社会工程和网络安全讨论

Jim Preen：今天我们谈论的是网络安全，没有人比 Richard De Vere 更适合谈论它。理查德，你有时把自己塑造成反社会工程师。为什么会这样，你能告诉我们一些关于你所做的工作吗？

理查德·德维尔：当然。嗯，很高兴见到你，吉姆，还有一个很棒的介绍。这个名字也是我经常遇到的问题之一。为什么叫反社会工程师？我想这是一个很简单的故事。我曾经在英超足球俱乐部做过一个非常有影响力的渗透测试。我们回到办公室，和我一起去测试的那个人，一个测试员是——他只是把手放在他的头上，就像发生了什么事。他只是震惊。我说，“这是社会工程学，克服它。” 他说，“不，不。这不是社会工程。” 他说，“你是个反社会工程师。”

我真的很喜欢那个。它在口袋里放了几年，但这有点像一个笑话。

Jim Preen：那现在是你们公司的名字吗？就是它 -

理查德·德维尔：是的。一开始我想不出更好的名字，实际上，它在我身上成长，这个名字也有一点点。它很好地解释了公司。这就是我们所做的。我的性格也可能有点ASPD，反社会。在几个方面有一个有趣的文字游戏，因为我可能将公司的名称视为反社会工程师，对我来说，这意味着我们以与期望和规范不同的形式反社会。我们想要与众不同，但显然我们与社会工程犯罪作斗争，所以我猜人们认为这是一种文字游戏，仅在那里。

一旦你开始讨论这个事实，这是一个多方面的文字游戏，我想这是一个好名字。

Jim Preen：无论如何，这肯定是人们会记住的。那太棒了。我们在屏幕上也有更多关于你的信息。只是说我们有几个人一直在告诉我们天气。格雷厄姆在格林威治听，就在这附近的拐角处，哈利从雷丁听，那是 7 度，还有雨。最远的[轻笑]是马克。我认识马克，他是个好人。他是加拿大的危机公关人员。他就在多伦多北部，正在下雪。

得到这些家伙，我们在伦敦还好。在多伦多，下雪的速度是每小时 5 厘米，不是晴天，也不是 25 度。好的，非常好。真的非常感谢你。

就在我们开始与理查德谈话之前，我只想在这里为你发起一项民意调查，只是为了了解我们观众的温度。我现在要启动投票，希望你们能看到这个，看看我们在哪里。你曾经是黑客的受害者吗？我的意思是任何事情，可能是全面的网络攻击或数据泄露，也可能只是克隆了您的信用卡。任何类型的黑客。你是那个受害者吗？

这很有趣。[笑] 我现在可以告诉你，事实上，每个人都非常迅速地投票。你去吧。我想你应该能够看到这一点。您现在应该能够看到结果。这是非常50-50。一半的人曾是网络攻击的受害者，另一半则没有。我们有关于理查德有多少人成为受害者的任何统计数据，或者这个民意调查是否过于模糊？

Richard De Vere：嗯，当您查看网络犯罪时，统计数据是一件非常有趣的事情，显然，我们假设每个人都不会报告犯罪。有些人只是不知道他们被骗了。NCSC 的一个常见统计数据是仅在英国每年就有超过 380 万人，但这是来自 ONS。我们如何收集他们的统计数据仍然是一场大辩论。

Jim Preen：是的，我想你

理查德德维尔： 骗局，你不知道你被骗了。它没有被报道，所以我们永远不会知道完整的故事。

Jim Preen：我的家人刚刚被骗了。[笑] 全世界的人都在使用我们的 Netflix 帐户。[笑] Netflix 打来电话说：“你在北美和伯明翰等地看过 Netflix 吗？” “不，我们没有，”所以你去了。你永远不会知道。即使 Netflix 也很脆弱，但他们很快就解决了这个问题。

理查德，我现在想要做的是问你这个问题，希望每个人都能在他们的屏幕上看到。这对你来说是一个非常私人的故事。显然，我们不会深入了解个人细节，但这确实很有趣。你写道，“在我个人受到改变生活的网络犯罪的影响后，我的任务是平衡规模并保护人们免受互联网的危害。” 我认为这是您的家人在互联网上遇到一些问题的时候。据我所知，你与警方密切合作，提供帮助。请你谈谈这个好吗？

理查德·德维尔：当然。这是一件非常贴近我内心的事情。这是一个我已经向一些亲密的人完整披露过的故事，但它对我自己来说非常有启发性。我将概述这个问题。基本上，十年前我是一个完全不同的人。例如，我住在澳大利亚，发生的一件事彻底改变了我的生活。我想 10 年前，我是一个年轻得多的人，对世界的方式更加天真。我很喜欢那种对警察挥拳的性格，“你为什么不做点什么？你为什么不抓住罪犯？”

