欺骗的艺术分章阅读 43

有什么可以帮助遇到异地存储设施问题的公司？这种威胁本是可以消除的，如果这家公司加密了们的数据的话。没错，加密需额外的时间和费用，但这样非常值得。已加密文件需定期查以确认文件能够正常加密/解密。

【收藏益词中文网，防止丢失阅读度】

总是有密钥丢失的危险，或者惟个知密钥的了车祸，但是危险等级被最小化了。把文件放在存储公司又将其加密的，恕直言，是个痴。这就像是走在治安好的街，把袋里的20美元，摆明了让别抢。

在安全的地方留备份媒可以说是安全通病了。几年以，在家本可以更好地保护们的客户资料的公司工作。业务员每天都会把备份磁盘放在锁住了的机外边给信使取，任何都能够顺手牵羊带走这张备份磁盘，里面有这家公司所有的文字理文档，并且没有加密。如果备份数据被加密了，丢失磁盘只是件烦的事，如果没有被加密——应该比更清楚这将对公司造成什么样的影响。

点的公司对可靠的异地存储的需几乎是毋庸置疑的，但是的公司的安全程序需包项对作的存储公司的调查，看们的安全策略和法是否到位，如果们没有关注这些，在安全方面的所有努可能都费了。

小点的公司则有更好的备份选择：每天晚把新文件和更改的文件发到个提供在线存储的公司去。重复次，必须对数据行加密。另外，并是只有存储公司的员工可以接触到这些文件，每个成功入侵这家在线存储公司的计算机系统或网络的入侵者都可以。

当然，当设置了加密系统保护的备份文件安全时，还必须设置个度安全的程序存储解开它们的加密密匙或者密码短语，常用于加密数据密匙应当存储在个安全或者密封的地方。标准的公司程序需应对些可能，比如理这些数据的员工突然离职、去世或者跳槽，必须有至少两个知这个存储地点和加密/解密程序，以及规定什么时候和怎样更改密码，曾经管理加密密匙的员工离职之必须马更改密码。

那是谁？

在这章中的举例中，聪明的行骗艺术家利用个魅获取员工的信任，因此份验证得更加重。能否响应将源代码发到个FTP站点的请，关键是是否了解请者。

在第十六章中，将看到详的份验证策略，以应对请信息或者执行某项作的陌生，们已经在这本书里讨论很多次份验证的必了：在第十六章将了解应该如何去。

第十五章 信息安全知识与培训

个社会工程师已经关注的新产品发布计划两个月了。

有什么能阻止？

的防墙？行。

强的验证设施？行。入侵检测系统？行。加密？行。

限制调制解调器的访问？行。

编码务器名称，使入侵者无法确定产品计划所在的务器？行。

事实，没有任何技术能防范社会工程学。

安全技术、培训和程序

许多公司在们的安全渗透测试报告中说，们对客户公司计算机系统实施的社会工程学几乎可以百分之百成功。使用安全技术的确可以让这些更难实施，但唯真正有效的办法是，将安全技术和安全策略结起，规范员工行为并适当地行培训。

只有种方法能让的产品计划安全，那就是接受安全培训的负责任的员工。这仅涉及到安全策略和安全程序的培训，还包括了安全知识的培训。些权威士建议把公司40%的安全预算用在安全知识的培训。

第步是让企业的每个都认识到那些能纵们心理的的存在，员工们必须了解信息需哪些保护与如何保护。当们了解了纵的节时，们能在初期更好地理。

安全培训也意味着让企业的所有员工了解公司的安全策略与程序，就像在第17章所讨论的那样，策略是指导员工行为保护企业信息系统与信息所必须的规则。

本章和章提供了张把从可怕的中解救的安全蓝图。如果没有培训并警告员工遵循谨慎考虑的程序，这也许没什么了的，在被社会工程师窃取贵重信息之。等到发生才制定这些策略：这对的事业和的员工福利将是毁灭的。

了解者是怎样利用的天的

为了制定成功的培训程序，首先必须了解为什么们容易遭受，在的培训中识别这些倾向——比如，通角扮演讨论引起们的注意——能帮助的员工了解为什么们都能被社会工程师易地纵。

社会科学家对心理纵的研究至少已经有50年了，罗伯特?B?西奥迪尼（Robert B Cialdini）在科学美国（2001年2月）杂志中总结了这些研究，介绍了6种“类天基本倾向”。

