6.3描述性系统动力学模型
描述和理解社会工程利用的另一种方法是使用系统动力学建模,这有助于分析人员在复杂的社会技术领域内对关键行为进行建模和分析[Sterman 2000]。在这里,我们描述了一个系统动力学模型,该模型捕捉了社会工程场景中的复杂交互。该模型侧重于社会工程UIT事件的关键方面;在后面的小节中,我们对模型进行了改进,以说明缓解的杠杆点。
6.3.1因果循环图
图17总结了本节中使用的符号。因果循环图定性地显示了相关变量如何相互影响[Meedows 2008]。节点表示变量,连接箭头表示变量之间的关系。标记箭头以指示箭头源处的变量如何影响箭头目标处的变量。基本上,正影响表示变量的值沿同一方向移动,因此用“S”标记,而负影响表示变量沿相反方向移动,用“O”标记。
一组相连的变量可以创建一条路径,称为因果循环。因果循环的类型是通过计算沿循环路径的负面影响的数量来确定的。奇数个负面影响表示平衡循环;偶数(或零)个负面影响表示一个强化循环。平衡循环通常代表组织为缓解(或控制)问题而采取的行动。强化循环通常代表问题的升级,但可能包括问题缓解行为。
|
Var1 |
变量–建模问题中感兴趣的任何内容。 |
|
|
S |
积极影响–变量值在同一(S)方向上移动(例如,源增加,目标增加) |
|
|
O |
负面影响–变量的值沿相反的(O)方向移动(例如,源增加,目标减少) |
|
|
B# |
Var1 Var2 延迟–从Var1变化到Var2变化的显著延迟 |
|
|
Loop |
字符化 |
平衡循环–将变量值移动到目标状态的因果循环;循环颜色标识圆形影响路径 |
|
R# |
强化循环——一个不断向上或向下移动可变值的因果循环;循环颜色标识圆形影响路径 |
6.3.2验证性偏差循环路
与社会工程问题相关的反馈回路是一个强化回路,称为验证性偏差回路,如图18所示。验证性偏差是指决策者倾向于关注支持(或至少与)他们过去决策的数据,并淡化相互矛盾的信息[Sastry 1989,Staw 1989]。这种偏差可能会扭曲决策的基础,从而忽视替代决策,而倾向于首选决策。这种形式的模型说明了第4.3节中讨论的认知限制(注意力限制、认知偏见、判断错误和决策)的影响。相关的因果循环描绘了决策者认知过程的强化性质。
图18:验证性偏差
6.3.3社会工程中的网络钓鱼漏洞
图19显示了网络钓鱼攻击在社会工程攻击中的表现。因果循环B1(以紫色显示)显示了攻击的初始阶段,在该阶段,外部人员希望获得一定级别的访问权限(如图底部所示)来进行攻击。研究和开源情报收集为提供了一些内部人员的知识,以计划和准备有效的网络钓鱼攻击。如当前文献所示,视觉欺骗和混淆会增加知情者上当受骗的机会,并为外部人员提供信息以增加外部人员的访问权限。如果需要更大的权限,则外部人员可以利用所获得的知识,通过更狭义的鱼叉式网络钓鱼漏洞来深化访问,如强化因果循环R1(红色)所示。这种活动是一种多阶段的网络钓鱼攻击,会逐渐利用外部人员积累的信息。
图19:网络钓鱼漏洞的因果循环图
6.3.4社会工程中的验证性偏差
图20显示了验证性偏差在社会工程开发中的作用。描述了两种情况。在第一种情况下,内部人员希望访问由外部人员创建的(欺骗性)场景提供的信息,如R2(橙色)反馈循环所示。第二个是内部人员希望帮助有需要的恶意外部人员,如R3(绿色)反馈循环所示。这两个循环都描绘了对外部人员真实性的信任的加强,以及随后访问信息或提供帮助的愿望。
验证性偏差倾向的关键是,越来越多的人希望相信外部人员提出的情景,这导致内部人员专注于验证情景合法性的证据,而忽视相反的证据。该图中所示的模型反映了第4.3节中审查的研究结果:
-
高水平的认知工作量会增加内部人员相信外部人员描绘的欺骗性场景并信任外部人员真实性的机会。
-
内部人员对社会工程风险的总体认识也在内部人员对外部人员情景的信任中发挥作用。
-
产生紧迫感会增加上当受骗的几率,无论是出于提供帮助的需要,还是为了访问外部人员提供的信息(网络钓鱼漏洞)。
图20:社会工程开发中的验证性偏差