我想我和很多在犯罪问题上混为一谈的人非常相似。他们对犯罪，这种没有身体的形象感到这种愤怒，我真的很想做点什么。就在那个时候——因为这件事让我非常震惊，就在这个时候，我想不出更好的方式来度过我的工作岁月。我只是想不出比我目前所做的更好的行业，更好的贸易，更好的人的任务，而我做到了。这有点冒险。它开始是一种创伤[轻笑]，它以有点神奇的冒险结束。

大纲是，它足以让我可能自学并开始自学之旅。我在一个非常不同的行业。我一直都知道我想成为今天的我，但这是一段非常艰难的旅程。我可以看到终点线，而且我有点聪明，可以知道我所在的位置和终点线之间的步骤。尽管如此，它仍然需要大量的培训。没有人愿意给我培训，所以我不得不创办一家小企业来积累一些在职技能。我不得不自学。

我日以继夜地自学。一段时间后，以我终生的技能为基础——我一直是个书呆子。以他们的技能为基础，我到了可以轻松申请工作的地步。我联系了当地的一家网络安全公司，这是一家非常受很多人尊敬的公司，他们给了我一个机会。我遇到了毕业生，我遇到了那些花了很多年时间研究网络安全的人。我认为这是我的决心，我的个性，但在那次面试中，我得到了这份工作，我简直不敢相信。

我知道那仍然是旅程的开始。我根本没有接近终点线。那是第一个障碍，我爬上了梯子。我必须和一些非常有才华的人一起工作。直到今天，我将永远感激他们教给我的东西。这些人每天都在抢劫银行，他们每天都在给公司发短信[笑]。在那种环境下，我基本上得到了培养和学习。老板知道我的情况，他只是真正地提供了进一步的帮助，一个叫安德鲁·梅森的小伙子。

吉姆·普林：太好了。那太棒了。这为我们设置了很好的场景。让我们深入研究一下。让我们开始，以一种温和的方式开始，你在你的网站上做一些首字母缩略词和行话。我想我们都知道什么是网络钓鱼。尽管我必须说，我最近收到的一些网络钓鱼电子邮件令人难以置信地难以检测。你会同意吗，理查德？你认为他们在这方面做得更好吗？

理查德·德维尔：他们是。我认为，有一个一致的趋势是变得越来越现实。非洲王子犯下非常明显错误的日子，开始淡出人们的视线，并且——

Jim Preen：实际上，几天前我在伊朗有人——不，伊拉克，请原谅，在伊拉克，由于正在进行的内战等原因，他也想给我数百万英镑. 他们还在，

这些非洲王子

理查德·德维尔：听起来你应该检查一下，吉姆。你应该确保这是一个骗局。

Jim Preen：你认为它可能是真的吗，Richard？让我们稍微回顾一下。我对鱼叉式网络钓鱼有点不清楚。我喜欢这个词，但这是什么意思？

理查德·德维尔：当然。我想这是一种建立在网络钓鱼的基础上。我们都知道什么是网络钓鱼。收件箱里就是那烦人的电子邮件。发现我们在那里看到一些错误是相当罕见的。网络钓鱼尝试通常非常普遍，但是当我们进行鱼叉式网络钓鱼时，这是一些研究的结果。这是一些努力的结果。我们看到攻击者在与他们相关的特定情况下涉及标记或目标。

鱼叉式网络钓鱼电子邮件，你提到你在伦敦，吉姆，你自己的鱼叉式网络钓鱼电子邮件可能是为伦敦量身定做的东西，可能是伦敦交通局的收据或其他东西。当我们看到鱼叉式网络钓鱼时，它只是普通的旧式网络钓鱼，需要付出更多努力。

吉姆·普林：我明白了。这也有点像捕鲸。我知道捕鲸是针对高净值人士。其中一部分是找出所有关于它们的信息，不是吗？

理查德·德维尔：当然。网络钓鱼也有一些层次结构。如果您从网络钓鱼开始，鱼叉式网络钓鱼曾经非常独特，但现在我们可以向多人发送鱼叉式网络钓鱼电子邮件，因此我们实际上可以做得很好。当我们开始捕鲸时，它非常关注那个人，它与首席执行官欺诈重叠。在我看来，吉姆，网络钓鱼是你花 20 英镑做的事情，鱼叉式网络钓鱼是你花 1,000 英镑做的事情，捕鲸是你花 1,000,000 英镑做的事情。

我认为这是一个很好的看待它的方式，因为捕鲸只是意味着有时会有无限量的资金处于危险之中。在捕鲸尝试中，我们不仅看到电子邮件实际设计的复杂性，而且看到整个借口，捕鲸的整个支持证据非常强大。

Jim Preen：我想 Richard，事实上，我们现在允许如此多的数据在线上，因此很容易建立一个部分。我猜你想要做的只是给某人一条对他们来说非常私密的信息，他们的反应是——我的反应是，“天哪，这一定是真的，因为这对我来说是非常私人的事情,”但是这些天我们放弃了太多东西，以至于仅仅从开源材料中构建某人的照片一定很容易。

