四、社会工程学攻击
现在,绝大多数的企业或个人网络用户都会使用一些安全防范措施,例如防火墙、IDS/IPS,以及恶意软件监控软件来保护网络和计算机系统的安全,这些安全防范措施让黑客的攻击变得越来越困难。
但是,黑客们也正在改变他们的攻击方式,他们已经越来越趋向于使用社会工程学攻击方式来攻击相应的目标。但是,我国现在大部分的网络用户对于社会学工程攻击更本没有多少了解,更谈不上如何防范,也一直没有被一些企业或机构所重视。
社会工程学攻击的方式就是利用企业中最最薄弱的环节,就是企业内部的员工来进行攻击。无论什么时候,人的因素总是安全防范过程中最弱的环节。这是因为人是唯一可以主动违反安全规则的安全因素,由于人存在各种各样的弱点,例如可以被威胁、欺骗,利诱或强迫,以及人本身的好奇心、性格和行为习惯等因素都有可能被黑客利用,然后让他违反企业内部的安全规则,从而使黑客可以达到其攻击目的。
社会工程学攻击这种利用人类的某些本性来成功绕过各种现代安全防范技术拦截的攻击方式,由于这种方式的攻击对象是人,这是任何现代安全防范技术都不能完全防止的。
因此,要想解决社会工程学攻击带来的安全风险,除了培训用户了解社会工程学攻击的各种方式,以及掌握遇到这种情况时如何进行处理之外,别无它法。而且,要让企业中的每个员工都认为自己是企业当中重要的一员,都有可能成为社会工程学攻击的目标,这样能减少由于个别员工对自身的重要程度认识不够而带来的安全风险。但是,很不幸的是,现在有许多企业的员工认为自己在企业中的地位不高,不可能成为黑客实施社会工程学攻击的目标,可事实却是这些员工将首先成为黑客实施社会工程学攻击的目标。这是因为这类员自我保护和防范能力较低,更加易于欺骗和利诱。因此,企业在培训每个员工的反社会工程学攻击的同时,还应当增强每个员工的企业荣誉感。
最好的培训方式就是通过向员工展示每一种社会工程学攻击方式,然后通过模拟演练的方式来让员工加深印像,并形成一种反社会工程学攻击的行为习惯,这样才能有效减少社会工程学攻击给企业带来的风险。