6.3.5社会工程问题的综合模型
图21整合并扩展了上述因果循环图。通过外部人员从R1和B1反馈回路中的计划和准备,以及内部人员的验证性偏差,内部人员获取信息的愿望得到了加强。一旦内部人员想要访问外部人员提供的信息(循环R2)或帮助外部人员(循环R3)达到阈值,内部人员就会向外部人员提供不应有的访问权限,从而导致外部人员攻击,如图底部所示。外部人员提供的可信场景增强了对外部人员真实性的信任,由精确模拟支持,如左上角所示。
图21:内部人员与外部人员社会工程因果循环图
6.4社会工程策略本体论
6.4.1需要分类
社会工程的独特本质是对人类决策过程的心理操纵。这也是它如此有效和难以缓解的技术的原因。对操纵过程有一个清晰的理论理解是至关重要的,以便对事件进行分类,了解其详细情况,并设计缓解技术。由于意识培训在预防社会工程攻击方面发挥着核心作用,因此对理论框架的需求尤为重要。例如,大多数反盗版培训都侧重于演示格式的细节,如业余设计和拼写错误。通过心理操纵技术的训练可能会提高针对犯罪嫌疑人意识的有效性。
6.4.2研究文献中描述的社会工程策略
对于这个项目,我们制作了一个社会工程策略的分类法。虽然我们的研究没有提出任何新的社会工程策略,但我们分类法的开发代表了一种贡献,它汇集了不同的努力来描述社会工程策略。自2001年以来,我们的分类学中的策略已经由三位主要作者制定。为了将这些策略归因于最初描述它们的作者,我们使用了一个标记过程,该过程使用作者姓名的第一个字母加上一个序列数字。
2001年,Granger列举了友好(G1)、模仿(G2)、从众(G3)、欺骗(G4)、责任扩散(G5)和逆向社会工程(G6)作为所谓的“黑客战术”【Granger 2001】。同样在2001年,Cialdini出版了《影响:科学与实践》的第一版,其中增加了互惠(C1)、感知一致性(C2)、合规性(C3)、信任(C4)、恐惧(C5)和稀缺性(C6)这三种策略,这些策略都不在Granger的名单上[Cialdini 2001]。最后,Lena Laribee在2006年发表了《方法社会工程分类学的发展》,其中包括基于她的研究的五种新策略:同情(L1)、内疚/犯罪心态(L2)、模糊性(L3)、无知(L4)和从属关系(L5)[Laribee 2006a]。我们的分类法所基于的策略的完整列表如下:
|
|
|
出现的一个问题是这些策略的有效性及其与心理结构的联系。如第4.1.3节所述,Workman对此进行了验证性研究,他发现六个C因素中的五个(如上)与社会工程利用易感性之间存在统计学上显著的相关性[Workman 2008]。Workman的实验基于精化可能性模型(ELM),该模型区分了说服的中心和外围路线,我们发现这在概念化社会工程策略方面很有用。Workman将区别描述如下:
ELM将“中心”说服路线与“外围”说服路线区分开来,其中中心路线鼓励对信息内容进行详细分析,而外围路线是一种不鼓励对信息属性进行详细分析(即广泛的认知分析)的说服形式。相反,它基于一些附加因素来征求对信息的接受,例如信息发送者的可信度、好感度或吸引力,或者“朗朗上口”的短语或口号[Miller 2005]。例如,名人经常被用来销售他们没有明显或特殊专业知识的产品,消费者购买这些产品往往是因为“他们认为自己知道”,喜欢或认同名人[Caciopo 1986]。外围路线说服是社会工程诈骗中的一个重要元素,因为它为攻击者提供了一种保护[Mitnick 2002]。
6.4.3分类的设计目标
建立分类法的目标如下:
-
遵守严格的类层次结构。Granger、Cialdini和Laribee描述的战术形成了一个简单的并列列表。我们认为,这些策略实际上形成了一个概念层次,应该加以阐明。因此,我们的目标是使用类层次结构来表示策略。
-
澄清名称。准确使用术语是很重要的。例如,因为“友谊”不仅仅是一种欺骗手段,我们用“虚假友谊”取代了这种策略的标签
-
尽可能全面、精细。我们的分类法与我们来源的分类法有很多不同之处:
-
