HVV技战法 | 办公OA系统的社会工程学防护技战法

近期，由公安部组织的攻防演习正式开始。为深入贯彻落实《网络安全法》，保障审计业务及IT基础设施安全稳定运行，审计署进行了大量的准备工作。这次演习不仅是对技术防护能力的检验，更是对社会工程学攻击防御的重大考验。尤其是办公OA系统一旦沦陷，随之而来的社会工程学攻击将更具精准性和迷惑性。本文将介绍一套基于办公OA系统的社会工程学防护技战法，帮助大家在面对类似威胁时，更加从容应对。

一、战术思想

1. 及时响应：确保办公OA系统遭遇攻击时能够及时做出有效反应，调查攻击所暴露的相关业务，开展应急工作，保证社会工程学防护方案的有效性和及时性。

2. 业务优先：在实施社会工程学防护措施时，必须优先考虑业务的正常开展，不应因实施防范方案而临时修改正常业务制度和公司章程。

3. 全员覆盖：防护方案需落实到每一个相关人员，确保实施全覆盖，缩小社会工程学攻击面，以达到最优效果

二、战术方法

1. 办公OA系统的提前预防

1. 部署安全设备：提高系统防护并实时动态监测通信内容、网络行为和网络流量，发现并捕获各种敏感信息和违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析和评估。

2. 渗透测试加固系统：进行黑盒测试和白盒测试以加固系统本身的安全性。

3. 备份数据：及时备份数据，当办公系统沦陷时能及时恢复业务正常运作。

4. 员工安全意识培训与制度完善：

- 安全意识培训：组织培训会议，讲解常见社会工程学攻击手段与途径，强调攻击后果的严重性，提高整体安全意识和个体责任意识。

- 钓鱼邮件演习：模拟钓鱼邮件攻击场景，检验公司人员的安全意识水平，记录演习结果并加强相关个体的安全意识。

2. 沦陷后的办公OA系统社会工程学攻击及防范

1. 通信不可信：

- 身份冒充攻击：办公OA系统沦陷后，攻击者可能冒充公司职员身份进行钓鱼攻击，如发送虚假的offer、涨薪通知等。此时，内部通信应不被信任，员工需冷静甄别。

- 伪造公告：攻击者可能发布恶意链接或文件的公告，短时间内攻击所有员工，危害巨大。

2. 文件不可信：任何文件都可能包含病毒木马，应在沙盒内使用或先排除病毒后再使用。

3. 链接不可信：尤其是公告和内部通信中的链接，应谨慎点击。

三、成效总结

通过外部威胁情报监控能力与威胁情报关联的上下文信息，以及演习中对告警流量的分析，审计署对受影响业务进行了加固整改。演习期间，共发现XX起攻击事件，通过该技战法，演习前修复XX个漏洞，演习中溯源到X个攻击队和X个威胁家族，为溯源工作提供了可靠的举证。最终，该技战法使审计署化被动为主动，数据安全得到保障，网络安全防控体系建设进一步完善。

通过这次演习，我们不仅提高了对社会工程学攻击的防御能力，更增强了全体员工的安全意识。面对未来的网络安全挑战，我们将继续保持警惕，不断优化防护措施，确保业务和信息的安全。

原文始发于微信公众号（紫队安全研究）：HVV技战法 | 办公OA系统的社会工程学防护技战法