社會工程學對企業(yè)的滲透及未來可能趨勢的防御策略探究

吳蘊喆 周熙

蘇州高新有軌電車培訓學院 江蘇 蘇州 215000

1 常規(guī)滲透的形式

滲透的主要目的，是通過搭建帶有目的性的人際關系網(wǎng)，獲取重要信息，為后續(xù)的入侵提供可靠的情報支撐。目前針對企業(yè)的滲透形式有偽造身份的物理滲透、通過操控員工完成的滲透和非交互式滲透三種，以下將對上述滲透行為做出分析。

（1）偽造身份的物理滲透。常見的形式為冒充可以直接訪問企業(yè)關鍵設備和具有內網(wǎng)訪問權限的設備供應商人員，對目標企業(yè)網(wǎng)絡進行滲透;該手法利用收集到的信息，分析供應商人員的行為，并使用真實事件對目標企業(yè)進行誤導，在取得目標公司人員的信任后，通過對目標設備直接操作或執(zhí)行后臺程序，實現(xiàn)對目標的滲透和信息收集。

（2）通過操控雇員完成的滲透。此類滲透是由外部滲透團隊和企業(yè)內部被滲透人員共同完成，受其性質的影響，可分為主動配合的和無意識配合兩種。

主動配合是指由內部雇員發(fā)起的，通過主動提供公司內部網(wǎng)絡的登陸及訪問權限及公司關鍵情報和資料，以報復公司或獲取利益為目的，其常用手法包括拷貝重要數(shù)據(jù)資料、發(fā)送郵件、對關鍵資料進行拍照或拍攝帶涉密視頻，并將其發(fā)送給滲透人員的行為。

無意識的作案是指受到誤導或由于知識結構缺陷，在自身不知情的情況下訪問魚網(wǎng)站、郵件，與社交軟件中所謂的同事或朋友進行聊天，或將不可靠的設備接入公司內部網(wǎng)絡，導致攻擊者通過間接的方式獲得對公司網(wǎng)絡的訪問權限，并以此為基礎進行橫向滲透，從而開展信息收集的行為，這種行為本身不存在主觀性，但因不知情而具有極強的隱蔽性[1]。

（3）非交互式滲透。非交互式滲透包含利用人性漏洞和網(wǎng)上信息收集兩種攻擊手法；利用人性漏洞是指攻擊者利用人性的缺陷，通過對目標人員贈送帶有后門的電子設備終端或存儲介質或設備，或者通過故意遺棄設備的行為，通過人性漏洞（占有欲），實現(xiàn)在非干預的情況下，由目標人員造成的滲透。該攻擊具有高度的隱蔽性和不可追蹤性，且當安全公司介入時，也只能追蹤到造成信息泄露的設備，且無法進行進一步的追蹤。網(wǎng)上信息收集是利用信息泛化的特性，通過網(wǎng)上披露的信息，對其進行收集整理，并以此為跳板，通過釣魚郵件或遠程入侵目標服務器，實現(xiàn)滲透的目的。

2 新技術下的滲透形式

新技術下的滲透，是指利用最新的技術產(chǎn)物與傳統(tǒng)滲透相結合，從而產(chǎn)生足以改變原有形式，提高滲透成功率并增加企業(yè)防范難度的手段。如近期出現(xiàn)的高仿人類面具，因其制作的緊密性和良好的擬態(tài)性，當運用于社工時，則有可能出現(xiàn)以下情況：

（1）針對目標身份的精確模擬。當高仿人臉應用于社會工程學時，將直接改變原有的滲透規(guī)則，只需收集特定人員的面部信息，通過制作與之臉部特征完全一致的高仿面具，就能實現(xiàn)對特定人員的面部模擬，該手法可以大幅增加目標單位人員的信任度，并讓對方無法起疑心，同時配合社工的使用，以達到滲透的目的，因其特有的欺騙性，可避免在后期取證中，因暴露在監(jiān)控和目擊者環(huán)境下的產(chǎn)生的風險[2]。

（2）針對監(jiān)控設備的身份逃逸。針對監(jiān)控設備的逃逸是指在進行滲透期間，利用高仿人臉面具，對企業(yè)所安裝的監(jiān)控設備進行欺騙。受制于當前監(jiān)控技術的水平，最先進的監(jiān)控系統(tǒng)僅能做到對人臉特征的識別，但因無法對面部的生物特征進行識別，所以即使遭到拍攝，也會因無法抓取真實的人臉信息造成身份逃逸，從而增加后期取證的難度。

3 針對社工滲透的防御策略

由于技術的不斷迭代，社工的滲透手法得到高新技術的不斷加持且隱蔽性逐漸增強，而高仿人臉面具作為新崛起的技術，因其具備的高擬態(tài)性和欺騙性，未來可能成為社工滲透中的一種手段，因此，針對傳統(tǒng)社工滲透和新技術加持下的滲透，可以采用以下對策：

（1）采用生物認證機制。生物認證機制指針對眼部虹膜特征的驗證、指紋和聲紋的驗證，由于其特殊性，虹膜、聲紋驗證具有不可復制的自然屬性，因此可信度非常高，具有抗身份偽裝能力，且現(xiàn)有的高仿人臉面具制作技術無法實現(xiàn)對聲紋、虹膜特征的還原，因此，可以通過采集相關人員、供應商人員的生物信息，建立虹膜、聲紋特征庫的辦法，對機房和限制區(qū)域采取先驗證后放行的策略，可有效杜絕社工人員通過物理手法對相關設備進行滲透可能[3]。

（2）二次身份確認制度。由于社工技術的特殊性，因此在面對面的過程中，對實體身份的二次確認會非常的重要，由于傳統(tǒng)的二次確認方法無法對佩戴高仿人臉面具的人員進行有效身份確認，因此在進行現(xiàn)場身份真實性確認時，因突破傳統(tǒng)手法，采取直接對個人進行確認的辦法，包括直接對個人采取現(xiàn)場電話呼叫確認、使用約定的暗號、佩戴不同的特使識別物的辦法，實現(xiàn)對身份的確認。若出現(xiàn)委托第三人來訪的情況，可要求對方配合進行多方身份驗證，從而杜絕因認知偏差導致的身份誤判。

（3）綜合手段提高安全。通過邀請第三方安全公司對企業(yè)進行滲透測試，找出存在的漏洞和薄弱環(huán)節(jié)，同時加強對雇員安全意識的宣傳和再教育，消除因不同崗位，學歷人員之間的認知偏差，建立統(tǒng)一的、完善的安全認知體系，此外還需從公司制度入手，規(guī)范訪客、身份查驗制度，完善網(wǎng)絡區(qū)域建設和訪問權限劃分，從根本上杜絕滲透帶來的破壞[4]。由于社會工程學的復雜性和特殊性，相比后期的排查，預防性手段可以在很大程度上杜絕因滲透造成的信息外泄和損失，并杜絕由此浪費的人力、物理成本，只有重視系統(tǒng)安全的重要性，不斷完善、優(yōu)化體制建設，實現(xiàn)規(guī)范化、標準化的操作流程，才能保證企業(yè)的信息安全。