【轉】信息安全培訓該如何做?
- 2019 年 10 月 6 日
- 筆記
原創: 不二 安全初心 前天 今天早晨開始日常上網,忽然被"A站被黑客攻擊,近千萬條用戶數據外泄"的文章刷屏,原來A站在凌晨遭受了黑客的攻擊,用戶的個人信息泄露。此次事件勢必又會引起大眾對信息安全的重視,因為信息安全的價值本來就不好界定,只有在出現類似事件的時候,大多數人才會感慨原來信息安全離着大眾不算太遠。相信在未來的信息安全行業裏面針對安全運維、安全開發以及安全意識的培訓會更加普及。下面就由老衲為大家普及一下普通員工的信息安全培訓從哪些方面做起?
緣起
在國內的信息安全服務裏面,關於員工安全意識,基本就是由幾個做服務的人員進行兩次培訓,PPT用的基本上都是掉了渣的老古董,什麼釣魚,魚叉之類的各種穿插,賺足眼球,但是企業員工的消化能力非常有限!國外有的乙方公司在社會工程學以及反欺詐方面做的就很好,他們專註於這一方面,國內這塊市場應該還沒有完全孵化好!
在日常的工作中,廣大企事業員工總認為,信息安全工作是信息中心或網絡中心的事情,事不關己高高掛起,企業的郵件系統、OA反正有運維人員維護着,自己關注自己的業務就是了,根本認識不到信息安全工作是關係到自己的信息泄露乃至進一步的欺詐風險。
1)這就要求員工在入職時、分配到部門時,都要進行信息安全教育,讓員工認識到信息安全不僅是企業的事,也是自己的事。員工在安全反覆強調面,做得好的要獎勵,做得不夠的,要處罰,從而在工作中到到自己注意安全。
2)讓員工明白」安全是天」,不僅是對你自己負責,也要對你的企業負責。要讓員工樹立「自己安全自己負責,同事安全自己有責」的安全意識。
培訓員工的哪些方面?
1、首要的我覺得是個人信息保護意識:現在大部分做社會工程學信息收集的都是通過搜索引擎及各種社交平台,微信、微博、人人網、QQ空間收集儘可能多的個人資料,有時候還會對家人朋友的信息進行收集,完成收集信息階段,壞人需要定製各種各樣的話術,我如果說壞人的劇本都是有專業的研究心理學方面的編劇定製的,你信嗎?
比如說:你是一名大學生,如果壞人提前收集了你跟你父親的資料,壞人可能就會給你的父親發消息說,「爸,我今天去KTV找了個姑娘,不小心被抓了,可能要被開除,畢不了業,你馬上給李警官的賬戶轉點錢,裏面看的緊,等我出來之後再給你細說,然後卡號: 62XXXXXXXXXXXXXX 姓名」,
2、密碼安全:強烈建議個人建立多個強密碼,工作中的業務系統的密碼更應做到細粒度劃分,很多時候面對大型的國企、銀行,攻擊人員首先通過社工庫,查詢到內部的某個郵箱,有的從社工庫查詢到的密碼可以直接登錄,如果密碼過期了話,他們會選擇爆破的方式,這些大型企事業的內部郵件系統好多沒有驗證碼,Exchange的OWA直接可以爆破,如果進入到對方的郵件系統,壞人又可以通過好的劇本來給你們群發郵件了。
3、郵箱安全:大部分反垃圾郵件系統現在都已經支持SPF過濾,但是不排除郵件頭偽造的情況,很多壞人偽造公司部門高管、信息中心、運維部門的職員來發送郵件,出於信任很多小白員工打開對方的木馬文件,這樣他的機器就成了待宰的羔羊!一定要跟員工普及一點,郵件裏面但凡收到關於密碼修改、下載軟件等疑似高危操作的地方,一定要找技術人員諮詢!
4、無線安全:伴隨着WiFi和藍牙等無線技術的不斷發展,越來越多黑客也參與其中,各種假的接入點、假的基站層出不窮, 一旦連接到黑客設定的WiFi熱點,一些沒有加密的通信就可以直接被查看。壞人模仿XX公司(xxtech),搭建一個名為xxtech01的WiFi熱點,如果公司職員無線接入的時候選擇了該SSID,那麼上網的所有數據包,都會被黑客截留。壞人如果拿到了企事業裏面的第一個密碼,可能就會是噩夢的開始!
5、邊界訪問安全:很多朋友私下裡給我說,公司裏面比較頭痛的就是邊界訪問這塊了,經常有的同事下載xx加速器、xx下載器,導致機器中招,甚至有的被感染蠕蟲,這塊確實最難防,因為培養員工的信息安全意識,總不能不讓人家去訪問外界的網站吧?還是考慮給員工統一裝個HIPS吧
6、內網安全:同事之間發送關於密碼這類的文件時,必須加密!
企事業還需要成立專門的信息安全領導小組,制定各部門的響應程序,周密部署各項信息安全工作,明確工作職責和責任人。
攻防中的心理及意識對抗
普及部分心理學知識,該部分來源互聯網,對於應對非技術類的攻擊足夠了:
一是抓住人「貪心」的心理弱點,如獲獎信息,補助金、救助金、助學金,購物退稅、退款,快遞簽收,提供考題,低息貸款,積分兌換、降價獎勵,虛構色情服務等詐騙方式,一步步地抓住人的貪念,誘導人上鉤;
二是利用人的「安全顧慮」心理,如詐騙分子冒充公檢法人員、冒充領導、包裹藏毒、虛構車禍、意外急救、虛構綁架、欠費、破財消災等詐騙方式,均以突來的「問題」,讓受害者產生恐慌,短時間失去理智;
三是消費公眾的「愛心」,如點贊、轉發、愛心捐助等,通過虛構悲情故事、求助信息等,騙取公眾的愛心;
四是利用公眾的「好奇心」,包括「猜猜我是誰」,以及通過新型網絡軟件,引導公眾通過點擊不明來源網址,植入病毒程序,盜取網銀密碼、日常生活信息等,「此類詐騙方式隱蔽性強,傳播範圍廣,十分值得警惕。」上述專家指出。
公眾號文章詳情:安全初心