理查德·德维尔：当然。开源——我们称之为 OSINT，数据的开源调查，我们可以收集一些非常可怕的信息。当我们查看网络钓鱼电子邮件、一般的社会工程诈骗时，我们往往会想，“这不会发生在我身上。我不受此影响，”但当我们实际上——我会举手，我已经非常接近点击几个链接，这就是业务的性质。我是人类，因此我与其他人类有一些缺陷。这些触发器之一有时可以是要约。这就是一个好的网络钓鱼所拥有的，它有那种钩子，它有那种感觉，你有一种感觉。对我来说，我是约克郡人。约克郡人非常——

Jim Preen：我们无法从你的口音中分辨出来。

理查德德维尔：你看不出来，我们会加上字幕，吉姆。约克郡人以节俭着称。去年吸引我的网络钓鱼，非常接近于吸引我的是 Argos 退款。几天前我从 Argos 购买了一些东西，然后一条短信说我有权退款，所有这些疯狂的场景都在我脑海中浮现。也许我为其购买商品的人没有取货，也许这是自动的，也许有召回并已退款，我不知道。也许我已经支付了两次，他们已经退还了一笔。

所有这些原因都在我脑海中闪过，我认为这是真的。我很高兴我拿回了一些钱。有时，您必须真正进行分区并停下来思考正在发生的事情。在一个好的骗局中，这是很难做到的，而且大多数人没有注意到这一点要停止。

Jim Preen：好吧，让我们结束这个吧。什么跟风？我可怕的驾驶，这是怎么回事？

Richard De Vere：尾随，非常类似于我们跟在另一个司机后面的驾驶情况。我们正在做的是滥用授予我们面前的人的访问级别。我的意思是我们站在门口，我们在停车场附近盘旋，我们在拐角处。有人来了，靠近门口。他们通过 RFID 徽章进行身份验证，或者人们认识他们。尾随非常简单，它是在那个人后面拉上拉链并利用他们的通道进入建筑物的做法。非常简单但非常有效。

Jim Preen：我想这可能是从某人的肩膀上看他们的电脑屏幕，可以想象，还是有什么不同？

理查德·德维尔：我不会把它们放在一起分类。单肩冲浪更多的是。

吉姆·普林：哦，对了。

理查德德维尔：你会从吉姆学到一件事，这个领域的一切都有术语。

Jim Preen：是的，我想。我们现在要做的是，理查德，我们要扩大我们的关注点，我们现在要放眼大局。这是更严重的事情。我的问题是，正如您在屏幕上看到的，我们的网络有多安全？关键基础设施是否面临风险？最近有很多关于华为的讨论以及他们在 5G 上的存在的大惊小怪。这是真的吗？理查德，你能谈谈这些话题吗？

理查德·德维尔：当然，我的意见，至少是这样。在这个领域，我最近看到有很多——没有其他方法可以解释它，它是政治与网络的混合。

吉姆·普林：当然。

Richard De Vere：我认为伤害或使这个品牌成为敌人的存在会适得其反。

Jim Preen：让华为成为敌人？

理查德·德维尔：当然。使他们成为敌人。他们的设备已经与我们的基础设施牢固地结合在一起，已经很多年了。数以万计的人正在使用他们的设备，各个级别、角色和行业。我认为我们没有抓住重点。我希望我能做到——就像我能做到的那样简单，如果你最关心的是这个特定的品牌，那么你可能没有有效地解决你的风险模型。这是一个案例 - 这是一个如此高的级别，我们是在政治层面上进行讨论。与网络相比，它与政治的相关性更大。

我们所有的信息都已经流经中国制造商和中国设备，但为什么要选择那个特定品牌，为什么现在呢？我认为这是我最大的问题，真的。我在媒体上看到过很多次，但我并不是它的忠实粉丝。

Jim Preen：关于我们的关键基础设施面临风险的问题呢？我们看到美国人用他们的核计划对伊朗人做了什么。我们的发电站或核电站有多安全？这里有很大的风险还是什么？

理查德·德维尔：当然，我想当你从总体上看时，你可以选择核电站作为一个很好的例子。我上周发布了一些内容，他们一直在关注自己的风险，并采取了相应的行动。核工业就像一个灯塔。没有其他方法可以解释它，吉姆。他们有机枪，因为他们遭受物理攻击的风险可能很大。他们始终如一地评估自己的风险，并得出结果和预防措施。

如果是身体威胁，他们拥有从警犬到机枪的一切。如果威胁是网络威胁，他们有非常广泛的测试和改进计划。它让伟大的媒体说一切都坏了，核电站离爆炸只有一步之遥，但我们发现这与事实相去甚远。不是每个行业都一样，我也可以补充一下。核工业可能是物理安全和网络安全的顶峰。

当我们看看其他行业，比如石油和天然气，我们甚至看看现在的供水这样简单的行业，都是在线的，都是综合的。我想我们已经经历了最初打样的那个时期。如果它可以很容易地被击倒，那么毫无疑问它应该是。过去几年，我们在网上树敌够多，绝对不缺。我认为这取决于你住在栅栏的哪一边。它要么是一个可能影响到每个人的可怕风险，要么是一个由其他人管理的风险。我认为这有时也很可怕。这是人类的一种特质，有时会询问事物并恐慌。