在这棵树的根上,我们包括了两个不常见的社会工程形式的分支:胁迫和诱导。这些符合社会工程的一般定义,但不符合UIT社会工程的更具体定义:即它们不依赖于欺骗工程的目标;胁迫和引诱更有可能属于更广泛的内部威胁分类(包括恶意内部威胁)。在过去的十年左右,社会工程的概念已经被网络社会工程的流行所淹没,网络社会工程几乎总是建立在欺骗的基础上。
-
我们介绍了一些子类别。我们区分了真实的心理机制,如虚假的友谊,和一些增加心理机制成功概率的修辞手段,如分心和歧义。
-
我们已经将许多战术分解为子战术。从正式的阶级等级制度的角度思考,鼓励做出这些精细的区分;当本体被编码在Web本体语言(OWL)中时,它将使本体更加可用。
-
与漏洞和缓解技术相关。大多数战术都有相应的心理特征和相应的缓解技术,这些心理特征被利用,并阻止了这种特征的激活。
-
分类学
当前形式的分类法如下所示。层次结构的每个级别都通过“is-a”关系与其父级相关联。例如,“调情”是一种虚假友好,是欺骗的心理机制,是一种社会工程策略。自始至终,类名都是单数,以便于导入OWL。
-
社会工程策略
-
欺骗
-
心理机制
-
虚假友好(C4、G1)
-
吸引力
-
喜好程度
-
热诚的行为
-
说服力
-
奉承、恭维
-
调情
-
愉快的语言
-
口语
-
问候(“谢谢”)
-
肢体语言
-
微笑
-
虚假同情(L1)
-
分享不愉快
-
分担痛苦
-
表现出担忧
-
表现出缓解负面情绪的愿望
-
虚假权威(C5)
-
展示知识
-
展示智慧
-
展示能力
-
利用责任感
-
自我推销
-
建立附属关系(L5)
-
攀亲带故
-
建议加入核心圈子
-
减少对攻击者动机的怀疑
-
模拟(G2)
-
未经研究就断言身份
-
研究后的身份假设
-
模仿
-
声音伪装
-
语音模式
-
徽章
-
当地知识
-
组织结构图
-
从众心理
-
提供社会证明(G3、C3)
-
内疚
-
声称受害者有义务提供帮助(C1)
-
说服受害者为不幸承担责任(L2)
-
承诺(C2)
-
确保初始承诺
-
利用初始承诺
-
修辞技巧
-
责任的扩散(G5)
-
诱饵(G4)
-
分散注意力
-
焦点的改变
-
互惠规则
-
平等(L3)
-
双重含义
-
歧义
-
暗示
-
制造不确定性
-
语义转变
-
假装无知(L4)
-
假装不知情
-
提取信息以帮助“新员工”
-
稀缺性(C6)
-
营造紧迫感
-
向受害者施压以获取信息
-
复杂的游戏计划
-
逆向社会工程(G6)
-
破坏
-
广告
-
协助
-
强制(惩罚)
-
Blackmail(勒索)
-
恐吓、欺凌
-
诱导(奖励)
-
贿赂
共谋
6.5缓解社会工程开发的影响
虽然研究当前的缓解实践超出了本工作的范围,但上述从可能的促成因素(特别是组织和人为因素)和模式方面对社会工程攻击的讨论和描述有助于简要考虑可能的缓解方法和策略。在这里,我们简要讨论和推测了本报告前几节中讨论的社会工程利用模式和模型的系统分析所建议的缓解措施的可能影响。
6.5.1模式和特征的含义
正如我们在介绍UIT社会工程利用模式时所观察到的那样,杀伤链模式表明,在实现所需目标之前,对手必须成功地完成链的每个阶段:链和对手可以通过成功应用于链的一个阶段的单一缓解措施来破坏。这一观察结果对缓解的概念和方法具有重要意义。在目前的背景下,复杂的多阶段社会工程攻击(如网络钓鱼和鱼叉式网络钓鱼)旨在通过社会工程方法逐步获得访问权限,从而突破组织的连续防御层。攻击不断,有时是利用个人或组织的机会主义反应,直到最后一层防御被突破。由于多阶段攻击的最终成功取决于最终攻击前每个单独(即迭代)阶段的成功,因此杀伤链方法为UIT组织提供了检测和击败此类攻击的多次机会。
对工作流程图或用例表示中的模式进行系统分析,可以揭示出现缓解机会的点,从而得出可能的缓解方法。例如,使用单阶段社会工程攻击的工作流和杀伤链模式,我们可以确定以下类型的缓解措施,适用于攻击的不同阶段:
-
