并不公开的销售和财政信息。
关系到公司运转的其它任何信息,比如商业战略前景。
私有是仅在企业内部使用的个人信息分类。如果未授权的人(尤其是社会工程师)获得
了私有信息,员工和公司都将受到严重影响。私有信息内容包括:员工病历、健康补助、银
行帐户、加薪历史,和其它任何没有公共存档的个人识别信息。
注释:
内部信息分类通常由安全人员设定,我使用了“内部”这个词,因为这是分类使用的范
217
围。我列出的这些敏感分类并不是详细的安全等级,而是查阅机密、私有和内部信息的快捷
方式,用另一句话说,敏感程度涉及到了任何没有指定为公共权限的公司信息。
内部信息分类能提供给任何受雇于企业的员工。通常,内部信息的泄漏不会对公司(股
东、商业伙伴、客户或员工)造成严重影响,但是,熟悉社会工程学技能的人能用这些信息
伪装成一个已授权的员工、承包人或者厂商,从没有丝毫怀疑的员工那里获得更多敏感信息
突破企业计算机系统的访问限制。
必须在传递内部信息给第三方(提供商、承包人、合作公司等等)之前与其签署一份保
密协议。内部信息通常包括任何在日常工作中使用的、不能让外部人员知道的信息,比如企
业机构图、网络拨号号码、内部系统名、远程访问程序、核心代码成本、等等。
公共信息被明确规定为公共可用。这种信息类型,比如新闻稿、客服联系信息或者产品
手册,能自由地提供给任何人。需要注意的是,任何为指定为公共可用的信息都应当视为敏
感信息。
数据分类术语
基于其分类,数据应当由不同的人负责。本章中的许多策略都提到过不允许身份未验证
的人访问信息,在这些策略中,未验证的人指的是员工并不亲自认识的人和不能确定是否有
访问权限的员工,还有无法保证可信的第三方。
在这些策略中,可信的人是指你亲自见过的、有访问权限的公司员工、客户或者顾问,
也可以是与你的公司有合作关系的人(比如,客户、厂商或者签署了保密协议的战略合作伙
伴)。
在第三方的保证中,可信的人可以验证一个人的职业或身份,和这个人请求信息或操作
的权限。注意,在某些情况下,这些策略会要求你在响应信息或操作请求之前确认保证者仍
然受雇于公司。
特权帐户是指需要超越基本用户帐户权限的计算机(或其它)帐户,比如系统管理员帐
户。有特权帐户的员工通常能更改用户权限或执行系统操作。
常规部门信箱是指回答一般问题的语音信箱,用来保护在特殊部门工作的员工的名字和
218
分机号码。
验证与授权程序
信息窃贼通常会伪装成合法的员工、承包人、厂商或商业伙伴,使用欺骗策略访问机密
商业信息。为了保护信息安全,员工在接受操作请求或提供敏感信息之前,必须确认呼叫者
的身份并验证他的权限。
本章中推荐的程序能帮助一名收到请求(通过任何通讯方式,比如电话、email 或传真)
的员工判断其是否合法。
可信者的请求
针对可信者的信息或操作请求:
确认其是否当前受雇于公司或者有权访问这一信息分类,这能阻止离职员工、厂商、承
包人、和其他不再与公司有关系的人冒充可信的职员。
验证此人是否有权访问信息或请求操作。
未核实者的请求
当遇到未核实者的请求时,必须使用一个合理的验证程序确认请求者是否有权接收请求
的信息,尤其是当请求涉及到任何计算机或计算机相关的设备时。这一程序成功防范社会工
程学攻击的关键:只要实施了这些验证程序,社会工程学攻击成功的可能性将大大减小。
需要注意的是,如果你把程序设置得过于复杂,将超过成本限制并被员工忽略。
下面列出了详细的验证程序步骤:
验证请求者是他(或她)所声称的那个人。
确认请求者当前受雇于公司或者与公司有须知关系。
确认请求者已被授权接收指定信息或请求操作。
第一步:验证身份
219
以下列出的推荐步骤按有效性从低到高排列,每一条中还加入了社会工程师行骗的详细
说明。
1、来电显示(假设这一功能已经包括在了公司的电话系统之中)。用来电显示确认电话
是来自公司内部还是公司外部,显示的名字和电话号码是否符合呼叫者提供的身份。
弱点:外部来电显示信息可以被任何能用PBX 或者电话交换机连接到数字电话服务的