Jim Preen：好的，好的。我认为从你所说的或者我从你所说的中得出的结论是，我们不需要立即恐慌。

理查德·德维尔：关于一切。

我一直发现人们每天都对错误的事情感到恐慌。

Jim Preen：这是一个有趣的想法。

理查德·德维尔：就个人而言，我对密码安全的恐慌有两个因素，比我对在线恐怖主义的恐慌要大，但这是我的个人风险，也是我对此事的个人看法。结果可能会有所不同，具体取决于您是在查看猫的照片还是在查看核发射代码。我想你也必须考虑到这种风险并从那里开始。

Jim Preen：很明显，照看我的宠物狗的照片非常非常重要，我会为此要求安全。说真的，两因素身份验证，你想谈谈吗？

理查德·德维尔：是的，当然。我想我有点笨拙地解释什么是两个因素。

Jim Preen：我认为你最好有。

Richard De Vere：有两个因素，它确实是救生设备之一，例如功能。谷歌多年前推出了两个因素。去年，他们公布了一个事实，即大约 10% 的客户使用双因素。双重因素的神奇之处在于，一旦启用，实际上很难绕过。当我们遇到两个因素时，尤其是在我们通过网络钓鱼进行测试时的公司情况时，我们会非常兴奋，因为我们得到了密码，然后我们真的很沮丧，因为他们有两个因素。两个因素确实可以阻止犯罪分子，但问题是它有点品牌问题。

两个因素有时很复杂。它可能会令人困惑，它可能会阻止您随时随地访问该内容，并且人们不喜欢它。人们对任何事情都有些抗拒双重因素，但就像我说的那样，有大量的防御措施，而且这只是一件非常简单的事情。两个因素之间有一些层次结构。我们显然——SMS 双重因素在新闻中出现了很多。这很容易——

Jim Preen：这是两个因素？

理查德·德维尔：是的。

吉姆·普林：对。我不知道。我的电话和宽带，我认为我没有提供任何东西——也许我在这里提供了一些东西，我的电话提供商是 Vodafone。为了让我登录我的 Vodafone 帐户，他们必须通过短信向我发送一些代码。我必须承认，我没有意识到这是两个因素。

理查德·德维尔：是的。这是第二步，对吧？

吉姆·普林：是的。

Richard De Vere：您需要用户名，现在，您需要访问电话才能获取该号码。我想 SMS 两因素会受到打击，因为它可以被绕过，它并不完美，但加速采用确实很好。这需要几秒钟。它不如单独的应用程序那么好，比如 Google Authenticator、Microsoft Authenticator。这些应用程序确实提供了额外的保障。没有启用两个因素的零级有一个非常清晰的层次结构，并且非常危险。第一级，银牌，我猜就像短信二要素，但金牌是那个应用程序，就是那个

吉姆·普林：好的。我们最好把它留在那里，但这显然是人们需要研究的东西，尤其是我自己，需要研究这个。就在我们谈论这个时，我们可以很快提到密码吗？密码驱使我四处走动。我无法忍受它们，但我知道我们必须使用它们。我们是否有机会摆脱密码，您对使用密码管理器有何看法？

理查德德维尔：嗯，我们已经看到很多公司尝试过，吉姆，我认为这是网络安全的圣杯。如果您可以设计出不使用密码的产品，并且与其他产品一样安全，那么我相信您会在几年内成为百万富翁。关键是当我们看到 - 就个人而言，当我看到无密码解决方案时，我做的第一件事就是寻找他们在哪里使用密码。

一个提供无密码未来的产品，我会在一分钟内发现他们在大约八、九个帐户中使用密码。他们的技术虽然先进、独特和新颖，但无法采用。它并非对所有人都可用。即使是销售无密码登录的公司也没有取得很大的成功。这是我对此的看法。

在这个问题上我们怎么办？回到我们需要管理密码的第一个困境，我们遇到了这个问题。我认为密码管理器是唯一可以安全地做到这一点的设备。人类，除非你是某种先知，否则我真的认为人类无法记住密码所需的复杂性，而且——

Jim Preen：抱歉打扰，Richard。如果我们这样做，我们会将其写在 Word 文档中并将其存储在我们的计算机上。

理查德·德维尔：当然。我们的记忆力有限。我们不能只做随机字符串。这就是密码所需要的。这是圣杯。我们需要有唯一的、强大的密码。强，我的意思是 20 个字符，或者是一个类似于句子的密码。网站上的黑条将是一个很好的密码，但现在显然不是。密码的全部意义在于使其非常长且非常独特。密码管理器确实可以提供帮助，它已经融入其中。