研究和开源情报阶段——为了打击社会工程师获取公司或其员工信息以加以利用的努力,可能会采取一些措施来限制可能被利用的信息或细节的数量。完全消除这类信息是不可能的,也不可取,但本组织可以从在其公共关系和信息传播过程中灌输一些控制和保障措施中受益,以避免过度披露此类信息。同样,员工可能会得到关于信息类型的指导或政策,以避免通过社交媒体网站公开。
-
计划和准备阶段--组织影响攻击者计划和准备攻击的可能性较小。然而,应该努力使制造伪造电子邮件或假冒合法网站的组织工具成本增加。这可能会削弱或阻止攻击者伪装或模拟组织资产的努力。加密电子邮件等防伪策略是众所周知的,但并不常用。
-
启动操作阶段——网络钓鱼利用了目标人类的心理特征和局限性,因此提高培训和意识是组织最有效的缓解工具。定期注入测试和相关培训可用于保持员工的警惕性和对最新社会工程策略的了解。各组织还应通过人为因素和组织实践,努力保持富有成效的工作态度和信息安全意识。有效的管理和资源规划有助于确保员工的生产力,避免可能导致判断错误的紧张工作环境。
-
信息捕获阶段——组织应启用并维护改进的计算机和网络防御网络监控工具,以跟上对手使用的快速发展的各种漏洞。定位恶意软件和其他威胁的网络安全系统包括防病毒、数据丢失保护(DLP)工具以及安全信息和事件管理(SIEM)产品。
-
挖掘和利用阶段——在此阶段,缓解措施与信息捕获阶段相同。
图22说明了这些策略。
图22:适用于攻击不同阶段的缓解策略
6.5.2社会工程策略本体论的启示
如前所述,大多数战术都利用了一种特定的心理特征,这就提出了相应的缓解技术来阻止这种利用。例如,假装无知策略之所以有效,是因为人们有一种想要帮助他人的自然倾向,再加上想要炫耀自己的专业知识。缓解技巧是在评估无知的说法时更加谨慎和怀疑。最终,漏洞和缓解技术将被整合到一个真正的社会工程本体中,但就目前的目的而言,请考虑一些策略、漏洞和缓解措施之间的概念关联,如表5所示。
表5:社会工程策略、漏洞和缓解措施
|
策略 |
脆弱性 |
缓解问题 |
|
虚假的友好 |
信任的欲望 |
为什么这个家伙对我这么好? |
|
虚假的同情 |
渴望分享悲伤 |
这家伙真的关心我孩子的事故吗? |
|
虚假权威 |
对权力的恐惧 |
我怎么能确定这个人就是他说的那个人? |
|
模拟 |
假设事情是看起来的样子 |
这家伙的制服有点太完美了吗? |
|
从众心理 |
想要融入 |
其他人都这么做,这不是有点奇怪吗? |
|
稀缺 |
重视稀缺物品的倾向 |
等一下——这真的必须现在就做吗? |
对社会工程策略和心理脆弱性之间的关系进行更全面的分析,将产生更全面的缓解问题列表。这些考虑可能构成更详细的培训的基础,这些培训超越了对可能的社会工程漏洞的网络安全意识。更有针对性的培训应侧重于挑战受训者,让他们认识到这些心理策略和自己的心理脆弱性,以便让个人提高警惕。如表5所示,生成一个缓解问题列表可以支持更详细的、基于角色的培训方法来对抗社会工程攻击。
6.5.3系统动力学模型的含义
系统动力学模型可用于帮助识别可能的缓解策略。本节将系统动力学建模应用于一个假设情况,如图23所示。因为这个例子并没有反映出对手在执行社会工程攻击时可能采取的所有方法,所以从这个例子中得出的启示并不详尽。然而,它们对分析如何揭示采取措施规避(平衡)恶意攻击者行为的机会具有指导性和代表性。
图23显示了如何通过平衡反馈回路来处理涉及网络钓鱼漏洞升级和内部人员认知限制的强化反馈回路(R1、R2和R3):
-
反馈回路B2(浅蓝色)代表旨在降低社会工程利用内部人员的有效性的组织过程。反馈回路B2涉及对组织利用的认识,并改进对组织内部人员的社会工程性质和风险的培训。具体而言,该组织提供了更有效的培训,并提高了对恶意外部人员如何使用模糊和社会工程技术欺骗内部人员的认识。此类培训可能涉及第4节中描述的与人为因素相关的各种主题,旨在提高对认知局限性和偏见的自我意识,培养更高的安全意识和更准确的风险感知,并鼓励更勤奋地应用计算机安全政策。
-
反馈回路B3(深蓝色)代表旨在降低早期社会工程活动有效性的组织流程,这些活动旨在获取可能用于初始网络钓鱼攻击的组织情报。具体而言,缓解方法旨在减少有关组织及其员工的公开信息量,恶意的外部社会工程师可以利用这些信息来制定初始攻击计划和相关工件,引诱内部人员进入他们的陷阱。