这6种倾向正是社会工程师在们的尝试中所依赖的（有意识的或者无意识的）。

权威

当请自权威士时，们有种顺从的倾向。就像本书其它地方所讨论的那样，如果们相信请者是权威士或有权行这样的请的，（或）会毫怀疑地执行请。

在西奥迪尼博士写的篇论文中，个声称是医院医师的打电话给三家中西部医院的22个独立护士站们为病的个病去方药，收到这些命令的护士们本认识呼者，们甚至知是否真的是医师（是），们是从电话里收到方药的命令的，这显然违背了医院的策略。们被给病的药是未授权，并且剂量是每最剂量的两倍，这足够危及病的生命了。然而在95%的案例中，西奥迪尼写，“护士从病医药箱中取了足够的剂量并把它给了病。”之观察者阻止了护士并解释这是次实验。

举例：个社会工程师试图伪装成IT部门的权威士，声称是公司的主管（或者为主管工作的）。

好

当作请的很可或者与被请者有相同的好、信仰和意见是，们总是倾向于顺从。

举例：通谈，者设法了解了目标的趣或好，并声称也有相同的趣或好，或者自于同个州或学校，或者有相似的目标。社会工程师还会尝试模仿目标的行为创造相似。

报答

当们被给予（或者许诺）了些有价值的东西时，们可能会自地同意请。礼可以是资料、建议、或帮助，当有为了些事时，会倾向于报答。这种强烈的报答倾向甚至在收到了并需的礼时依然存在。让们“帮忙”（同意请）的最有效的方法之就是给予些礼形成潜在的债务。

哈瑞奎师那徒善于此，们会书籍或者鲜作为礼，然等待回报。如果收到礼的想归还礼，给予者会绝并说明，“这是们给的礼。”这回报行为法则被奎师那徒们用在了增加捐款。

举例：个员工接到了自称是IT部门的的电话，呼者解释说公司的些电脑染了还没有被杀毒件识别的破电脑文件的新病毒，并建议行些步骤防御病毒。在这之，呼者让测试了个允许用户更改密码的加强版件程序，这名员工很难绝，因为呼者是在帮助防御病毒，的回报就是响应呼者的请。

守信

当们公开承诺了或者认可了些事时，会倾向于顺从。旦们承诺了些事，为了避免自己成为可信赖或者受欢的，们会倾向于坚持们的立场或承诺。

举例：者联系了个新员工并提醒遵守某些安全策略与程序，比如允许使用公司信息系统的况。在讨论了些安全规定之，呼者向用户请的密码行“灵活度检查”以选择强度的密码。旦用户说了的密码，呼者会提些创建密码的建议使者无法猜测密码。受害顺从了，因为之已经答应遵守公司的策略，并且认为呼者只是在帮检查密码是否适。

社会认可

当的事看去和别所的事样的时候，们会倾向于顺应请。当其也这样时，们就会认为这些（值得怀疑的）行为是正确的。

举例：呼者说正在行次调查并说了部门中的其的名字，声称这些已经和作了。受害相信其已经确认了这请的法，于是呼者问了系列的问题，其中项引导受害说的计算机用户名和密码。

短缺

当们相信品供应足并且有其竞争者（或者只在短时间有效）时，会倾向于顺应请。

举例：者发了封email声称在公司的新网站注册的500个将赢得部热门电影的电影票。当名毫怀疑的员工在该网站注册时，会提供的公司email地址并选择个密码。有很多为了方，总是倾向于在们使用的每个计算机系统使用相同或相似的密码，利用这点，者能使用此用户名和密码（在网站注册程中填写的）目标的工作或家计算机系统。

创建培训程序

发行本安全策略手册或者让员工关注企业网的安全策略资料，这些都会单独减少面对的威胁。每家商业公司都必须写这些策略详地制定规则，而且必须对涉及企业信息或计算机系统的每个行额外的引导，让们学习并遵循这些规则。此外，还必须确保们理解了每条策略的制定原因，这样们才会为了方而绕这些规则。另外，员工的借永远都是“了解”，而这正是社会工程师所利用的弱点。

任何安全识别程序的首目标都是影响们改们的行为和度，鼓励员工参与到企业信息资产的保护中。在这种况的种很好的励方式是向员工解释们的行为仅能让公司受益，对们个也很有好。如果公司对每位员工都保留了些隐私信息，那么当员工们职保护信息或信息系统时，们事实也保护了们自己的信息。