Jim Preen：嗯，我不得不说，我使用密码管理器。我必须说，它可能并不完美，但已经相当不错了。我可能需要比我更及时地更新它。

理查德·德维尔：如果有人对密码管理器感兴趣，他们不想开始财务上的工作，他们只是想将脚趾浸入水中，那么有一个名为 KeyPassX 的非常好的品牌，它提供了一个免费的解决方案。还有其他人提供免费的家庭使用。人们可以很容易地找到成功。

Jim Preen：我用的是一个叫 Dashlane 的。你每年只需为此支付大约 30 英镑，但它似乎工作得很好。

理查德·德维尔：显然，某人使用 . 我宁愿看到有人使用密码管理器——我猜我们在行业中说，我们说流行性或成功或领先的密码管理器品牌。无论您想选择什么，什么口味都由您决定，但只要它是领先品牌，那么我们几乎可以假设它已经存在，已经过测试，已经被使用过。

吉姆·普林：好的，很好。好吧，让我们继续前进一点。那是有趣的东西。一般而言，人们为什么会参与网络犯罪？只是一种简单的赚钱方式吗？我记得 TalkTalk 的东西坏了。我们发现他们是在北爱尔兰做这件事的青少年。与网络犯罪理查德有什么关系？你对此有什么见解吗？

理查德·德维尔：当然。我要说一个非常无聊的答案，但这与我们发动战争的原因相同，吉姆。这是权力，是名声，是金钱，还有其他原因。回到人性，我认为网络是一个新事物，过去 50 年，但我认为媒介变了，但人没有。人们总是试图以不同的方式相互联系。我认为网络就是那种很好的媒介。

当我们现在审视网络犯罪时，会发现巨大的经济利益。人们可以因他们的罪行而得到回报，当他们拿下一个大品牌或其他东西或产生影响时，他们可以获得那种权力感。我想这是我们假设的所有传统原因。我不认为在那个领域有什么疯狂的事情。通常在金钱的等级上是最重要的，主要的原因是经济原因，其次是情绪原因，例如愤怒、嫉妒等。

Jim Preen： Richard，也许你可能已经涉足网络犯罪了。现在，有一个想法。

理查德·德维尔：公平地说，我可能会赚更多的钱，但这并不是一种有意义的生活。我想这是触发那个人的原因，也是驱动那个角色的原因。对我来说，钱甚至不是考虑因素。它实际上是作为一个痴迷者的副产品。钱不是我的动力，但我认为对于很多罪犯来说，它是。我认为这是主要原因。

Jim Preen：嗯，我们确实知道人们从中赚了很多钱。

理查德·德维尔：可以。显然，成功的故事。我们在 LinkedIn 上看到兰博基尼，我们看到戴着面具的自拍等等，我们看到了所有这些。我们没有看到不眠之夜，我们没有看到负的银行余额，我们没有看到不利的一面。我们总是看到网络犯罪的一面，那就是人们喜欢看到的光鲜、性感的一面。我们永远不会看到罪犯输球，因为他们的骗局没有奏效而挨饿的人。我们从来没有看到它的那一面。

Jim Preen：他们的比特币账户被突袭了，前几天有人的，我在新闻上看到了。不管怎样，让我们继续吧。下一个问题，我想我们已经讨论了一段时间，但如果可以的话，让我们保持紧张。当您进行渗透测试和其他东西时，假设人们知道渗透测试是什么，那么当您测试公司的网络能力时，您会发现哪些常见错误？人们可以做些什么来更好地保护自己？

理查德·德维尔：绝对的基本，吉姆。每一次。每一次，基本的，尽管可能是来自谢菲尔德或跨国跨国集团的 10 人乐队，但他们在基本方面确实失败了。这才是最大的危险所在。我认为最基本的是良好的密码管理，确保他们的设备更新，确保人们有足够的教育。我们现在正在使用这些非常复杂的机器来过我们的生活，

有没有人培训过人，有没有人培训过他们的员工？有时，这些是我们看到的一些最大风险。人们喜欢沉迷于一些更复杂的东西，尤其是一些社会工程骗局，因为社会工程骗局可以安静地惊心动魄。他们对人们来说可能非常令人兴奋，他们认为社会工程是最大的风险。我想这归结为更多的基础知识。社会工程学之所以有效，是因为公司不做基础。

Jim Preen： Richard，你在这里有点失去我了。当你说社会工程学时，你能帮我解开一点吗？

理查德·德维尔：当然。让我们以最常见的社会工程攻击为例，即网络钓鱼电子邮件。假设一家公司正成为网络钓鱼电子邮件的目标。有一些非常常见的防御措施可以阻止这种情况。像 DMARC 这样的东西是一件非常好的事情。诸如员工培训之类的事情。

Jim Preen：什么是 DMARC？

Richard De Vere： DMARC 是 DKIM 和 SPF 的组合。它基本上是一组技术检查，将阻止恶意电子邮件入站、欺骗电子邮件进入您的基础设施，并在一定程度上保护您的客户。我不会尝试将 DMARC 运行到这个中，但我要说的一件事是有很多关于它的信息。有一家公司叫全球网络联盟。他们非常擅长围绕 DMARC 共享信息、参与并听取 DMARC 信息。