图中未显示针对系统动力学模型不同部分的其他可能的缓解机会。例如,可以采用更有效的防火墙或自动工具来识别网络钓鱼电子邮件中的缺陷,以平衡R1中的鱼叉式网络钓鱼工作。
当然,所有这些缓解方法都受到时间延误的阻碍。与组织的缓解行动相关的延迟时间越长,它在阻止成功执行社会工程利用方面的效果就越差。
图23:社会工程缓解通道因果循环图
6.5.4缓解总结和结论
我们对收集的案例研究的分析揭示了一些共性或模式,这些共性或模式可能有助于在制定缓解工具或战略时加以考虑:
-
使用杀伤链概念,我们可以识别单阶段和多阶段社会工程攻击的共同特征或构建块。每个阶段都包含组成攻击的可识别模式或构建块。每个阶段包括多个阶段。要想成功,攻击必须在每个阶段都取得成功。
-
某些阶段代表攻击者的行为,而其他阶段代表UIT受害者的行为。应对每个攻击阶段的特定特征制定缓解策略和工具。
我们对研究和案例研究的回顾和分析提出了以下缓解策略,以降低社会工程攻击的有效性:
-
1.各组织应审查其管理实践,以确保其符合人为因素标准,这些标准有助于营造有效的工作环境,以最大限度地减少压力(例如,最大限度地减轻时间压力和优化工作量),并鼓励健康的安全文化。由于员工可能认为信息安全合规性会干扰工作职能,因此组织必须分配一定的员工时间来满足合规性要求。
-
2.组织应制定和部署有效的员工培训和意识计划,旨在教育用户有关社会工程诈骗的知识,包括帮助员工注意网络钓鱼线索、识别欺诈行为和识别社会工程利用的可疑模式的学习目标。
-
3.需要研究开发更有效的网络和工作站监控工具,以识别社会工程工具(如电子邮件)的属性。
-
4.研究和利益相关者团体应制定适用于特定攻击阶段的缓解措施,例如:
–研究和开源情报阶段——组织和员工个人都可能受益于限制组织网站或个人社交媒体网站上的可用信息量,这些信息可能会被外部人员利用。
–规划和准备阶段——应努力使复制伪造电子邮件或网站看起来合法的组织工件变得困难或昂贵。允许加密电子邮件的防伪策略是众所周知的,但并不常用。
–启动操作阶段——网络钓鱼利用了目标人类的心理特征和局限性,因此提高培训和意识是组织最有效的缓解工具。定期注射测试和相关培训可以保持员工的警惕性和最新的社会工程策略知识。
–信息捕获、挖掘和利用阶段——组织应启用并维护改进的计算机和网络防御网络监控工具,以跟上对手使用的快速发展的各种利用。
7结论
正如我们所注意到的,超过40%的安全专业人员报告称,他们最担心的安全问题是员工通过数据泄露或类似错误意外危害安全[AlgoSec 2013]。CERT内部威胁小组先前的报告对该问题进行了初步审查[CERT 2013]。该报告通过制定操作定义、审查相关研究以更好地了解其可能的原因和促成因素,并提供了多个类别的UIT案例和UIT发生频率的例子,对UIT进行了描述。该报告还记录了我们首次设计的UIT特征模型,该模型捕捉了UIT事件的重要元素。作为该研究的后续,本报告试图通过关注一种特殊类型的UIT事件即社会工程,来加深我们对UIT促成因素的理解。
社会工程是先前确定的四种UIT事件威胁载体之一UIT-ACK的关键组成部分,UIT-ACK被定义为外部方的电子输入,如恶意软件和间谍软件。这种威胁向量使攻击者能够利用组织中不知情的内部人员来帮助攻击者实现将组织及其资产置于风险之中的结果。这种威胁载体的独特之处在于,恶意方利用多种人类、组织和人口因素,欺骗UIT受害者,使其在不知情的情况下采取行动,支持或推进社会工程攻击。我们的文献综述确定了实证和基于调查的研究,这些研究表明,潜在的人类、组织和人口因素有助于社会工程攻击的成功;然而,迄今为止,没有任何行为研究提供了因果因素和相关缓解策略的明确证据。可以合理地得出结论,有许多促成因素,包括一些推断的人类和组织因素,并且不可能确定社会工程UIT攻击的任何单一原因(或相关的缓解方法)。
