3定义和描述UIT

3.1 UIT的定义

我们的初步研究得出了无意内部威胁的有效定义：“无意内部威胁是指（1）现任或前任员工、承包商或商业伙伴（2）拥有或曾经授权访问组织的网络、系统或数据，以及（3）在没有恶意的情况下采取行动或不采取行动，[1]（4）对组织信息或信息系统的机密性、完整性或可用性造成损害或大大增加未来严重损害的可能性”[CERT 2013]。在我们目前的工作中收集和分析UIT案例时，我们认识到有必要稍微修改原始定义。一个变化是强调，非故意知情者的行为在很大程度上是在知情者不知情或不了解其影响的情况下发生的；我们在定义的第四部分增加了“无意中”一词[2]。第二个变化是修改对攻击目标的描述已包括组织信息系统以外的资产，如人员和财务系统。修订后的定义如下：

非故意的内部威胁是指（1）现任或前任员工、承包商或商业伙伴（2）拥有或曾经授权访问组织的网络、系统或数据，并且（3）在没有恶意的情况下采取行动或不采取行动，（4）无意中对组织的机密性、完整性或组织资源或资产的可用性，包括信息、信息系统或财务系统产生威胁。

本报告的其余部分专门讨论UIT威胁，其中包括社会工程部分。大多数此类威胁属于DISC和UIT-ACK威胁向量。

3.2社会工程的定义

UIT事件通常是由非恶意内部人员的行为（或缺乏行为）引起的（尽管并非所有此类案件都被定性为完全非恶意，相关人员可能并不总是被识别出来）。无意知情者的行为通常是对攻击者的社会工程活动的回应。

在UIT事件的背景下，我们采用了以下社会工程和相关利用的工作定义：

在信息安全的背景下，社会工程是对人们的操纵，使他们在不知不觉中采取行动，对组织资源或资产（包括信息、信息系统或金融系统）的机密性、完整性或可用性造成伤害（或增加未来造成伤害的可能性）。

社会工程代表了一种旨在收集信息、实施欺诈或获取计算机系统访问权限的信任方案。几乎从定义上讲，社会工程利用了人类的心理，如认知局限性和偏见，攻击者利用这些心理来欺骗受害者。这与我们最初报告中审查的其他类型的UIT事件不同，例如DISC案件，在这些案件中，个人在没有与外部方进行任何互动的情况下无意中披露了敏感信息（例如，在公共数据库上发布信息，或在不销毁信息的情况下丢弃信息而丢失信息）。策划社会工程UIT事件的对手可能有一个或多个恶意目标，这些目标与对组织的预期影响相对应，例如财务损失、中断或信息泄露。

这种类型的攻击通常不构成单一的攻击，而是发生在更复杂的一系列行动中的一个步骤，这些行动构成了一个更大的欺诈方案。我们发现识别两个级别的社会工程事件是有用的：

1. 1.单阶段攻击——顾名思义，该漏洞是在单个社会工程事件中进行的。攻击者通过利用漏洞获取信息，并利用这些信息对内部人员的组织造成进一步伤害。攻击者不会利用这些信息进行进一步的社会工程攻击。

2. 2.多阶段攻击——攻击者利用从初始攻击中获得的信息来执行一个或多个额外的社会工程攻击。一些多阶段攻击会在几分钟或几个小时内发生，而另一些则可能会持续数周或更长时间，因为攻击者会利用泄露的信息造成伤害。

3. 3.3社会工程分类

一些研究人员尝试了各种方法来对社会工程攻击的类型进行分类。例如，Peltier将社会工程分为两大类：基于人的和基于技术的[Peltier 2006]。另一个分解使用了近距离访问（本质上是人与人之间）、在线和情报收集的类别[Laribee 2006a]。这些观点的某些组合适用：社会工程通常发生在多个阶段，因此UIT社会工程事件可能属于多个社会工程分类类别。我们采用了一个简单而全面的分类，如图1所示。

在分类法的最高级别，我们区分是否使用人际互动。虽然社会工程通常被认为是人与人之间的互动，但UIT攻击通常始于攻击者收集攻击目标个人或组织的情报。由于这种活动不涉及对个人的操纵，一些分析人士并不认为这是一种社会工程。我们之所以将其包括在内，是因为社会工程的讨论通常会这样做，而且它通常与社会工程事件一起进行。一种类型的情报收集被称为垃圾桶挖掘或丢弃[Laribee 2006a]，攻击者在垃圾桶中搜索敏感信息（例如，银行对账单、预先批准的信用卡和被随意丢弃的学生贷款文件）。第二类情报收集是开源研究[Laribee 2006a]，包括搜索网站（如Facebook、公司网站），寻找可能在社会工程攻击第二阶段被利用的目标信息。

      图1：社会工程分类法（突出显示了本研究感兴趣的分支）

*译者注：Pretexting是一种社会工程学的技术，用于通过欺骗和虚构的故事来获取他人的敏感信息。这种技术通常用于欺骗人们提供他们通常不会透露的个人信息，如密码、账户号码、社会安全号码等。