如果您担心网络钓鱼，无论是对于您自己的企业，还是您的客户收到您发送的网络钓鱼电子邮件，这绝对是必不可少的。DMARC 是前进的道路。这是一个非常简单的技术预防，但我们发现公司不采用它。同样，这就是我所说的基础知识的意思。这就是我们作为渗透测试人员获得成功的方式。我们利用基础知识。

吉姆·普林：好的。

理查德·德维尔：抱歉让吉米失望了。这不是装满小玩意的公文包，也不是没有被发现的花哨小胡子。这是一家公司的绝对基础，允许人们进入。

吉姆·普林：好的。我告诉你，我要 - 非常感谢你，理查德。我告诉你我现在要做的事情很快，我将发起另一项民意调查，因为这对我很感兴趣。我的下一个民意调查是什么？开始了。我要发起一个民意调查。希望你能看到这一点。我很想知道，在听的人，你们有具体的网络计划或剧本吗？

在我引以为豪的危机管理的奇妙世界中，人们在某种程度上正在远离通用的业务连续性计划，尽管他们肯定仍然有一席之地，使用像网络剧本、恐怖剧本等。我只是想知道人们是否确实使用了特定的计划或剧本。这是一个你遇到理查德的世界吗？我想你做了一点，不是吗？

理查德·德维尔：当然。与我们的客户一起，我们与他们一起设计这本剧本。在某种程度上，我们模拟攻击，所以这是一个客户公司会特别关注的情况，例如恐怖主义，例如网络犯罪。我们将在测试后模拟该场景，他们肯定会朝着某种剧本努力。这是量身定制的建议。当你谈到 BCP 计划或业务连续性计划时，它有点 - 不是过时的，但很难涵盖这些利基风险，比如网络钓鱼，比如物理攻击。

我发现这些公司的一些巨大成功会在出现问题时受益，准备充分的公司会从另一边变得强大，而公司会倒闭，这就是事先计划的区别. 最大的公司，我不会点名，但是四大会计师事务所等等——

Jim Preen：你刚刚给他们起了名字，Richard。[笑]

Richard De Vere：四大会计师事务所，他们会有计划，例如，如果网络钓鱼电子邮件被攻击会怎样，如果勒索软件会怎样——如果有人进入大楼会怎样？如果有人打电话会发生什么，等等。这些都是非常有用的场景。我们可以在风险发生之前看到它，我们实际上可以计划在它发生之前从好的方面出来。像往常一样事先计划，这是值得的。

吉姆·普林：好的。我觉得这很有趣。我遇到了一些业务连续性人员的麻烦，因为显然他们也有充分的理由非常热衷于他们的业务连续性计划。当谈到恐怖或网络时，你需要做一些非常具体的事情，如果这些信息被埋在一个很大的计划中，它们有时不容易被发现，最终不会被使用。我必须说，我有点喜欢剧本。我认为这是一种更现代的方法。我想你们已经看到了这一点，我的小调查显示 60% 的人必须制定计划，所以很高兴看到。

好吧，我要摆脱它。让我们继续。我想问这个，物联网，现在我对此有点愤世嫉俗，理查德。我认为是你们，你们网络安全人士只是想用我们的智能冰箱和智能烤面包机等来吓唬我们，说我们都会被烤面包机入侵。这里真正的交易是什么？

Richard De Vere：我认为这在生活中很常见，不是吗？真相介于两个极端之间。我认为在 IOT 或物联网设备中，我们非常在那个领域。看，我和下一个测试员一样偏执。我们显然——这些是敌人，对吧？这些是我们买来放在家里的听音设备。吉姆，你应该问自己的问题是，我家里有它们吗？

吉姆·普林：是的。我有 Alexa，所以我想我有。

Richard De Vere：我们使用 Google Home。我认为我们必须使用网络。我们不应该把它当作我们和他们的一种。它应该使我们的生活成为可能，它应该赋予我们权力。我想，是技术赋予你力量吗？它是否让你的生活更美好，是人们应该问的问题。现在要进行权衡了。如果我们使用智能扬声器，例如 Alexa 或 Google Home 等。有一个权衡，对吧？他们会得到你的数据，他们会得到你的搜索请求。

如果该发言人提出了搜索请求，则该公司将对其进行记录。现在，这是我们的岔路口，也是很多安全社区遇到问题的地方。你搜索过的东西现在被谷歌或亚马逊等公司记录在日志中，这很糟糕，但他们倾向于使用这些信息来向你推销更多的东西，只是为了定位广告。我，无论如何我都会变得不利，这是这些广告想要更适合我的情况。

我不认为这是人们应该关注的风险。我确实认为数据隐私非常重要。我不认为 Google Homes 和 Alexa 是成为数据隐私问题的鞭打孩子的敌人。我认为还有更多。如果您关心 Google Home 的数据隐私，那么您关心的是 Google 的数据政策。如果这是一个问题，如果这不符合您的喜好，请不要签名，不要购买设备。

