读社会工程：安全体系中的人性漏洞（第2版）06MAPP

1. 防治规划

1.1. Mitigation and Prevention Plan
1.2. 一开始你可能会没有信心，实际上你可以塑造出一种重视安全意识的文化
1.3. 第1步：学会识别社会工程攻击

• 1.3.1. 首先要学会识别和了解这些攻击，这样你的团队就已经高于平均水平了
  
• 1.3.2. 电子邮件可以用来入侵整个公司
  
• 1.3.3. 电话可以用来获取密码和其他敏感信息
  
• 1.3.4. 如果他们的移动设备被黑客控制了，就能用于攻击他们的家庭网络和工作网络
  
• 1.3.5. 不能因为对方面带微笑、态度友好和善，就忽视了我们的通行证使用守则
  

1.4. 第2步：制定切实可行的政策

• 1.4.1. 在安全领域，政策似乎是一个不好的词
  
• 1.4.2. 大部分人不喜欢制定政策、强制实施或被迫遵守政策
  
• 1.4.3. 避免过于复杂的政策
  
• 1.4.3.1. 有些政策常常过于宽泛而笼统，这会导致执行者顾虑过多并反应过度，这是政策的制定者对这些攻击缺乏了解造成的
  
• 1.4.4. 避免盲目的同情
  
• 1.4.4.1. 不是让你“不要有同情心”​
  
• 1.4.4.2. 需要避免因同情心泛滥而忽视了制度
  
• 1.4.4.3. 永远不会阻止人们的善意关怀
  
• 1.4.4.4. 护送他们到公司的任何地方之前，都要检查通行证验证身份
  
• 1.4.5. 让政策切实可行
  

1.5. 第3步：定期检查实际情况

• 1.5.1. 选择合作的顾问是很重要的
  
• 1.5.2. 提出好的问题
  
• 1.5.2.1. 不要害怕问及之前的工作情况，或者对于特定情况，该公司倾向于如何处理
  
• 1.5.3. 有合格的参考案例
  
• 1.5.3.1. 很少有公司愿意被当作参考案例，因为它们不想将接受过的社会工程服务让更多人知道
  
• 1.5.3.2. 社会工程公司不会将对其不满的客户用作案例
  
• 1.5.3.3. 目的在于大致了解他们与客户的合作方式，及其服务质量
  
• 1.5.4. 能清晰地定义规则
  
• 1.5.4.1. 对客户来说，如果实际的渗透测试比设想中的更为刁钻复杂，那会是一件很麻烦的事情，所以你必须向你的上司解释清楚情况
  
• 1.5.4.2. 确保不出现这种问题的最佳方法就是有一套清晰的测试规则，以免越界
  
• 1.5.4.3. 定义清晰的规则就好比拳击比赛中选手穿戴的护具一样
  
• 1.5.4.4. 没有什么普适的方案—方案很大程度上取决于你的需求和想要达到预期目标的方式
  

1. >  1.5.4.4.1. 其他服务最好每年一次或半年一次，比如渗透测试>  1.5.4.4.2. 有的服务最好每月一次，比如网络钓鱼测试

复制代码

1.6. 第4步：切实可行的安全意识项目

• 1.6.1. 把安全意识项目调整得符合客户的具体需求之后，你便能帮助员工明白，当出现问题时该做什么，以及不该做什么了
  

1.7. 综合以上4步
1.8. 时刻保持更新

• 1.8.1. 要确保计算机能及时更新
  

1.9. 从同行的错误中学习

• 1.9.1. 有很多公司会出售威胁建模服务来帮助解决这个问题，你可能会需要他们的帮助
  
• 1.9.2. 可以自己建模并确定哪些地方需要增强和巩固，然后改进当前的项目和条款，从而保持对攻击的警惕
  

1.10. 塑造重视安全意识的文化

• 1.10.1. 奖励
  
• 1.10.2. 正向强化
  
• 1.10.3. 附加训练
  
• 1.10.4. 自上而下的强化
  
• 1.10.5. 保持耐心
  