为了补充当前的文献综述,我们的团队收集了UIT事件的案例,特别关注社会工程。我们分析了这些案例,以确定案例文件在多大程度上与文献中的发现相关,从而确定共同的概念或方法。此外,我们检查了与方法、目标、促成因素和攻击进展有关的任何模式的病例。
7.1调查结果概述
我们的研究结果总结如下:
-
社会工程易感性和各种人口统计因素之间充其量只是微弱的联系,强调需要更多的研究来澄清或消除某些关系的歧义。年龄影响可能与经验等相关因素混淆。研究表明,可以利用人格因素来识别风险较高的个体,或者更直接地为具有脆弱人格因素的个体量身定制训练主题,但有必要进行进一步的研究。目前还没有关于可能的文化差异的正式研究,但迄今为止的研究没有表明对社会工程诈骗的反应率存在任何文化差异。
-
组织因素会产生系统漏洞,对手可能会在社会工程攻击中利用这些漏洞。管理系统或实践提供的培训不足,安全系统和程序不足,或成功完成任务的资源不足,可能会导致混乱,减少理解,并增加员工压力,所有这些都会增加判断错误或失误的可能性,使攻击者能够成功突破防御。
-
学术研究已经确定了UIT社会工程易感性中可能涉及的人为因素:研究表明,相关的人为因素包括注意力或知识不足,无法使用户识别社会工程信息中的线索;认知偏见或信息处理限制,可能导致UIT受害者屈服于欺骗性做法和混淆;以及忽视或低估风险的态度,或者导致个人在信息安全合规方面走捷径,他们认为这会干扰工作职能。然而,在UIT背景下,几乎没有或根本没有实证验证,在现实世界的案例研究中也没有任何关于这些因素的相关报告。这种情况阻碍了实证研究结果在实际案例研究中的验证。
-
对收集的案例研究的分析和概念建模揭示了一些共性或模式,这些共性或模式可能为缓解工具或战略的制定提供信息。社会工程攻击可以被描述为包括单个阶段或多个阶段,并且在每个阶段内都有可识别的模式或组成攻击的构建块。
-
研究需求
应对UIT社会工程问题给那些必须平衡运营目标和安全目标以保持市场竞争优势的组织带来了重大挑战。由于组织政策和实践对变革具有抵抗力,因此跟上快速变化、日益复杂的社会工程攻击是一个巨大的挑战。
这些挑战提出了一些研究需求,包括对组织和人为因素的进一步研究,以及增加对社会工程攻击的理解的额外案例研究数据。为了推进计算机和网络防御的当前实践和技术水平,特别是针对社会工程的防护措施,应满足以下研究需求。
7.2.1工具的实践状态和有效性评估
研究侧重于开发网络和网络防御工具以及反盗版工具,以更好地识别和对抗社会工程漏洞。这项研究不仅应关注缓解技术的可用性,还应关注评估社会工程缓解策略有效性的方法。这项研究应包括对现有缓解工具和方法的调查,确定这些防御措施中可能存在的差距,并就填补这些差距的技术或非技术手段提出建议。
我们在当前项目中的努力使我们与该领域从事研究的其他人以及通过培训计划和注射测试支持客户组织的人取得了联系。关于缓解策略和工具(包括培训)有效性的拟议研究可以与该领域的其他公司合作进行,特别是那些专注于网络安全中人的因素的公司。合作研究和邀请该社区代表参加的研讨会是开展这项研究的可能方法。
7.2.2扩展UIT数据库的开发
阻碍我们理解和提高对抗UIT社会工程漏洞的能力的一个主要障碍是缺乏来自实际案例的准确数据。通过搜索互联网,我们收集了一小部分细节有限的案件,但我们预计可以直接从受影响的组织获得更多的案件信息。需要一个自我报告数据库来收集和分析社会工程事件。我们建议进行可行性分析,以评估组织是否有动机自我报告事件,如何匿名和非统一地收集数据,以及数据库如何从政府承包商和联邦资助的研发中心等组织收集敏感信息。可行性评估还应研究现有的成功数据库,如国防技术信息中心独立研究与开发数据库、美国联邦航空管理局(FAA)的航空安全报告系统数据库和国土安全部(DHS)的网络飞行员数据库。我们还建议从组织和员工的角度对此类数据库进行需求评估。拟议的社会工程事件信息共享机制应在尽可能广泛的社区中采用。存储库应跟踪每个事件的三种类型的信息:
-
1.实际的恶意电子邮件本身(如果这是攻击向量)
-
2.关于利用前和利用后事件的时间顺序的数据
-
3.提供事件背景信息的组织因素和人为因素的数据
拟议的自我报告事件数据库具有许多优点:
