前黑客为企业安全进言:保护网络勇敢说“不” | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2005年03月07日 14:30 ZDNet China | ||||||||
CNET科技资讯网3月7日国际报道 知名的前黑客Kevin Mitnick 为企业的信息安全策略提出警告。他指出,教会你的员工如何说“不”将有助于公司的网络安全。 Mitnick 这位电脑世界里的传奇人物曾经入侵过诸如Motorola及诺基亚等世界最知名企业的公司网络。上周在东芝于澳大利亚墨尔本所举行的MobileXchange 大会上演讲。
FBI 在经过15年的搜捕之后,才于1995年抓到Mitnick,并让他蹲了四年苦窑。但随着年岁增长似乎也变得越来越有智能,现在他则把自己的鬼才用在正途,担任洛杉矶一家公司的安全顾问。 许多公司都砸下重金在保护公司网络上,但Mitnick 直接挑明说,没有什么铜墙铁壁挡得了他。反而,有些精心规划的社交工程(social engineering )──或者甚至只要花些时间去垃圾堆里翻一翻──往往就能够很有效入侵公司企业安全的最弱点(weakest link):就是公司员工。 “你在垃圾桶里可以找到的东西相当惊人。”Mitnick 表示。“大家丢掉的包括了各种文件:笔记、书信草稿,源代码的输出本,专案计划书的打印文件,以及存取信息,甚至包括了开会中每个人讨论内容的日程管理等等。” 这些信息给有心的黑客相当大的帮助,为他们入侵企业网络做暖身:例如,他们会先假冒公司员工打电话给公司内的服务台,或者是专门拜访公司假装要套业务关系。由于人不习惯说“不”,就算面对了可疑的陌生人也是一样。Mitnicks表示,狡滑的言谈技巧比暴力入侵攻击,可能让黑客进入企业网络。 现代技术让这样的黑客更是如虎添翼。如果一个黑客可以进入到会议室,只要几分钟时间,就可以装一台无线的AP(access point,桥接器)让它成为户外的AP,为企业网络开一个后门,甚至只要在大楼外的停车场就可入侵。 这样的安全漏洞要了解很简单,但要防备却很困难。要拟定清楚的安全政策,明确说明对陌生人如何应对,对于访客在接触实体设备时如何处理信息及存取权限。教导员工,当遇到可疑情况时要记住这些政策,而不是随兴反应,或者是很自然的照黑客的要求去做。 甚至只要进一步问一下连络信息,公司员工可能就能够让陌生人收回协助的要求,足以让黑客转身逃走。 “我们无法要求员工成为测谎机。”Mitnick 表示。“企业文化中最难改变的挑战之一就是,要大家改变过去的谦谦君子。” |