。”他說，“在針對公司高層的安全測試中，我常常會繞過女性職員，而專挑男性員工來打電話。”

進(jìn)入論壇>> （責(zé)任編輯：小齊）聲明：IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢：(010)68023640. 如果你對網(wǎng)站有好的建議請點(diǎn)擊網(wǎng)站建議發(fā)表你的建議。

　　推薦閱讀

　　德國法院判決YouTube為用戶上傳盜版視頻負(fù)責(zé)

判決書寫道，YouTube必須停止發(fā)布這些視頻，并提供相關(guān)信息，以便計算出在這至少三起布萊曼視頻被上傳的案件中谷歌需要支付多少賠償金。 精彩推薦 據(jù)國外媒體報道，德國漢堡州立法院周五裁定，因用戶在其網(wǎng)站上上傳的>>>詳細(xì)閱讀

本文標(biāo)題：黑客稱多數(shù)財富500強(qiáng)企業(yè)員工缺乏安全意識

地址：http://m.sdlzkt.com/a/01/20111231/235361.html

 1/2    1  2 下一頁