我想人们必须问自己这个问题，因为我们看到了恐怖故事。人们正在听德国的搜索结果。亚马逊技术人员正在倾听查询，Siri 正在记录一切，但这只是 2020 年的媒介吗？[偷笑] 和以前的东西有什么不同吗？人们必须问自己这对他们来说重要的是什么，比如它让我的生活变得更好还是真的让我的生活变得更糟？我如何使用这个设备，它让我的生活变得更好，就像帮助我一样，我认为，风险，它们是值得争论的，但这对我来说并不是真正的问题，吉姆。真的很偏执，但我不是。

Jim Preen：好的，那很好。令人欣慰的是你不是。

Richard De Vere：嗯，另一方面，Jim，我们遇到了诸如 Mirai 攻击之类的问题，其中物联网设备已被攻破。他们已经被一个大型僵尸网络收买了，而且——物联网安全有一点糟糕透顶的名声。当我们走出亚马逊和谷歌生态系统时，我们可以进入国外制造并按预算制造的设备。我认为这是更大的风险。

我将就此离开，如果您担心数据隐私，请在 Alexa、Google 和 Siri 周围放松一下，但要明确禁止某些国外初创公司在几天内制造的产品，他们已经没有任何考虑，任何安全预防措施。无处重置密码并使其安全，将它们扔掉。这归结为个人喜好。

吉姆·普林：好的。好的。好的。我没有

最近有任何问题，伙计们。有人想向理查德提出一些问题吗？我们只有大约 10 分钟的时间。如果您有任何网络问题，请联系并提出问题。只是继续讨论更多与政府相关的事情。您在写作中谈到了打击欺诈通信的监管，您希望看到哪些法规以及政府可以采取哪些措施来打击网络犯罪？

理查德·德维尔：这是一个很好的问题。我想，如果有政府的支持，我就会成为活着的最幸福的人。我的意思是，我正在与大都会警察的一个小伙子会面。在那个时代，人们对监管非常不屑一顾。我和这个家伙谈过，他解释了他如何在监管中购买以阻止印刷欺诈。在80年代，人们生产货币，生产货币，伪造文件，需要纸张和墨水等材料，而他自己购买的监管有助于减少这种欺诈行为。

我对此感到兴奋，因为隧道尽头有一些光。我确实认为监管可以阻止问题或减少问题。我的意思是，吉姆是我们可以得到太多的监管。我将在这里挑一个例子，中国。在中国，你不能欺骗短信。不可能。他们的政府已经控制了这种情况，在技术上不可能欺骗短信，我觉得这在某种程度上很令人兴奋，因为在英国和其他国家，我们没有足够的监管。做一些基本的事情太容易了，比如欺骗短信。

我认为这是一个更大的问题，吉姆，我不认为仅靠监管就能解决这个问题，而是监管、执法和积极措施的结合。我认为它已经到了我们需要做点什么的临界点。如果我对监管的想法是唯一摆在桌面上的想法，那么也许是时候解决它了，或者只是回顾一下。只有一种前进的方式，但我确实认为它会成功。它能造成什么危害？

Jim Preen：你抱怨政府做得不够，但我们现在有国家网络安全中心，他们做得怎么样？你怎么看他们？他们的付出值得吗？他们是否可用——组织可以向他们寻求建议吗？跟他们有什么关系？

理查德·德维尔：是的，很短，吉姆。我认为这是很大的进步。我个人与他们有过分歧，并且与他们所说的一切不一致，但我认为这绝对是朝着正确方向迈出的一步。我认为我们作为一个国家很长一段时间都缺乏这样的空间。在网络犯罪方面，我们没有那个权威人物。作为一个年轻的测试人员，当你看到一个问题时，我不知道去哪里报告这个问题。只是在过去几年中，我们才看到来自行业的这种支持和这种合作。

这并不完美，他们可能对某些事情不屑一顾，但我认为他们提供的巨大影响非常好。我要插入的一件事是他们运行的一项名为 CISP 的服务。CISP 是他们运行的一项服务，主要用于共享信息。它是网络信息共享平台。他们也有很好的成功。在个人层面上，有一个叫 Ian Levitt 的家伙，他带来了很多东西。他确实为组织带来了很多好处。

Jim Preen：好的，好的，好的。虽然只是一件事，只是在 Yudu Sentinel 吹我们自己的小号，我们做的一件事，我认为非常好，我之前在其他公司做过，但我们使用 Slack 相互发送信息。你知道 Slack 吗？我想你会的，理查德？它非常有用。这就像 Yammer。我们有一个 Slack 频道，人们可以使用它来放置 - 如果他们收到网络钓鱼电子邮件，那么您可以将其发布在那里，以便与所有人共享。每个人都可以看到我们可能受到攻击的区域，任何新的网络钓鱼电子邮件。我想，这只是让人们保持警觉。

我觉得还是蛮有用的。这就是您所说的共享信息。这就是我们在 Yudu 做的方式，我们分享我们看到的任何类型的网络钓鱼攻击。我只想说。蒂姆问了一个我无法回答的问题，但也许你可以，理查德。Cyber Essentials 是安全组织的良好指标吗？

理查德·德维尔：真是个好问题。Cyber Essentials 是英国的首选计划。看看如果你要获得证书并认为你会更安全，因为你手里拿着这张纸，那么你可能不会。如果您打算将 Cyber Essentials 视为一个过程，但您可以查看一些关键领域并对其进行研究，并构建到可以获得 Cyber Essentials 认证的地步，那么我确实认为这是一个值得的领域.