• 1.10.5.1. 不要想当然地认为，因为你的指导方式是正确的，所以员工就能立刻跟上节奏
  
• 1.10.5.2. 让员工看到你的热情并和你一样充满热情是需要时间和持续努力的
  
• 1.10.6. 管理预期
  
• 1.10.6.1. 不仅有助于建立融洽关系，还能给你的公司构造出一种重视安全意识的文化
  
• 1.10.6.2. 并不是说你能发现网络钓鱼、识别诈骗电话或识别不属于你公司的人，就代表每位员工都能在短时间内做到这一点
  
• 1.10.7. 可以通过保持耐心和管理预期，来帮助你的员工适应新的培训标准
  

2. 成为社会工程人员的特质

2.1. 谦逊

• 2.1.1. 在这一行出类拔萃的人无疑都很谦逊
  

2.2. 动力

• 2.2.1. 工作是每天上班完成任务，而下班后又能完全抛诸脑后的东西
  

2.3. 外向

• 2.3.1. 建议你一次只练习一种技巧，直到你能做到信手拈来为止
  

2.4. 乐于尝试

• 2.4.1. 害怕失败是很难干好这个职业的
  
• 2.4.1.1. 甚至会让人止步不前
  
• 2.4.2. 那些在职业社会工程人员成长之路上表现优异的人，都能够走出舒适区，并且明白失败有时才是最好的老师
  
• 2.4.3. 那些愿意尝试新鲜事物的人也能够融入各种圈子，并且更容易适应不同的情况
  

2.5. 真的管用
3. 走上职业道路

3.1. 专业技能

• 3.1.1. 职业技能对这份事业来说非常重要，因为你会一直和技术打交道
  
• 3.1.2. 掌握USB密钥、计算机启动，以及连接到VPN之类的简单技术，能在很大程度上帮助你构造伪装和取得访问权限
  
• 3.1.3. 基本的计算机知识
  
• 3.1.4. 基本的办公软件知识（比如Word和Excel）
  
• 3.1.5. 了解计算机的各种部件及其运作方式
  
• 3.1.6. 能正确操作Mac、Windows和Linux等操作系统
  
• 3.1.7. 了解网络是如何工作的
  
• 3.1.8. 知道如何搭建邮件服务器
  
• 3.1.9. 编辑照片的技能
  
• 3.1.10. 知道如何利用框架，如Metasploit和Empire
  
• 3.1.11. 读懂代码的能力
  
• 3.1.12. 编写代码的能力
  

3.2. 教育

• 3.2.1. 心理学
  
• 3.2.1.1. 你要牢记，即使你不是一名训练有素的心理学家或心理治疗师，也很有必要对人类如何做决策有基本的认知
  
• 3.2.2. 语言、语法和写作
  
• 3.2.2.1. 哪怕你是全世界最优秀的社会工程人员，如果写不出用词准确、条理清晰的报告，你的付出将永远得不到认可
  
• 3.2.3. 社会心理学
  
• 3.2.4. 你的最终目的不是成为心理学家、心理治疗师、语言学家或社会心理学家
  
• 3.2.5. 只需要有足够的知识，从而能发现某个特定的原则在发挥作用
  

3.3. 工作前景

• 3.3.1. 自己创业
  
• 3.3.2. 入职渗透测试公司
  
• 3.3.2.1. 绝大多数渗透测试公司会以某种形式提供社会工程服务
  
• 3.3.3. 入职社会工程公司
  

4. 社会工程的未来

4.1. 恋童癖用社会工程手段来诱骗儿童就是一个令人不安的趋势
4.2. 恋童癖会通过线上聊天工具进入孩子们的“族群”
4.3. 需要人们站在正义的一边，帮助守卫、保护和教育他人，让更多的人了解这些技巧，并学习如何抵御这些攻击，从而能免受其害
4.4. 学会如何使用这些技巧不仅有益于你的事业，也会对你的日常生活大有裨益

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

过来提前占个楼