包括人际互动的社会工程攻击可以被描述为人与人之间的直接沟通（如面对面或通过电话）或通过电子手段（如电子媒体、电子邮件和互联网）进行调解。我们区分使用电子手段的人际互动（在线，使用电子媒体——通常使用技术）和非电子互动（电话，直接面对面互动——通常不使用技术）。无论采用哪种类型的互动，这些攻击的特点都是利用人类心理来欺骗受害者并实现某些目标（金融、破坏等）。

当前的文献讨论了许多类型的非电子社会工程利用。这种个人或面对面的利用是一种近距离访问技术，旨在获得对计算机系统或其所包含信息的物理访问。社会工程师利用他们的人际交往技能，使用各种技术，如友好、模仿、顺从、欺骗、同情和逆向社会工程，利用信任关系并获得所需信息[Laribee 2006a]。非电子社会工程的一种形式是肩窥，悄悄地从输入安全代码或密码的人的肩膀上看过去。另一种广泛的方法是模仿，创造一个角色并扮演该角色来欺骗他人。电话社会工程是模拟技术的一个例子，因此图1中没有具体显示。无论是通过电话还是面对面，使用冒充的攻击者通常会伪装成有权威的人，如电话公司代表、银行代表或技术支持专家；攻击者打电话或用身体接近受害者，并试图说服受害者提供敏感信息。一个密切相关的漏洞（图1中没有显示，因为它与模拟相似）是尾随，攻击者冒充员工，只需走在一个有合法访问权限的人后面，就可以溜进禁区。逆向社会工程是非电子社会工程的一种更复杂的形式，[3]在这种情况下，攻击者创造了一种不知情的受害者相信攻击者可以帮助解决问题的局面。通常，攻击者冒充技术助手来解决攻击者创建的或不存在的问题。攻击者通过广告或电话等方式传达自己的帮助能力。最后，受害者邀请攻击者提供帮助，这最终使攻击者能够访问所需的信息。

在我们这一阶段的研究中，最受关注的方法是分类学的电子手段分支中的方法。目前的文献描述了许多此类利用行为。与非电子社会工程利用的情况一样，我们对电子社会工程使用的综述有许多共同点。因此，我们决定在不失一般性的情况下，通过区分以下具有代表性的电子社会工程利用列表（也如图1所示），简化讨论：

• 诱饵/特洛伊木马——一种利用受恶意软件感染的物理介质（如CD-ROM、USB驱动器）进行攻击的漏洞。特洛伊木马媒体看起来是合法的，依赖于发现并使用该设备的受害者的好奇心或贪婪。插入该设备会安装恶意软件，这使得攻击者可能会不受限制地访问目标组织的内部计算机网络。

• 欺诈网站和社交媒体[4]——利用欺诈网站（或Facebook等社交媒体网站）诱骗受害者点击将恶意软件下载到受害者计算机的链接的漏洞。与诱饵一样，安装的恶意软件可能会让攻击者访问受害者的个人信息，或利用受害者的计算机进行欺诈。

• 假托/逆向社会工程——一种创造和使用真实或虚构的场景（假托）来吸引目标受害者的利用，增加了受害者泄露信息或采取其他在正常情况下不太可能采取的行动的机会。逆向社会工程是一个复杂的假托例子，上面在非技术性社会工程骗局的背景下进行了描述。当应用于技术（在线）交互时，逆向社会工程已被证明是一种非常有效的基于计算机的利用。

• 网络钓鱼/鱼叉式网络钓鱼——一种通常被定义为冒充可信第三方访问私人数据的钓鱼者的漏洞。通常，钓鱼者会发送一封似乎来自合法企业或个人（例如，银行、信用卡公司或同事）的电子邮件，要求验证信息，并警告如果不提供信息将造成严重后果。电子邮件通常包含一个指向看似合法的欺诈网页的链接，有时带有公司徽标和内容，并要求受害者提供私人信息（如社会安全号码、银行账号或银行PIN）。随着时间的推移，社会工程，尤其是网络钓鱼，变得越来越复杂：攻击者了解哪些技术最有效，并相应地改变他们的策略[Downs 20062007]。一个例子是鱼叉式网络钓鱼，这是一种网络钓鱼形式，攻击者最初收集目标受害者的个人信息，并利用这些信息来定制网络钓鱼方案，从而增加成功的概率[OBrien 2005]。

表1总结了社会工程攻击的显著特征、所寻求的典型信息以及事件的可能后果。所寻求的信息和潜在结果与网络攻击中的目标信息和结果大致相同，这并不奇怪，尽管攻击方法有所不同，尤其是在表第一列的显著特征方面。这些特征通常为我们描述社会工程事件和识别这些攻击模式的方法提供信息。

表1：社会工程特征汇总

[1]恶意包括造成伤害的意图。伤害也可能是由那些没有恶意（即非恶意）的人造成的，无论是作为还是不作为，即使他们故意违反规则（即，不检查徽章的警卫并不意味着允许恶意行为者进入大楼，而是让纵火者进入大楼）。

[2]这一定义使用了非故意知情者的视角，这与社会工程行为的更广泛定义不同，后者包括（恶意和/或故意）犯罪者的视角。

[3]正如我们稍后讨论的那样，逆向社会工程在使用技术手段的社会工程开发中也很普遍。

[4]欺诈网站也被称为网络钓鱼网站[APWG 2005]。

原文始发于微信公众号（河南等级保护测评）：无意的内部威胁：社会工程-3