我必须高度评价他们，因为有点像 NCSC，在 Cyber Essentials 之前有一个很大的空白。想做某事的公司不知道该怎么做。他们没有时间与一百多家不同的公司签订合同来获取一些信息并按照他们的方式做，按照他们的方式做。Cyber Essentials 就是它需要的那种总体方案。第一点，任何对 Cyber Essentials 感到好奇的人，只需访问他们的网站并查看复选框即可。将其与您的组织进行比较并开始思考，“完成其中一些检查会更安全吗？” 如果你当时很聪明，就朝着那个过程努力。

他们的水平非常低。第一个是自我认证。这是你可以用一张表格、几百英镑或最低费用来做的事情。你把它寄出去，你就得到了认证。对于一个组织而言，真正的目标是建立在该流程的基础上，以便他们可以获得第三方的认可。老实说，我认为这是公司应该瞄准的目标，因为它不仅仅是自我认证的证书，而是经过独立审核的事实。对于公司来说，这绝对是一个很好的检查。

能与之相比的寥寥无几。如果您刚开始涉足网络领域，请至少查看 Cyber Essentials。你不必申请。您仍然可以阅读网站，获取提示并在申请之前执行。这就是人们所怀念的。这有点像 ISO 27001。你可以引入一些保理点，你可以从经验中学习，而无需立即获得认证。

Jim Preen：好的，好的，Richard。谢谢你。非常感谢。我希望这对你有用，蒂姆。我们现在快到尾声了。我要你把旧水晶球拿出来，理查德盯着它看。你看到了什么？这一切都去哪儿了？未来该何去何从？就网络攻击和网络安全而言，您认为会出现哪些趋势？

理查德·德维尔：当然，吉姆，这将是 Gartner 魔力象限和 Forrester 浪潮中的内容。我实际上认为它会是一样的，吉姆。我试图成为一个悲观主义者或听起来像我在交易中感到沮丧，但我认为它会与去年几乎相同，但更糟。这将是一个如何奏效的案例。多年来，我们已经看到这种趋势，技术防御变得越来越难。这归结为人的因素，无论我们如何以人为目标，都越好。

无论我们可以使用什么媒介，比如短信，比如电话，我都认为社会工程学会增加。这不是我的魔法球，完全优化工作，但我确实认为网络犯罪会变得更糟。我唯一能说的是过去几年的积极趋势，由国家统计局支持和提供。我认为，如果您打算预测这种趋势，如果您不同意网络犯罪在未来几年内将上升的事实，您最好带上一位优秀的数学家，因为统计数据表明情况并非如此。我不想把它留在吉姆的悲观笔记上，但这是我对明年的预测。更多的骗局。

Jim Preen：好的，那很好。这不是一个原创的想法，但它适用于所有这些，我认为网络安全的责任不再仅仅在于 IT 部门，这也是一个董事会问题，首席执行官需要加快速度。现在，很多首席执行官都不是青春初潮，而是在电脑占据了整个房间的情况下长大的。虽然他们不会解决问题，但他们确实需要知道要问的问题，对吗？

理查德·德维尔：是的，100%，是的。你不必是一个年轻人就可以理解并保持在线安全，如果有的话，恰恰相反。像往常一样使用那种属性。用你的属性做你能做的事。如果你只是一个老年人

以非常传统的方式在商业中赚到所有这些钱的商人，而你却被网络风险困住了，那么它只是一个顾问，就像任何其他商业问题一样。我认为年龄有点超出我们 - 我现在告诉你，我们已经评估了不同年龄组的大型组织，他们不会点击更多。老年人不会点击更多。他们并不真正感兴趣。21 到 50，点击率没有明显差异。

年轻人点击是因为他们很随意，他们很匆忙。他们熟悉技术，他们相信一切。不熟悉技术的年长者往往会点击，因为他们不了解场景，或者他们被新的奇特技术措施所欺骗。这就是我对那个的想法。

吉姆·普林：好的，理查德。好吧，我想我们要把它包起来。只是想说，非常感谢您提供非常有趣的东西和精彩的对话。谢谢你。我希望每个人都喜欢。下个月我将举办另一场网络研讨会，所以请注意这一点。我很快就会发送详细信息，但与此同时，Richard 非常感谢你，再见。现在再见。

理查德·德维尔：再见，吉姆。

吉姆·普林：再见

原文始发于微信公众号（军机故阁）：社会工程和网络安全讨论