人伪造。
2、回拨。在公司的目录中查询请求者的名字,并通过列出的分机号码回拨确认请求者
的身份。
弱点:当员工回拨电话时,准备充分的攻击者可以将其呼叫转移到一个外部的电话号码。
3、担保。由一个可信的人为请求者的身份担保。
弱点:攻击者可以伪装成一个可信员工,让另一个员工为他担保。
4、接头暗号。在企业范围内使用接头暗号,比如每日密码。
弱点:如果有很多人知道这个接头暗号,攻击者也可以轻易地知道。
5、员工管理员/经理。打电话给员工的顶头上司并请求验证。
弱点:如果请求者提供了他(或她)的上司的电话号码,员工联系上的也许是攻击者的
同谋。
6、安全Email。请求数字签名信息。
弱点:如果攻击者入侵了员工的计算机并通过键盘记录程序获取了密码,他便可以像普
通员工一样发送数字签名email。
7、个人语音识别。通过声音判断请求者的身份。
弱点:这是相当安全的方法,攻击者无法轻易突破,但是如果没有见过请求者(或者和
请求者说过话),这一方法就没有任何用处。
8、动态密码方案。请求者通过一个动态的密码方案(比如安全ID)识别自身。
弱点:攻击者可以获取其中的动态密码设备和相应的员工PIN 码,或者欺骗员工读出
PIN 设备上显示的信息。
9、佩戴ID。请求者佩戴员工证件或其它合适的照片ID。
弱点:攻击者可以偷窃员工证件,或者直接伪造一张。然而,攻击者通常会避免这样做,
以减小被发现的可能性。
220
第二步:验证员工身份
最大的信息安全威胁并不是专业的社会工程师,也不是熟练的计算机入侵者,而是刚刚
解雇想要报复或者偷窃公司商业信息的员工。(注意,这一步骤的另一个版本可用于和你的
公司有另一种商业关系的人,比如厂商、顾问或契约工人)
在提供敏感信息给另一个人或者接受计算机或计算机相关的设备指示操作之前,使用下
面这些方法验证请求者是否仍是公司的员工:
查看员工目录。如果公司有一份活动员工目录,可以查看请求者是否仍在列表中。
请求者的上司核对。用公司目录上列出的电话号码打电话给请求者的上司,而不是使用
请求者提供的号码。
请求者的部门或工作组验证。打电话给请求者的部门或工作组,从该部门或工作组的任
何人那里确认请求者仍是公司的员工。
第三步:验证权限
除了验证请求者是否为活动员工或者与公司有关联之外,仍然有必要确认确认请求者已
被授权访问所请求的信息,或者已被授权指导指定的计算机或计算机相关的设备操作。
可以使用以下这些方法进行验证:
职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息,
并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并
提供授权信息的快捷访问方式。通常,信息所有者应当负责创建并维护这一列表,监控信息
的访问。
注释
值得注意的是,维护这种列表是在邀请社会工程师,试想一下,如果攻击者将一家公司
作为目标,就会知道这一列表的存在,并有足够的兴趣获取一份,这一列表能为攻击者打开
方便之门,使公司陷入严重的危机之中。
221
获得上司授权。员工联系他(或她)自己的上司,或者请求者的上司,请求授权同意这
一请求。
获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问,基于计算机的
访问控制程序可以让员工联系他(或她)的顶头上司申请访问基于工作任务的信息,如果这
一任务不存在,管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当
保证信息所有者不会拒绝常用信息的请求。
获得专业软件程序授权。对于高竞争性产业的大公司,可以使用专业软件程序进行授权。
这种软件的数据库中存储了员工的姓名和机密信息访问权限,用户无法查看每个人的访问权
限,但可以输入请求者的名字,并找到相关的权限信息。这种软件提供了响应标志,可以判
断员工是否已被授权访问这一信息,并用独立的权限信息消除了创建个人列表的危险性。