-
它将支持趋势分析,并向可能面临风险的其他组织提供有针对性的警告信息。这些警告信息的格式可能与美国食品药品监督管理局(FDA)的公告非常相似,因此这些信息可以很容易地传递给所有公司员工。警告消息中的信息可以包括攻击向量的类型、攻击向量是社会工程漏洞的提示、模糊技术、对攻击向量的适当响应以及用于进一步信息的联系信息。对收集的数据中的趋势的分析可以包括用于针对机会、人员和组织的信息;不同攻击向量中使用的线索(例如,电子邮件、电话);混淆技术;未缓解攻击的最常见后果(包括攻击模式);以及最常见的攻击目标。
-
及时传播有关潜在对抗性利用信息可以降低潜在目标组织的利用成本。警告信息遵循美国食品药品监督管理局的格式(已通过经验验证),旨在供普通非专家在交流有关社会工程利用的信息时使用。这些信息旨在快速传播给所有传达如何识别威胁以及如何适当应对威胁信息的员工。
-
据我们所知,没有一个数据库能够收集人为因素信息,帮助研究人员了解对手如何利用他们对最终用户心理因素和认知局限性的了解来策划他们的攻击。更详细地报告事件数据不仅可以加深我们对对手如何利用人类局限性的理解,还可以记录人们对某些利用线索的反应或不反应。
可以肯定的是,拟议的自我报告事件数据库并非没有挑战。成功的一个障碍是组织不愿意披露有关漏洞利用的信息,尤其是在机密环境中工作的组织。存在其他类似的数据库,可以成功地解决这种类型的限制(例如,国防技术信息中心(DTIC)的独立研发(IR&D)数据库、国土安全部的国防工业基地(DIB),以及可能的联邦调查局(FBI)的InfraGard组织数据库);然而,我们不知道他们事件收集、报道和传播的细节。其他事件报告数据库,如美国联邦航空管理局的航空安全报告系统,受益于联邦政府的一项规定,即所有商业航空公司飞行员都要报告所有航空事件,以换取对报告事件的惩罚措施的庇护。联邦政府强制报告网络事件不在立法范围内,也不可能。需要进一步讨论数据库和报告概念,以确定细节并克服建立数据库和报告的障碍。可以考虑的一种方法是与利益攸关方一起举办一系列讲习班。
7.2.3 UIT事件的详细分析
需要进行研究,以调查代表整个经济领域的一系列行业中广泛参与者的UIT事件。这项研究应该关注UIT事件中存在的因素,他们各自的组织如何处理这些事件,以及那些进行UIT-HACK社会工程利用的人的动机。我们目前的努力受到了阻碍,因为我们只能获得法庭记录和其他第三方对事件的描述。只有通过更详细的数据收集,包括本报告中讨论过的参数收集(但在当前报告中没有表示),我们才能通过应用本报告中描述的数据分析和概念建模方法来提高对UIT社会工程的理解。
对UIT事件的详细分析——尤其是当收集到与可能的行为和技术因素相关数据时——将有助于确定更独特的概念模式来描述此类事件。如果我们能够在事件中定义更多的共性和不同的模式,我们将能够更好地设计更有效的缓解策略。模式开发通常面临的挑战是各个模式的详细程度必须在一定程度上一致,才能进行有效的比较分析。模式识别和模式报告不仅是主观的,而且这类工作所采用的方法通常不会在手稿中阐明,因此我们几乎没有证据表明模式是如何生成的。
解决这个问题的一种方法是使用自适应上下文设计方法[Beyer 1998,Holtzblatt 2005],不仅指导数据收集过程,而且提供支持数据分类和模型构建的方法。最终产生的模型将描述不同类型的模式(例如,时间事件模式、所使用的人工制品模式)。上下文设计是一种包括定性数据收集和数据分析方法的范式,用于对使用技术的人员系统的工作流程进行建模。上下文设计输出基于数据收集、分析和建模的显式方法的系统设计或重新设计。这种范式遵循人种学、观察性的研究方法,要求研究人员脱离先前的假设,并允许数据推动见解、假设和模型。上下文设计的逐步过程非常适合解决细节层次模式问题和方法论问题。建模过程中的每个步骤都使用命名约定进行标准化,其中包括所需详细级别的示例。传统上,情境设计通过对执行日常工作任务的个人进行民族志访谈来生成原始数据。情境设计技术对社会工程UIT事件的分析应包括对事件中涉及的个人的访谈;当无法进行采访时,第三方来源必须足够。
