【转】信息安全培训该如何做?
- 2019 年 10 月 6 日
- 筆記
原创: 不二 安全初心 前天 今天早晨开始日常上网,忽然被"A站被黑客攻击,近千万条用户数据外泄"的文章刷屏,原来A站在凌晨遭受了黑客的攻击,用户的个人信息泄露。此次事件势必又会引起大众对信息安全的重视,因为信息安全的价值本来就不好界定,只有在出现类似事件的时候,大多数人才会感慨原来信息安全离着大众不算太远。相信在未来的信息安全行业里面针对安全运维、安全开发以及安全意识的培训会更加普及。下面就由老衲为大家普及一下普通员工的信息安全培训从哪些方面做起?
缘起
在国内的信息安全服务里面,关于员工安全意识,基本就是由几个做服务的人员进行两次培训,PPT用的基本上都是掉了渣的老古董,什么钓鱼,鱼叉之类的各种穿插,赚足眼球,但是企业员工的消化能力非常有限!国外有的乙方公司在社会工程学以及反欺诈方面做的就很好,他们专注于这一方面,国内这块市场应该还没有完全孵化好!
在日常的工作中,广大企事业员工总认为,信息安全工作是信息中心或网络中心的事情,事不关己高高挂起,企业的邮件系统、OA反正有运维人员维护着,自己关注自己的业务就是了,根本认识不到信息安全工作是关系到自己的信息泄露乃至进一步的欺诈风险。
1)这就要求员工在入职时、分配到部门时,都要进行信息安全教育,让员工认识到信息安全不仅是企业的事,也是自己的事。员工在安全反复强调面,做得好的要奖励,做得不够的,要处罚,从而在工作中到到自己注意安全。
2)让员工明白”安全是天”,不仅是对你自己负责,也要对你的企业负责。要让员工树立“自己安全自己负责,同事安全自己有责”的安全意识。
培训员工的哪些方面?
1、首要的我觉得是个人信息保护意识:现在大部分做社会工程学信息收集的都是通过搜索引擎及各种社交平台,微信、微博、人人网、QQ空间收集尽可能多的个人资料,有时候还会对家人朋友的信息进行收集,完成收集信息阶段,坏人需要定制各种各样的话术,我如果说坏人的剧本都是有专业的研究心理学方面的编剧定制的,你信吗?
比如说:你是一名大学生,如果坏人提前收集了你跟你父亲的资料,坏人可能就会给你的父亲发消息说,“爸,我今天去KTV找了个姑娘,不小心被抓了,可能要被开除,毕不了业,你马上给李警官的账户转点钱,里面看的紧,等我出来之后再给你细说,然后卡号: 62XXXXXXXXXXXXXX 姓名”,
2、密码安全:强烈建议个人建立多个强密码,工作中的业务系统的密码更应做到细粒度划分,很多时候面对大型的国企、银行,攻击人员首先通过社工库,查询到内部的某个邮箱,有的从社工库查询到的密码可以直接登录,如果密码过期了话,他们会选择爆破的方式,这些大型企事业的内部邮件系统好多没有验证码,Exchange的OWA直接可以爆破,如果进入到对方的邮件系统,坏人又可以通过好的剧本来给你们群发邮件了。
3、邮箱安全:大部分反垃圾邮件系统现在都已经支持SPF过滤,但是不排除邮件头伪造的情况,很多坏人伪造公司部门高管、信息中心、运维部门的职员来发送邮件,出于信任很多小白员工打开对方的木马文件,这样他的机器就成了待宰的羔羊!一定要跟员工普及一点,邮件里面但凡收到关于密码修改、下载软件等疑似高危操作的地方,一定要找技术人员咨询!
4、无线安全:伴随着WiFi和蓝牙等无线技术的不断发展,越来越多黑客也参与其中,各种假的接入点、假的基站层出不穷, 一旦连接到黑客设定的WiFi热点,一些没有加密的通信就可以直接被查看。坏人模仿XX公司(xxtech),搭建一个名为xxtech01的WiFi热点,如果公司职员无线接入的时候选择了该SSID,那么上网的所有数据包,都会被黑客截留。坏人如果拿到了企事业里面的第一个密码,可能就会是噩梦的开始!
5、边界访问安全:很多朋友私下里给我说,公司里面比较头痛的就是边界访问这块了,经常有的同事下载xx加速器、xx下载器,导致机器中招,甚至有的被感染蠕虫,这块确实最难防,因为培养员工的信息安全意识,总不能不让人家去访问外界的网站吧?还是考虑给员工统一装个HIPS吧
6、内网安全:同事之间发送关于密码这类的文件时,必须加密!
企事业还需要成立专门的信息安全领导小组,制定各部门的响应程序,周密部署各项信息安全工作,明确工作职责和责任人。
攻防中的心理及意识对抗
普及部分心理学知识,该部分来源互联网,对于应对非技术类的攻击足够了:
一是抓住人“贪心”的心理弱点,如获奖信息,补助金、救助金、助学金,购物退税、退款,快递签收,提供考题,低息贷款,积分兑换、降价奖励,虚构色情服务等诈骗方式,一步步地抓住人的贪念,诱导人上钩;
二是利用人的“安全顾虑”心理,如诈骗分子冒充公检法人员、冒充领导、包裹藏毒、虚构车祸、意外急救、虚构绑架、欠费、破财消灾等诈骗方式,均以突来的“问题”,让受害者产生恐慌,短时间失去理智;
三是消费公众的“爱心”,如点赞、转发、爱心捐助等,通过虚构悲情故事、求助信息等,骗取公众的爱心;
四是利用公众的“好奇心”,包括“猜猜我是谁”,以及通过新型网络软件,引导公众通过点击不明来源网址,植入病毒程序,盗取网银密码、日常生活信息等,“此类诈骗方式隐蔽性强,传播范围广,十分值得警惕。”上述专家指出。
公众号文章详情:安全初心