以下概述了上下文设计的高级分步过程:
-
4.通过访谈、法庭文件和笔录以及其他民族志方法收集数据。
-
5.解释数据。
-
6.建立文化、物理(如果可能的话)、序列、工件和工作流模型。
-
7.亲和图[1]-收集的所有数据。
-
8.走模型和亲和力。
-
9.列出见解。
进行愿景规划(如果客户希望解决现有问题)。
8建议
对社会工程UIT事件的促成因素和缓解策略进行研究的一个挑战是缺乏对该主题的同行评审学术研究。此外,由于缺乏社会工程UIT事件和案例研究的高质量报告,因此难以研究促成因素;这在一定程度上是由于对安全性、专有业务实践和诉讼的担忧,以及报告流程的不成熟。
在社会工程设计的UIT事件中使用欺骗和混淆对旨在制定有效缓解策略的研究提出了特殊挑战。例如,一些网络钓鱼活动可以被很好地混淆,以至于它们对人类来说是100%真实的,对抗性成功率非常高。其他不那么模糊的信息更多地利用了人类的局限性来取得成功(例如,高度疲劳的员工可能具有较低的绩效阈值)。更为复杂的是,有证据表明,对手不断改变他们的欺骗策略。无论员工的技能、悟性或培训如何,网络钓鱼活动总是有机会成功的,尤其是因为只有一次成功的网络钓鱼活动才能渗透到网络中。然而,研究界以及负责任的组织和利益攸关方有义务继续进行研究和信息收集,为制定有效的培训和缓解工具提供信息。
我们对研究和案例研究的回顾和分析提出了以下策略来降低社会工程攻击的有效性。
-
1.在案例研究制成表格并输入UIT数据库时,继续记录人口统计信息。记录应包括本报告中描述的人口统计因素以及个人在组织中的角色(如职能和职位)。
-
2.各组织应确保其管理实践符合人为因素标准,这些标准有助于营造有效的工作环境,以最大限度地减少压力(例如,最大限度地减轻时间压力和优化工作量),并鼓励健康的安全文化。由于员工可能认为信息安全合规性会干扰工作职能,因此组织必须分配一定的员工时间来满足合规性要求。
-
3.组织应制定和部署有效的培训和意识计划,旨在教育员工了解社会工程诈骗,包括帮助员工注意网络钓鱼线索、识别欺诈行为和识别可疑的社会工程利用模式的学习目标。培训还应教授有效的应对和事件管理行为(克服自身局限性和易感性的方法,以及对社会工程利用的适当反应)。
-
4.研究和利益相关者团体应制定适用于本报告所述特定攻击阶段的缓解措施:
–研究和开源情报阶段——组织和员工个人都可能从限制外部人员可能利用的在线信息中受益。
–计划和准备阶段——允许加密电子邮件的防伪策略是众所周知的,但并不常用。
–启动运营阶段——改进的员工培训和意识方法应采用培训方式,不仅保持员工的警惕性和对最新社会工程策略的了解,还应解决可能导致漏洞的人为和组织因素。还应使用定期投入资金实施测试和相关培训。
–信息捕获、挖掘和利用阶段——组织应启用并维护改进的计算机和网络防御网络监控工具,以跟上对手使用的快速发展的各种利用。
应对UIT社会工程问题给那些必须平衡运营目标和安全目标以保持市场竞争优势的组织带来了重大挑战。由于组织政策和实践对变革具有抵抗力,因此跟上快速变化、日益复杂的社会工程攻击是一个巨大的挑战。一些社会工程活动可能精心策划,以至于可以击败组织的最佳对策(例如培训和政策)。即使只有一名员工被攻击,攻击者也会成功,因此组织打击UIT社会工程的战略必须是全面的,包括网络安全工具、安全实践和培训。
[1]译者注:一种用于组织和分类大量信息、观点和想法的工具。它有助于团队在解决问题、制定计划或进行创新时进行头脑风暴和整理思路。在创建 Affinity diagram 时,团队成员将自己的想法、观点或问题写在便利贴上,并将它们贴在一个大的工作区域上。然后,团队成员开始将相似的想法或主题进行归类,形成不同的组别。这个过程可以帮助团队发现模式、相似性和关系,进而生成新的见解和解决方案。
原文始发于微信公众号(老烦的草根安全观):无意的内部威胁:社会工程-10
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论